Go Forward

ブロードバンドルータを用いたワーム対策例

ブロードバンドルータとは?

ADSL等の常時接続環境が普及し、ブロードバンドルータという製品が市販されています。
ブロードバンドルータは「NAT&IPマスカレード」という機能により 1つのグローバルIPアドレスを 複数のコンピュータで共有して使用できるようにするネットワーク機器ですが、外部ネットワークからの Blaster等のワーム型ウィルスの侵入や不正アクセスを防ぐなど働きもするので、 導入することにより実験室内等のネットワークセキュリティを高めることができます。

ブロードバンドルータの動作

ブロードバンドルータのIPマスカレード機能は、次のような動作をします。
LAN上のコンピュータが外部ネットワークのサーバ等へアクセスする場合、まず外部ネットワークのコンピュータ宛てのパケットをブロードバンドルータへ送信します。ブロードバンドルータはその受け取ったパケットの送信元IPアドレスをブロードバンドルータのWAN側IPアドレスに、送信元ポート番号をランダムな数字に書き換えて変換テーブルに記録し、外部ネットワークのコンピュータへ送信します。
外部ネットワークのコンピュータはブロードバンドルータへ返信パケットを送信し、ブロードバンドルータは変換テーブルのポート番号に基づき返信パケットを送信元のLAN側コンピュータへ転送します(図1参照)。

ブロードバンドルータによるセキュリティ効果

ブロードバンドルータの「NAT&IPマスカレード」機能は外部からの不正侵入を防ぐセキュリティ効果があります。

実験室等の情報コンセントと、室内のコンピュータとの間にブロードバンドルータを設置することによって、MINDと室内のコンピュータが直接つながらなくなります。
そのため通常の方法で室内のコンピュータに対し直接アクセス(コネクション要求)されることがなくなり、不正アクセスやワーム型ウィルスの侵入を防ぐことができます。
上記の「NAT&IPマスカレード」機能により、ブロードバンドルータを導入するだけで室内のネットワークの大きなセキュリティ対策となります。また、ブロードバンドルータのもつパケットフィルタリング機能を使用すれば、より高いセキュリティ効果が得られます。

ブロードバンドルータ導入による具体的な効果としては、

  • 外部ネットワークからのワーム型ウィルスの侵入を防ぐ
  • 外部ネットワークからLAN内のコンピュータへのポートスキャン等の不正アクセスを防ぐ
  • 外部ネットワークからLAN内の共有ファイルへの不正アクセスを防ぐ
  • LAN内のコンピュータにバックドアを仕掛けられても、外部ネットワークからバックドアにアクセスされない
などがあります。

ブロードバンドルータの設置例

現在、ハブを使用して複数のコンピュータをMINDに接続している場合は、情報コンセントとハブの間に設置する構成が一般的です(図2参照)


上記構成の場合、室内にコンピュータを増設する際、それぞれのコンピュータ毎に「MIND利用申請書」を提出する必要はありません。

ブロードバンドルータ使用上の注意

  • IPマスカレード機能を使用していても、送信パケットを捕捉・分析することにより、ブロードバンドルータ宛てに偽装パケットを送信し、内側のコンピュータへ偽装パケットを送りつけることが技術的には可能です。Windowsファイアウォール等の一般的な対策も重要です。
  • ブロードバンドルータは外部ネットワークからの不正アクセスは防止することができますが、内部ネットワークからの攻撃は防止できません。内部ネットワークにウィルス感染したパソコンが接続されると、Windows Update等のウィルス対策をしていない他のパソコンに感染する可能性があります。
  • 機種によっては一部のネットワークアプリケーション(Windows Messengerなど)が使用できなくなる場合があります。
  • DMZ機能を使用したり、誤ったポートフォワーディング設定をしてしまうとセキュリティホールとなる場合があります。
  • その他、こちらのページの注意事項も確認して下さい。