NATやIPマスカレード利用時に起こる問題とセキュリティ上の利点について

前へ 次へ
このQ&Aのポイント
  • NATやIPマスカレード利用した接続では、一部のアプリケーションが利用できない場合がある。
  • NATやIPマスカレードはアドレス変換を行うため、インターネットからプライベートIPアドレスを持つ組織内のホストに直接アクセスできない。これによりセキュリティ上の利点がある。
  • NATやIPマスカレードを導入する際には、利用できないアプリケーションやセキュリティ上の考慮事項に注意する必要がある。
回答を見る
  • ベストアンサー

NATやIPマスカレード利用した接続では、アプリケーションによっては利

NATやIPマスカレード利用した接続では、アプリケーションによっては利用できないサービスもある。って問題があり、これが正、誤かで答え、誤りならその理由も答えなければいけないのですが、IPマスカレードは、アドレス変換のために利用できなくなる通信アプリケーションもでてくるってのは、わかるのですが、NATも変換しているから、利用できなくなるアプリケーションがでてくるであっていますでしょうか? あとNAT/IPマスカレードを導入してもセキュリティー対策の上では役にたたない。というのも同じように答えなければならないのですが、答えは誤りで、アドレス変換を行うと、インターネットからプライベートIPアドレスを持つ組織内のホストに直接アクセスできないから、セキュリティの点でも利点があると思うのですが、あっていますでしょうか? 詳しい方、ぜひアドバイス下さい。 よろしくお願いいたします。

質問者が選んだベストアンサー

  • ベストアンサー
  • Wr5
  • ベストアンサー率53% (2177/4070)
回答No.1

>NATやIPマスカレード利用した接続では、アプリケーションによっては利用できないサービスもある。 FTPなんかが利用できない場合があります。 他にも別のコネクションを張る場合に、待ち受けしているポート番号をそのコネクションのパケットのペイロードに入れて伝えている場合は、 NATやIPマスカレードを処理しているFWが判別できないので、外からのコネクションは到達できません。 # FTPだと、FW機器(ルータ)がパケット内部を覗いて、意図的に開けてくれる(または通過時にパケット内容書き換える)等で動いてくれる場合もあります。 # その場合、FTPサーバ側での対処とバッティングして動けなくなることもありますが…。 >アドレス変換を行うと、インターネットからプライベートIPアドレスを持つ組織内のホストに直接アクセスできないから、セキュリティの点でも利点があると思うのですが、あっていますでしょうか? たいていはあっているかと。 ただし、ポートフォワードしているサーバアプリケーションのセキュリティホールは別ですが。 セキュリティアップデートしていない穴だらけのWebサーバが放置されていれば、そこから侵入されていろいろやられる可能性は残ります。

chopper_v2011v
質問者

お礼

ものすごく参考になりました。 ありがとうございました(゜▽゜*)

その他の回答 (3)

  • nnori7142
  • ベストアンサー率60% (755/1249)
回答No.4

 おたずねの件ですが、言いたいことがイマイチ解りにくいのですが、元々NAPT機能はグローバルIPアドレス等のネットワークアドレスを複数のプライベートIPアドレスの変換と同時に動的にポート変換を行う規格です。動的に変換する仕組みのためWAN→LAN・LAN→WANの特定の通信をかけるプログラムにおいて、特定の端末接続とプログラム制御が変換上到達アドレスの観点で流動的になるため、実行できないプログラムが出てきます。  その中で、誤解があるかと存じますが、静的IPマスカレード(アドレス変換)において特定の端末へポート制御させる規格を搭載しプログラムやサービス等の実行を可能にするものを指し、逆にアドレス変換を実施しますと、その特定端末とサービス、プログラム等にセキュリティ面において脆弱な部分が出てきます。  ご指摘の「インターネットからプライベートIPアドレスを持つ組織内のホストに直接アクセスできないから、セキュリティの点でも利点がある」という部分は誤解があるかと存じます。  何かの問題集でも勉強されているのですか?

