ＩＰマスカレード機能って、安全？

私は”ＮＥＴ　ＧＥＮＥＳＹＳ　ＣＡＴ”というルーターＨＵＢで
ＩＰマスカレード機能を使って、パソコン数台でインターネットしています。
私はこれで、インターネットによる外部侵入者をシャットアウトできると
思っているのですが、実際の所どうなのでしょうか？

ファイアーウオールはプリンターとパソコンを数台共有している私の環境では、
とても不便なのです。

私のパソコン環境は、フレッツＡＤＳＬ８Ｍ＋ＮＴＴ西日本純正モデム。
ＯＳは　ＷＩＮ　ＸＰ　＆　ＷＩＮ９８ＳＥ　数台
パソコン間の接続は、１０ＢＡＳＥ－Ｔ
ＮＴＴのフレッツＡＤＳＬ接続ソフトは使っていません。

何方か分かる方、宜しくお願い致します。

No.1 回答者： tilt 回答日時： 2002/03/14 15:33

IPマスカレードは別名NAT(+)とも呼ばれます。

ISPから割り振られるグローバルIPと、
LAN内のローカルIP及びポートを動的に
変換（偽装＝マスカレード）する事により
ひとつのIPでの複数台同時接続を実現しています。

IPマスカレードはポートまで動的に変換してしまう為、
ポートを指定して飛んでくる外からの要求は弾いてしまいます。
これがかえってセキュリティを高める事にも繋がるのですが、
絶対安全という訳ではありません。
ここを深く突っ込まれると私の技量では解説しきれないのですが...

ただ、インターネットセキュリティに関して
共通していえるのは、利便性と安全性は（ほぼ）常に相反するという事ですね。


しょうもない回答で申し訳ありません。

この回答へのお礼

>IPマスカレードはポートまで動的に変換してしまう為、
>ポートを指定して飛んでくる外からの要求は弾いてしまいます。

この点が気になっていましたが、やっぱり私の考えがある程度正しかったと
確認できました。
どうも有り難うございました。

お礼日時：2002/03/22 11:46

No.2 回答者： asuca 回答日時： 2002/03/14 15:50

セキュリティはIPマスカレードと云うよりIPフィルタによって保たれるケースが多いです。

TCP,UDPのポートを必要な物以外は閉じて中からも外からもデータが通らない様にしてしまうんです。
ただ、メッセンジャーなどのソフトを使うとき箱のフィルタを一部解除する必要があるので安全性は下がります。

ですからルータでのフィルタなどによるものとパソコンの方にもファイヤウォールソフトを入れておくとより安心ですよ。

この回答へのお礼

＞ですからルータでのフィルタなどによるものとパソコンの方にもファイヤウォールソフトを入れておくとより安心ですよ。

ピッキング犯罪防止でドアの鍵を２つにすると同じ意味で
やはり、ファイヤウォールソフトも検討した方がいいかもしれませんね。

お返事有り難うございました。

お礼日時：2002/03/22 11:51

No.3 回答者： kusukusu 回答日時： 2002/03/14 15:56

サーバーにポートという穴が開いています。

通常、何らかのリクエストをサーバーにすると、
サーバー側はどのポートへのリクエストかを見極め、
妥当な要求であれば許可、そうでなければ不許可を返すます。

例：http://www.hoge.com:80
# 80は通常略されます
httpdのリクエストがあれば、サーバーはポート80（番号はサーバー側で設定）
を開く。
https://www.hoge.com:433 等も同様

またそもそも、そのサーバーが、そのリクエストに対するサービスを
動かしていない場合、予めサーバーはそのポートを閉じます。
#と言うより、閉じるべきです。

さて、前置きは終わり本題ですが、今回のように家庭用のルーターの場合は
デフォルトで、No1の方の言われるように、
>ポートを指定して飛んでくる外からの要求は弾いてしまいます。
の設定になっているは・ず・で・す。
むしろそうなっていない方が特殊（家庭でサーバー公開するときなど）
でしょう。
故に、安心です。

更にここからは余談（笑）
家庭でサーバーを公開したいときなどは、外からのリクエストを取りあえず、
唯一グローバルIPアドレスが振られている
（ISPのサービスにも寄りますが、通常は唯一でしょう）
ルータが受け、ルータの設定で、今度はその要求を特定のローカル
IPアドレスの振られているマシンのポートに返します。
そうすれば、ローカルIPアドレスしかないマシンでもサーバーを公開できると言うわけです。

さてさて、余談が長くなりましたがつまりはそう言うことです(^^;
では

この回答へのお礼

何れは家庭にインターネットサーバーを置こうと思っているので
その点も含めて大変参考になりました。

お返事有り難うございました。

お礼日時：2002/03/22 11:56

No.4 ベストアンサー 回答者： Jack3K 回答日時： 2002/03/18 15:10

最近市販されているブロードバンド・ルータにはこのような機能がだいたい付いていると思います。

・ＮＡＴ／ＩＰマスカレード
・ファイヤーウォール（パケットフィルタリング）
ですが、この環境で完全な安全は保障されないと思ったほうがいいです。
ファイヤーウォールでは許可されたプロトコルを使った攻撃を防ぐのは苦手です。
ですがスクリプトキディと呼ばれるなんの技術のない外部侵入者に対してはある程度の効果はあると思います。
最近の市販ルータだと外部に対してHTTPやTelnetポートが開いてるような設定の製品はないみたいです。
また、TCPの未使用コネクション要求やpingに反応しないものが多く、ポートスキャンに対してもほとんど反応しないように対処されています。
お使いになっているマイクロ研究所「NET GENESYS」シリーズだとsyslog対応、javaによるフォームデータＵＰも出来ると思いますので、こまめなチェックをされればいかがかと思います。

この回答へのお礼

やはり、ＩＰマスカレードだけでは、”ある程度”の安全性なんですね。
でも、ある程度でも気持ちの上では、かなり安心できました。

お返事有り難うございました。

お礼日時：2002/03/22 12:03