マンガでよめる痔のこと・薬のこと

 3つほど質問をお願いします。

 WindowsXP SP3を使用しています。
 インターネット接続にはルータを使用しており、不要なポートは完全に遮断しています。

■質問1
 自宅LANで、特定のローカルマシーンのネットワーク接続を、LANのみに限定し、WAN(インターネット、自宅より外のネットワーク)は完全に遮断しておきたいと考えているのですが、特殊なソフトなどを使わず、これを行うことは可能でしょうか?

■質問2
 マシーンがインターネットに繋がっている状態でも、ルータを経由している場合は、LAN内のマシーンにFWを設定する必要はないのでしょうか。(個人的には、万が一ルータを突破された場合の保険として「とりあえずあった方がいいが、無くてもほとんど問題ない」と考えています。)


 この質問に至った経緯は、以下の通りです。

 メインで使用するマシーンのほかに、ネットワーク内でのみ活動させたい計算専用のマシーンが何台かあります。
 それらの計算専用マシーンはインターネットに接続する予定は全く無いため、わざわざノートンなどのインターネットセキュリティソフトを入れるのが無駄だと感じており、できる限り低コストで運用したいと考えているため、このような質問に至りました。

 以下は個人的な見解・補足的な状況の説明です。
 メインで使用するマシーンには、インターネットセキュリティソフト、スパイウェア対策ソフトなどをインストールし、慎重に運用しております。

 メインマシーンがウイルスを踏んでしまった場合、ネットワーク上のマシーンに甚大な被害をもたらす可能性があるため、最低限、計算専用のマシーンにはavastなどを入れて、簡易的なウイルス対策くらいはしておいた方がいいとも考えています。

■質問3
 上記のような状況ですので、インターネット上の脅威にさらされている窓口はメインマシーンのみで、この砦をしっかり守れば、内側は安全だと思っているのですが、この考え方に穴がある場合は教えてください。
 個人的にはこれで万全と考えていますが、確信しきれていないので、より多くの意見をお聞きし、より強固なセキュリティを築いていければと考えています。

 よろしくお願いします。

このQ&Aに関連する最新のQ&A

A 回答 (2件)

質問1


外部~ルーター~LAN(PC1,PC2)
という構成でPC1だけはインターネットアクセスするが、PC2はインターネットと直接通信不可能にしたいということですよね?
自分でやったことはないですが、可能だと思います。
DHCPを使わず、PC1にIPアドレスを2つつけます。TCP/IPのプロパティの詳細設定で複数の固定IPアドレスを付けることが出来ます。ルーターが192.168.0.1だとすると、PC1に192.168.0.2 と 192.168.1.2 を付けます。PC2には192.168.1.3を付けます。サブネットマスクを255.255.255.0にしておけば2つのネットは通信できません(PC1が中継することもできますが、設定しないとそうはなりません)。

質問2
PC1の場合、「自分のファイルをネットに送信してしまうウイルス」に感染すると、ルーターは中から外への通信は通しますので、データが盗まれます。登録されたプログラム以外は通信をブロックするセキュリティソフトを使えばそれが防げます。あと「spamメールを送りまくるウイルス」に感染してspamの加害者になるとか。これもブロック機能があれば防げます。

PC2が直接ウイルスに感染することはないと思うので、「PC1がウイルスに感染したら、PC2にも感染済み」と思って行動するのであれば、それでいいかと思います。

質問3
上記参照

この回答への補足

 notnotさんの回答ですでに問題は解決していると思うのですが、もう少し他の方のご意見も伺えたら嬉しいので、この質問は、もう少しだけ続けたいと思います。
 引き続きよろしくお願いいたします。

補足日時:2008/12/13 17:45
    • good
    • 1
この回答へのお礼

 なるほど。
 おおむね、僕の推論で問題ないということですね。

 すっかり、サブネットマスクの概念を忘れているので、調べ直してみたいと思います。
 ありがとうございました。

お礼日時:2008/12/13 17:44

■質問1


外部と接続させたくないPCだけ固定IPアドレスで設定してデフォルトルートを設定しなければ外にアクセスできなくなります
このほうが外部と通信させるPCに2つIPアドレスを振る手間やDHCPをOFFにする手間がはぶけます

