自宅のネットワーク環境を少し変えたわけですが
現在は、2台のルータが稼動していてPR200NEが外部ネットワーク用ルータ、MN8300Wが内部ネットワーク用ルータといったイメージになっています。
このルータ間のネットワークが境界ネットワークと考えることができます。
その前に、PR200NE、MN8300WでそれぞれIPフィルターを設定していますが、優劣がつけにくい状況です。
まずそれぞれのルータのセキュリティログを見るとアクセス拒否したパケットが記録されています。
PR200NEには、IPv6のブロードキャストの通信が常に記録されており、これは内部ネットワークの機器から送信されているようです。
MN8300WではIPv6関連のログは全く表示されていませんでした。おそらくスルーされているのでしょう。
自宅PCはVistaであるためIPv6が標準で使用されていますので、意図的にIPv6は使用しないようにNICの設定を変更しています。
にもかかわらず、どの機器から送信されているのでしょう?
常時ログが記録されていることから、おそらくHomeServerだと思うのですが、どのアプリかを特定する方法がまったくわかりません。
HomeServerのNICにはIPv6の項目はありません。
もしかするとHomeServerのMediaコネクトがそれをやっているのかもしれません。
Mediaコネクトの設定は無効にしているのですが、サービス自体は起動しているので・・・
つぎに、MN8300WのセキュリティログにはSPIにより外部WEBサーバからのアクセスを拒否したログが表示されています。
あれ?
PR200NEにもSPI機能があり有効にしているのですが、そちらではスルーしているようです。
おそらくPR200NEとMN8300Wでパケットを蓄える時間が違うためだと思うのですが、PR200NEでは時間設定ができるものの、MN8300Wではできません。
こうやって比較するとPR200NEのほうが優秀なようですが、セキュリティ機能とIPフィルターの設定がいまいちよくわからないので不安です。
PR200NEのIPフィルター設定は、WAN側とLAN側の2つのテーブルで分かれておりさらに双方向、順方向なんてあります。
それぞれ個別には理解できているのですが、結局、ちゃんとフィルターできているのか?といった確認作業が厄介です。
通常のデフォルト設定は、すべての通信を許可で、拒否したい通信だけを記述するようですが、これだと拒否したログしか記載されない仕様だとあたりまえなログしか出力されません。
本当は、すべての通信を拒否して、許可する通信だけ記述するほうが良いのだと思います。
IPフィルターだけをみるとMN8300Wのほうが使いやすく安心できますが、先に書いたようにIPv6の通信はスルーのようです。
IPプロトコルは多数あるわけですが、家庭用のルータではICMP,TCP,UDPくらいです。
これ以外のプロトコルの通信、ようするにルータが対応していない通信はどう扱われるのでしょうか?
おそらくスルーだと思います。
前に紹介した、ルータなら他のプロトコルのIPフィルターも設定できるのですが・・・
しかし、他のIPプロトコルが物理的に到達できるのか?というと???ですし、LAN内の機器をのっとられない限りは大丈夫そうにも思えます。
ですので、とにかく境界ネットワークに監視PCを置いてネットワークを流れる通信の状況を見てみようと思っています。
