特集
ブロードバンド・ルータ徹底攻略ガイド

5.セキュリティ対策の機能

デジタルアドバンテージ 島田広道
2001/06/28

 ブロードバンド・ルータにとってアドレス変換機能と同等かそれ以上に重要なのが、セキュリティ対策の機能だ。多くの場合インターネットに直接さらされることになるブロードバンド・ルータは、LAN側の資産(PCやサーバなど)を守る最初の砦となるからだ。セキュリティ機能とは、インターネット側からLAN側への攻撃や、逆にLAN側からインターネットへの不正アクセスを防ぐための機能である。

廉価なブロードバンド・ルータが持つセキュリティ機能

 BLR-TX4を含む1万〜2万円台のブロードバンド・ルータは、標準的なセキュリティ機能としてパケット・フィルタリングとIPマスカレードを装備している。なぜIPマスカレードがセキュリティ機能なのか、と思われるかもしれないが、IPマスカレードはその原理上、WAN側からLAN側へのコネクション要求に応じない、つまりインターネット側からのアクセスを拒否する特性も備えているため、セキュリティ機能の1つとしても扱われる。

 パケット・フィルタリングにしろIPマスカレードにしろ、WANとLANの間を行き交うIPパケットを必要に応じて遮断する機能を持つ。廉価なブロードバンド・ルータの場合、一般的には、以下のような役割分担でパケットの遮断/通過を行う。

パケットの向き 動作 機能の名称
WAN→LAN 遮断 IPマスカレード
通過 ポート・フォワーディング、DMZ
LAN→WAN 遮断 パケット・フィルタリング
通過 ※デフォルトですべて通過
パケットの遮断/通過の分担
なお、製品によっては、WAN→LANの遮断でもパケット・フィルタリングを設定できるものもある。

 IPマスカレードの利用を前提とするブロードバンド・ルータでは、パケットの遮断/許可のポリシーは、

 WAN→LAN: 基本はすべて遮断であり、一部を許可する
 LAN→WAN: 基本はすべて許可であり、一部を遮断する

である。セキュリティ関連でユーザーが設定しなければならないのは、上記で「一部を許可/遮断する」という部分だ。具体的には、利用するアプリケーションや公開するサーバなどの都合に合わせて(下図)、許可/遮断するパケットの条件を決定し、ルータに設定する。

ブロードバンド・ルータによるセキュリティ対策
LANとWANを行き交うパケットのうち、不要なものは遮断することが、ブロードバンド・ルータによるセキュリティ対策の基本といえる。上図のように、攻撃によく使われるWindowsファイル共有や、ビジネス環境におけるネットワーク・ゲームによるアクセスなどは、不要な通信として遮断することが望ましい。逆に、FTPサーバをLAN側で公開しているなら、その通信は明示的に許可する必要がある。

パケット・フィルタリングの動作原理

 すでにIPマスカレードなどアドレス/ポート変換機能については触れたので、ここではパケット・フィルタリングに絞って解説しよう。このフィルタリングの設定は、製品ごとの差が大きい部分でもある。基本的な動作原理など詳細は、Windows 2000 Insiderの「常時接続時代のパーソナル・セキュリティ対策(第1回) 6.セキュリティ対策その3:パケット・フィルタを設定する(1)」を参照していただきたい。

 パケット・フィルタリングでは、パケットに含まれるアドレスやポート番号などのパラメータをもとに遮断/通過を決定する。廉価なブロードバンド・ルータの場合、基本的に、

  • 送信元および受信先のIPアドレス
  • 送信元および受信先のポート番号
  • IPの上位のプロトコル(TCPやUDP、ICMPなど)
  • パケットの通信方向(LAN側←→WAN側)

がパラメータとして扱われる。例えば、特定のLAN側PCからインターネットへのアクセスを遮断したい場合は、

  • 送信元IPアドレス: そのPCのIPアドレス
  • パケットの送信方向: LAN側→WAN側

という条件に合うパケットを遮断するよう設定する。また、FTPやSMTPなど特定のプロトコルを遮断したいのならば、そのプロトコルが用いるポート番号で条件を設定すればよい。

 上記はIPパケットを対象としているが、一部の製品ではIPより下のレイヤ、つまりMACアドレスでのフィルタリングも可能だ。これだと、DHCPでIPアドレスが変わる環境でも、特定のイーサネット・インターフェイスを持つPCを対象にフィルタを設定できる(ただしその場合、IPパケットに含まれるパラメータを指定してフィルタリングすることはできない)。

フィルタリングの自由度は決して高くない?

