web-dev-qa-db-ja.com

プライベートネットワークでWindowsファイアウォールをオフにしても安全ですか?

Windowsファイアウォールには、プライベートネットワーク用とパブリックネットワーク用の2つのオプションがあります。ローカルネットワークにCCProxyを使用していて、プライベートネットワークのファイアウォールをオフにしてパブリックネットワークをオンのままにしておくことを提案しています。

では、プライベートネットワークとパブリックネットワークのどちらをオフに設定すると、PCが外部からのスレッドから保護されますか?つまり、ローカルのPC間では、ファイアウォールは相互に必要ではなく、インターネットからのみ必要です。接続は外部から行われます。

ありがとうございました。

3
user1995781

一部の人は同意しませんが、Windowsファイアウォールはあまり保護を提供しません。 ISPからファイアウォール/ルーターの背後にいる場合は、その必要はありません。一般に、ソフトウェアファイアウォール、またはヘルプよりも厄介なものです。

1
Keltari

プライベートネットワークでWindowsファイアウォールをオフにしても安全ですか?

明らかに、それは異なります。どのプライベートネットワーク、そして何を「安全」だと思いますか?

私は3つの部分で答えます:

  • Windowsファイアウォールを 優れた製品 に置き換える場合は、もちろん、他の製品が機能した後でWindowsファイアウォールをオフにしても安全です。

    • もちろん、これは理想的なソリューションです。
  • プライベートネットワークにソフトウェアファイアウォールがないことが安全かどうかについて話している場合は、それについて考える必要があります。

    • Windowsの「プライベートネットワーク」は、Windowsが「プライベート」ネットワークであると言うものですが、どのネットワークがWindowsがプライベートであると言っていますか?
      • 彼らはどれくらい安全ですか?
      • それらがどれほど安全かをどうやって知るのですか?
      • なぜ彼らの現在のレベルを資格のある人にとって「安全」だと思いますか?
      • そのいずれかが「ネットワーク上の他の人/マシンがリスクを冒しすぎないため」である場合は、ネットワークを「安全でない」とマークします。ゼロデイエクスプロイトを伴うポップアップ広告は、信頼できるサイトであっても、任意のサイトから任意のブラウザを実行している任意のコンピュータにヒットする可能性があります。
      • 上記のコンシューマーグレードのファイアウォール、IDS/IPSアプライアンス、インラインアンチマルウェア/アンチウイルスなどの重要なネットワークセキュリティインフラストラクチャを備えているため、安全であると評価した場合、それは自分のネットワークを信頼しているということです。これは有効な場合もありますが、慎重に検討する必要があります。ゼロデイエクスプロイトは誰にでも影響を与える可能性があります。KRACK、Heartbleed、Meltdown/Spectreなどです。
  • すべての「プライベート」ネットワークで独自のハードウェアファイアウォールを個人的に使用していますか?もしそうなら、はい、私は一般的に、ハードウェアと他のすべてのハードウェアの間にある場合、ハードウェアファイアウォールはWindowsファイアウォールを不要にするだろうと言います。

TL; DR:セキュリティはすべてレイヤーに関するものです

セキュリティはレイヤーに関するものです。すべてのレイヤーは攻撃に対して脆弱である可能性があります。そして率直に言って、すべてのレイヤーは、ブラウザーのアドオンからCPU自体に至るまで、ある時点で攻撃に対して脆弱になります。レイヤーを増やすことで、同じ時間枠内にすべてのレイヤーが脆弱であるとは限らない可能性がはるかに高くなります。

たとえば、通常の世帯のレイヤーには次のものが含まれます。

  • ISPからのNAT
  • 消費者向け「ルーター/ファイアウォール」
    • NAT内部的に
    • デフォルトの「admin」パスワードでは、ファームウェアパッチはなく、誰もその価値のないログを監視していません。
  • WPAを使用したWifi2-AESを使用した個人
    • ISPから提供されたデフォルトのパスワードを使用
    • パッチが適用されたことがない
  • ローカルLAN
  • お使いのコンピューター
    • 着信アクセスを制限するソフトウェアファイアウォールがある可能性があります
    • アンチウイルスがあるかもしれません
    • 他のマルウェア対策があるかもしれません
    • おそらく誰も監視していないログ

より安全なシステムは次のようになります。-NAT ISPから-正中線から高度なファイアウォール-最近パッチが適用されました-ログが監視されているか、アラートを提供します-IDS/IPS in IPSモード-最近パッチが適用されました-最新の署名付き-ネットワークレベルでのインラインウイルス対策/マルウェア対策-最新の署名付き-WPAを使用したWifi2-AESを使用したパーソナル-長くランダムなパスフレーズを使用-最近パッチを適用-誰がログを監視して、接続しているデバイスを確認します-クライアント分離がオンになっている-ローカルLAN-VLANがトラフィックを分離している-デバイス(上記のとおり)

1

私の理解では、プライベートネットワークが安全であることがわかっていれば、大したことではありません。ただし、友人や家族のプライベートネットワークに接続しているときにオンにすることをお勧めします。これは、彼らの側に何が大混乱をもたらしているのかわからないためです。

0
Jesse Calamo