『パケットフィルタやポートのことについて助言お願いします』 の クチコミ掲示板

[ヤドカリドリ]

PC初心者です。

先日http://bbs.kakaku.com/bbs/-/SortID=17823260/
にてパーソナルファイアウォールの設定をご教授いただいた際に

「インターネットへの接続にルータを使っていませんか？
ルータ内蔵のパケットフィルタを使えば、インターネット側からのアクセスには神経質になる必要がなくなります。
また、LAN内の接続に応じるPCと、（ルータなどでLAN全体に適用される上流のファイアフォールを介さず）
インターネットに直接接続するPCは、一緒にしないほうがいいです。LAN内向けにホストとポートを指定しても、
IP偽装されるとインターネットに対してポートを開きっぱなしにしておくのと同じですので。」

というお言葉をいただきました。

この段階ではCTUにパソコンを直接つなげている形です。

元々無線LANルーターを買い換える予定があったので、
有線LANポート付きを買って有線LANも介すようにしようと考え、WR8165Nを購入しました。
購入基準としてNECがルーター等の機器で世界的に有名であることと、Amazon,価格comのレビュー,ランキングを参考にしました。

現在設定もほぼ完了し、無線、有線ともに使えているのですが、少し気になることがあるので質問させてください。


パケットフィルタリングの設定について
この設定にとても手間がかかりまして、
https://www.appmanual.com/internet-port.html
http://homepage1.canvas.ne.jp/mycroft/dat/security/port.html　セキュリティの話 <危険なポートと安全なポート>
http://kanpachi200g.blog88.fc2.com/blog-entry-89.html
主にこれらのサイトを参考に
WR8165Nはブロックするポートを指定する形ですので、ある程度検証した結果
「1-24,25,26-52,54-79,81-122,124-442,444-49152」(TCP+UDPの項目のみ抜粋)となりました。

この状態で2,3日使っていたのですが、
ある日無線LAN接続のスマートフォンにてLINEの通話が使えない状況に陥りました。
その後も3DSでオンラインができなくなったり、
Webページの中でもFlashから「〇〇番ポートを確認して下さい」と出たりしました。

調べていくうちに
http://ja.wikipedia.org/wiki/TCP%E3%82%84UDP%E3%81%AB%E3%81%8A%E3%81%91%E3%82%8B%E3%83%9D%E3%83%BC%E3%83%88%E7%95%AA%E5%8F%B7%E3%81%AE%E4%B8%80%E8%A6%A7
このような特定のポート番号とアプリケーションの組み合わせを知りました。

いざという時に接続できないようでは困る、と思い


最終的に
上記のリンク、セキュリティの話 <危険なポートと安全なポート>の中の危険なポートのみを指定することにしました。

その後
https://grc.com/x/ne.dll?bh0bkyd2
このポートの状態を確認するサイトを使用し、1055までのポートは[Stealth](緑)の表示を確認しました。




そこでお聞きしたいのですが、

はじめに初歩的な質問で申し訳無いのですが、ポート開放とポート許可の違いはなんでしょうか？
検索をかけているとごちゃごちゃになってしまい、記事を見つけにくいという時もありました。
上記のShieldsUP!!というポートの状態を確認するサイトでもOpenとStealthに別れているのが気になります。
また、このStealthという状態は安全と言えるのでしょうか？

ShieldsUP!!のAll Service Portsという項目を選択したのですが、
結果の下にTruStealth Analysisという表示があり、そこに
Solicited TCP Packets: RECEIVED (FAILED)
Unsolicited Packets: PASSED
Ping Reply: RECEIVED (FAILED)
とありますがこれは危険な状況でしょうか？

現在危険なポートのみ拒否している状況ですが、みなさんはどのように設定されていますでしょうか？
また、IPアドレス指定のパケットフィルタリングは必要ありますか？

もし普段使用するポート以外を閉じる場合、
49152-65535を指定しまうとGoogle Chromeがインターネットに繋げなくなりました。
いわゆるプライベートポートは閉じなくてもよかったりしますか？

IPv6のパケットフィルタリングにこのルーターが対応していなくて、
PCではパーソナルファイアウォール(COMODO Firewall)が対応してくれてるのですがスマートフォン(iPhone,iPad)などはそこまで意識しなくてもよかったりしますでしょうか？

CTU(加入者網終端装置)についてお聞きしたいのですが、
ファイアウォールは「高」に設定してありまして、これはどのような効果があるのか教えていただけませんか？
詳細設定にしているブログを見かけて、そちらにしようと思ったのですがヘルプを見てもいまいち
具体的につかめず、間違って開放したまま放置してもまずいなと思いまして、「高」にしています。

