プライベートIPアドレスについて

私の加入しているケーブルテレビは、通常はプライベートIPアドレスが割り当てられるみたいです。ここで疑問なのですが、HPを見たりするときもIPはプライベイトになるのですか？それともプロバイダがグローバルに変換するのですか？インターネットの世界では、固有のIPアドレスが必要と聞いたことがあるのですが・・・。

No.7 ベストアンサー 回答者： noname#14035 回答日時： 2003/07/13 23:50

お待たせしました、回答です。

●１．ハブによるハードディスク共有の件とルーター利用について。

＜＜ハードディスクまるごと共有＞＞
↓
危険です！
不正侵入云々というよりも、片方のシステム（PC）の不具合がも、う一方のPCにも致命的なダメージを与える可能性が大きくなってしまいます。（ワームやウィルスなら、なおさらです。）

基本的に、”C:\Windows"などのシステムフォルダや、OS関連の（フォルダ）ファイルはネットワーク共有すべきではありません。

fgeswさんのネットワーク利用状況がわかりませんので、正確なことは言えませんが、データの置き場として利用する場合は、専用のフォルダ（出来れば物理的に別のハードディスク）を作り、共有するべきです。

あくまで個人的な意見ですが、常時接続＋P2P型LANなどの一般家庭のWindowsネットワークの場合、必要最小限の共有フォルダで運用するべきだと思います。
使用頻度の少ないものは、必要なときだけ共有化しても、それ程面倒は感じないとおもいます。


＜＜ルーターを導入すべきか＞＞
↓
このハナシは、質問２．３．についての知識がないとわかりにくいと思いますので、そこに含めて説明したいと思いまが、ローカル・ルーターの導入の必要性（*）は、＃4の書き込みでyyukamiさんが指摘されてように、所属のケーブル業者が「ファイアーウォール＋NAT」＋「VLAN」などのセキュリティ対策を施しているかによって変わって来るとおもいます。

（*）ただし、ケーブル会社の中には、ローカル・ルーターの設置を禁止しているところもあるようですので、ケーブル会社ののセキュリティー対策を含め、一度問い合わせをしておいたほうが良いかもしれません。



●２．インターネット側から、ルーター越しにプライベートIPが見えるのか？
●３．グローバル・IPとプライベート・IPの違いとプロキシについて。

ネットワーク通信の仕組みが判らないとイメージしにくいと思いますので、先ずそこから行きましょう。

対インターネット通信（IPネットワーク）では、以下の様な通信経路全てが別々のIPアドレスを持っています。（fgeswさんの場合です。）

●自分のPCのネットワーク・インターフェース（LANカードなど）＜＃プライベートIP＞　←→　●ケーブル会社のルーター（LAN側のインターフェース）＜＃プライベートIP＞　←変換→　●同じルーター（WAN側のインターフェース）＜＃グローバルIP＞　←→　●インターネット＜＃グローバルIP＞

となり、ケーブル会社のルータ－がプライベートIP・グローバルIP2つのネットワークインターフェースを持っているところがミソです。

次にグローバルIPとプライベートIPの違いを見て見ましょう。

＜グローバル・IP＞
・インターネット上でのやり取りには、必ず”DNSに登録されたグローバルIP”が必要。
・利用できるアドレスの範囲は決まっている。（IPｖ４では、32ビット幅）
・グローバルIPからプライベートIPを指定しても接続できない。（そもそもインターネット上（DNS）上に存在しないはずだから。）

＜プライベート・IP＞
・もともとは、将来グローバル・IPが不足した場合や、LAN等での効率的なネットワーク利用が目的で拡張されたものである。
・IPネットワーク（グローバル・IP）との親和性を持たせるため、同じ32ビット幅である。
・インターネット上では通用しないため、LAN等の閉じたネットワークに向いている。

”イーサネット”という規格が主流のLAN（fgeswさんの場合ケーブル会社のネットワーク）では、LANカードなどそれぞれのネットワーク・インターフェースは”MACアドレス”と呼ばれる固有のアドレスを持っていて、LANでは多くの場合「プライベート・IPとMACアドレス」の2つのアドレスを組み合わせて通信を行います。（インターネットとは”直接”通信できないわけです。）