 ブロードバンド・ルータのパケット・フィルタリングに関する設定で、特に製品ごとに異なるのは、フィルタの条件設定に使えるパラメータの種類である。パラメータが数多く使えるほどフィルタをきめ細かく設定できるので、柔軟なセキュリティ対策を施しやすい。その半面、きめ細かいほど設定項目も増えるため、設定の難易度は高くなりがちだ。

 BLR-TX4のフィルタ設定のうち、手動によるものは以下のとおりである。

BLR-TX4のパケット・フィルタリングの手動設定画面
パケットを遮断する規則を、ここで1つずつ入力・設定していく。遮断できるパケットはLAN側→WAN側の向きに限定されている。
  送信元IPアドレス
 遮断するパケットの送信元IPアドレスを設定する(範囲指定可能)。送信先のIPアドレスは指定できない。
  送信先ポートの種類
 遮断するパケットの送信先ポート番号を設定する(範囲指定可能)。例えばWebページへのアクセスを禁止するなら、HTTPが利用するポート「80」を設定すればよい。送信元ポート番号は指定できない。
  ログ出力の有効/無効
 パケットを遮断したことをログに記す場合は「する」にマークする必要がある。逆にいえば、パケットを通過させたときのログは残せないことになる(ログ自体の詳細は後述する)。
  設定されているフィルタリングのリスト
 これは、Windows 2000がファイル共有などに使うポート445経由のパケットを、特定のPC(192.168.0.151)からWAN側へ漏れないよう設定してみた例だ。ログ出力の有効/無効は、この欄でも変更できる。

 このようにBLR-TX4のフィルタリング機能は、

  • IPアドレスは送信元だけ指定可能。送信先は指定できない
  • ポート番号も送信先だけで、送信元は指定できない
  • プロトコルはTCPかUDPかあるいは両方のみ指定可能
  • パケットの通信方向は「LAN側→WAN側」に固定されている
  • 条件に合ったパケットは「遮断」しかできない。明示的に「通過」させることは不可

となっており、LAN側からWAN側へのパケットをフィルタリングすることに特化した仕様となっている。これは、前述のとおり、IPマスカレードを利用するならWAN側からLAN側へのパケット(コネクション要求)は基本的に遮断されるからだ。とはいえ、例えばDMZを利用する場合、転送先のPCに届くパケットはフィルタリングで遮断できない、という問題が残る。ポート・フォワーディングでサーバを公開する場合でも、アクセス元のIPアドレスで制限をかけることはできない。これでは、本格的にサーバを公開・運用するような用途には、不安がある。

 BLR-TX4に限らず、廉価なブロードバンド・ルータの多くは、この程度のパケット・フィルタリング機能しか備えておらず、フィルタリング設定の自由度は低い。どちらかといえば、ネットワーク管理者のいない家庭やSOHOで利用されることを考慮して、その設定メニューを簡素にすることが重視されているようだ。

プリセット型のフィルタ機能
 
BLR-TX4のセキュリティ機能で特徴的なのは、Windowsネットワークでセキュリティ上の問題となりがちなNBT(NetBIOS over TCP/IP)パケットのルーティングを遮断する設定がプリセットされている点だ(下の画面)。

BLR-TX4にてプリセットされているセキュリティ設定
NBTとIDENTに関する2種類の設定がプリセットされていることが分かる。NBTの方は、ファイル共有サービスを利用した攻撃を防御するのが目的だ。IDENTの方は、メール送信時などにそのサーバからルータにIDENTパケットが届いた場合、それに応答するためのものだ(応答しないと、メール送信の完了に長い時間がかかる場合がある)。デフォルトではNBTは無効、IDENTは有効だった。

