- ベストアンサー
ルータがVPN以外の通信を全て遮断するようにしたい
とある匿名掲示板にあったのですが、日々ルータにはTCPやUDPのパケットが投げられていて、ルータをすり抜けて配下のデバイスに届いているらしく、こととタイミング次第によっては侵入も許していることもあるようです。 そこで、ルータの方でVPNによる通信をするよう設定してしまい、VPNに関わるポートだけを限定的に許可し、それ以外のポートは明示的にDenyにしたら、80/443/53(DNSが一番危険なのではと思っています)の通信はシャットダウンできてセキュリティが向上するのではないかと思うのですが、そのような方法を解説しているサイトなどありませんでしょうか?
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
その他の回答 (1)
- qdk
- ベストアンサー率59% (147/248)
おっしゃる通り、ルーターにはWAN側から 有象無象のパケットが届いており、ルールに基づいて LAN側にルーティングする機能があります。 そうでなければ、Webの閲覧など、サーバ側から送られた情報を クライアントから見ることができません。 > ルータをすり抜けて配下のデバイスに届いているらしく、 > こととタイミング次第によっては侵入も許していることもあるようです。 基本的に、クライアント側で意図した物以外はLAN側に入ることはありません。 ただし、ウイルスやスパイウェアのようなマルウェアによって ユーザーの意図しないタイミングで入ってしまうことがあります。 > ルータの方でVPNによる通信をするよう設定してしまい、 > VPNに関わるポートだけを限定的に許可し、それ以外のポートは > 明示的にDenyにしたら、80/443/53(DNSが一番危険なのではと思っています)の > 通信はシャットダウンできてセキュリティが向上する ここの部分がわかりません。 VPNとは拠点同士を同じネットワークのように結ぶ仮想ネットワークのことであり、 インターネットからの脅威に関することと結びつきません。 また、WAN側からのweb、TLS、DNSのウェルノウンポートへのアクセスは ルーターでポートフォワーディング(いわゆるポート開放)の設定を 行っていない限り、LAN側に流れ込むことはありません。
お礼
回答ありがとうございます。匿名掲示板では、マルウェアを踏ませて感染させずとも、IPアドレスが判明していればそこに工夫を凝らしたパケットを送り付け続けてルータを超えさせ、ルータ配下のデバイスに普通に届けられると豪語する方がいましたので、気になっていたのです。DNSやHTTP/HTTPSの通信も「符丁が合えば」ポートフォワーディングをしていなくても正しい通信とみなしてしまいすり抜けるんだとか。 VPNについては説明不足でした、すみません。ExpressVPNなどといった、こちらのIPアドレスを知らせず代理で Web閲覧ができるサービスのことです。このサービスを使うことで、例えば攻撃者がIPアドレスの収集のために用意したWebページを踏んでも、攻撃者はVPN業者のアドレスしか知りえないといった塩梅です。 そこで、この場合ですとExpressVPN用に使用するポートと接続するVPNサーバへのIPへの接続だけ許可設定をして、他のHTTP/HTTPS/DNSのアウトバウンド接続をDenyできないかと考えているわけなのです。そうすれば、セキュリティ的にも良いのではないかと思うのですが、、、
お礼
引き続き、回答ありがとうございます。ウェルノウンポート、80/443といったポートへのパケットは破棄されてしまい、ルータ内部へは入ってこれないのですね。詳しそうな人が当たり前のような感じでレスされていたので、紛れ込ませることは可能なんだ、と思っていました。 VPNの件についてはそうです、プロキシ接続的に使用する場合ですね。閉じても問題ないのであれば、(それがセキュリティ上効果があるのかどうか定かでないですが)閉じてしまおうと思います。