ファイアーウォールに関する質問なのですが、
(1)
ルーターとセキュリティーソフトのファイアーウォールを両方付けた状態で
ShieldsUP!などのオンラインポートスキャンを試すと、
Port113がcloseなのを除いてすべてステルスになっていました。
(2)
次にルーターを介さず、セキュリティーソフトのファイアーウォールだけで
フレッツ接続ツールなどで直接ネットに繋いでShieldsUP!でポートスキャンをしてみると、
Openはひとつもありませんでしたが、Closeになっているのは、わりとあって、
でもルーターを介した状態ではcloseになっていたPort113は逆にステルスになっていました。
(3)
ルーターのファイアーウォールだけ有効にして、
セキュリティーソフトのファイアーウォールを切った状態では
(1)のルーターとファイアーウォールを両方付けていた状態と同じでした。
これってどういうことなんでしょうか?
ルーターとセキュリティーソフトのファイアーウォールは両方付けておいた方が
良いそうですが、これを見る限りではルーターでポートを塞いでいるところに
またソフトでポートを塞いでいるというよりは、ルーターを介した場合は
ルーターの設定が優先でソフトウェアの方のファイアーウォールは
無効になっているのに等しいと思うのですが。。
二重の効果があるのなら、ルーターでCloseだったPort113は
セキュリティーソフトのファイアーウォールでステルスになって、
ルーターとセキュリティーソフトのファイアーウォールを両方使った場合は
すべてのポートがステルスになっているべきだと思うのですが。
これを見る限りでは、ソフトウェアのファイアーウォールはルーターを繋いでいる状態では
遅くなるだけで効果がなくて、アプリケーションコントロールとかで
内からの接続を許可したり、禁止したりしてる分だけしか有効でないと思うのですが。
ルーターでポートを防いでいる状態でソフトウェアのファイアーウォールを有効にしていて
助かった!って状況とかありえるでしょうか?逆はありそうですが。
No.1ベストアンサー
- 回答日時:
質問内容から概要は解っていらっしゃると見えますが、少し具体的に突っ込んでおきます。
>ルーターの設定が優先でソフトウェアの方のファイアーウォールは
無効になっているのに等しいと思うのですが。。
はい正解です。
インターネット側からはルーターのIPアドレス(グローバルアドレス)・ルーターのポートしか見えません。
ルーターの内側は、グローバルアドレスからローカルアドレスに変換されると共に、ポートも変換され、外側のTCP113に対しては内側は流動的になっており、今回の接続はTCP6235を使ってとかで通信する仕組みになっています。従って外側からは内側の192.168.0.101のTCP113ポートを直接攻撃することができません。これがルーターの主な役割です。詳しくは「NAPT」というキーワードで検索して調べてください。
ルーターが無ければ、PCがグローバルアドレスでなければインターネット通信が行えませんし、ポートの変換も無く直接該当するポートへ接続が試みられます。
この場合ファイル共有やリモート管理共有などローカルアドレス時には便利なネットワークサービス UDP137,138 TCP135,139,445 などをファイアウォールで塞いでおかないと一溜りも無くマルウェアに感染してしまいます。
一般に、NAPTを含めファイアウォールは外側からの一方的なパケットは全排除し、内側からのリクエストを通しリクエスト先IP(外側)からの一定時間内の応答なら通過させるという方式で機能しています。
従って、ガンブラーに代表されるエクスプロイト攻撃ではホームページ閲覧によりPC上で動作するスクリプトによりマルウェアをダウンロードリクエストする仕組みが取られます。これはファイアウォールにはどうしようもありません。
感染した後ではファイアウォールは殆ど役に立ちません。これは内から外に向かうパケット(アウトバウンド)を監視するファイアウォールには引っかかりますが、今どきのマルウェアはそれさえも回避する手段を身に着けていたりしますので、感染したPCにファイアウォールは役立たないとして宜しいかと思います。ルーターにパケットフィルター型のファイアウォールが備わっていたら、前出の共有ポートとかウイニーなどが使うポートのアウトバウンド側も塞いで置くと、ソフトウェアのアウトバウンドのフィルターように回避されないので有効かと思います。
>ルーターでポートを防いでいる状態でソフトウェアのファイアーウォールを有効にしていて
助かった!って状況とかありえるでしょうか?