 NBTは、Windows OSでファイル共有サービスを提供したり、逆にサービスを受けたりするのに用いられる重要なプロトコルだ。しかし、インターネット側にNBTのインターフェイスを開けておくと、インターネット側からファイル共有にアクセスされたり、セキュリティ・ホールからクラックされたりする危険があるため、インターフェイスを閉じておくことが推奨される(詳細はWindows 2000 Insiderの「運用:常時接続時代のパーソナル・セキュリティ対策(第1回)」を参照していただきたい)。

 NBTパケットを遮断するフィルタリングは、ブロードバンド・ルータにとって定番であり、デフォルトで有効になっている製品もある。BLR-TX4の場合、手動でポート番号(NBTの場合は137〜139番)などを指定することなく、単純にメニューからNBTの遮断を選ぶだけで設定が完了できるのは、メリットといえる(特にNBTの場合、複数のポートにまたがるので手動設定はやや面倒)。NBTに限らず、インターネット接続でフィルタリングすべきポートなどは定番となっていることが多い。可能ならば、細かいパラメータを設定せざるを得ない手動フィルタ設定より、こうしたプリセット型のフィルタ設定の方が、ユーザーにとって好ましいことはいうまでもない(詳細な手動フィルタ設定も必要だとしても)。今後、プリセット型のフィルタ設定はほかの製品にも広まっていくことが考えられる。

 
  関連記事(PC Insider内) 
ネットワーク・デバイス教科書:第1回 広帯域インターネット接続を便利に使う「ブロードバンド・ルータ」
ネットワーク・デバイス教科書:第12回 ブロードバンド・ルータの基本設定
新世代ブロードバンド・ルータの性能を検証する
ビギナー管理者のためのブロードバンド・ルータ・セキュリティ講座
ウイルスを遮断できるブロードバンド・ルータ「GateLock X200」
 
  関連リンク 
メルコ製BLR-TX4の動作実績情報
ゼロ円でできるブロードバンド・ルータ 2
 1FD Linuxで作る高機能ルータ [インストール編]
ゼロ円でできるブロードバンド・ルータ 2
 1FD Linuxで作る高機能ルータ [設定・運用編]
 
  更新履歴
【2001/06/28】 画面「BLR-TX4のパケット・フィルタリングの手動設定画面」のにおいて、 「遮断するパケットの送信元ポート番号を設定する(範囲指定可能)」と記していましたが、正しくは「遮断するパケットの送信先ポート番号を設定する(範囲指定可能)」でした。お詫びして訂正させていただきます。
 


 INDEX
  [特集]ブロードバンド・ルータ徹底攻略ガイド
    1.LAN側ノードのIPアドレス管理
    2.WAN側IPアドレスの管理
    3.IPアドレス/ポート変換機能−IPマスカレード/NAT−
    4.IPアドレス/ポート変換機能−ポート・フォワーディングとDMZ−
  5.セキュリティ対策の機能
    6.そのほかの機能について
 
「PC Insiderの特集」


System Insider フォーラム 新着記事
  • Intelと互換プロセッサとの戦いの歴史を振り返る (2017/6/28)
     Intelのx86が誕生して約40年たつという。x86プロセッサは、互換プロセッサとの戦いでもあった。その歴史を簡単に振り返ってみよう
  • 第204回 人工知能がFPGAに恋する理由 (2017/5/25)
     最近、人工知能(AI)のアクセラレータとしてFPGAを活用する動きがある。なぜCPUやGPUに加えて、FPGAが人工知能に活用されるのだろうか。その理由は?
  • IoT実用化への号砲は鳴った (2017/4/27)
     スタートの号砲が鳴ったようだ。多くのベンダーからIoTを使った実証実験の発表が相次いでいる。あと半年もすれば、実用化へのゴールも見えてくるのだろうか?
  • スパコンの新しい潮流は人工知能にあり? (2017/3/29)
     スパコン関連の発表が続いている。多くが「人工知能」をターゲットにしているようだ。人工知能向けのスパコンとはどのようなものなのか、最近の発表から見ていこう
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

System Insider 記事ランキング

本日 月間