|
|
IPマスカレード機能は、LAN内の複数パソコンからのインターネット接続共有を可能とする機能ですが、IPアドレスとポート番号が変換されるため、外部からLAN内の各パソコンが隠されるという副次効果で、外部の攻撃を塞ぐことができるという訳です。
静的IPフィルタリング機能とは、パケットのヘッダ部のIPアドレスやポート番号などをチェックして通過させるかどうか判断します。先に、Windowsネットワークでは、ポート番号137〜139および445はファイル共有などで使われるので、外部から侵入できないようにフィルタリングをしなければなりません。皆さんがお使いのルータに、それらのポートに非通過のフィルタリングが設定されているかどうか確かめておいて下さい(宿題!!)。
本講座2回目のFTP解説のところで、ルータの「IPフィルタ」の設定が、「接続先から受信 0.0.0.0/0(送信元) 0.0.0.0/0(送信先)
TCP-SYN(プロトコール)(ポート番号は*) 非通過(アクション)」となっていて、FTPの受信できなかった事例をお話しました。これは、SYN
Flood という攻撃を防ぐ設定なのですが、そのファイアウォール機能がFTP通信を阻害してしまうのです。これが利便性とセキュリティの板挟みということです。
ステートフル・パケット・インスペクション(Stateful Packet Inspection: SPI)機能(動的IPフィルタリング機能ともいう)はパケット・フィルタリング機能に加え、通信の状態をチェックして判断するものです。
さらに高度な機能は、攻撃(不正侵入)検知機能 (Intrusion Detection System)で、IPパケットのデータ部分も検証するものです。攻撃パターンをシグネチャと呼ばれる形でデータベース化しておき、ネットワークを流れるパケットデータとシグネチャとの突合せ処理をリアルタイムに行ない、不正侵入を検出する機能です。
サーバサイトの攻撃で、DoS攻撃(Denial of Service Attack) および DDoS攻撃(Distributed
DoS Attack) があり、しばしば、大手ISPのサーバが攻撃されることがあります。ファイアウォールの機能と攻撃の強さのイタチゴッコが続いています。
家庭内LANからWebサーバを公開する際は、ルータでポート番号80を常時通過にしておかなければならず、LAN全体が攻撃の対象になりやすいので、そのサーバだけルータなしで外部に接続し、他のLAN内のパソコン類はルータのIPフィルタリングをかけて守るという構成が考えられます。このとき、サーバは外部に晒される場所に置かれるので、DMZ(DeMilitarized Zone非武装地帯)に置くと言われています。外部のインターネット側に対するサービスを行なうサーバ類をDMZに配置し、それらに対し別のセキュリティ対策を施すのが企業等で行なわれているLAN構築手法です。 |
| ▲先頭へ |
|
| 3.ウイルス感染 |
| インターネットの危険さの中で、皆さんに最も馴染み深くなっているのが、ウィルスですね。 ところで、広く一般にウィルスとは、悪意を持ってコンピュータのハードやデータを破壊する不正プログラム全般という定義ですが、本来のウィルスとは、それ自身では増殖できず他のプログラムやデータに入り込んで機能するものなのです。そこで、広く一般にウィルスと言われている物は、3分類されます。 |
| |
 |
ウィルスの感染は、今や90%以上が電子メールに乗ってやってくると言われ、皆さんも迷惑な「ウィルス」添付ファイルのメールに悩まされていることを思いますが、その大多数は、左図に示す「ワーム」(蛆虫)です。 |
最近のワームのほとんどは、取りついたコンピュータの内のアドレス帳を盗み読み、自分自身のコピーを添付したメールを、ユーザに気付かれずに、送信し続けるという離れ業を演じています。今年1月にMydoom
(マイドーム) と呼ばれるワームが数日のうちに世界に蔓延し、引き続き、スカイネット、ナチ、バグル、サッサーと続いていることは皆さんもよくご存知のところでしょう。「怪しいメールは開かない」が鉄則で、即削除すべきものです。
