- 締切済み
ルーターとセキュリティーソフト
新築に伴い、某メーカーのマルチメディアボックスを設置してスイッチングハブのLANで各部屋でインターネットを可能にします。 そこで質問なのですが、このシステムで、ルーターを併用する場合、各端末にはセキュリティーソフトをインストールしなくても大丈夫でしょうか。ルーターを使用することで外部からの侵入はほとんど阻止されるし、逆にセキュリティーソフトによって回線速度が大幅に落ちると、ある雑誌で読んだような気がするのですが。 実際のところをアドバイスお願いします。また、同システムをご使用の方の設置法などもお聞かせいただければ幸いです。 以上よろしくお願いします。
- みんなの回答 (6)
- 専門家の回答
みんなの回答
- NetAdmini
- ベストアンサー率64% (20/31)
リンク先がすこし違っていました。訂正します。 http://www.atmarkit.co.jp/fsecurity/special/09fire/fire01a.html
- NetAdmini
- ベストアンサー率64% (20/31)
失礼しました。 ラウターとは、英語のRouterをそのまま呼んだときの発音で、ルーターのことです。アメリカでネットワークの仕事をしているので、ついラウターと書いてしまいました。 詳細はリンクをごらんいただければと思いますが、すこし難しいかも知れないので、簡単に説明します。 最初にパケット(Packet)について説明しておきます。パケットとは、通信を細切れにして送受信するときに使用する、もっとも小さな情報のかたまりですね。大きなデータをいっぺんに送り出しすると効率が悪いので、小さなパケットに分けて送り出します。そのとき、それぞれのパケットには送り先と送り主の情報が付加されます。ステートフルパケットインスペクションは、このパケットの特徴を利用します。 ステートフル・パケット・インスペクション(Stateful Packet Inspection)は、簡単に言うと、パケットを送信したコンピュータの情報をルーター内部に保持していて、それに対する返信以外の、外部からの通信(パケット)を遮断することです。たとえば、あなたのコンピュータでAというWebサイトを見たいとブラウザでアドレスを指定したりリンクをクリックすると、そのリクエストがパケットとしてサイトAのWebサーバーに送られます。すると、サイトAのWebサーバーからサイトの情報が送られてきて、あなたのブラウザで表示されます。このとき、サイトAのサーバーから送られてくるWebページの情報は、あなたのコンピュータからのリクエストに対する返答なので、許可されてファイャウォールを通過し、あなたのコンピュータで表示されるというわけです。 もしリクエストしていないWebサーバーや外部からの侵入があった場合、こちらからリクエストした内容であるかどうかをチェックし、リクエストしていない通信であると判断、通信を遮断します。 正確ではありませんが、これがステートフル・パケット・インスペクション(SPI)という方式のファイャウォールの働きです。 ノートンのインターネットセキュリティなどは、アプリケーション・ゲートウェイという別の方式をとっているため、ルーターにビルトインされたファイャウォールとは働きが異なります。アプリケーション・ゲートウェイ方式とは、メールやWebページなどのパケットがPCに届くと、それをすぐにはメールクライアントやブラウザには渡さず、いったんハードディスク上にテンポラリファイルとして保存します。保存されたパケットをスキャンし、問題がなければ、そのパケットをメールクライアント(Outlook Expressなどのメールソフト)やブラウザに渡します。メールクライアントやブラウザは、あたかも直接サーバーからパケットを受け取ったように動作しますが、実は、そのパケットはアプリケーションゲートウェイ型ファイャウォールから受け取っているというわけです。 そのため、リクエストしたWebサイトからのパケットであっても、危険なスクリプトなどはアプリケーション・ゲートウェイ型のファイャウォールならそのまま実行(通過)させてしまうということはありません。(ただし、ポップアップしたウインドウの問い合わせなどに、不用意に「Yes」とか答えてしまうと、この「危険なスクリプト」に許可を与えることになり、その結果、アンチウイルスやパーソナルファイャウォールなどが無効化されてしまうことがあります) しかし、SPI方式のファイャウォールの場合、たとえ危険なスクリプトであっても「リクエストした」通信に対する返信である限り、通過させてしまいます。 つまり、ファイャウォールといっても、ルーターにビルトインのSPI方式のファイャウォールとパーソナルファイャウォールでは保護するための機能が異なり、結果として、保護される内容が異なります。 ********************************************************** もちろん、これらが期待されるように働くためには、ファイャウォール・ルールをきちんとアップデートしなければなりません。 ********************************************************** 企業で使用されるファイャウォールは、この両方を利用したハイブリッド型が利用されています。さもなければ、はじめからスクリプトが実行できないようにPCを設定しておくとか、プロキシサーバーなどを導入するなどしてセキュリティを高めるとかしています。 以上が、私がSPI型ファイャウォール付ルーターとパーソナルファイャウォールの併用をお勧めする理由です。 最後に、NATとは「ナット」とか呼ぶエンジニアが多いようですが、私はそのまま「エヌエーティー」と呼んでいます。 