sitemap BBS home
  ブロードバンドにつなぐ セキュリティに注意  


IPアドレスを知るところから攻撃が始まる
ネットに対するポートの開放
ブロードバンドルータでファイアウォールの構築
ソフトウェアルーターを使ってファイアウォールを作る
インターネットセキュリティソフトでファイアウォールを作る
 
 
HOME



 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 



 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 



 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 



 

DSLや光ケーブルなどの常時接続サービスにすれば、つなぎっぱなしの環境が実現するわけですが、いつもインターネットにつながっているということは、悪意のあるハッカーからの攻撃に会う可能性が高くなるともいえます。誤解されやすいですが、モデムやISDNでつながっているからといって、セキュリティが万全というわけではありません。 ようはインターネットに同一のアドレスでつながっている時間が短いので危険度が低いだけです。一般のモデムでもDSLでも、ネットにつながっている状態は、自分の家の玄関の扉を開けっぱなし状態で、その時間が長いか短いかの違いでしかないんです。ちなみに固定IPアドレスを使う場合には、玄関開けっぱなしに加えて、家の見取り図が貼ってある状態だとおもっていただければよいかと。。
で、戸締りをどうしたら強化できるかというのがこのページでお話したい内容です。


IPアドレスを知るところから攻撃が始まる

悪意のある人間が、マシンやサイトを攻撃しようとしたとき、まず相手のIPアドレスを知るところからはじめます。ところで、どう言う局面で自分のIPアドレスを他人に知られるんでしょうか。ちょっと思いつく場面をリストアップしてみます。

・掲示版への書き込み
掲示版ではよくIPアドレスが表示されるものがあります。ダイアルアップアクセスであれば毎回IPが変わるので自分のプロバイダがどこかぐらいの情報しかもれないと考えられますが、ブロードバンド接続では固定アドレスならつねにIPが変わりませんし、ダイナミックIPでもPPPoEの接続を切断しない限りかなり長期間同じIPを使うことになります。IPアドレスを知られたくない場合は、こういった掲示板などに対する書き込みは注意した方がいいです。 画面上には表示されませんが、管理者は書きこんだメンバーのIPアドレスを見ることができる掲示版も結構あります。掲示版荒らし対策がもともとの目的ですが、いかにもあやしげな掲示版には書きこまない方がよさそうです。 (ちなみにBroadBand Maniacsの掲示版もワタシだけがIPを見ることができます。

・ライブカメラやHTTPサーバなどを立ち上げる
詳しい話はそれぞれの項でしますが、サーバ系を立ち上げるということは、自分の固定IPアドレス(あるいは事実上固定のアドレス)を世界中に宣伝するということです。サーバやカメラを公開するときには、普通以上にセキュリティに対する注意が必要です。逆の見方をすれば、サーバを公開してしまえば、いまさらどこでIPを知られようと、たいして問題ないって言えるんじゃないでしょうか。(笑)

・特定のサービスの利用
ネットワーク対戦ゲームや、ICQなど、IPアドレスを登録して使用するサービスは、サービス提供者側や他の利用者に自分のIPアドレスを教えることになります。

・ホームページへのアクセス
いろいろな方法論を説明しましたが、実際のところインターネットにつないでしまったIPアドレスは第三者が簡単に取得できてしまいます。どこのホームページがあなたのIPアドレスを拾っているかわかりません。当サイトでも調査目的でトップページにアクセスした方のIPをチェックできるようにしてあります。もちろん勝手に公開するようなことはいたしませんが。つまりIPアドレスを知られてしまうことを絶対に防ぐ方法は、インターネットにアクセスしないことです。気にしてもムダって結論ですね。

ネットに対するポートの開放

 

IPアドレスがわかったら、次は攻撃の手段探しです。外から攻撃をしかけるには、攻撃対象のマシンがネットに対してポートを開いている必要があります。 ポートっていうのは、マシンの外部から信号を受け取るための論理上のソケットのようなもんだと思ってください。空いているポートを悪意のあるハッカーが発見すると、それを糸口に侵入や、データ攻撃をしかけてきます。 実際のところ、特別な事をしない限りはネットに対して自分のマシンのポートを開く必要はありません。でも、なにかの拍子でポートが開いてしまっていることも十分ありえます。たとえば、家の中のマシン同士でつかうファイル共有やプリンタ共有の機能がありますが、これらがネットに対してポートを開く設定になっていれば、そこが攻撃のための入り口になりえます。Windows 98ではネットに対してポートを開く設定をしようとすると注意ダイアログがでてきますが、Windows 95ではこれがでてこなかったような気がします。他に、自宅内にサーバを立ち上げればHTTPのポート(80番)が外に対して開きますし、ウィルスのような悪意のあるソフトがこっそりとポートを開いているかもしれません。ダイアルアップ接続のように、短時間しかおなじIPアドレスを使わないような接続方法だと、攻撃者がポートをみつける可能性は低いですが、常時接続かつ1年中おなじIPアドレスで接続していれば、「どーぞポートが空いているかどうか好きなだけ調べて行ってください」といっているようなものです。

