連載

ネットワーク・デバイス教科書

第13回 ブロードバンド・ルータのセキュリティ設定

2. DMZとパケット・フォワーディングによるホストの公開

渡邉利和
2002/02/26

DMZとパケット・フォワーディング

 これまで紹介してきたセキュリティ設定は、基本的にはLANからWANへのアクセスのみで、WAN(つまりインターネット)からLANへのアクセスはすべて遮断するという前提であった。つまり、LAN側にはインターネットからアクセスされるサーバなどはないという条件である。しかし、小規模なオフィスなどで利用する場合、VPNなどを使ってインターネット側からLAN内のホストにアクセスしたい場合もあるかもしれない。WAN側からのアクセスを許可することはセキュリティの低下につながるし、管理者の作業も増えることから、安易に実施するのは危険だが、機能としては多くのブロードバンド・ルータで用意されている。

 まず代表的なのはDMZ機能である。DMZは「DeMilitarized Zone」の意味で、一般的には「非武装地帯」と訳される。一応ニュアンスとしては「防衛部隊が存在しない」という感じだろうか。実態としては「セキュリティ機能なしの無法地帯」と考える方がよいくらいの機能である。

 LinksysのBEFSR41では、単に外部に公開するホストのIPアドレス(プライベート・アドレス)を指定するだけで、このホストがDMZに置かれたことになる(画面3)。また、ハイウエスト・ブレインネットのPBR005でも同様にIPアドレスを指定したホストがDMZとして扱われる(画面4)。

画面3 LinksysのBEFSR41のDMZ設定
単にホストのIPアドレスを指定するだけで動作する
 
画面4 ハイウエスト・ブレインネットのPBR005のDMZ設定
PBR005のDMZ設定は、「その他の項目」にまとめられている。こちらはIPアドレスを指定したうえで、さらに「有効」にチェックを入れないと動作しない。

 このクラスのブロードバンド・ルータでは、DMZとして指定できるホストは1台だけに制限されるものがほとんどだ。動作としては、WAN側から送られてくるパケットのうち、LAN内のほかのホストが確立したセッションに属するパケット以外のすべてをDMZあてに転送することになる。つまり、DMZとして指定されたホストは外部から自由にアクセスできるようになる。このとき、ブロードバンド・ルータで設定したパケット・フィルタリングなどは、DMZホストあてのパケットには一切適用されないことに注意したい。DMZホストは一切のセキュリティ保護なしの状態でインターネットに直接接続されている状態になるので、DMZホスト上で適切なセキュリティ・ソフトウェアを動作させるなどの工夫をしないと大変なことになる。

 念のためにいっておくと、本格的なファイアウォールでDMZを設定する場合には、DMZ用に専用のネットワーク・セグメントを用意するのが常識となっている(図1)。これは、保護すべきLANとDMZとインターネットの3つをネットワーク的に分離しておく必要があるからだ。DMZホストは外部からのアクセスを受け付けるため、どうしてもセキュリティレベルは低くなる。悪意ある攻撃によって制御を奪われたり、不正なプログラムを送り込まれて実行されたりする可能性もある。このとき、ブロードバンド・ルータのDMZ機能のように、LAN内の特定のホストがDMZホストとなっている場合には、DMZホストからLAN内のほかのホストへの通信を遮断する手段がないため、DMZホストを経由(踏み台に)してLAN内の全ホストへの侵入を許す結果になる可能性がある。例えば昨年猛威を振るったNimdaワームでは、Nimdaワームに感染したWebサーバが、今度は(同一ネットワーク上の)ほかのホストへ感染するという動作をしていた。独立したDMZネットワークがなく、公開WebサーバがLAN上に置かれていたりすると、LAN上のホストはあっという間にワームに感染してしまう。だがDMZネットワークとLANを分離していれば、パケット・フィルタリングを使ってDMZネットワークからLANへのアクセスをすべて遮断することが可能なので、万一DMZホストが侵入を受けた場合でも、LANを保護することができる。こうしたリスクも考え、ブロードバンド・ルータのDMZ機能を利用するかどうかは慎重に検討すべきだ。

図1 DMZの実装の違い
図のように本格的なDMZでは、DMZホストとLANのホスト群の間を遮断し、通信できないようにできる。一方、一般的なブロードバンド・ルータのDMZ機能では、DMZホストとLANのホスト群の間で通信が行えてしまうため、DMZホストを踏み台にしてLAN内のホストにアクセスすることが可能である。こうした危険性を認識したうえで、DMZの設定は行いたい。

 DMZがホストを丸ごとインターネットにさらすのに対し、ポート単位で同様の機能を実現する手法もある。一般にポート・フォワーディングと呼ばれる機能だ。画面5を見ていただければ一目瞭然だと思うが、WAN側から送られてきた特定のポートあてのパケットをLAN内の任意のホストに転送する、という動作をする。このとき、ポート番号の書き換えは行われず、IPアドレスだけが変更される。

画面5 LinksysのBEFSR41のポート・フォワーディングの設定
ポート番号は、単一番号でも範囲指定でも設定できる。また、ポート番号にはTCPかUDPかの設定も可能だ。標準ではTCPとUDPの両方(Both)を対象とするが、TCPまたはUDPのどちらかを明示的に選択することもできる。

 外部からアクセス可能なサービスを提供する、という目的に対してはDMZと同様の効果がある機能だが、DMZにはないメリットもある。主な利点としては、以下の2点が大きい。