NAT(Network Address Translation)とは、一つのグローバルIPアドレスを、パーソナルLAN内部の複数のIPアドレスに対応させて、LAN内部のそれぞれのPCが同時に一つのグローバルIPアドレスを共有してインターネットに接続することができるようにしたものです。 本来のNATは、一つのIPアドレスに対して一つのIPアドレスへの変換しかしなかったのですが、NATの方がわかりやすい言葉だったので、本来「IPマスカレード」と呼ぶべきところが広くNATと呼ばれるようになってしまいました。(IPマスカレードは、一つのIPアドレスと複数のIPアドレス・ポートまで対応させることができます…確かそうだった…。) NATは、簡易型のファイャウォールと呼ばれていますが、それは、ルーター内部でネットワークアドレスの変換が行われているため、外部からの侵入者が、この変換テーブルを越えてPCに侵入するのは難しくなるためです。しかし、この変換は単純な変換ですから、実際は、外部から侵入するのはそれほど難しいことではありません。 わたしは、NATについては、ファイャウォールとは死んでも呼びません。 すこし難しいかもしれませんが、要は、同じファイャウォールといっても保護する方式が違うので、両方使ったほうが安全性が高まると言うことです。 ネット上では、プロの専門家(プロの中のプロ)の方が説明してくださっているサイトがたくさんあるので、アクセスしてみてください。 @IT(あっとマークあいてぃ)は、とても勉強になるサイトです。 ちなみに、私はNetgearのリセラーなので、NetgearのSPIファイャウォールが入ったルーターをお勧めします(ほかのメーカーはわからん)。プロセッサの速度が選択のポイントになりますので、予算内でなるべく高速なプロセッサを積んだ機種を選択してください。ワイヤレスならWGT624とかFWG114Pなど良いと思いますが、その辺は日本の状況が良くわかりませんので、誰かアドバイスして下さい。
- NetAdmini
- ベストアンサー率64% (20/31)
セキュリティソフト(パーソナルファイャウォールのこと?)は、ルーターを導入したとしても、入れたほうが(たとえホームユーザーでも)よいと思います。個人的には必要だと思っています。 ラウターにStateful Packet Inspection(SPI)レベルのファイャウォールが入っていればまだ安心ですが、それでも、パーソナルLAN内部でシステムがウイルスに感染した場合、他のシステムも感染する可能性があります。LAN内部での感染の拡大を防ぐには、やはりパーソナルファイャウォールを導入しておいたほうが安心です。 また、LAN内部のシステムが未知のトロイの木馬にやられたような場合でも、外部への通信をチェックしているパーソナルファイャウォールがあれば、外部への通信を遮断してくれますので、パスワードなどの個人情報の漏洩が防げます。同時に、外部への通信を感知して警告してくれるので、問題の早期発見が可能になります。 今のクラッカーはNATによる簡易ファイヤウォール程度のセキュリティは簡単に突破できるので、もし古いラウターがあれば、それでNATを2段にするなどすればより安心です。(ただし、光を使っているのであれば、新しいラウターでないとパフォーマンスの面で不安ですが) どこまでやるかは予算と知識によると思いますが、パーソナルファイャウォールの導入はお勧めします。 ちなみに、うちはSPIレベルのラウターを2段導入し、それぞれのPCはパーソナルファイャウォールでプロテクトしています。 ラウターのログを見ていると、NATだけでは防ぎきれていないことがよくわかります。
- asuca
- ベストアンサー率47% (11786/24626)
>気になるのは、やはり回線速度の問題です。やはり減衰は設定上免れないことなのでしょうか。 当然途中で処理を行いますので遅くはなりますが最近のルータだったら「ものすごく」遅くなることはないですよ。十分許容範囲内です。
お礼
再度ありがとうございました.ルーターとソフトの両方の購入を検討します.
- cyobin_man
- ベストアンサー率24% (298/1216)
多少遅くなるのは仕方が無いことですね。 ですが ウイルスメールなどはルーターがあってもどうしようもありません。 買いましょう。
お礼
ありがとうございました。ウイルス対策考えます。
- asuca
- ベストアンサー率47% (11786/24626)
ルータを入れることでポートのフィルタリングを行っていますしNAT変換などの部分でLAN内部に進入される可能性はかなり少なくなります。 ですからある程度はこれでも大丈夫です。 ただ、ウィルスに対してはルータを使ってもセキュリティはあがりませんのでその意味でウィルス対策ソフトを入れているのだったら舞う大丈夫ですよ。 もちろんPCにもファイヤーウォールソフトを入れることで門(ルータ)と玄関(PCのファイヤウォールソフト)の2重に鍵をかけるということでより安全性は増しますが。まぁ通常はハッカーなどもよっぽど重要でほしい情報があるとわかっていないところだったら時間をかけて進入しようとはしませんので大丈夫だと思います。 ただ、より高い安心感をセキュリティソフトを買うことで得ることはできるということですね。
お礼
早々のアドバイスありがとうございます。セキュリティのイメージがよくわかりました。 気になるのは、やはり回線速度の問題です。やはり減衰は設定上免れないことなのでしょうか。
お礼
アドバイスありがとうございました。勉強不足で用語の意味がわかりません.教えてください. ”ラウター””SPI””NAT” よろしくお願いします.