ファイル 共有やプリンタ共有をインターネット上にオープンにして入るかどうかは、ネットワークの設定コントロールパネルから確認できます。

・ネットワークの設定タブから、TCPIP ->(使っているネットワークカード)と表示されているアイコンをダブルクリック、・表示されたプロパティからバインドのタブを選ぶ。


・ マイクロソフトネットワーク クライアントとマイクロソフトネットワーク共有サービスにチェックが入っていれば、おめでとうございます。ポートが空いています。

って、よく考えると自分のマシンがそうなんですけど。(ルータが入っているので気にしていない)


ポートを閉じるには、単にチェックを外して再起動すればOKです。ここで問題。TCPIP以外にネットワークプロトコルドライバがインストールしてないと、家の中で共有機能が使えなくなります。代わりにNETBEUIなどインターネットへ出て行かないプロトコルを共有にバインドして、使える状態にしてください。

自分のマシンが不用意にポートを開いてしまっているかどうか確認するためのwebページがいくつかあります。アクセスして検証のボタンを押せば自分のマシンがンターネットを通して他のマシンからどう見えるかを調べてくれます。時間もかかりませんから、ぜひ調べてみてください。

DSLレポートのセキュリティテストページ(英語) すぐテストできます。
Security Spaceのページ(英語) 登録が必要です

試しに、ルータを介してつないだ場合と、そうでない場合をDSLレポートのセキュリティテストページ(英語)で調べてみました。まず、"Probe"のボタンを押すと、一分ぐらい時間をかけてテストサーバが調査を行います。テストの過程は枠の中にでてきます。左の部分にリストアップされているのは、ここでテストをして特に結果がわるかったユーザのランキングです。直でつないだレポートを作っているときに、ワタシのマシン名入りで(セキュリティが甘いとそこまで勝手に調べられてしまう)3位にランクインしてしまいました。

「Press Results Button」の表示がでてきたら、Resultsボタンをクリックすると、結果が出てきます。これはルータ経由でテストしたもので、サーバ側からなにも悪い点はみつからなかったという一番よいレポートです。ちなみに、ルータなしで直につないだ場合のレポートを見たいかたは、ここをクリックしてみてください。すごーい長いお説教付きのレポートがみられます。





ブロードバンドルータを使ってファイアウォールを作る

ルータを使えば、ハード的に外からの攻撃をシャットアウトすることができます。ルータ自身にDHCPや固定のIPアドレスを 割り当て、接続を共有しているマシンには、NATとDHCPという機能を使って外に出ることのないプライベートIPアドレスを割り当てますので、外からの攻撃はルータのところで留まり、マシンの方はいくら無防備な状態になっていようと攻撃を受けることはまずありません。
まずありませんと言ったのには理由があって、落とし穴がいくつかあります。故意にあるいは偶発的に、自分自身でルータにセキュリティホールを開けてしまうことができるからです。

インターネット対戦型ゲーム、ビデオ電話、インターネット電話、ネットミーティングなどのソフトは、ルータでファイアウォールを作ってしまうとほとんどの場合動きません。また、HTTP/FTPサーバなどを動作させることもできなくなります。こういった使い方のために、Port ForwardingやDMZ Hostという機能がだいたいのルータにはあります。Port Forwardingは特定のポートに対する送着信をルータから特定のマシンに転送する機能、DMZ Hostingはルータに対する送着信を全部特定のマシンに転送する機能です。言いかえるとルータが外に対してポートを開放するための機能です。意識的にやっているならまだしも、間違ってこういった機能をオンにしたままほっておくのはセキュリティ上大変問題です。必要でやっている場合は、パスワードの管理や、開けるポート番号の管理、ゲームなどが終わったらポートを閉じたりする注意が必要です。前にも説明したポートの状態をテストするページなどで自分の環境をたまにはチェックしてみましょう。

ソフトウェアルータを使ってファイアウォールを作る

共有するのページで説明しましたが、Windows 98SEやWindows2000のインターネット共有機能、市販やシェアウェアのソフトウェア・プロキシソフトを使って、ハードのルーターと同じ事ができます。 ただ、最低1台のマシンはDSL・ケーブルモデムあるいは終端装置経由で直接インターネットにつながりますから、不安は残ります。DSLモデム側につながるネットワークカードのIPプロトコルにファイルやプリンタの共有がバインドされていないかは、最低限確認しておきましょう。共有サーバにするマシンに、インターネットセキュリティソフトを導入しておくのもよいかもしれません。


インターネットセキュリティソフトを使ってファイアウォールを作る

って、使ったことがないんで詳しくは書けないんですが(笑)、ノートンなどからファイアウォールだけの機能に加えて、攻撃のログ取りその他、防御のための様々な機能を満載したソフトが出ています。これについてはまた後日入手するチャンスがあったらご報告致します。 ZONE ALARMというフリーのセキュリティソフトもあります。詳細は下記リンク先で。

お役立ちリンク:
Winセキュリティ虎の穴Windowsによるネット上のセキュリティに関するニュースと大量のリンク。セキュリティの情報が欲しい方へのポータルサイト。

セキュリティUP! - ZoneAlarm フリーのセキュリティソフト、ZONE ALARMに関する情報が日本語で詳しくまとめられているページ。
HOME
 


速い安い! OCNのADSLサービスに12M登場!