最も多く使われているメーラOutlook Expressでは、必ずUpdateを行ない、セキュリティホールを取り除いておくこと、またその設定でも次の2点は常識となっていますので、蛇足ですが、念を押しておきます。 |
|
 |
| |
| ウィルスに罹らないためのユーザーの自衛策としては、アンチウイルスソフトが必須と言われています。しかし、宣伝が盛んで「有名な」ソフトは高価で、毎年更新料が必要です。ですから、躊躇している人も多いのではないかと思いますが、そんな人には、フリーながら市販のアンチウイルスソフトと比べても遜色のない機能を備えているソフトがインターネットから入手できます。例えばhttp://ringonoki.net/tool/antiv/1-antiv.html には一覧表と簡単な解説があり参考になります。ここにも一覧表を示します。 |
|
|
| |
| ▲先頭へ |
|
| 4. プライバシ情報の漏洩 |
| パソコンを通しての個人情報の漏洩事例は多種あり、ここで説明し切れませんが、ショッピング・サイトなどで不可欠なクッキー(Cookie)から個人情報が漏れて危険だということを良く聞くので、クッキーについて解説します。 |
 |
|
例えば、あるショッピング・サイトにメンバー登録し、ショッピングを行なおうとすると、サイトがクッキーを発行し、ユーザのブラウザが応答し、小さなテキストデータをパソコン内に保存します。商品を見て、買い物を決め、さらに買い物を続けても、同一ユーザであることが、サイト側に判るように、個人を特定するクッキーがユーザのパソコンからサイトに送られて、買い物が継続でき、さらに登録していた住所等にショッピング・カートが結び付くことができるのです。
皆さんのパソコンの中に、クッキーファイルがたくさん保存されていると思いますので、覗いてみて下さい。
・ Windows XPの場合:\Documents and Setting\<ユーザ名>\Cookies
・ Windows 98の場会:\WINDOWS\Cookies
このフォルダにテキスト形式で保存されています。URLから判断し、心当たりのないファイルは削除しておきましょう。
さて、クッキーはインターネット・ショッピングには不可欠な技術なのに、危ないとはどういうことでしょう。クッキーファイルは、それを書き込んだサイトだけが読み出すことができます。 つまり、サイトAが書き込んだクッキーをサイトBは読み出すことはできません。もし、サイトBも読み出せるとしたら、サイトBがユーザの「なりすまし」でサイトAにログインし、ショッピングをすることができてしまうかも知れません。怪しいサイトにアクセスすると知らずのうちに悪意のあるソフトウェアで、パソコン内に保存されているクッキーが全て盗まれるとか、クラッカーが侵入し、クッキーファイルを盗み出すとかが、想定されます。そして、悪用されたら、大変です。それでは、クッキーを保存することを拒否(Microsoft Internet Explorer (IE) の場合、「ツール」→「インターネット・オプション」→「プライバシ」タブ内で設定)できますが、ショッピングができなくなったり、会員制のサイトに入れなくなったりするので、不都合です。利便性と安全性のバランスが必要とされる一事例です。 |
| ▲先頭へ |
| |
| 5. 基本的な3つのチェック |
ネットワーク・セキュリティほど、日々変化して不定で、難しいものはありません。パソコン・ユーザの心掛け、心の持ち様も影響するのですから。
ある程度、定期的にセキュリティのチェックを行い、安全対策を施しておくことも、日常生活での危機管理と似ています。ここで十分には説明できませんでしたが、次の3つ面での対策を、意識的に実行して下さい。
|
・ |
クラッキング |
→ セキュリティホール対策(特にWindows Update)、ポート・チェック |
|
・ |
ウィルス |
→ ウィルス・チェック |
|
・ |
情報漏洩 |
→ クッキーの整理、スパイウェア・チェック |
今回は、ここまでとし、次回は、LAN構築の手順を具体的に解説し、本連載のまとめとします。
また次回にお会いいたします。 |