CTUとWR8165Nの組み合わせについて
セキュリティ保護機能という機能がWR8165Nには備わっています。
「既知の外部からのアタックや不正アクセスを検出し、その不正パケットを廃棄します。検出可能な不正アクセスは、「LAND攻撃」「Smurf攻撃」「IP Spoofing攻撃」です。」(公式ヘルプより)
これらの機能はCTU単体より安全性が高まったと言えますでしょうか？

少しポート関係ではなくなるのですが、
CTU、WR8165NともにDHCPを有効にしています。
2つを介した有線LAN接続の速度は80Mbps、とCTU直接の時(平均83Mbps)とほぼ変わらないのですが、
問題がありそうな場合、ご指摘お願いします。

最後にDMZは一般人が使用する上では必要ありませんか？
価格.comの用語集では「「非武装地帯」が名前の由来で、自宅に設置したwebやメールサーバーなどを外部に公開するための機能です。」とあります。
サーバー等を公開するような予定もなく、インターネットの用途はWebページを見たりスマホでアプリを使用する程度です。




長文になってしまい、質問も多くなってしまい申し訳ないです。

どうか回答お願いします。

書込番号：17882362

[kokonoe_h]

>>最後にDMZは一般人が使用する上では必要ありませんか？

特に必要ないです。
一般人でなくても家サーバ（Web・Mail・FTPなど）を公開している人もDMZはあまり使ってません。
使うポートだけ開けています。

サーバソフトの方でも怪しいIPアドレスは常に追加して弾いてます。
特に中国からの怪しいアタックが多いです。

書込番号：17882406

[am01125]

ひとつずつ回答するのは難しいので書ける分だけまとめますが、

ひとくちにパケットフィルタによるポートの接続許可といっても
・ルータがWAN側に対して接続を許可するポート(A)
・ルータがLAN側に対して接続を許可するポート(B)
・LAN内のPCがルータ対して接続を許可するポート(C)

の3通りがあることを把握しておいてください。
接続を許可する動作には、さらに送信と受信で区別があります。

ルータ自身が制御できるのは(A)と(B)、PC自身が制御できるのは(C)だけです。

＊＊＊
まず、ルータの主たる機能はネットワークの中継（ルーティング）です。
このとき、LAN内のPCからの接続はWAN側に中継しますが、ユーザが特に設定しない限りは
WAN側からの接続はLAN内のPCに中継せずにルータ自身が応答します。（結果的に全部拒否します）

そのため、LAN内のPCは自分のポートが開いているか閉じているか気にする必要がなくなります。

＊＊＊
パケットフィルタについては、よくわからなければルータもPCも初期状態のまま使うのがベストです。

おそらく初期の状態では、
ルータは、(A)で自分からの送信：すべて許可、自分への受信：接続が確立したもの以外はすべて拒否、
(B)で自分からの送信：すべて許可、自分への受信：すべて許可する動作になっていると思います。

PCは、自分からの送信：すべて許可、自分への受信：OSが必要としないものは拒否（確認を求める）
動作になっているはずです。

このフィルタの組み合わせのため、WAN側からは勝手にLAN内のPCに接続することができません。
LAN側からは、WAN側のコンピュータに対して接続を要求するぶんには制約がありません。
（相手には相手側のファイアウォールがあります）

＊＊＊
ということで、特に何も設定しなくても、PCはインターネット側からの不正アクセスに対して
二重に保護されます。

これでは必要な通信ができない、という場合だけポートやNATの設定をすればよいでしょう。

書込番号：17884080

[am01125]

書き忘れましたが、DMZはWAN側からの接続をすべてLAN内のPCに中継するモードです。
せっかくの防禦を低下させてしまうので、注意してください。

ルータのパケットフィルタを使ったのでは負荷が高くてスループットが低下してしまうような場合に使用します。

書込番号：17884114

[LsLover]

先ず、ブロードバンドルータ（NATルータ）の基本動作としては、以下のような設定となっています。
(1)LAN側からの接続要求でインターネット上のサーバに接続する場合には、すべて接続を許可します。
　LAN側からFTPクライアントを利用する場合には、PASVモードで接続してください。

ftpのpassiveモード(PASVモード)って何ですか？
http://www.rtpro.yamaha.co.jp/RT/FAQ/TCPIP/ftp-passive-mode.html

(2)WAN側からのLAN側への接続要求は、原則拒否される設定になっている。
　従って、WebサーバやMailサーバなどを公開する場合には、ブロードバンドルータのポート解放/転送の設定が必要となります。
　DMZの設定を行うとWAN側からの接続は、すべて許可されますので、注意が必要です。

『現在危険なポートのみ拒否している状況ですが、みなさんはどのように設定されていますでしょうか？』

ということですが、上記(2)の設定になっているため、特に設定は不要です。

『IPv6のパケットフィルタリングにこのルーターが対応していなくて、』

IPv6サービスを利用しない場合、［IPv6ブリッジ］で【使用しない】を選択してください。

書込番号：17885254

[ヤドカリドリ]