ルータのフィルタリング機能で固定設定したPCは外部との通信ができないように設定しておけばさらに完璧かと

■質問2,3
ウイルスの感染などは必ずしも外部からとは限りません
USBメモリなどで持ち込まれた場合、ルータのFirewallは無意味です
その辺のリスクも全くない場合であれば、

> 最低限、計算専用のマシーンにはavastなどを入れて

という感じでもかまわないかと
    • good
    • 2
この回答へのお礼

 レスありがとうございます。
 質問1の答え、非常に参考になりました。
 この方法をとりたいと思います。ありがとうございます。

 質問2,3の答えについてですが、基本的に外部から持ってきたデータは、メインマシーンを通じて各計算用マシーンに割り振られるような形での運用を考えております。(もう少し具体的にいうと、計算用マシーンの具体的な役割は、3Dアプリのネットワークレンダー用途になります)
 つまり、よほどのことがない限りは外部から持ち込まれたデータを直接計算用マシーンで触るようなことはしません。
 というわけで、これについても、お答えいただいたような形式での運用で問題なさそうです。

 ありがとうございました。

お礼日時:2008/12/13 21:17

このQ&Aに関連する人気のQ&A

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!

このQ&Aを見た人が検索しているワード

このQ&Aと関連する良く見られている質問

Q社内LANでインターネットのみ使用不可方法

社内LANの構築をしようとしているのですが、20台あるPCの内5台をインターネット出来ないようにしたいのですが、ネットワークプリンタは使用できるようにしたいのです。方法として、どのような方法(サーバーは導入する予定はありません)があるでしょうか?
宜しくお願いします。

Aベストアンサー

簡単な方法として...
すべてのパソコン、機器(プリンター、ルータ)にIPアドレスを割り振ります。
プライベートIPアドレスを使用します。
仮に192.168.1.xxを使うとすれば
ルータに、IPアドレス:192.168.1.1 サブネット:255.255.255.0
パソコン、プリンタは、192.168.1.2~ 使って割り振ります。
ネットと接続するパソコンは、デフォルトゲートウェイに、192.168.1.1を
設定してやり、接続しないパソコンは上記を設定しなければ
いいと思います。

Q一部のPCをインターネット接続できなくする方法

現在、無線ブロードバンドルーター1台と無線内臓ノートPC 5台、無線接続のディスクトップ 3台あとプリントサーバーに接続されたプリンター1台、無線ブロードバンドルーターにLANケーブルで接続されたプリンターが1台あります。

事務所の中で、一部のPCをインターネット接続できなくしたいが、すべてのPCでプリンター印刷や他のPCの共有フォルダは閲覧やファイル共有は行いたいと思っています。
できれば設備を増やさずルーター設定やPC設定で何とかならないかと考えています。
ネットワーク設定には不慣れですが、皆様の知恵を借りたいのでよろしくお願いします。
具体的な手法、URLとあれば記載を重ねてお願いします。

Aベストアンサー

無線ルーターの機種がわからないので、コレガやバッファロー
を使ってきた経験から

一部PCをグローバル(インターネット接続)接続出来なくする
設定があるかと思います。

ただし、MACアドレスか、固定のローカルIPを振るかで、端末
を特定して、その端末をローカルのみ有効にさせるような設定
かと思いますよ。

具体的手法、URLはせめて機種名をくれないとなんともいえません。

宜しくお願いいたします。

Qネットワークの切断方法について

PCを長時間起動中、ネットワーク接続は全く必要ない時、
外部から干渉される危険性を少しでも減少させる為、
ネットワークを切断しておこうと思います

LANケーブルの抜き差しを毎回行うと、端子が磨耗してしまうので
ソフト的に切断しようと考えました

コントロールパネル→ネットワーク接続→ローカルエリア接続
→タブ”全般”→動作状況下部の”無効にする”

