- ベストアンサー
プライベートネットワーク内PCがグローバルIPを知る方法
市販のBBルータで、WAN側はプロバイダから配られたIPとして、LAN側はクラスCのプライベートネットワークを設定しそれに接続したPCがあるとします。 この時プライベート側のPCがWAN側のIPを知る方法はどのようなものがあるでしょうか。 ネットワークツールを利用すると簡単に分かるわけですが、実際ソフト・ハードのどれが答えてるのかとても気になります。 (というか、パケットに内包されているのでしょうか・・・) よろしくお願いいたします。
- みんなの回答 (8)
- 専門家の回答
質問者が選んだベストアンサー
> 質問する前に確認したところ社内LANのルータが表示されなかったため(Vista、XPのtracert、tracerouteツール)思考の候補から外れていました。 > 恐らく応答しない設定かと思います。(しかしrequest time outにもなりませんでした)。 念のためにパケットキャプチャしながらtracertしてみてはどうでしょう? source addressにルータのIPアドレスが入ったパケットが帰ってきているかも........ あと、WindowsのtracertとUNIX系のtracerouteでは投げるパケットが違うため、片方が通っても片方が通らない場合があります (UNIX系のtracerouteは-IオプションでWindowsに合わせたパケットを投げられます) もしtracertしか試されていないようであれば、念のためtracerouteも試してみるといいかもしれません(マシンがあればですが) > この環境ですと、やはり総当たり攻撃しかないでしょうか? 総当たりまで行かなくても、ルータに割り当てられそうな192.168.x.1(ダメならクラスA,B)当たりをスキャンして、応答があったらそのネットワークをsweepする、という感じで行えばそれほど時間はかからないかもしれません > ちょっと私の会社の体質から考えると、ADSL回線を1本引くほうがあっさり通りそうな気がしております。 最終的には、 ・どのくらいセキュリティを保つか ・イニシャルコスト(機器コスト)とランニングコスト(回線費用) の天秤になるかと思います もしフレッツADSLなら、物理回線が1本でもPPPoEが2本張れますから、ISP契約だけ2契約して、ADSLモデムからHUBで分岐してルータを2台並列につないで2つのNWを接続、みたいなことができますね
その他の回答 (7)
- 774danger
- ベストアンサー率53% (1010/1877)
> 逆に、営業さんPCのウィルスが社内LANのネットワークアドレスがなんなのか調べる為にはブルートフォースしていくしかないのでしょうか? > もっと簡単に解ってしまうものでしょうか? そんなことしなくても、適当にグローバルアドレスにtracerouteしたら社内LANのルータのアドレスが2段目に見えるでしょうから、そのIPアドレスを元にping sweepするだけでしょう ものの数分もあれば簡単にわかります だいたい、NATをかけるべき方向が逆ですよね (というかファイヤウォール等も含めて考えたらルータのWANとLAN自体が逆かと) 今の状態では営業PCのIPアドレスを変換して隠蔽しているので、社内LAN側は丸見えで営業PCが守られた状態です 社内LANとは通信できないようにしてインターネットにつながせたいのであれば、 http://www.allied-telesis.co.jp/solution/vlan/index.html のようなマルチプルVLANを切れるSW-HUBを入れるとか、値段ははりますが http://www.blwisdom.com/word/key/000434.html 認証VLANの仕組みを入れて、認証ができたら社内LAN、できなかったらインターネットに接続するだけのLANにつながせるとか予算次第でいろいろ方法はあります
お礼
ご回答ありがとうございました。 > そんなことしなくても、適当にグローバルアドレスにtracerouteしたら... 言われてみればその通りです。しかし質問する前に確認したところ社内LANのルータが表示されなかったため(Vista、XPのtracert、tracerouteツール)思考の候補から外れていました。 恐らく応答しない設定かと思います。(しかしrequest time outにもなりませんでした)。 ↑この環境ですと、やはり総当たり攻撃しかないでしょうか? また、ご提案についてもありがとうございます。 ちょっと私の会社の体質から考えると、ADSL回線を1本引くほうがあっさり通りそうな気がしております。 検疫NWが張れれば一番いいのですが・・・。
- chiezo2005
- ベストアンサー率41% (634/1537)
#4です。 社内のLANにBBルータをつないでそこに他社の営業さんのPCをつないで 使うと理解しました。 他社の営業さんは自社のLANをスルーして社外へアクセスしてほしかったが 実は他社の営業さんから自社のLANが見えてしまっていたということでしょう。 BBルータのデフォルト設定では見えて当たり前です。 BBルータから見たら社内LANがWANと同じで,WANのマシンは IPアドレスがわかれば見えますから・・・ こうならないためには, 他社PC→BBルータ→自社の社外ゲートウェイとなっていると思いますが, このBBルータの設定として ・BBルータのLAN側からのアクセスはすべて社外ゲートウェイへ。 ・BBルータのWAN側はゲートウェイ以外の社内LANからのパケットはすべて拒絶 としておく必要があります。
お礼