要するに、グローバル・IPからプライベート・IPは攻撃しにくいということなわけですが、LAN（イーサネット）の中には内部からの攻撃という別の危険性があります。

もっとも基本的なLAN通信方式では、「全員（全てのネットワーク・インターフェース）に向けて話しかけ、自分に関係ある人（そのネットワーク・インターフェースを持つPC）のみ返事をして、その他は無視（破棄）する。」というものです。
つまり、自分に関係ないデータネットワーク・インターフェースのところまではやってきていて、盗聴などの危険が大きいわけです。

これでは、困る場合があるので、yｙukamiさんの説明された、”VLAN”と呼ばれる仕組みでセキュリティ対策を施すことが出来ます。
VLANとは、仮想的に自分の専用通信路をつくる技術で、これを利用すれば、通信内容が漏洩する危険が減るという訳です。


さて、ウルトラ長文になってきましたが、残りの質問への回答です。

＜＜インターネットからプライベートIPが見えるか？＞＞　　　
↓
見えません。

インターネット側からは、LAN内（プライベート・IP）全てのノードを代表する「ルーターのグローバルIP」しか知ることが出来ません。
しかし、以下の危険性もあり、絶対安全というわけではありません。

・＃4に説明競れている”ポート・フォワーディング”などで、結果的に直接接続（通信）が必要な環境。
・ルーター自体に侵入され、設定を変更された場合。


＜＜コマンドで見えるのはグローバル・IPかプライベート・IPか＞＞
↓
”winipcfg”などのコマンドで表示されるのは、LAN上の自分のネットワーク・インターフェースの情報で、ここに「プライベートIPアドレス」や「MACアドレス（アダプタ・アドレス）が表示されます。


＜＜プロキシ利用でのIP・アドレスについて＞＞
↓
接続先から見れば、接続主は接続してきたプロキシのIP・アドレスです。

余談ですが、プロキシの利用には、過度の期待をすべきではありません。
「生のグローバル・IPを隠せるから完全匿名で安全だ。」と思わず、あくまでリスクを減らす手段程度に考えるべきだと思います。

プロキシを通して通信している場合でも、悪意あるサイトがスクリプトを使って、生IPから直接通信させてしまう事が可能ですから。


＜＜で、ルーターは要るの？＞＞
↓
前述したように、所属ケーブル会社の方針や、セキュリティー意識で緊急性は変わってい来るのでなんともいえませんね。
もちろんローカル・ルーターのフィルタリング機能を使って、セキュリティーを高めることはできます。

それから、お持ちのウィルスバスターのファイアーウォール機能をきちんと理解して、是非有効利用してください。


なるべく解りやすく書こうとしたら、前代未聞の長文になってしまいました。
すいません。

間違いや、疑問点があれば、ご指摘ください
それでは。

この回答へのお礼

回答ありがとうございます＼( ^ｏ^ )／
Jzamraiさんの詳しい解説のおかげで、よく理解できました！！
最近、セキュリティー関係に興味を持ったので、どんどん勉強していこうと思います。

お礼日時：2003/07/15 08:57

No.8 回答者： o_tooru 回答日時： 2003/07/14 00:16

こんばんわ、疑問は尽きませんね。

さてご質問の件ですが、他の方が非常に懇切丁寧な回答をつけていらっしゃいます。

私なりに回答をつけますと、

●グローバルIPとプライベートIPとの変換関係。
これは、私がよく使っている説明では、代表電話番号と内線にたとえます。内部から掛ける場合には何も意識しないけど、外部から掛ける場合には、内線番号までダイヤルしないと・・ってかんじです。NATD（ナットディー）というそうですが。これがあると外部から直接攻撃しにくくなります。直接外部から見えるのは、代表電話の番号だけです。

●ハブによるPCデーターの共有
OSにも寄りますが、NT系列（含むXP）などでしたら、ファイアーウォール機能がありますし、ファイル単位でアクセス制限をかけることもできます。こういった場合はいいのですが、Windows98系列でしたらファイアーウォールソフトを入れるとかしないと危ないですね。
しかし、ソフトが常駐しますので結構重くなります。そういった意味では、ルーターでセグメントを切るのが楽です。また、ルーターにも簡単なファイアーウォール機能がありますから。やすいものでも買っておくとそれなりの効果があります。