これで、こちらからのネットワーク接続は切断されましたが
外部からの接続は完全に不可能となったのか?が分かりません

詳しい方、ご教示願います

Aベストアンサー

337byoushiさん 今日は!
>コントロールパネル→ネットワーク接続→ローカルエリア接続→タ
>ブ”全般”→動作状況下部の”無効にする”
それでは操作が面倒ですね。
タスクバーの右側に「通知領域」と言う、エリアにLAN接続のアイコン(ディスプレの様な)有る筈です。
そのアイコンを右クリックしますと、「無効」・「状態」・「修復」・
と続き「ネットワーク接続を開く」とメニューが出ますので切断する時は「無効」を、再接続の時は「ネットワーク接続を開く」を其々選択して下さい。
●ネットワーク接続の切断後にファイルを保存するとエラー メッセージが表示される↓
http://support.microsoft.com/kb/820748/ja
■ネットワークの設定・接続と切断方法(Windows XP版)↓
http://help.gyao.ne.jp/type004/internet/network/winxp/cut.html
切断後の状態の確認はアイコンに赤色のX点が付く筈です。
無線LANではアイコンが通知領域から消えます。
>外部からの接続は完全に不可能となったのか?が分かりません
上記で確認出来れば質問の通り完全に接続されません。
其れから注意点ですが、切断後Excel2002の保存が出来ません。

337byoushiさん 今日は!
>コントロールパネル→ネットワーク接続→ローカルエリア接続→タ
>ブ”全般”→動作状況下部の”無効にする”
それでは操作が面倒ですね。
タスクバーの右側に「通知領域」と言う、エリアにLAN接続のアイコン(ディスプレの様な)有る筈です。
そのアイコンを右クリックしますと、「無効」・「状態」・「修復」・
と続き「ネットワーク接続を開く」とメニューが出ますので切断する時は「無効」を、再接続の時は「ネットワーク接続を開く」を其々選択して下さい。
●ネットワーク接続の切...続きを読む

QWindows7 インターネットを切断したいです。

いつもお世話になっております。
今回はインターネットを一時的に切断する方法を教えていただきたくて投稿致しました。
家庭内の無線LANでWindows7を使っています。
一時的にインターネットを切断したいのですが
コントロールパネル → ネットワークとインターネット → ネットワークと共有センター
「ワイヤレスネットワーク接続の状態」で、「無効にする」をクリックしてインターネットを切ることができたのですが、再度接続する方法がわからなくなりました。
取り合えずは、システムの復元で接続できてはいるのですが
「切断する」「接続する」のような簡単な切り替えはないものでしょうか?
自分で、ワイヤレスの設定をしたのですが、どうにかこうにか操作しているうちにネットにつながったようなもので、再度ワイヤレスの設定をする自信がありません。
今回も「無効にする」の後は「有効にする」のボタンに変わると思っていて
安易にクリックしてしまいました・・
ご指導の程、宜しくお願い致します。

Aベストアンサー

>取り合えずは、システムの復元で接続できてはいるのですが
ファイル間/レジストリ間の不整合を管理していないなら、そのうちパソコン壊れます。

無線LANの子機を無効にするとか物理的に切り離すだけでも目的は達せられます。
USBで接続されているなら抜けばいいですし、内蔵されているとしてもパソコンの筐体に有効/無効のスイッチがあると思います。
また、パソコンによってはBIOSメニューに専用のオン/オフ項目がある場合もあります。
http://faq.askpc.panasonic.co.jp/faq/docs/000354

ほか、無線LANの動作に必要なサービスをオフにする方法もありますね。
wiireless Zero Configuration とか Wired AutoConfig をオフにすればつながりません。

QネットワークでXPのPCのみネットに接続しない方法

自宅に3台のPCがあります。ネット環境はADSLでルータから有線なり無線で各PCに接続しており、メインPCのHDを共有化しています。
メインPC含む2台はWin8ですが、残り1台はXPです。ですが、遊びたいゲームや他のソフトがWin8では動かないため、4月以降もXPを使用したいと考えています。
XP機の使用についてはネット接続を物理的に外せばとりあえず安心かなと考えていますが、できれば自宅内のネットワークはXP機も含めたまま使用したいと思っています。
このように、XP機だけを、(外部の)インターネットとは遮断し、自宅内のネットワークには接続しておくことは可能でしょうか。また、可能ならどのような方法で接続・設定すればよいでしょうか。
XP機をネットワークに接続しておきたい目的は、メインPCのHDデータの利用と、メインPCに接続しているプリンタの利用の2点です。(特にHDデータの利用)
なので、この目的がかなうなら、ネットワーク接続にこだわるものではありません。

Aベストアンサー

> 10年以上前になりますが、XP機を新しく買った際、古いパソコンからデータを移行するために、LANボード同士をクロスケーブルで接続したことを思い出しました。
それと同じことですね。

かなりのご経験があるのですね。うまくいけばそれと同じようにお互い認識してくれると思います。

> ところで、単にケーブルをつなぐだけでなく、ネットワークを新たに構築する必要があるわけですね。それは、コントロールパネルのネットワークと共有センターから新しいネットワークのセットアップを行えばいいのでしょうか?