chopper_v2011v
質問者

お礼

ものすごく参考になりました。 ありがとうございました(゜▽゜*)

noname#140045
noname#140045
回答No.3

>あとNAT/IPマスカレードを導入してもセキュリティー対策の上では役にたたない これって、メールの添付ファイルやWebの閲覧による感染について、言っているのではないでしょうか。 つまり、IPアドレスを変えようがポート番号を変えようが、利用者のPCへはすでに届いているのだから、もうどうしようもないと言う意味だと感じます。 つまり、最初の問題もそうですが、サーバーなどを立てたりしない、ごく普通の利用者のことを言っているのだと思うのですが、そうであればどちらも正しいと思うのですが、違ってますでしょうか。 このような問題は、前提条件がわからないと何とも言えないですよね。 #当方、この手の非専門ですから、わからないですけどね。

chopper_v2011v
質問者

お礼

回答していただきありがとうございました(;^ω^A

  • pakuti
  • ベストアンサー率50% (317/631)
回答No.2

微妙な質問ですね。。。 NAT、IPマスカレードの技術だけではアプリケーションによっては通信不可です が、他の技術を利用する事で大抵は可能です。 で、FireWall機器などはその技術を利用している事を前面に出さずに NAT、IPマスカレードとして通信を行わせているものが多いかと思います。 >インターネットからプライベートIPアドレスを持つ組織内のホストに直接アクセスできないから 出題者に、「IPv6は絶対に普及しませんね!」と言ってやって下さい。 いまだに、大手企業や大学ではすべてがグローバルIPと言う環境もあるのに。。。 外から繋がせないって、他にも色々と手段はあるでしょうに。 こういう中途半端な知識の人が管理するネットワークがパンデミック状態になります。 #当方、この手の専門です

chopper_v2011v
質問者

お礼

回答していただきありがとうございました(;^ω^A

  1. カテゴリ
  2. [技術者向] コンピューター
  3. ITシステム運用・管理
  4. ネットワーク

関連するQ&A

  • NATとIPマスカレードについて

    シスアドレベルの ネットワーク勉強中です NAT/IPマスカレードは、「プライベートIP」⇔「グローバルIP」 に変換するとのことですが、これはルータがその役割を担っている ということですか? また、ルータを設置するときに NAT方式、IPマスカレード方式と どのように区別して使うのですか? ルータにあらかじめそれらを設定する機能があるのでしょうか??

  • 静的NATと静的IPマスカレードの違い

    静的NATと静的IPマスカレードで使用するIPアドレスが分りません。 プライベートアドレスとグローバルアドレスのIPアドレス1対1の変換をする 「静的NAT」方式だと、使用するIPアドレスは、インターフェースで使用するアドレス以外の アドレス空間(?)を使用するかと思うのですが、 「IPマスカレード」方式の場合はグローバルアドレスはインターフェースアドレスを使用するのでしょうか? しかも分からないのが、以下のサイトで LAN側の端末が外へNATして出ていく為に、DMZ側(グローバルアドレスが使われている)側のインターフェースアドレス となっています。 益々よく分からないのですが、どなたか違いを教えて頂けないでしょうか。 よろしくお願いします。 http://jp.yamaha.com/products/network/solution/multiple/

  • NATとIPマスカレードの違い

    表題の違いは下記の認識で間違っていないでしょうか? NATは単純にIPアドレスの変換を行う。 IPマスカレードはポートごとに変換するIPアドレスを制御することができる

  • IPマスカレードのセキュリティ

    僕は現在、ブロードバンドルーターをつけて、複数台でインターネットへの接続を行っています。で、質問なのですが、ルーターには、IPマスカレードの機能というのがあり、グローバルアドレスとプライベートアドレスの変換をしてくれていて、WAN側からはPCのプライベートアドレスは見えないという風に聞きました。それだけを聞くとセキュリティは万全じゃないのと思うのですが、セキュリティレベルは中程度と聞きました。では、ウィルスやハッカーたちは、プライベートアドレスが見えない状態でどうやって攻撃をしてくるんですか。(確かにメールによる感染はあるとおもいますが・・・)

  • アドレス変換の、IPマスカレードについての質問なのですが、「IPマスカ

    アドレス変換の、IPマスカレードについての質問なのですが、「IPマスカレードでは、送受信を一意に識別するために、MACアドレスとTCPまたはUDPポート番号の組み合わせを利用している」との問題なのですが、正解か誤りかで答えて、誤りならその理由も述べよ。とあるのですが、TCPかUDPヘッダー内のポート番号は変換すると思うのですが、この問題でMACアドレスって何か関係しているのでしょうか? 本やホームページで調べてみたのですが、MACアドレスが関係しているような内容が記載しているとこがなく、どうしてもこの問題だけ自身がなく、詳しい方からのアドバイスお願いいたします。 よろしくお願いいたします。

