IPマスカレードのセキュリティ

僕は現在、ブロードバンドルーターをつけて、複数台でインターネットへの接続を行っています。で、質問なのですが、ルーターには、IPマスカレードの機能というのがあり、グローバルアドレスとプライベートアドレスの変換をしてくれていて、WAN側からはPCのプライベートアドレスは見えないという風に聞きました。それだけを聞くとセキュリティは万全じゃないのと思うのですが、セキュリティレベルは中程度と聞きました。では、ウィルスやハッカーたちは、プライベートアドレスが見えない状態でどうやって攻撃をしてくるんですか。（確かにメールによる感染はあるとおもいますが・・・）

No.6 ベストアンサー 回答者： bship 回答日時： 2003/08/17 23:22

NAPTをかければ、外からの攻撃に対しては内部のPCは保護できます。

万全でないというのは、セキュリティにはいろんな角度から検証すべきことが多いので単にNAPTで全ての脅威が無くなるというわけではないという意味でしょう。
受動攻撃、ウィルス等がいい例ですね。

*NAPTがかかっていれば変換前のアドレスはわかりません（データ部に格納されている場合は除く）
＊ステートフル・インスペクションというのは、ファイアーウォールにおいて、コネクション状態を把握してパケットのフォワーディングの許可不許可を判別する機能です。攻撃パケットの検出はできません
＊IDSはたしかにセキュリティツールとして有力なものです。が、実装は統計を使用するものは少数です。ある方がいいのは当然としても、NAPTの安全性を語るにおいては関係のない話です。

NAPTがどの程度有効かは、目的とされるポリシーに依存します。外部から攻撃される脅威のみからすれば「最新の注意を払うが、大げさに怖がらない」という現実的思考からすれば、大いに有効な機能です。
加えて受動攻撃に注意してください。

No.5 回答者： o_tooru 回答日時： 2003/08/16 17:52

こんにちは、疑問は尽きませんね。

さてご質問の件ですが、確かにNAPTが入りますと、セキュリティー的にずいぶんと高まりますが、万全というわけではありません。

一番に良い例が、今回のウイルス事件です。たまたま一般的なルーターがブロックする135番ポートへのアタックだったため、ルーターを使っていますと随分被害が低減されました。他のポート経由であればどうなったかわかりません。

要するに、ＩＰアドレス・ポート番号さえきちんとしていれば、素通しになってしまうわけです。そこで最近企業で取り入れられてきているのがIDSと呼ばれる物です。これですと、入ってきたパケットを統計的な手法により、そのパケットの中味を調べ判断するしくみです。

ここまでしないと、厳密な意味でのセキュリティーは確保できないようです。

参考URL：http://www.atmarkit.co.jp/fsecurity/special/19fi …

No.4 回答者： VDSL 回答日時： 2003/08/16 17:43

ちょっとだけ....

#1の方が，

> これは嘘です。
> パケットの中を見ればわかりますよ。

と書かれていますが，これが嘘です．

ブロードバンドルーターがプライベートIPアドレスとグローバルIPアドレスの書き変えをおこなうので，本来成立しない通信が成立しているのです．
ごくまれに、パケットの中のデータ部分(ペイロードと言います)に自分の発信IPアドレスを埋めこむアプリケーション(たとえばNetMeeting)がありますが，ここにはプライベートアドレスが入ります。
ですが、このような一部の例外を除き、WAN側にプライベートIPアドレスがでることはありません。

セキュリティと言う意味では、すでに他の方が書き込まれている通りです。自分で外部から何かを拾ってさえ来なければ、NATはかなり安全です。
ただし、ルーターのDMZ機能を利用している場合は、ルーター無しで接続されているのと同じ状況になっている可能性がありますので、注意して下さい。

No.3 回答者： MovingWalk 回答日時： 2003/08/16 12:39

>セキュリティは万全じゃないのと思うのですが

IPマスカレードは、LAN内からWAN側に接続して場合にIPアドレスとポート番号を
変換し、変換テーブルをルータに保持して、応答パケットを逆変換して
LAN内に返すものです。
ですから、通常はWAN側からLAN側に接続開始をすることはできません。
しかし、場合によってはポートを開けることもありますし、UPnPやルータに
セキュリティホールがあればアタックされることがないとは言い切れません。
でも、かなり安全になることは間違いありません。

外部から直接アタックされない場合でも、Webなどで、LAN側から接続した場合に、
意識的あるいは無意識に取り込んで（ダウンロードして）しまうことも
ありますので、パーソナルファイアウォールとかウィルス対策ソフトなどで
守る必要があります。

http://www.atmarkit.co.jp/fpc/special/bbrouter_d …

参考URL：http://www.atmarkit.co.jp/fpc/special/bbrouter_d …

No.2 回答者： coco1 回答日時： 2003/08/16 12:18

ネットワークセキュリティ勉強中のものです。

一例として、IPマスカレード環境は内側のIPアドレスは外側には見えませんからping攻撃のようなクラッキングに対しては大丈夫かもしれませんが、ホームページに不正なスクリプトを埋め込んで読み込ませる等の攻撃に対しては無力です。
もちろん、winnyなどで落としたファイルに不正ファイルがあることも考えられるでしょう。

このようにして、何らかの形で内側に細工を仕掛けられたら（いわゆるバックドアやトロイの木馬）そこを攻撃の起点として被害を受けると言うことになります。

そこで、最近のブロードバンドルータでは単にIPマスカレードでアドレスを秘匿するだけではなく、読み込もうとしているデータの一貫性をチェックして不正なデータが含まれていないかを検査するステートフルインスペクションという機能が付加されていたりします。

No.1 回答者： kojitti 回答日時： 2003/08/16 12:17

＞WAN側からはPCのプライベートアドレスは見えない

これは嘘です。
パケットの中を見ればわかりますよ。