  • 対象となるサーバが1台に限定されない(ポートごとに各サーバを割り当てられるため)
  • あらかじめ明示的に許可したポートへのアクセス以外は遮断される

 なお、ハイウエスト・ブレインネットのPBR005には、「仮想サーバー」という名称で同等の機能が用意されており、設定方法もほぼ同様である(画面6)。

画面6 ハイウエスト・ブレインネットのPBR005のポート・フォワーディング設定
この機種では、一般的なサービスが利用するポート番号を検索できる(画面最下部)のがちょっと親切なところ。半面、TCPとUDPを区別して扱うことはできないようになっている

 セキュリティ面から考えると、DMZよりもポート・フォワーディングの方がより安全なのだが、DMZでないと対応できない場合もある。例えば、通信相手がどのポートを使うかが一定していない場合などだ。オンライン・ゲームなどを実行する場合、通常どおりNATを介してポート変換を実行するとゲーム・サーバと通信できないことがあるようだ。こうした場合にDMZを使うと、ポート変換が行われなくなるので問題が解決することがある。ブロードバンド・ルータの場合、多くの機種が家庭向けを想定していることもあり、DMZに関しては「サーバの対外公開」というよりはむしろ、オンライン・ゲームのような用途で「NATの弊害の回避手段」として用意されているようだ。その分セキュリティ対策は手薄なので、利用には十分な注意を払う必要がある。最低でも、ゲーム・サーバに接続するときだけDMZ機能をオンにし、終わったらすぐにオフにするくらいの対応は必要だろう。

そのほかのセキュリティ関連機能

 セキュリティ対策にまじめに取り組むならば、実はブロードバンド・ルータの簡易ファイアウォール機能では不十分だと感じることが多いだろう。そのため、PCにインストールして使うファイアウォール・ソフトウェアなどを別途用意して、LAN内部でさらにセキュリティを高める努力をする必要があるかもしれない。

 また、何が起こっているかを把握するためにはログ機能が欠かせないが、ブロードバンド・ルータにはログ機能を備えていないものもある。LinksysのBEFSR41ではログ機能があるが、「ログ情報送信」に関しては実装されていないので、設定画面では見えるものの、実際には本体内部のメモリに保存された分のログしか閲覧できない。そのため、長期間にわたる監視が行えない。また、ハイウエスト・ブレインネットのPBR005には、そもそもログ機能が用意されていない。

画面7 LinksysのBEFSR41のログ機能
「ログ情報送信先」にIPアドレスを指定できるようになっているが、ドキュメントによればこの機能は未実装だという。本格的な機種ではUNIX系で一般的なSyslog形式や、Windowsのイベントログ形式でログを出力できるものもあるようだ。

 ブロードバンド・ルータに関しては、最大パケット・スループットの数値にばかり注目が集まる傾向があるようだ。しかし、多くのユーザーにとって数十Mbpsものスループットはまず用がない。むしろ、日常的な使い勝手に大きく影響する設定項目のそろい具合や設定のしやすさといった点に注目する方が、適切な製品選びができる可能性が高い。今回紹介したセキュリティ機能の豊富さや使いやすさなどを重視した製品選択を行いたい。また、装備されているセキュリティ機能を使いこなし、なるべく安全にインターネット接続を行いたいものだ。次回は、ブロードバンド・ルータのスタティック・ルーティングの設定について解説する。記事の終わり

  関連記事
第12回 ブロードバンド・ルータの基本設定
第11回 IT管理者のためのTCP/IP運用の基礎知識
第1回 広帯域インターネット接続を便利に使う「ブロードバンド・ルータ」
新世代ブロードバンド・ルータの性能を検証する
ビギナー管理者のためのブロードバンド・ルータ・セキュリティ講座
ブロードバンド・ルータ徹底攻略ガイド
ウイルスを遮断できるブロードバンド・ルータ「GateLock X200」
 
  関連リンク 
リンクシス・ジャパン製BEFSR41の動作実績情報
ハイウエスト・ブレインネット製PBR005の動作実績情報
 

 INDEX
  ネットワーク・デバイス教科書
  第13回 ブロードバンド・ルータのセキュリティ設定
    1.NATとパケット・フィルタリングの実際
  2.DMZとパケット・フォワーディングによるホストの公開
 
「連載:ネットワーク・デバイス教科書」


System Insider フォーラム 新着記事
  • Intelと互換プロセッサとの戦いの歴史を振り返る (2017/6/28)
     Intelのx86が誕生して約40年たつという。x86プロセッサは、互換プロセッサとの戦いでもあった。その歴史を簡単に振り返ってみよう
  • 第204回 人工知能がFPGAに恋する理由 (2017/5/25)
     最近、人工知能(AI)のアクセラレータとしてFPGAを活用する動きがある。なぜCPUやGPUに加えて、FPGAが人工知能に活用されるのだろうか。その理由は?
  • IoT実用化への号砲は鳴った (2017/4/27)
     スタートの号砲が鳴ったようだ。多くのベンダーからIoTを使った実証実験の発表が相次いでいる。あと半年もすれば、実用化へのゴールも見えてくるのだろうか?
  • スパコンの新しい潮流は人工知能にあり? (2017/3/29)
     スパコン関連の発表が続いている。多くが「人工知能」をターゲットにしているようだ。人工知能向けのスパコンとはどのようなものなのか、最近の発表から見ていこう
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

System Insider 記事ランキング

本日 月間