『セキュリティー』のクチコミ掲示板

初めまして　BA8000 Proユーザー皆様、昨日からルーターを買い使い始めた者です。ルーターの知識不足で皆様にお聞きしたいと思い　初めて此方の提示版に書き込む次第です。今までOSがXPでインターネットセキュリティー２００３（シマテック）を使ってましたが速度が遅く　サポートセンターに問い合わせした結果　インターネットセキュリティー２００３を解除すればとのことで、解除するまでは実測２０M〜２３Mで解除後に３８M〜４５Mぐらい早くなりました、そこで気になったのが　セキュリティーを解除したことで、サポセンの方に聞いたところルーター自信がセキュリティー&ファイヤーオールになるので、敢えてルーターのセキュリティーを設定しなくても良いとのこと、しかしながら　パソコンに弱い親父なので　気になっているのは　テレビのニュース等のハッカーとか自分のパソコン内にある　情報とか　見られる恐れがまだ、頭に横切っております。サポセンの方に、再度最低限のセキュリティーの設定はと　伺ったのですが　余り気にしないで良いとのこと　しかしながら、こちらの提示版を読んでいると、ルーターのセキュリティーの設定の方法とか意見の内容を読むと少し不安です。トロイ親父と言わず何卒皆様のご意見頂けないでしょうか　インターネットセキュリティー２００３は、セキュリティーだけ解除して　アンチウィルスだけは、起動させてます。宜しくお願いします。長文申し訳ありません

書込番号：1626850

MASYUU さん。
私も詳しくないのにこういっては何ですが、せっかくネットを使ってらっしゃるのですから、google等で引っかけたらいかがでしょうか？その手の情報はたくさん転がってると思います。
とりあえず、以下のところあたりからはいかがでしょう？
http://ascii24.com/news/specials/article/2003/05/10/643486-000.html

書込番号：1626941

[て２くん]

セキュリティーを気にしてるなら、インターネットに接続しないと言うのがいいですよ。
ルータを使うと、ある程度のトロイの木馬とかのアタックをブロックしてるが、ルータを使うことにより、常に接続してたりするのでセキュリティーが低下したりしますので・・・
ノートンインターネットセキュリティーを使ってるから絶対に安全と言うことはないので・・・

書込番号：1627037

２０でも４０でも変わりはしない。
では駄目なの？

書込番号：1627182

下の方で私が書いていますが、
BA8000ProのNAPTは、セキュリティ的に非常に堅固なようですので、一般的なネット利用形態では特にBA8000Proに追加設定する必要はありません。簡単に言うと、NAPTしている以上、LAN側から開始された通信に対する応答しか基本的に通過できないからです。

それでも何かやっておきたい場合は、
１．BA8000Proの[セキュリティ詳細]画面で「ステルスモード」を有効にしておく。
２．静的フィルタで[LAN-->WAN」方向の遮断フィルタとして、以下のようなフィルタを２個設定しておけば十分だと思います。
- 動作：破棄
- プロトコル：tcp&udp
- tcpフラグチェック：しない
- tcpフラグ：（なにもいじらない）
- 送信元IPアドレス：*
- 送信元ポート：*
- 送信先IPアドレス：*
- 送信先ポート：137,138,139,445
２個目
- 動作：破棄
- プロトコル：tcp&udp
- tcpフラグチェック：しない
- tcpフラグ：（なにもいじらない）
- 送信元IPアドレス：*
- 送信元ポート：137,138,139,445
- 送信先IPアドレス：*
- 送信先ポート：*

それでも怖いというなら、常時接続しないという手もあります。フレッツのPPPoEなら、[アカウント管理]画面で接続を「自動」にして「アイドルタイム」に適当な値を設定する、という感じです。

速度を重視するなら、インターネットセキュリティー２００３のパケット監視部分は無効にすることになります。これについては自己責任というか、利便性と潜在的な脅威を天秤にかけることになります。
XPのファイアウォール機能でもある程度代用できますが。

書込番号：1627449

肝心なのは、UG系とか怪しいアダルト系(健全(?)なアダルト系はありますが。(笑))には立入らない様にするとか、素性のわからないファイルとかの受取り等は絶対に避けるべきと思います。どんなにフィルタを厳しくしてもヘッダ情報をルータが不正と判断しなければ通してしまうからです。又、「なりすまし」っていう手もあるし。
外からは堅牢でも一旦入られたら、外に出るの防止するフィルタは労力を費やします。
メールなんかに入っているウィルスは通すでしょ。
↑の設定は最低限必要だし、それ以上は自分の使用環境で変わると思います。

書込番号：1627801

ソニエリさんが書かれているように、私も２０でも４０でも変わりないと思うのですが。確かに早いにこしたことはありませんが、現状だとその速度をいかせる機会もそうないと思いますし、相手のサーバーの性能やネットワークの途中で遅くなることも多々ありますから。

　あとセキュリティーに注意をするならWindowsUpdateをこまめにチェックして、セキュリティーホールを塞いでおくのも重要だと思います。

　ところで、以前から疑問なんですが、げっちゅるさんが書かれているように
「NAPTしている以上、LAN側から開始された通信に対する応答しか基本的に通過できないからです。」ということは、NAPTが機能しているときにはSPIを設定しても意味がないんでしょうか？マニュアルを何回読んでもよくわかりません。
　あと、SPIを有効にすると設定できるOne-minute Low、One-minute High、Max-incomplete Low　……等の設定はどのように設定するのが良いのでしょうか？（マニュアルを読んでも言葉の意味からよくわからず、初心者には設定が難しいです）

書込番号：1630817

動作やマニュアルからの想像ですがWAN側から見ていくと、

[WANポート]-[NAPT]-[SPI]-[フィルタ]^[LANポート]
のような処理順序のようです。
したがって、SPIが効くのはNAPTを潜り抜けたパケットのみです。
静的マスカレードで常に特定のポートを開けていたり、DMZ機能でLAN側にグローバルIPホストを設置している場合は、SPIを有効にする意義はあると思います。
しかし、単に普通にインターネットしているだけであれば、ポートが開くのは通信している間だけであり、さらにそのポート番号はランダムであるため、そのポートを通してLAN側に変なパケットが到達することは、まず無いと考えます。
しかもBA8000ProのNAPTは他の低価格ルータよりセキュリティ的に強力で、WAN側からのパケットのヘッダすべてを見ているようなので、通信中の相手（サーバ）以外からのパケットはまず通過できないと思います。

SPIを設定するときの、One-minute Low、One-minute High、Max-incomplete Low　……等の設定は、無駄なコネクションの削除の閾値です。静的マスカレードでサーバを公開していたり（不特定多数との通信が発生する）、WinnyなどのP2Pソフト（不特定多数との通信が発生する）を使っている場合は、大きめの閾値にすべきですが、普通にインターネットするだけであればSPIオフでもいいし、オンにする場合でもデフォルトの値でいいと思います。

書込番号：1631872

新しい詳細マニュアルには、
Winnyなどの不特定多数との通信が発生するP2Pソフトなどを使う場合は、SPIオフがいいかも、と書いてありますね。

書込番号：1632098