Win8のほうでインターネットに繋がるネットワーク(NIC)とXpに繋がるネットワーク(NIC)のふたつのネットワークを持たせるということになります。二股をかけてお互いに知られないようにするという人間としてはあまりよろしくない事をWin8にさせるということでしょうか。

私自身Win8マシンを注文はしているのですがまだ届いていないので、Win8での設定は説明できませんが、Xpでしたらマイネットワークのプロパティでインターネットに繋がっていた接続(ローカルエリア接続とかになっていると思います)のプロパティからTCP/IPのプロパティを開きIPアドレスの設定で「自動的に取得」をやめて先の回答で示した設定に変更する(現在のIPアドレスが192.168.X.Xの設定であると仮定しています)か、プロトコルTCP/IPをやめて「NWlink IPX/SPX/NetBIOS互換トランスポート プロトコル」にしてしまう。プロパティ画面のインストールからプロトコルを選択し追加をすると該当プロトコルが出てきます。

ただし、プロトコルの変更はWin8に「NWlink IPX/SPX/NetBIOS互換トランスポート プロトコル」があればの話になります。

ちなみに、WIn8の設定によってはWin8のほうにXpのユーザーと同じアカウントを作成しておかないと共有フォルダにアクセスできない可能性があるような気もします。Guestアカウントが有効になっていれば大丈夫だとは思いますが、とりあえずWIn8のほうは皆目分かりませんので、申し訳ありませんがご自身でお調べください。

質問者さんのスキルがあればそれほど面倒なことではないと思います。

> 10年以上前になりますが、XP機を新しく買った際、古いパソコンからデータを移行するために、LANボード同士をクロスケーブルで接続したことを思い出しました。
それと同じことですね。

かなりのご経験があるのですね。うまくいけばそれと同じようにお互い認識してくれると思います。

> ところで、単にケーブルをつなぐだけでなく、ネットワークを新たに構築する必要があるわけですね。それは、コントロールパネルのネットワークと共有センターから新しいネットワークのセットアップを行えばいいのでしょうか?
...続きを読む

QLAN環境を保ちつつ、1台だけWANから遮断したい

インターネット 
 |
CTU
 |
無線LANアクセスポイント(ルータ機能オフ)
 |         |
(無線)      (無線)
 |         |
WinXPマシン   他のマシン   (LAN内のIPアドレスは全て固定)


LAN内の相互接続環境を全て保ったまま、WinXPマシンだけをWAN側と遮断することは出来るでしょうか?

CTUでポート開放の設定を行えば良いという話を聞いたのですが、「遮断」するのに「開放」を行う、というのが意味が分からず設定を躊躇しています。
http://www.akakagemaru.info/port/ctu/04.html

来年のXPサポート終了後、XPマシンをLAN内環境を維持したままWAN側と遮断して使いたいのです。

CTUおよび無線LANのマニュアルを読んだのですが、
設定項目の名称や意味が門外漢には分かりづらいので、わかり易く説明頂けると助かります。

CTU機種名:「100M][S]
無線LAN機種名:NEC Aterm WR7600H

Aベストアンサー

おや、ウェルノンポート以外を初期状態で通すルーターとは…。いったい、内部LANのどのマシンに対して外部からの通信を送るのでしょうね。
簡単設定だと「高」の状態がNo.8で回答した「外部からの通信はすべて拒否する」状態です。

Q他のPCのネットワーク接続を切断したい

パソコンは1台ですが
スタートからエクスプローラを開くと
ネットワークに他のパソコンが表示されています。 
そのためか色々設定が変えられたり変なメッセージがでたりして支障が生じています。
何とかならないものでしょうか。 