この回答へのお礼

回答ありがとうございます＼( ^ｏ^ )／
最近、興味を持った分野なので、どんどん学習していきたいです。
ポイントをつけられなくて、ごめんなさい・・・

お礼日時：2003/07/15 09:01

No.6 回答者： noname#14035 回答日時： 2003/07/13 20:06

お礼と質問ありがとうございます。

これから回答を書きます。（いま、夕食中です。）

少し時間がかかりそうなので、他の方の回答と重複したらゴメンなさい。

No.5 回答者： noname#14035 回答日時： 2003/07/12 02:09

＜yyukamiさん＞

「セキュリティ対策にプライベートIPもグローバルIPも無い。」というご指摘ありがとうございます。

わたしもyyukamiさんのご意見に賛成ですよ。

書き込みでは、fgeswさんの利用されておられる環境を考え、LAN型のネットワークでの危険性（それも最も危険なケース）を引き合いに出したのですが、確かにそのような誤解を与える論調になってしまったかもしれませんね。
勉強になりました。

要は仕組みや技術云々ではなく、危険性と対策の本質を理解することが大前提なのだと思います。

ちょっと、横道にそれました。
では。

この回答へのお礼

回答ありがとうございます＼( ^ｏ^ )／
ただ少し分からない点があります。

１、
ケーブルテレビのモデムから、ハブで２台のパソコンをハードディスク全て共有しているのですが、これは危険な接続方式でしょうか？やはりルーターは必須ですか？ウイルスバスターを導入しているのですが、これだけでは駄目なのでしょうか？

２、
No#1の回答の通り、他サーバーのHPを見るときなどはプロバイダがグローバルIPに変換するわけですよね？でも外からはプライベイトIPに見えるのでしょうか？

３、
http://www.taruo.net/e/?（診断君）で調べるとIPアドレスは210.197.○○○.○○
プロンプトでipconfigと打つと、10.2.○○.○○○
というふうに異なるのですが、これがグローバルとプライベートの違いですか？
また、プロバイダのproxyも使っているのですが、proxyサーバーが代わりにwwwサーバーへアクセスするわけなので、proxy使用・未使用だとIPも異なりますか？

お礼日時：2003/07/13 01:19

No.4 回答者： yyukami 回答日時： 2003/07/12 00:52

皆さんプライベートＩＰアドレスだか会社のＬＡＮと同じで同一ネットワーク内からのセキュリティは確保されない、という論調ですね。

いろいろ勉強されたりわかりやすい様に例え話にしたりして結構だと思いますが、同一のＬＡＮ内からのセキュリティが確保できるかどうかはネットワークの構成やプロバイダの意識によるもので、プライベートだからＬＡＮと同じで他のコンピュータにアクセス出来て危険だけどグローバルだったら大丈夫とかそう言う問題ではないですよ。
プライベートアドレスを割り振っていてもVLAN等で高いセキュリティを確保しているプロバイダもありますし（一方で設備が古かったり意識が低かったりでダメダメなところもあるわけですが）、同一ネットワーク内でのセキュリティを高めるのにプライベートもグローバルもありません。やるべき事は同じですよ。

一方でネットワーク外（インターネット）からの攻撃に関しては、プライベートアドレスの方が安全なことは疑いのないことです。何しろ外からそのプライベートIPアドレスを指定してアクセスしようとしても通信出来ないんですから。

それからホームページ閲覧やメールの送受信は大丈夫ですが、通信対戦型のゲームやネットミーティング、株式取引の一部ソフト等、グローバルアドレスでなければ（ポートフォワーディングでもしない限り）使えないサービスもあるので注意が必要ですね。