>>kokonoe_hさん

中国もITの技術はすごいので恐れています…。
それらの人々が昔の日本のようないたずら目的でウイルスを作り出したり混入する程度なら笑えるのですが…。
DMZは必要なさそうですね。有難うございます。


>>am01125さん

前回の質問も含め、丁寧な回答助かります。

ポートをドアに例えるのをよく聞きますが、パケットフィルタという2つ目のドアは3通りを管理するそれぞれのドアがある。
…という解釈だと違いますかね(；´Д`A ```

>特に何も設定しなくても、PCはインターネット側からの不正アクセスに対して二重に保護されます。
有難うございます。一先ず現在の状況は安心でき、助かりました。
本当にわかりやすい説明有り難うございます。

DMZは逆効果ですか…
知ってよかったです。
セキュリティ対策の機能かと思ってました…。


>>LsLoverさん
とてもわかりやすい回答有難うございます。

設定は不要、ということで一安心しました。

>WAN側からのLAN側への接続要求は、原則拒否される設定になっている。
知りませんでした…。
IN通信はルーターが精査して通すか通さないかを判断していて、それならなにかリストファイルが存在してそれをどこかで更新しているのかな、とか思ってました(￣_￣ i)

IPv6について、リソースモニターで確認したり、statコマンドで確認すると主にプロセスだと「LMS.exe」が使用しているみたいです。
また、これからの主流になるのではないか、というのでこの際にできるだけ対策をして使用したいな。
と思っています。



御三方の回答は非常に助かりました。
御三方には大変恐縮ではありますが、もう少しこのクチコミで回答受付させてください。

少し質問を整理したのでお願いします。

Ｑ１
IPv6のパケットフィルタリングにこのルーターが対応していなくて、
PCではパーソナルファイアウォール(COMODO Firewall)が対応してくれてるのですがスマートフォン(iPhone,iPad)などはそこまで意識しなくてもよかったりしますでしょうか？

Ｑ２
ShieldsUP!!というサイトのAll Service Portsという項目を選択したのですが、
結果の下にTruStealth Analysisという表示があり、そこに
Solicited TCP Packets: RECEIVED (FAILED)
Unsolicited Packets: PASSED
Ping Reply: RECEIVED (FAILED)
とありますがこれは危険な状況でしょうか？

Ｑ３
CTU(加入者網終端装置)についてお聞きしたいのですが、
CTU側のファイアウォールでも危険なポートを詳細設定から拒否したほうがよいでしょうか？
現在の設定は「高」でして、接続機器は電話とWR8165NというPC等を接続しているルーターです。

Ｑ４
少しポート関係ではなくなるのですが、
CTU、WR8165NともにDHCPを有効にしています。
WR8165N側の設定項目には
「ローカルルータ(DHCP無効)」「ローカルルータ(DHCP有効)」「PPPoEルータ」「Wi-Fi 中継機」
とあります。
現在2つ目の「ローカルルータ(DHCP有効)」という設定です。
DHCPを無効にした方がよい場合、DHCP有効と比較して危険性が高まることはないでしょうか？



沢山質問してしまい申し訳ないです。
どうか回答お願いします。

書込番号：17887749

[sorio-2215]

　一般的には、ルーターの静的IPマスカレード機能（NAPT機能）におけるIPセキュアフィルタ機能でも、静的IPフィルタの動的IPフィルタが有ります。
　不正アクセス時の問題となる、DDOS攻撃や「LAND攻撃」、「Smurf攻撃」、「IP Spoofing攻撃」対策については、特定DNSサーバへの攻撃も含めて、動的フィルタ設定が有効になるかと。
　一般的なルーターですと、動的フィルタ機能設定については可能なタイプと不可能なタイプが有ります。動的フィルタについては、LAN側からのアクセスが発生時に特定利用ポート（WEB、POP、SMTP、FTP他）などの通信を検知しout側へOPENします。（通信終了時にCLOSEします）
　静的IPフィルタでの設定については、他の方の仰る様に、特定ポート番号からのアクセス(out→in、in→out)を、TCP/UDPポート番号別に破棄・透過する様に設定するのですが、LAN又はWAN側への特定IPとして規制する事が可能です。その機能にて、トロイの木馬や不要ポート通信を破棄しておく形が可能です。
　セキュリティ機能制限については、DHCP機能の話が出ましたが、家庭用用途ですとあまり関係無いかと存じます。
　業務系用途ですと、DHCP機能に対し、MACアドレス認証と予約IPアドレスでのLAN接続端末セキュリティを設けているケースも有ります。つまり、ルーターのLANポートへ端末接続した際に、その端末のMACアドレスを検知し、接続許容させる設定、接続認証された際に端末に特定IPアドレスを付加する機能、そのIPアドレスをWAN側若しくは、IPSEC-VPNトンネル側への通信許容させる設定も有ります。
　DHCPの有効・無効可否の件については、あまりセキュリティ面においては効果が薄いかと存じます。
　CTUもWR8165Nルーターも、あくまでも家庭用ルーターレベルの機材ですので、細かくセキュリティ確保する様な設定には限界が有ります。仮に2重NAPT（CTUでのPPPOE接続→WR8165Nルーターでのローカルルーティング）でも、通信許容が2重化されるだけで、セキュリティレベルが高くなる訳ではありませんので、CTU→WR8165Nルーター構成ですと、返ってCTUでのPPPOE接続→WR8165Nルーター（APモード）、配下端末にてセキュリティソフト適用が一般的かと考えます。
　もし、ナーバスにPCやスマートフォン、タブレットなど統合的なセキュリティ確保を想定される場合、CTU（光電話のみ、PPPOEブリッジのみ）→UTM機能付きルーター→WR8165Nルーター（APモード）構成を検討下さい。
　※　UTM機能付きルーター・・Yamaha「SRT100」、「FWX120」など。
　静的IPセキュアフィルタ、動的IPフィルタ以外に、URLフィルタ（外部/内部）、Winny/Shareフィルタ機能、ポリシーベース・フィルタなども搭載しております。

