- ベストアンサー
ルータがVPN以外の通信を全て遮断するようにしたい
とある匿名掲示板にあったのですが、日々ルータにはTCPやUDPのパケットが投げられていて、ルータをすり抜けて配下のデバイスに届いているらしく、こととタイミング次第によっては侵入も許していることもあるようです。 そこで、ルータの方でVPNによる通信をするよう設定してしまい、VPNに関わるポートだけを限定的に許可し、それ以外のポートは明示的にDenyにしたら、80/443/53(DNSが一番危険なのではと思っています)の通信はシャットダウンできてセキュリティが向上するのではないかと思うのですが、そのような方法を解説しているサイトなどありませんでしょうか?
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
返答内容を確認しました。 > マルウェアを踏ませて感染させずとも、IPアドレスが判明していれば > そこに工夫を凝らしたパケットを送り付け続けてルータを超えさせ、 > ルータ配下のデバイスに普通に届けられる 一般的に考えられません。妄想の域を出ていないと思われます。 いわゆるウェルノウンポート宛てのパケットは 許可設定を行っていない限り、ゲートウェイで破棄されます。 参考までに: ルーターのメーカーは考え得るイレギュラーを想定して製品を開発しており、 また、発売された製品は世界中のホワイトハットハッカーがバグを探して、 発見してはIPAなどに報告して都度修正されています。 例:https://k-tai.watch.impress.co.jp/docs/news/1317677.html ※ IPAは脆弱性を公開する前にメーカーに脆弱性情報を通達し、 メーカーがセキュリティパッチを提供開始後に一般公開します。 > ExpressVPN用に使用するポートと接続するVPNサーバへのIPへの接続だけ > 許可設定をして、他のHTTP/HTTPS/DNSのアウトバウンド接続を > Denyできないかと考えているわけなのです。 > そうすれば、セキュリティ的にも良いのではないかと思うのですが、、、 VPNの件、考慮が足りず失礼しました。 一般的にVPNをプロキシ接続的に使用する場合、アウトバウンド接続(0.0.0.0)は すべてVPNにルーティングされることになると思います。 それ以外の経路というのが考えにくい(ルーティングされていないので破棄される)のですが、 閉じても問題はないと思います。
その他の回答 (1)
- qdk
- ベストアンサー率59% (147/248)
おっしゃる通り、ルーターにはWAN側から 有象無象のパケットが届いており、ルールに基づいて LAN側にルーティングする機能があります。 そうでなければ、Webの閲覧など、サーバ側から送られた情報を クライアントから見ることができません。 > ルータをすり抜けて配下のデバイスに届いているらしく、 > こととタイミング次第によっては侵入も許していることもあるようです。 基本的に、クライアント側で意図した物以外はLAN側に入ることはありません。 ただし、ウイルスやスパイウェアのようなマルウェアによって ユーザーの意図しないタイミングで入ってしまうことがあります。 > ルータの方でVPNによる通信をするよう設定してしまい、 > VPNに関わるポートだけを限定的に許可し、それ以外のポートは > 明示的にDenyにしたら、80/443/53(DNSが一番危険なのではと思っています)の > 通信はシャットダウンできてセキュリティが向上する ここの部分がわかりません。 VPNとは拠点同士を同じネットワークのように結ぶ仮想ネットワークのことであり、 インターネットからの脅威に関することと結びつきません。 また、WAN側からのweb、TLS、DNSのウェルノウンポートへのアクセスは ルーターでポートフォワーディング(いわゆるポート開放)の設定を 行っていない限り、LAN側に流れ込むことはありません。
お礼
回答ありがとうございます。匿名掲示板では、マルウェアを踏ませて感染させずとも、IPアドレスが判明していればそこに工夫を凝らしたパケットを送り付け続けてルータを超えさせ、ルータ配下のデバイスに普通に届けられると豪語する方がいましたので、気になっていたのです。DNSやHTTP/HTTPSの通信も「符丁が合えば」ポートフォワーディングをしていなくても正しい通信とみなしてしまいすり抜けるんだとか。 VPNについては説明不足でした、すみません。ExpressVPNなどといった、こちらのIPアドレスを知らせず代理で Web閲覧ができるサービスのことです。このサービスを使うことで、例えば攻撃者がIPアドレスの収集のために用意したWebページを踏んでも、攻撃者はVPN業者のアドレスしか知りえないといった塩梅です。 そこで、この場合ですとExpressVPN用に使用するポートと接続するVPNサーバへのIPへの接続だけ許可設定をして、他のHTTP/HTTPS/DNSのアウトバウンド接続をDenyできないかと考えているわけなのです。そうすれば、セキュリティ的にも良いのではないかと思うのですが、、、
お礼
引き続き、回答ありがとうございます。ウェルノウンポート、80/443といったポートへのパケットは破棄されてしまい、ルータ内部へは入ってこれないのですね。詳しそうな人が当たり前のような感じでレスされていたので、紛れ込ませることは可能なんだ、と思っていました。 VPNの件についてはそうです、プロキシ接続的に使用する場合ですね。閉じても問題ないのであれば、(それがセキュリティ上効果があるのかどうか定かでないですが)閉じてしまおうと思います。