モンキッチ教授のセキュリティ講座

三時限目

プライベートIPアドレスの使用で基本的に外部からアクセスできない

　IPアドレスはグローバルとプライベートの二種類あります（詳しいことはパチカン君が説明してます) プライベートIPアドレス宛ての通信はインターネットの世界で中継されませんので安全度が高くなります。

　「でも家庭内LANって全部プライベートIPアドレスと違うの？」もちろんその通りです。家庭内LAN そのものはプライベートアドレスです、しかしダイヤルアップ接続でネットにつながってる時の「PPPアダプタ」、 CATV・ADSLモデムに直接つないでいる「LANアダプタ」（フレッツADSLの接続ツール使用時などは「PPPoEアダプタ」） はグローバルアドレスを使ってます。調べ方
　ルータを使っていればグローバルIPアドレスを取得してるPCを家庭内LANに参加させなくて済むはずです。 『グローバルIPアドレスを取得している=ダイヤルアップ接続・ADSLなどのLAN接続でインターネットに つながっている』PCはインターネット側からアクセス可能ですので不用意にポートを開いていれば悪者が そこを突いて来る可能性があります。例えば”ポート137〜139を開く”＝”Windows共有が有効”になっていると 共有ファイルにアクセス出来ますしそこが書き込み可能になっていれば侵入者はマイドキュメント送信.EXE とかメール内容転送.EXEみたいな「おみやげプログラム」を置いて行くかもしれません。もちろん クリックしてもらいやすい様に「NOTOPAD.EXE」という風な偽名を使ってくる 可能性が高いでしょう。
　ルータを使用すればそんな環境（グローバルアドレスを取得している）のPCを無くせるのです、その分だけ 安全性が高くなるという訳です。

　ルータのIPアドレスのうち片方はグローバルIPアドレスですが、アドレス・ポート変換機能を持った ただのUNIX小箱であり、PCと違って様々なサービスを実行している訳ではありません、さらにファームウエアは 各メーカー独自のものですので苦労して弱点を探っても攻撃対象となる台数が少なく効果的でないため あまり狙われやすいとは思われません。（標的とされるプログラムは大半がマイクロソフト製品です） ルータもある種の攻撃により『ハングアップ』させられる可能性はありますが再起動すればOKです。

ルータを使っていれば安全？

　いいえ決して安全とは言えません、ルータはLAN側からインターネット側への通信とその通信に対する 返信は無条件で通します。ウイルスの添付されたメールも受け入れますし、PCの中にトロイの木馬が潜んでいると 木馬が送信するデータはLAN側発信の通信なので適切なフィルタリングがなければ無条件で通します。 ルータを使わない場合と比べれば安全性が高まるだけです。

パケット・フィルタリングってなに？

　二時限目で通信には宛先と差出人を書き込む必要があることを話しました、ルータはこれを監視して ルールに合致するものを通し適合しないものを遮断したりすることが出来ます。ルールを何種類作成できるか 内⇔外をそれぞれ別に設定できるかなどは機種によってずいぶん違ってきます。最低限137〜139（2000,XP 使用時は445も）のポートはin,outとも遮断すべきですがそこまでで良しとするか、念を入れて一旦 in1023以下を遮断して必要なポートだけ開けたり、さらに代表的なトロイの木馬が使うポートのoutまで 遮断するか個人の考え方次第です。

　ルータによって設定方法に固有の決まりがありますが基本的な考え方として YAMAHAの資料 や Linux IPCHAINS-HOWTO が参考になると思います、勉強熱心な方はどうぞ。（わたしは途中で投げてしまいました）

　基本的にプライベートIPアドレスに変換されているのでそれほど心配しないで大丈夫です。万全では ありませんが「危険だ危険だ！」と不安を煽ったり「泥棒が狙っているから鍵を二重三重に掛けろ」とは 言いたくありません、「泥棒に持ってかれて困るものをPCに置いておかない」ことをオススメします。 （愛人との秘密のデジカメ画像などはFD,MO,CD−Rに落として取り出しておきましょう）

補足 　巷にはTCP/IPで共有すると危険！共有はNetBEUIでしましょう。 とお祈りを唱えている人が多いのですが説明して来たとおりルータを使っていればTCP/IPで共有しても 危険はありません。良く言われる「バインド外し」「NetBIOS over TCP/IP無効」でも開きっぱなしの ポート445もフィルタリングで塞ぐことが出来ますので2000やXPを使っている場合には更に安心です。

その他

　ルータのログイン設定やリモート・アクセス設定についても注意が必要です。端折って説明すると 初期設定のまま使わない、少しパスワードを工夫する、必要ない機能の停止です。

ZDNet

ルータ持ってないんで心配になってきました

　フリーのパーソナルファイヤーウォールソフトがあります、日本語化パッチもどんどん出てきて 便利になりました。メールを使わないPCならこれで充分でしょう、メールを使うならノートンあたりを 購入することを勧めます。わたしが使ってるウイルスバスター2002はFWソフトとしては駄目駄目です。
　この手のソフトはインストールすればそれで大丈夫というものではありません、適切な設定が出来なければ 穴が開いたり家庭内LANが使えなくなったりします。（BlackICE Defenderが例外らしいけど有料） そういう意味ではルータの方が初心者向きかな？

「竜の情報館」さん内のZoneAlarm の機能と使い方についてのマニュアル