これは職場やホームネットワークのPC一台がネットワークワームに感染した場合、他のPCがそれぞれのファイアウォールにより集団感染せずに済むというケースが有り得ます。きちんと使わないポートを塞いでいればという条件で。
とてもわかりやすい説明でした。ありがとうございます。
ルーターを介すと、どのPCからも回答のお礼をする画面にいけなくなっていたので、
お礼が遅れました。
ルーターは通信の処理を専門に行う、ひとつのPCとして考えたら良いのですね。
外からはそのルーターまでしか見る事ができないので、ポートスキャンではルーターの状態しかわからない、と。
そこの中ではPFWは一応動いてるので、一応PFWは動かしてた方がいいんですね。
まずはルーターでアウトバンドの通信を防ぐ方法を勉強してみようと思います。
ありがとうございました。
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
関連するカテゴリからQ&Aを探す
おすすめ情報
- ・漫画をレンタルでお得に読める!
- ・街中で見かけて「グッときた人」の思い出
- ・「一気に最後まで読んだ」本、教えて下さい!
- ・幼稚園時代「何組」でしたか?
- ・激凹みから立ち直る方法
- ・1つだけ過去を変えられるとしたら?
- ・【あるあるbot連動企画】あるあるbotに投稿したけど採用されなかったあるある募集
- ・【あるあるbot連動企画】フォロワー20万人のアカウントであなたのあるあるを披露してみませんか?
- ・映画のエンドロール観る派?観ない派?
- ・海外旅行から帰ってきたら、まず何を食べる?
- ・誕生日にもらった意外なもの
- ・天使と悪魔選手権
- ・ちょっと先の未来クイズ第2問
- ・【大喜利】【投稿~9/7】 ロボットの住む世界で流行ってる罰ゲームとは?
- ・推しミネラルウォーターはありますか?
- ・都道府県穴埋めゲーム
- ・この人頭いいなと思ったエピソード
- ・準・究極の選択
- ・ゆるやかでぃべーと タイムマシンを破壊すべきか。
- ・歩いた自慢大会
- ・許せない心理テスト
- ・字面がカッコいい英単語
- ・これ何て呼びますか Part2
- ・人生で一番思い出に残ってる靴
- ・ゆるやかでぃべーと すべての高校生はアルバイトをするべきだ。
- ・初めて自分の家と他人の家が違う、と意識した時
- ・単二電池
- ・チョコミントアイス
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
YAMAHA RTX1210について初歩的...
-
NIC、ネットワークアダプタ、ポ...
-
家にあるHDDをWiFiのUSBポート...
-
最近のスイッチングHUBにUplink...
-
インターネット高速化について...
-
ポート「0/1」って?
-
AirMac ExpressとAirMac Extrem...
-
内部ポート、外部ポートの設定...
-
無線、有線混合ネットワークを...
-
NTT のフレッツ光から、 ケーブ...
-
ADSLモデムMS5 ポート開放
-
この2つの商品の違いは何でし...
-
静的IPマスカレード設定
-
レンタルWebサーバーの仕組みに...
-
無線ルータのポート開放について
-
外付けHDDを2つのPCで共有をしたい
-
宅内端末装置のCONFIGラ...
-
一つのプロバイダ契約 二ヵ所で...
-
DMMの “8KVR動画” をストリーミ...
-
UPnPCJでポート開放ができませ...
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
YAMAHA RTX1210について初歩的...
-
任天堂switchのインターネット...
-
インターネット高速化について...
-
NIC、ネットワークアダプタ、ポ...
-
内部ポート、外部ポートの設定...
-
192.168.1.1が開けないです。ポ...
-
自宅サーバーに外部からアクセ...
-
ポート「0/1」って?
-
V6プラスでのFTP開放について
-
Postfix SMTPポート(25)を...
-
無線ルータのポート開放について
-
V6プラス接続してもポート変換...
-
無線LAN非対応のPCをネットに繋...
-
最近のスイッチングHUBにUplink...
-
ゲストのパソコンからインター...
-
HWS33MWAポート開放方法
-
LANのHUBのポート数5とは、使...
-
1台のスイッチにVLANを組めば、...
-
NASにLANポートが3個あります。...
-
メッシュWiFi器(Deco X20、3台...
おすすめ情報