書込番号：17888083

[am01125]

＞ポートをドアに例えるのをよく聞きますが、パケットフィルタという2つ目のドアは3通りを管理するそれぞれのドアがある。
うーん、どうだろう。。。

たとえでなく生の話をしますが、インターネットでやり取りされるデータはパケット（IPパケット）という小包に分割されます。
そのIPパケットのヘッダには、送信元IPアドレスと宛先IPアドレスが書いてあり、それらに続いてデータ部があります。

IPパケットのデータ部の中身はまたパケット構造になっていて、TCPパケットやUDPパケットが含まれています。
TCPパケットやUDPパケットのヘッダには、送信元ポート番号や宛先ポート番号が書いてあり、
そのデータ部にはWindowsのプログラムなどが使用する実データが入っています。

これらのヘッダ（IPアドレスやパケットの種類、ポート番号）をもとに、パケットを通すか捨ててしまうかを決めるのが
パケットフィルタです。データが入ってくる側だけでなく、自分から出ていく側も同じように機能します。
（出ていく方はゆるゆるにしてあるのが普通ですが）

なお、ルータは宛先IPアドレスや（必要があれば）使用するポート番号を書き換える操作をします。
これによって、パケットが別なネットワーク（LAN側 or WAN側）の任意のポートに中継されます。

こんな感じで、ブロードバンドルータにはパケットフィルタがあります。（安いやつにはありません）
これとは別に、Windows PC自身も「Windows ファイアウォール」としてパケットフィルタを持っています。
さらに高機能なパケットフィルタであれば、攻撃を検出して、適当な時間、自動的にそのIPアドレスからの
接続を全部拒否するようなものもあります。


…多少は理解のお役に立てたでしょうか？


で。

Ｑ１：IPv6のパケットフィルタリング
ルータは、IPv6のルーティングには対応してるのでしょうか？
もし対応していなければ、そもそも通信が成立しないので気にする必要はありません。
（on/offがあるなら、IPv6を無効化しておけばよい）

Ｑ２：ShieldsUP!!
ShieldsUP!!は使ったことないですが、このステルスというのはTCP/IPのルールを故意に無視して
動作するモードのようですので、その意味と効果を理解してから使うべきかと思います。
https://www.grc.com/faq-shieldsup.htm
＞ShieldsUP! shows my ports as 'Closed' and not 'Stealth', but I want Stealth! How do I get 'Stealth'?
ただし、これは自宅のLAN内のルータとPCに対して一生懸命にシールドを張っていることになり、さほど意味がありません。
会社とか学校とかで、必ずしもネットワーク内の他のPCを信用しきれない場合には、有効かもしれません。

Ｑ３：CTU(加入者網終端装置)について
機能的には、必要ではありません。通信速度や管理性の面から、ルータで一元化したほうが良いかと。

Ｑ４：DHCP
これは気にする必要がないです。DHCPが有効であれば、Q2と同じくLAN内のPCが完全に信用しきれない環境では、
誰がどのPCを使っているかわからずIPも毎回変わるので、ターゲットになり難いという意味でセキュリティ上有利です。
が、自宅ではそのメリットはありません。まぁ便利な機能なので、ONでいいんじゃないでしょうか。


と、一通り個人的に思ったことを書きましたが、唯一の正解ではありません。
自宅LAN内の他のPCがウイルスに感染して信用できない場合とか、
ルータのソフトウェアにバグがあってそこに侵入を受けた場合とか、
ヤバそうなシナリオを考えていくと、なかなか「これで安心」とはならないものですね。

書込番号：17888178