家庭向けルータのフィルタリング設定
ルータのフィルタリング設定はセキュリティ設定の中で最も難しいものの一つです。
購入してきたルータやレンタルしたものの初期設定はスカスカな状態でとても危険です。かといってどのように設定すれば良いかは専門知識が必要になるため難しいものとなります。
また、不具合や脆弱性を修正したファームウエアが公開されているのでメーカーのサポートページや製品ページで最新版がないかを確認して更新しておきましょう。
|
バッファロー社のネットワーク製品の一部に悪意のあるプログラムが実行される可能性がある脆弱性が報告されました。問題を修正するにはファームウエアのアップデートを行う必要があります。 |
|
NEC Atermシリーズの一部にUPnPのセキュリティの問題が確認されました。問題を修正するには機能を無効化するかファームウエアのアップデートを行う必要があります。 |
|
複数のブロードバンドルータに、オープンリゾルバとして機能してしまう問題が報告されおり、各社から案内がされています。対策として機器のファームウエア(機器内のチップに書き込んであるプログラム)を修正したものに変更する、または設定の変更を行う必要があります。 |
|
ロジテック社の特定の製品にプロバイダのID/パスワードが漏洩する問題が報告されています。 |
今回は一般に販売されている家庭向けルータの設定のひな形として十分な保護ができるものを紹介します。この順序通りに設定すれば通常のWeb閲覧(ネットバンキングや動画鑑賞なども含む)、メール送受信を行える状態のまま、よくある外部からの攻撃を遮断することができます。
注意:もし追加でルールを設定したい場合は、破棄ルールを削除するのではなく「ユーザ用」か「予備」と記載されている部分に通過ルールを加えてください。
| 種別 | 方向 | プロトコル | 送信元アドレス | 送信元 ポート | 送信先アドレス | 送信先 ポート | 優先度 | 説明 |
|---|---|---|---|---|---|---|---|---|
| - | - | - | - | - | - | - | 1 | 障害切り分け用の予備 |
| - | - | - | - | - | - | - | 2 | 障害切り分け用の予備 |
| 破棄 | in | tcp | any | any | any | 3389 | 3 | 遠隔操作防止 |
| 破棄 | in | tcp | any | any | any | 445 | 4 | 基本的な防御 |
| 破棄 | out | tcp | any | 445 | any | any | 5 | 基本的な防御 |
| 破棄 | in | udp | any | any | any | 445 | 6 | 基本的な防御 |
| 破棄 | out | udp | any | 445 | any | any | 7 | 基本的な防御 |
| 破棄 | in | tcp | any | any | any | 135-139 | 8 | 基本的な防御 |
| 破棄 | out | tcp | any | 135-139 | any | any | 9 | 基本的な防御 |
| 破棄 | in | udp | any | any | any | 135-139 | 10 | 基本的な防御 |
| 破棄 | out | udp | any | 135-139 | any | any | 11 | 基本的な防御 |
| 破棄 | in | tcp | any | any | any | 1433-1434 | 12 | 基本的な防御 |
| 破棄 | out | tcp | any | 1433-1434 | any | any | 13 | 基本的な防御 |
| 破棄 | in | udp | any | any | any | 1433-1434 | 14 | 基本的な防御 |
| 破棄 | out | udp | any | 1433-1434 | any | any | 15 | 基本的な防御 |
| 破棄 | in | udp | any | any | any | 1900 | 16 | UPnP対策 |
| 破棄 | out | udp | any | 1900 | any | any | 17 | UPnP対策 |
| 通過 | in | tcp | any | 53 | any | any | 18 | Web閲覧 |
| 通過 | out | tcp | any | any | any | 53 | 19 | Web閲覧 |
| 通過 | in | udp | any | 53 | any | any | 20 | Web閲覧 |
| 通過 | out | udp | any | any | any | 53 | 21 | Web閲覧 |
| 通過 | in | tcp | any | 80 | any | any | 22 | Web閲覧 |
| 通過 | out | tcp | any | any | any | 80 | 23 | Web閲覧 |
| 通過 | in | tcp | any | 443 | any | any | 24 | Web閲覧 |
| 通過 | out | tcp | any | any | any | 443 | 25 | Web閲覧 |
| - | - | - | - | - | - | - | 26 | 予備 |
| - | - | - | - | - | - | - | 27 | 予備 |
| 通過 | in | tcp | any | 110 | any | any | 28 | メール受信 |
| 通過 | out | tcp | any | any | any | 110 | 29 | メール受信 |
| 通過 | in | tcp | any | 587 | any | any | 30 | メール送信 |
| 通過 | out | tcp | any | any | any | 587 | 31 | メール送信 |
| 通過 | in | tcp | any | 25 | any | any | 32 | メール送信 |
| 通過 | out | tcp | any | any | any | 25 | 33 | メール送信 |
| 通過 | in | udp | any | 123 | any | any | 34 | 時刻合わせ |
| 通過 | out | udp | any | any | any | 123 | 35 | 時刻合わせ |
| 通過 | in | tcp | any | 1935 | any | any | 36 | Flash Player用 |
| 通過 | out | tcp | any | any | any | 1935 | 37 | Flash Player用 |
| - | - | - | - | - | - | - | 38 | ユーザ用 |
| - | - | - | - | - | - | - | 39 | ユーザ用 |
| - | - | - | - | - | - | - | 40 | ユーザ用 |
| - | - | - | - | - | - | - | 41 | ユーザ用 |
| 通過 | in | icmp | any | any | any | any | 42 | ICMP(必須) |
| 破棄 | in | tcp | any | any | any | 0-1025 | 43 | 基本的なシステム防御 |
| 破棄 | out | tcp | any | 0-1025 | any | any | 44 | 基本的なシステム防御 |
| 破棄 | in | udp | any | any | any | any | 45 | 基本方針 |
| 破棄 | out | udp | any | any | any | any | 46 | 基本方針 |
| 破棄 | out | tcp | any | any | any | any | 47 | 基本方針 |
| 通過 | in | tcp ack | any | any | any | any | 48 | 基本方針 |
| 破棄 | in | tcp | any | any | any | any | 49 | 基本方針 |
| 破棄 | in | ip | any | any | any | any | 50 | 基本方針 |
ルータに関してバッファローやロジテックなどいくつかのメーカから発売されていますが、個人的なお勧めはNECのルータです。上の設定はNECを元にしています。高度な設定をしたい場合はヤマハしかありませんが、このブログを見ている方には価格面と必要な知識面で合わないかもしれません。
NEC AtermWG1800HP2 11ac/n/a(5GHz帯)&11n/g/b(2.4GHz帯) 同時利用タイプ PA-WG1800HP2
- 出版社/メーカー: NEC
- 発売日: 2014/10/09
- メディア: Personal Computers
- この商品を含むブログを見る
NEC Aterm WG2600HP 11ac/n/a(5GHz帯)&11n/g/b(2.4GHz帯) 同時利用タイプ 1733+800Mbps PA-WG2600HP
- 出版社/メーカー: NEC
- 発売日: 2015/05/14
- メディア: エレクトロニクス
- この商品を含むブログ (2件) を見る
3階建てなどで電波が届きにくい家屋の場合は、こちらのモデルなら1台を中継ポイントとすることで速度低下をかなり抑えて通信できます。
NEC 11ac対応 1300+450Mbps 無線LANルータ(イーサネットコンバータセット)Aterm WG1800HP2 PA-WG1800HP2/E
- 出版社/メーカー: NEC
- メディア: エレクトロニクス
- この商品を含むブログを見る
