ルータからポートフォワーディングをしていないマシン上WEBサーバへのアクセス

質問させて頂きます。よろしくお願い致します。

192.168.1.254 がデフォルトゲートウェイ（ルータ）。
以下6台、すべてのマシンが固定IP（非DHCP）で、
192.168.1.1 ～ 192.168.1.6 というネットワーク構成です。

192.168.1.4:80で、WEBサーバを動かしています。
内部（ローカルエリア）からのみ使用する、自作WEBアプリを動作させるためです。
外部者に使われては困るWEBアプリを動作させているので、
万が一にも、外部からアクセスされては困る、という状況です。

デフォルトゲートウェイのルータには、
「外部からの80番ポートへのアクセスは、192.168.1.4へ流す」という、
いわゆるポートフォワーディングの設定は、していません。
なので、グローバルIPアドレスをブラウザのURL入力欄に入力しても、
一応は、WEBサーバへはアクセス出来ていないように見えます…

そこで、質問は、
外部から、192.168.1.4上のWEBサーバ（80番ポート）へのアクセスは、
本当にこれだけで不可能と考えてよいのか？
ということです。

言い換えれば、ルータにポートフォワーディングの設定をしていないだけで、
外部から192.168.1.4へのアクセスは、
本当にすべて遮断できていると考えてよいのか？
ということです。

ルータからの道筋がないわけですから、
単純に考えたらこれだけでも大丈夫のように思えるのですが、
自身のネットワークの知識は、粗末なものである為、
不安に駆られ、質問させて頂いた次第です。

初歩的かもしれませんが、ご教授下さい。
何卒、よろしくお願い致します。

No.3 ベストアンサー 回答者： GOOD-Fr 回答日時： 2008/08/05 03:25

今回のご質問の範囲であるなら、ポートフォワーディングの機能を使う必要はないと思います。

したがって、
・ ポートフォワーディングの設定をしない
もしくは
・ ポートフォワーディングの機能をオフに設定する
のどちらかで、ポートフォワーディングの機能を悪用した外部からのアクセスは原理的に防げます。

ただし、「外部からアクセスできないようにしたい」ということであれば、サーバから外部に接続することを禁止しないと完全にはなりません。サーバが自ら外部にアクセスしてしまえば、それを逆流させてサーバに侵入することが理論上は可能になります。ですので、多くの前提条件が満たされないと可能性を完全につぶすことができません。なお、この侵入経路はポートフォワーディングとは関係ありません。

ポートフォワーディングは今回使う必要がない機能ですが、残念ながら機能を誤解しているように読み取れます。使わないと誓って勉強しないか、使う機会に備えて勉強するか、どちらかをお勧めします。

セキュリティというのは、システム全体での総合勝負です。ルータの設定さえまちがえなければ完璧、とか、パソコンにファイアウォールがあるから安心、とか、ウイルスソフトを入れてるからＯＫ、というようなものではありません。もちろん、運用する人の些細な操作（たとえば、外部の Web にアクセスする、というような）からほころぶこともあります。セキュリティの向上が利便性と相反する場合もありますし、コスト面を犠牲にしても採用しなくてはならない場合もあります。細部にとらわれすぎることなく、また、細部までおろそかにすることなく、システムの構築をするよう努力してください。

この回答へのお礼

WEBサーバのマシンからも、普通に外部にアクセスをしていました。
その行為が、外部からの進入経路になり得る行為だったとは、全く知りませんでした…
今後、控えたいと思います。ありがとうございました。

実は、現在は、本件のローカルWEBサーバを稼動させているだけなのですが、
近い将来、楽しみと実益を兼ねて、外部に公開するWEBサーバを稼動させることを夢みています。
ゆるい気持ちでやると惨事になりかねないこととは、理解しているつもりですので、
ひとまずしばらく、ネットワークやセキュリティについて、勉強しようと思います。
（なので、ポートフォワーディングについても、使う機会に備えてちゃんと勉強しておこうと思います。）

