『アタックブロック機能』のクチコミ掲示板

はじめまして。
はじめて質問させていただきます。
ＭＮ８３００には､メルコのＷＢＲシリーズのアタックブロック機能と同様な機能がありますでしょうか？
もしくは、パケットフィルタリングの設定により、同様のことが出来ますでしょうか？
お教えいただければ幸いです。
よろしくお願いいたします。

書込番号：2073105

[て２くん]

アタックブロック機能とは、一般的に言うどのような機能でしょうか？

書込番号：2074059

[Jimo]

> ＭＮ８３００には､メルコのＷＢＲシリーズのアタックブロック機能と
> 同様な機能がありますでしょうか？

ない。ダイナミックフィルタもない。

> もしくは、パケットフィルタリングの設定により、同様のことが出来
> ますでしょうか？

一部はできる。でも，ほとんどはできない。

それはそれとして。ホッポウー星人さんはこの機能を何に使うの？何か
ミッションクリティカルなサービスでも開いているの？たとえば，結構
ヒット数の多いWeb Serverを動かしているとか。DoS攻撃は，その名の
通りDenial of Service=サービス不能を起こす攻撃。つまり，何らか
のサービス(HTTPとかFTPとか)をできなくさせる攻撃だ。ってことは，
サービスを公開していなければ必要ない機能なわけで。さらにいえば，
DoS攻撃はあくまでもサービスを不能にする攻撃で，乗っ取られる類の
攻撃とは異なる。つまり，よほど大切なサービスを開いているのでな
ければ，それほど必要となる機能ではない。
Buffaloがどういう意図を持ってこの機能を搭載しているのかわから
ないが，無線Routerにこの機能は不要に思える。そんなところにコスト
をかけるより，無線のセキュア化を進めた方がいい。コンセプトが間違っ
ている気がするな。

ちなみに，DoS攻撃などに対応するセキュリティ製品としては，IDS
(Intrusion Detection System)とかIDP(Intrusion Prevention System)
がある。Check Point社のFirewall-1 NG AIのように，Firewall
にIDP機能を内蔵するようにもなりつつあるのも確か。とはいえ，
それは商用の世界での話。無線LAN機器に搭載してもなぁ・・・

おっと，蛇足の方が長くなっちまった。すまん。

書込番号：2075394

て２くんさん、Jimoさん
早速なご返答ありがとうございます。

現在、フレッツモアでＷＢＲ−Ｇ５４を使い、有線で古いＭａｃを、無線／有線でWindowsノートを使っております。
我が家の環境では、確かにＭＮ８３００はオーバースペックでありもったいないのですがＷＢＲ−Ｇ５４では、ダブルセッションでも、ＩＳＰとフレッツスクエアーとに接続を切り替えるときルーターのアタックブロックの設定を変え、いちいち再起動させなければならならため、不便に思っていました。

確かにJimoさんのおっしゃるとおり、ＤＯＳ攻撃を受ける心配はまったくありませんが
TCPステルスFINスキャンなどの、いわゆるステルススキャンの方に神経質になってしまっています。本来ならば、ＷＢＲ−Ｇ５４のセカンドセッションで
アタックブロックを抑制する、と言うファームウエアーがリリースされればよいのですが、当てにならないようです。
ＭＮ８３００では、セキュリティ設定とセカンドセッションでのフレッツスクエアー接続とが､調整されるようなことを目にしました。

その様な訳で、ここのページでの皆さんのメッセージを、指をくわえて眺めておりました
実は､注目しているのは８３００ではなく、これから発売予定の８３００Ｗなのですが、みのほど知らずと言われそうですね。

またしばらく皆さんのメッセージを、眺めさせていただきます。

本当にありがとうございました。

書込番号：2076043

[Jimo]

> TCPステルスFINスキャンなどの、いわゆるステルススキャンの方に
> 神経質になってしまっています。

なんで？DoSではなくても，ステルススキャンは要するにプロービング，
すなわち侵入や攻撃の予備調査だよ。だから，何かサービスを動かして
いない限りはステルススキャンを受けても侵入される恐れはまずない。
また，プロバイダとの契約で固定的にGlobal Addressを借りているの
でない限り，Local側はPrivate Addressになっている，すなわちNATの
環境にあるはずだが，NATがあれば，それだけでかなり安全になるよ。

ところで，フレッツ・スクウェア側から何か来たことある？俺は今ま
で一度もログにその形跡を見たことがない。ユーザ同士の接続は許さ
れているのかなぁ？確かにMN8300ではセッション毎のフィルタが同時
に可能。でも，俺はそこまでやってない。Internetにさらされている
３つ目の予備セッションにはフィルタを用意しているけどね。

> ＭＮ８３００では、セキュリティ設定とセカンドセッションでの
> フレッツスクエアー接続とが､調整されるようなことを目にしまし
> た。

調整？そんな機能はないよ。

いずれにしても，何かセキュリティ機能に関して誤解がある気がする
なぁ。もしそこまで気にするなら，Routerに頼るよりもむしろPC毎に
Personal Firewall, Personal IDS等を入れた方がよほど安全だよ。

それと，前回も触れたように，Internetからの侵入よりもむしろ
無線の盗聴に気を遣う方がよほどセキュアな環境が得られると思うが
なぁ・・・

書込番号：2077638

Jimoさん

ご指摘ありがとうございます。

セキュリティ機能に対して勝手な思い込みがありました。
ウェブページを見るだけでも、アタックブロックの様な機能が必要だと､勝手に思い込んでいました。　こんなことでは、ＷＢＲ−Ｇ５４を使っている方が無難ですね。でも、セッション毎のフィルタリングが同時に可能な製品は、やはり魅力的です。

無線接続に関しては、ＥＳＳＩＤのａｎｙ拒否、ＭＡＣアドレスの登録、１２８ビットＷＥＰなどを設定していますが、どこまで盗聴防止に役立っているのかわかりません。
ＷＰＡ暗号は、ＯＳがいまだに９８ＳＥなので、使えるかどうかわかりません。

お手数をおかけいたしました。
ありがとうございました。

書込番号：2079035