って、長くなってしまいました。すみません。

この回答へのお礼

回答ありがとうございます＼( ^ｏ^ )／
ただ少し分からない点があります。

１、
＞一方でネットワーク外（インターネット）からの攻撃に関しては、プライベートアドレスの方が安全なことは疑いのないことです。

No#1の回答の通り、他サーバーのHPを見るときなどはプロバイダがグローバルIPに変換するわけですよね？でも外からはプライベイトIPに見えるのでしょうか？

２、
http://www.taruo.net/e/?（診断君）で調べるとIPアドレスは210.197.○○○.○○
プロンプトでipconfigと打つと、10.2.○○.○○○
というふうに異なるのですが、これがグローバルとプライベートの違いですか？
また、プロバイダのproxyも使っているのですが、proxyサーバーが代わりにwwwサーバーへアクセスするわけなので、proxy使用・未使用だとIPも異なりますか？

お礼日時：2003/07/13 01:12

No.3 回答者： noname#14035 回答日時： 2003/07/11 23:55

fgesw さん、みなさん始めまして。

趣味でセキュリティーの勉強をしている Jzamrai と申します。

確かにケーブル接続の場合、業者のゲートウェイ（ルーター）にぶら下がったプライベートIPアドレスを割り当てられる場合が多いようですね。（固定グローバルIPサービスなど、例外もあるようですが。）

一般的なケーブル接続方式のイメージを一言で言うと、「玄関にオートロックはあるが、各部屋には鍵が無い（あっても貧弱）な、マンションに入居する。」ような状態だと思います。

会社や学校などのLANに置き換えて考えてみると、社員や学生は手元のホスト上の”手のひらアイコン”のついたリモート・ホストの共有ドライブなどにカンタンに接続できますよね。（Windowsの場合）
ケーブル接続も原理的には大きなLAN共有ですから、カンタンに同じ事が出来てしまいます。（単にそう設定されていないだけのハナシです。）
まぁ、同じLAN上でイタズラをすれば、カンタンに足がつきますので、やる方もやる方ですが…。

具体的には、Windowsでのネットワーキングに利用される”NetBIOS”という規格（API）の脆弱性をついた侵入・攻撃が可能で、そうした攻撃を目的としたいわゆる”ネットワークツール”もインターネット上でカンタンに手に入ってしまいます。
詳しい話をするとキリが無いので割愛しますが、ケーブル接続の場合、安易にネットワーク共有の機能を使わないことが大切だと思います。
どうしてもネットワーク共有が必要な場合は、パーソナル・ファイアーウォールの導入など、有効な対策が不可欠だとおもいます。

ケーブル接続ではこのような危険がありますが、それでは「その他の接続方式の方が安全なのか？」というと、そうでもないでしょう。
例えば、今流行のADSL接続などで、ルータをはさまずグローバルIPで繋いでしまうと、全世界のコンピュータに対して自分のコンピュータを公開してしまうのに等しい状態になっていしまい、むしろこちらの方が危険といえるかもしれません。
その他、添付のURL（IPAセキュリティーセンター）にあるような、基本的なセキュリティー意識が無ければ、何を言っても無駄ですしね。

個人的には、現状のインターネットでは「これで完璧」という特効薬（ソフトやシステム）は無いと思います。（常時接続の場合、アンチウィルス・ソフトとパーソナル・ファイアーウォールの組み合わせは必須でしょうが。）
残念ながら、安全に利用するためには、ある程度ネットワーク・セキュリティーの知識を身に付けて、自己防衛するしかないのだと思います。

掲示板システムなのに、長文になっていしまいました。
すみません、それでは。

参考URL：http://www.ipa.go.jp/security/awareness/end-user …

No.2 回答者： chi-- 回答日時： 2003/07/09 02:26

ケーブルテレビの場合よくあるようですね。

利用者同士が大きなLANの中にいるような状況です。
そのLANに接続されたクライアントの要求に応じてプロバイダがグローバルIPをつかって
情報をやり取りする、というようなイメージでしょうか。
また、あくまで聞いた話ですが、このLAN内においてはセキュリティーが甘いようで、
LAN接続している会員同士でハッキングできたりするって聞いたことがあります。
※未確認情報です。詳しい方は補足してください。

この回答へのお礼

回答ありがとうございます＼( ^ｏ^ )／

お礼日時：2003/07/13 01:19

No.1 回答者： yyukami 回答日時： 2003/07/09 00:53

お察しの通り、プロバイダがグローバルアドレスに変換します。