Aベストアンサー

あなたのPCも他のPCに丸見えかも・・・。
そんなネットワークは使わないほうがいいです。
ここに質問するよりも管理者に相談してください。

QVistaのサポート終了後の心配

Vistaのサポートのサポートが 2012年4月で終了となっています。
我が家にVistaが2台あり、さらにもう一台Vistaを調達しようとしていますが、サポートがないOSを使うことの不都合はどの程度のものでしょうか。
また Vistaのサポート終了でWin7に アップデートの呼びかけがあまり見ませんが 実際ところどうなのでしょうか。
Xpと同じく サポート期間をなんらなの形で延長するのか、アップデートしなくてもあまり問題はないのでしょうか。
(実は我が家ではとっくにサポートの終わったWinMeもほとんどトラブルなしに動いています)
Microsoftのサポートが ウィルス・スパイウェアがメインであれば アンチウィルスソフトで 対応できるものでしょうか。

Aベストアンサー

セキュリティも管理する技術者として回答します。

Q/サポートがないOSを使うことの不都合はどの程度のものでしょうか。

A/本人が全くないと思うなら、本人には不都合はないでしょう。ただし、それをインターネットに繋いでいて、本人にも不都合が生じたときには、既に本人とっては取り返しの付かない状況に陥っていると考えるのが妥当です。場合によっては、他人にはもっと不都合かも知れませんが・・・。
MSの保守がないわけですから、ウィルス対策ソフトがVistaに対応していても、ウィルスを検出し逃したウィルス対策ソフトベンダーの責任は問えないかもしれませんからね。そもそも、ウィルス側がVista専用に穴を探し設計すれば検出できないかも・・・。

それぐらいの不都合です。

だから、気にしなければ自分が問題に気づくまでは、別に痛くもかゆくもないでしょう。Windows9xや2000/NT4もそうです。まあ、脆弱性を悪用された場合、サポートのあるOSでもウィルス対策やエンドポイントで検疫していても、残念ながらウィルスにも感染しますし、個人情報が漏れることもあるのですけどね。

簡単に書けば雨漏りしたけど、家の中でカッパを着ていれば大丈夫というようなものです。それで、都合が悪くなければ別に問題はないのです。最近になってすきま風が冷たいからエアコンの温度をさらに上げたとか・・・。エアコンで耐えられなくなったときには、家はぼろぼろかも・・・。

Q/XPと同じく サポート期間をなんらなの形で延長するのか、アップグレードしなくてもあまり問題はないのでしょうか。

A/7またはVista Businessへのアップグレードを推奨します。
ちなみに、既にXPも7及び時期Windows 8(開発名)へのアップグレードが推奨され始めています。

Q/我が家ではとっくにサポートの終わったWinMeもほとんどトラブルなしに動いています

A/こういう場で書くのも凄い度胸ですね。
大事に使うのは良いことですが・・・。インターネットには繋がないで下さい。
一応ネットに繋いだ場合のリスクを書いておきます。

9xはルーティング装置を介しても、踏み台にされる確率が極めて高いです。
また、ウィルス対策が既にないため、RAMに感染していても状況が分かりません。rootkitやワーム、トロイの木馬が入っていれば、同一ネットワーク内のグループメンバーのセキュリティ情報も漏洩する恐れがあります。即ち、そのコンピュータが属しているネットワーク全体が脆弱になります。

大丈夫とおっしゃるからにはルーティング装置のログなどは確認し、尚かつ9x側の通信状態もパケット単位で確認されているとは思いますが、一応リスクは相当大きく、管理には神経を使うはずですからネットワーク上での利用を速やかに終了することをお奨めします。

Q/MSのサポートが ウィルス・スパイウェアがメインであれば アンチウィルスソフトで 対応できるものでしょうか。

A/アンチウィルスソフトが検出できるのは、既知のウィルスと振る舞い検知で既知のウィルスに似た動きをするウィルス及びスパイウェアです。また、検出エンジンが処理できる範囲は、既知の脆弱性情報に対する、修正パッチを適用したコンピュータに限られます。即ち、Hotfixが全て適用されていなければ、ウィルスに感染するリスクがあり、入ってから数日後にウィルスとして検出される可能性があります。

