ポートフォワーディングはセキュリティ上よろしくない？

どうもこんにちは。
最近このサイトの他の質問をみて疑問に思ったことがあります。

http://okwave.jp/qa4226291.html

この質問の No1 の回答ですが、ポートフォワーディングはセキュリティ上よくないような記述がなされていました。
私はてっきり、一般に使用されている技術だと思っていたのですが、現状はどうなのでしょうか？

ＤＭＺを使用する場合などはポートフォワーディングは必要だと、今まで思っていたのですが。

webなど検索しても、これに関する期待している情報がなかなか出てきませんでした。

No.2 回答者： GOOD-Fr 回答日時： 2008/08/19 20:57

> 同様の状況になるのではないでしょうか？

なりません。
「同様の状況」と思う、ということは、セキュリティ的には完全に見落としている部分があります。ボランティアでお答えするような「安い」話ではないので、詳細は控えます。

> パケットを大量に流し込むだけでも、いくつかの条件がそろえば内部侵入のきっかけを作ることができます。

この文章は「Web サーバに侵入される」というだけの意味ではありません。「内部侵入」です。企業であれば、サーバもクライアントもすべて落とされるだけでなく、データ改ざんの可能性がある、ということです。ポートフォワーディングを使わずにセキュリティネットワークを構築すれば、こんなことにはなりません。

> いくつか疑問に思った点があります。

残念ですが、ここでお答えできるレベルを越えてしまっています。
当然ですが、このレベルの内容のネットワークを必要とするのであれば、７桁程度の予算では足りませんし、コンサルティング料も「しかるべき金額」を用意してもらう必要があります。（もしご用意できるのであれば、コンタクトさせていただきますが）

> 実際に稼動しているシステムではどのように扱っているのでしょうか？

もし、本当に知りたいのであれば、
・　大手プロバイダに就職してシステム設計ができるまで数年間の下積みをする
・　大手ネットワークコンサルティング会社に就職して、数年以上の経験を積む
・　大手企業のネットワーク管理部門に就職して、システム管理を任されるようになるまでの数年間から十数年の間、下積みをする
・　予算を確保して、ちゃんとしたネットワークコンサルティングエンジニアにコンタクトする
などの道を選択してください。

繰り返しになりますが、セキュリティの話をしているときに、ポートフォワーディングを前提にしか話を展開できない間は、どうしようもありません。逆にいえば、そういう話をしなくなれば、このサイトのレベルでは満足できなくなるはずなので、ここに訪れることもなくなるでしょう。
なぜ家庭用ルータにはポートフォワーディングがあるのに、大企業向けやプロバイダ向けのルータにはその機能がないのかを、まず最初に理解しましょう。ちなみに、家庭用では必須の NAT の機能もオマケ程度の機能として使うことはできますが、実際にはオフのまま使われています。
「うちのファミリーカーにさえエアコンもカーナビもカーステもついてるんだから、世界最高のレーシングマシンにだって当然ついてるんでしょ？うちの車は50万円もしないけど、レーシングマシンは１台数億円もするって聞いてたことあるし」とマジメな顔して質問されても、困るのです。

この回答へのお礼

回答ありがとうございます。

SSHではなくIPレベルでの話しだったのですが、いろいろ参考になりました。

ありがとうございます。

お礼日時：2008/08/20 09:51

No.1 回答者： GOOD-Fr 回答日時： 2008/08/04 11:33

私が回答したほうがすっきりするでしょう。

> 一般に使用されている技術だと

「家庭用ルータでは」という前提であれば、ご指摘のとおりです。
が、大企業やプロバイダなど、セキュリティを「ちゃんと考えないといけない」場面では、絶対に利用されません。

セキュリティに関する真剣度と、それにかけられるコストの違いがこの差を生みます。オリジナルの質問を出されている人はネットワークに関しては初心者ということだったと思いますが、そのことが「価値がないデータしか持っていない」ということを意味するわけではありません。

「外部者に使われては困るWEBアプリを動作させている」というサーバには数百億円の価値のデータが入っているかもしれませんし、「万が一にも、外部からアクセスされては困る」と言っているわけですから、使わなくていい機能であれば最初から使えなくしたほうがセキュリティが向上するのは自明です。

また、ポートフォワーディングの設定をすると外部から大量のパケットを無条件に内部に流し込むことができます。パケットを大量に流し込むだけでも、いくつかの条件がそろえば内部侵入のきっかけを作ることができます。

このようなことを総合的に考えると、ポートフォワーディングは典型的な「貧乏ソリューション」ということができます。ルータにこの機能が実装されるようになったのは、「プロードバンドルータ」という名称の「家庭用ルータ」が普及し始めてからです。これらの問題点を理解した上で設定するのは各個人の自由ですが、この設定をしたことにより「よりセキュリティが向上する」ということはどのような場面でもありえません。したがって、一言でいえば「ポートフォワーディングはセキュリティ上よくない」となります。

この回答へのお礼

回答ありがとうございます。

いくつか疑問に思った点があります。

> また、ポートフォワーディングの設定をすると
> 外部から大量のパケットを無条件に内部に流し込むことができます。

これはファイアウォール内に外部向けのWEBサーバを立てている場合であれば、同様の状況になるのではないでしょうか？

> このようなことを総合的に考えると、
> ポートフォワーディングは典型的な
> 「貧乏ソリューション」ということができます。

外部向けのサーバを立てるのであれば、外部と接しているルータに対して、xxx.xxx.xxx.xxx:80 宛てのパケットを内部の、192.168.xxx.xx に転送する、というようなポートフォワードの設定が必要だと思っていました。
実際に稼動しているシステムではどのように扱っているのでしょうか？

お礼日時：2008/08/19 09:10