セキュリティの世界に、細部は無限にありそうですが、それも決しておろそかにすることなく、
とりあえずは、大きな部分から、精進して参りたいと思います。

また質問することがあれば、そのときは何卒、よろしくお願い致します。

ありがとうございました。

お礼日時：2008/08/05 05:23

No.2 回答者： insider007 回答日時： 2008/08/04 06:31

フォワーディングをしていないなら、もちろんＯＫです。

どうしても不安なら、ＷＥＢマシン自体のＦＩＲＥＷＡＬＬをローカルネットのみにしたらいいでしょう。
そうすれば万が一ＤＭＺ設定してしまっても安心です。

この回答へのお礼

庶民的感覚でいうなら、ルータのポートフォワーディング機能を、
ある程度は信頼しても良さそうですね。

WEBマシンのFIREWALLをローカルネットのみに設定するというアドバイスも、
ありがたく頂戴したいと思います。

ありがとうございました。

お礼日時：2008/08/05 00:31

No.1 回答者： GOOD-Fr 回答日時： 2008/08/04 06:10

質問がおかしいですね。

> 言い換えれば

この前後の文章は意味が異なります。ですから、言い換えることはできません。

> 外部から、192.168.1.4上のWEBサーバ（80番ポート）へのアクセスは、

このサーバがウイルスにおかされてなくて、操作をする人が不適切な操作をせず、ルータは外部から攻撃を受けていなくて、ルータの設定に不適切な項目はない、などの条件を満たした上で、という前提条件があるならば、アクセスできないでしょう。

> 外部から192.168.1.4へのアクセスは、本当にすべて遮断できている

それは意味がまったく異なります。
アドレスから考えて NAT を使っているわけですから、「外部から192.168.1.4へのアクセスができない」ということは「192.168.1.4 は外部と一切の通信が行なえない」という意味になります。それでよいのであれば、ルータがうんぬんという以前に外部ネットワークと物理的に切り離したほうが確実ですし簡単だと思います。費用もかかりませんし、心配事も根本的になくなります。

セキュリティ面から考えれば、ポートフォワーディングという機能自体がそもそも「失格」です。企業向けのルータやプロバイダ向けのルータには、ポートフォワーディングの機能がないのが普通です。機能があること自体で悪用／誤用される可能性が生まれますから、セキュリティを本気で気にするのであれば、まずはルータをちゃんとしたものに交換したほうがよいでしょう。

この回答へのお礼

＞この前後の文章は意味が異なります。ですから、言い換えることはできません。
これは書き方が悪く、混乱を招き、大変失礼しました。
言い換えた前後の文の、前側が、正しい質問文になります。

なお後側についてですが、
192.168.1.4のWEBサーバへは、他5台のローカルマシンから、アクセス出来る必要があります。
しかしながら、他5台のローカルマシンは、外部と通信出来なくては困るのです。
そして、ご指摘の通り、グローバルIPアドレスは1つ限りを、NATで使いまわしているという状況です。
よって、192.168.1.4を、外部から物理的に完全に切り離すことは、出来ない気がしますが、
（結局はLANですべてつながってしまうため）
もし上記状況下で、そのようなことが可能であるならば、
方法をご教授願えればと存じます。

ポートフォワーディングについてですが、

http://oshiete1.goo.ne.jp/qa4226660.html
こちら方の、便乗質問への回答もあわせてみることで、理解が深まりました。
（便乗して質問して下さった方にも、感謝致します。ありがとうございます。）

ポートフォワーディングをつかわない、ということは、
アクセスされたポート番号によってマシンを変えることはしない、ということだと思いますので、
つまり、グローバルIPアドレスとマシンが、一対一で直通するということになるかと思います。
セキュリティを高めるために、コストをかけられる状況であれば、
サーバマシンの数だけグローバルIPアドレスを用意し、ポートフォワーディングに代えたほうがよい…
ということだと解釈しましたが、もし間違っていれば、またご指摘下さるとありがたく存じます。

なお、上述の192.168.1.4マシンには、ご想像の通りとは思いますが、
金額にしてせいぜい数万円になるかならないかというデータが入っている程度です。
セキュリティを高めるためにかけられるコストも少ないので、
こうした状況下でポートフォワーディングが「あり」か「なし」かでいえば、
総合的に考えて「あり」になるのかな、と思いました。

しかしながら、ポートフォワーディングがいわゆる「貧乏ソリューション」で、
セキュリティというものを突き詰めたときには、使われない程度の信頼度であるということは、理解致しました。
丁寧に答えて下さり、まことにありがとうございました。

お礼日時：2008/08/05 00:19