ご回答ありがとうございました。 > 他社の営業さんは自社のLANをスルーして社外へアクセスしてほしかったが > 実は他社の営業さんから自社のLANが見えてしまっていたということでしょう。 いえ、厳密には私がBBルータ配下にPCを接続し、社内LANの端末にPINGを打ったところ到達した次第です。 > BBルータから見たら社内LANがWANと同じで,WANのマシンは > IPアドレスがわかれば見えますから・・・ アドバイスありがとうございます。 そうですよね。でなければ買ってすぐネットに接続出来るわけがない・・・。 逆に、営業さんPCのウィルスが社内LANのネットワークアドレスがなんなのか調べる為にはブルートフォースしていくしかないのでしょうか? もっと簡単に解ってしまうものでしょうか? > ・BBルータのLAN側からのアクセスはすべて社外ゲートウェイへ。 > ・BBルータのWAN側はゲートウェイ以外の社内LANからのパケットはすべて拒絶 アドバイスありがとうございます。 早速ルータの設定を見てみると・・・そこまで細かくフィルタリング出来ないもののようで・・・ この点についてはNW管理者に(F/W、別回線など含め)相談してみます。
- 774danger
- ベストアンサー率53% (1010/1877)
> 実は、自社のLANに他社営業の方のPCを接続する際、自社LAN~BBルータ(NAT)~営業さんPCという接続をしているのですが、昨日、NAT環境でも > 自社LANへアクセス可能だということを知り、実際ネットワークツールでも確認し驚愕してしまいました。 このBBルータですが、どういう設定なのでしょうか? どちらがWANでどちらがLANなのかもよくわかりませんが....... このNATというのがNAPTではなく純粋にNATだとしたら通信できるのは当たり前です WAN側がPCで、NAPTだとしても、ポートフォーワーディング(ポートマッピング/ポート開放)の設定をしていれば、外部からアクセス可能です
お礼
ご回答ありがとうございました。 結果を簡単にANo.6さんのお礼に記述しましたので良ければご参照ください。
- chiezo2005
- ベストアンサー率41% (634/1537)
質問が微妙でちょっと意図がわかりにくいですが・・・ LAN内のPCがルータのグローバルIPを知る方法はそれこそいろいろ ありえますが, 普通にLAN内を流れているIPパケットからは知ることができません。 つまり ご質問のパケットに内包されているかということに対しては, ルータに届いたin-boundのパケットのヘッダについている 宛先IPであるルータのグローバルIPはLAN内のPCのプライベートIPに 書き換えられてしまうので,通信しているIP自身からは 知ることはできません。 ルータにアクセスするなり,何らかのグローバルIPを知る手段が必要になります。
補足
ご回答ありがとうございました。 なるほど、パケットには書かれてないわけですね・・・(パケットキャプチャすれば良かったですね)。 質問が微妙になってしまいすみませんでした。 例えを自宅のネットワーク環境のように書いてしまったため、質問内容が曖昧になってしまいました。 実は、自社のLANに他社営業の方のPCを接続する際、自社LAN~BBルータ(NAT)~営業さんPCという接続をしているのですが、昨日、NAT環境でも自社LANへアクセス可能だということを知り、実際ネットワークツールでも確認し驚愕してしまいました。 Broadcast対策になるとしても、ある程度高機能のボットに感染しているPCならBBルータを超えて自社LANに接続してしまうなと… この対策も必要なのですが、まずはNAT配下のPCがどのようにBBルータのWAN側IPを知ることが出来るのか、とても疑問に思ったのです。というか技術的に非常に興味があります。 申し訳ありませんが、引き続きご教授お願い致します。
- PXU10652
- ベストアンサー率38% (777/1993)
「この時プライベート側のPCがWAN側のIPを知る方法はどのようなものがあるでしょうか。」 PC自体はグローバルアドレスを知る必要はありません。DNSで相手のアドレスを調べ、それが自分(PC)が属しているサブネットと違うことが分かれば、デフォルトゲートウェイ(ルータ)に中継を依頼するだけです。ルータは、NAT機能を使ってPCのIPアドレスをプロバイダから与えられたアドレスに変換して、インターネットに流すので、元のPCのアドレスはインターネットには流れません。(元のPCのアドレス自体がプライベートアドレスなので、それが分かったところで、インターネット側からは特定できません。) サーバから応答のパケットが来たら、ルータが宛先のアドレスを元のPCのアドレスに戻して、LAN側に流します。 IPアドレスがパケットに内包されるのは、ルータ間の通信(中継)のときだけです。詳細は市販のTCP/IPの解説本やこちらをごらん下さい。↓ http://ja.wikipedia.org/wiki/%E3%83%AB%E3%83%BC%E3%82%BF
お礼
ご回答ありがとうございました。 使用状況を記述しましたので、宜しければANO.4さんの補足をご覧ください。
- 774danger
- ベストアンサー率53% (1010/1877)
ルータに接続して確認できないのであれば、 http://www.ugtop.com/spill.shtml あたりに接続してみるとか............
お礼
ご回答ありがとうございました。 使用状況を記述しましたので、宜しければANO.4さんの補足をご覧ください。
- e0_0e_OK
- ベストアンサー率40% (3382/8253)
ルーターの接続情報(ログ)で分かりませんか。私はNTTのPR-200NEですが「Web設定」画面で確認できます。
お礼
ご回答ありがとうございました。 使用状況を記述しましたので、宜しければANO.4さんの補足をご覧ください。
お礼
ご回答ありがとうございました。 また、現場レベルのアドバイスも大変参考になりました。 参考にいたします。 ありがとうございました。