昨年猛威をふるったガンブラーはAdobe製品の脆弱性を利用し、対策ソフトでさえも当初騙されるケースがありました。

場合によっては、近年は巧妙なウィルスが増えていますので、親となるルートキット型トロイの木馬とBotsを使い対策ソフトで検出される前に、次の新顔を入れ替わり立ち替わり交代させるというローテーションも可能です。この手法は既に新手ではなく登場して数年が経過しています。

日本の防衛産業の中枢である三菱重工などに入っていたウィルスも、複数あったと言われるのは、穴を開けるもの、隠すもの、攻めるもの、守るものがウィルスにはあるからです。それらが、連携すれば、多重の対策があっても破られるリスクがあるのです。

業務において、システムファイルの状態を100%監視し、不審なファイルの実行を防ぐエンタープライズ向けのソフトウェアもありますが、それらも絶対に大丈夫とは言えません。エクスプロイトコードと呼ばれる抜け穴となるコードが見つかれば、外から特権でそれをくぐり抜けるコードを流し込めば、乗っ取れる可能性があるためです。

これは、先に述べたようにサポートがあるOSでも、メーカーがHotfixによる対策を施す前に攻撃を大規模に仕掛ける手法で存在するのです。(ゼロデイアタック)
それが、サポートのないOSでは、サポートが完了した日から後は常にゼロデイとなります。
長く時間が経過すればするほど、エクスプロイトコードが増加し、バックグラウンドで知らずに特権によるデータ抽出できるコードは増えていきます。

後は、それに気づかれるような愉快犯のような攻撃をするか、それとも、長い間、使われていても気づかれないように隠蔽し、もっと大事なデータ取り出しのために他のPCを攻撃するかのどちらかです。

私は、昔ここでよく書いていましたが、対策ソフトがいくら優秀でも馬鹿でも、感染するリスクはあります。そして、それらを最大限減らす努力をするために、対策ソフトを入れたり、OSやアプリケーションを最新の状態にします。ゼロには出来ませんが、そもそもゼロに近づけることもできない環境は、セキュリティがほとんど確保できていないと見るのが妥当です。
昔は、そういうところまで考えなくても良かったのですけどね。

後はご自身がどのように考えるかです。強制することはできませんが、しっかり考えてどうするか決められるのが良いでしょう。

セキュリティも管理する技術者として回答します。

Q/サポートがないOSを使うことの不都合はどの程度のものでしょうか。

A/本人が全くないと思うなら、本人には不都合はないでしょう。ただし、それをインターネットに繋いでいて、本人にも不都合が生じたときには、既に本人とっては取り返しの付かない状況に陥っていると考えるのが妥当です。場合によっては、他人にはもっと不都合かも知れませんが・・・。
MSの保守がないわけですから、ウィルス対策ソフトがVistaに対応していても、ウィルスを検出し逃した...続きを読む

Q常時接続ネットワーク切断するソフト。

よくアンチウィルスソフトで、緊急ロックやネット
ワークを切断する機能があるんですが、それを単体で
行うフリーソフトはないでしょうか?

Aベストアンサー

今日は。

ご質問の内容からすると、それはアンチウィルスではなくファイヤーウォールの領分です。物理的に遮断するには、既出の回答でも可能ですがフリーソフトでおこないたいのであれば
http://www.forest.impress.co.jp/lib/inet/security/firewall/negies.html
http://www.forest.impress.co.jp/lib/inet/security/firewall/outpost.html
等があります。

但し、フリーソフトをご利用する際は「自己責任」になりますのでご了承ください。

Q今使っているパソコンのプロバイダーを調べるには?

会社のパソコンのプロバイダーを調べたいんです。アドバイスをお願いします。
請求書等もなく、メールソフトのドメインにもプロバイダ名が出ていません。。。
他に調べる方法があれば、教えてください。

Aベストアンサー

http://www.ugtop.com/spill.shtml
ここにアクセスして、現在接続している場所(現IP)を調べる

そのIPを
http://www.mse.co.jp/ip_domain/
ここでIPドメインサーチにかけると大抵判明します。

あと、余談ですがPCのプロバイダって表現はあまり聞きませんね・・・・。


人気Q&Aランキング