  • IPマスカレードとプロキシの併用

    IPマスカレードとプロキシは併用できるのでしょうか? 今、172.198.1.10のIPアドレスを持ったパソコンが、IPマスカレードにより、10.20.30.40(+ポート番号)に変換されるとして、その172.198.1.10のパソコンから、ブラウザでhttp接続するときに、プロキシサーバーに接続しにいきます。 もしプロキシ(delegateなど)で、プロキシ⇔クライアント間のポートを指定(例えば、-P8081)していた場合、IPマスカレードで付いたポートが必ずしも8081ではないので、通信できないような気がしています。 NATであれば、プロキシと併用することはできるのでしょうか?IPマスカレードとプロキシは併用できないのでしょうか。 どなたかご教授いただければと思います。

  • YAMAHA RT58iの”nat descriptor type * masquerade”文の書き方

    ひとつのグローバルIPアドレスに複数のポート公開を行う設定として次のような文が正しい設定かどうかわからず困っております。 特に”nat descriptor address inner”文の4つのローカルIPを登録する場合は、使用したいIPを”192.168.30.152 192.168.30.153 192.168.30.154 192.168.30.155”のように1個1個書いてもよいのでしょうか? ”192.168.30.152-192.168.30.155”のように記述しなければいけないのでしょうか? ご教授いただきますようお願い致します。 ********************(設定した内容)************************** nat descriptor type 4 masquerade nat descriptor address outer 4 ***.***.***.133 nat descriptor address inner 4 192.168.30.152 192.168.30.153 192.168.30.154 192.168.30.155 nat descriptor masquerade static 4 1 192.168.30.152 tcp 613 nat descriptor masquerade static 4 2 192.168.30.153 tcp 614 nat descriptor masquerade static 4 3 192.168.30.154 tcp 6000-6001 nat descriptor masquerade static 4 4 192.168.30.155 tcp 6002-6017 ******************************************************

  • RTX1200でNATを使ったIPアドレス変換

    RTX1200を2台LAN3どうしで繋いでいます。(ルータ1はVPNで本部と接続しています) ルータ1←→(LAN3)←→ルータ2 LAN2 → pppoe LAN1 → パソコン端末 ルータ1(LAN1):172.31.90.0/24 ルータ2(LAN2):192.168.90.0/24 ルータ2の配下に 192.168.90.9 のネットカメラをセットしました。 この状態で 本部から 172.31.90.9 と 入力することで 繋がるようにしたいのです。(他拠点も全部172.31.・・なんで全部統一したいとの要望・・・) 静的NATの変換で可能かと考え下記の設定を記述してみましたがうまくいきません。 もちろんルータ1から192.168.90.9には疎通しています。 ルータ1側に下記記述をしました。 ip route 192.168.90.0/24 gateway ルータ2 nat descriptor type 1 masquerade nat descriptor address outer 1 ipcp nat descriptor address inner 1 172.31.90.1-172.31.90.254 nat descriptor masquerade static 1 1 172.31.90.1 udp 500 nat descriptor masquerade static 1 2 172.31.90.1 esp nat descriptor type 2 nat-masquerade nat descriptor address outer 2 172.31.90.9 nat descriptor address inner 2 192.168.90.9 nat descriptor static 2 1 172.31.90.9=192.168.90.9 1 pp select 1 には ip pp nat descriptor 1 2 と記述しています。 DDNSなど提案しましたが、外部から見えてしまうのでNGとのことでした。 末筆で恐縮なのですが、お分かりの方ご教授お願いします。

  • 内部ネットワークでのマスカレードやプロキシの利用

    教えてください。 外部のインターネットとの接続でなく、 内部のLAN間(セグメントが異なるAというLANとBというLAN)で以下のようなものをルータで設定する場合に、どのようなことが実現できるか、又違いを教えていただけますでしょうか? 1.マスカレード   マスカレードを使うとフィルタリングと同じことができるか?   又NATやIPマスカレードや静的マスカレード等があり、違いがいまいち分かりません。   それぞれAのセグメントのIP情報が変換されてBのセグメントに入るので、セキュリティ上良い? 2.上に関連して、プロキシやリバースプロキシというものを使うと   ブラウザで同じような効果がある? よろしくお願いします。   

  • 静的IPマスカレードはなぜ必要なんですか?

    だって、わざわざ固定的にIPアドレスをと特定のポートを一つのアプリケーションに関連させなくても、動的にルーターがアドレスを割り当てるはずじゃないですか? それなのになぜ、静的関連づけてしまうんですか? 公開サーバにこの静的IPマスカレードがよく使われるときききここにしつもんします

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する