モンキッチ教授のセキュリティ講座

三時限目

プライベートIPアドレスの使用で基本的に外部からアクセスできない

　IPアドレスはグローバルとプライベートの二種類あります（詳しいことはパチカン君が説明してます) プライベートIPアドレス宛ての通信はインターネットの世界で中継されませんので安全度が高くなります。

　「でも家庭内LANって全部プライベートIPアドレスと違うの？」もちろん、その通りです、しかし ルータを使っていればグローバルIPアドレスを取得してるPCを家庭内LANに参加させなくて済むはずです。 『グローバルIPアドレスを取得している=ダイヤルアップ接続・ADSLなどのLAN接続でインターネットに つながっている』PCはインターネット側からアクセス可能です、不用意にポートを開いていれば そこを突いて来るかも知れません、そんな環境のPCと『ファイルの共有』などしなくて済む訳です。

　ルータのIPアドレスのうち片方はグローバルIPアドレスですが、アドレス・ポート変換機能を持った ただのUNIX小箱であり、PCと違って様々なサービスを実行している訳ではありません、さらにファームウエアは 各メーカー独自のものですので苦労して弱点を探っても攻撃対象となる台数が少なく効果的でないため あまり狙われやすいとは思われません。（標的とされるプログラムは大半がマイクロソフト製品です） ルータもある種の攻撃により『ハングアップ』させられる可能性はありますが再起動すればOKです。

ルータを使っていれば安全？

　いいえ決して安全とは言えません、ルータはLAN側からインターネット側への通信とその通信に対する 返信は無条件で通します。ウイルスの添付されたメールも通しますし、PCの中に潜んでいるトロイの木馬の 送信するデータも通します。ルータを使わない場合と比べれば安全性が高まるだけです。

パケット・フィルタリングってなに？

　二時限目で通信には宛先と差出人を書き込む必要があることを話しました、ルータはこれを監視して ルールに合致するものを通し適合しないものを遮断したりすることが出来ます。ルールを何種類作成できるか 内⇔外をそれぞれ別に設定できるかなどは機種によってずいぶん違ってきます。最低限137〜139のポートは in,outとも遮断すべきですがそこまでで良しとするか、念を入れて一旦in1023以下を遮断して必要なポートだけ 開けたり、さらに代表的なトロイの木馬が使うポートのoutまで遮断するか個人の考え方次第です。

　ルータによって設定方法に固有の決まりがありますが基本的な考え方として YAMAHAの資料 や Linux IPCHAINS-HOWTO が参考になると思います、勉強熱心な方はどうぞ。（わたしは途中で投げてしまいました）

　基本的にプライベートIPアドレスに変換されているのでそれほど心配しないで大丈夫です。万全では ありませんが「危険だ危険だ！」と不安を煽ったり「泥棒が狙っているから鍵を二重三重に掛けろ」とは 言いたくありません、「泥棒に持ってかれて困るものをPCに置いておかない」ことをオススメします。 （愛人との秘密のデジカメ画像などはFD,MO,CD−Rに落として取り出しておきましょう）

その他

　ルータのログイン設定やリモート・アクセス設定についても注意が必要です。端折って説明すると 初期設定のまま使わない、少しパスワードを工夫する、必要ない機能の停止です。

ZDNet

ルータ持ってないんで心配になってきました

　フリーのパーソナルファイヤーウォールソフトがあります、日本語化パッチもどんどん出てきて 便利になりました。メールを使わないPCならこれで充分でしょう、メールを使うならノートンあたりを 購入することを勧めます。わたしが使ってるウイルスバスター2002はFWソフトとしては駄目駄目です。
　この手のソフトはインストールすればそれで大丈夫というものではありません、適切な設定が出来なければ 穴が開いたり家庭内LANが使えなくなったりします。（BlackICE Defenderが例外らしいけど有料） そういう意味ではルータの方が初心者向きかな？

ZoneAlarm
セキュリティUP!
Tiny Personal Firewall
匣の中の希望的観測さん