IPマスカレードのセキュリティ

こんにちは、疑問は尽きませんね。 さてご質問の件ですが、確かにNAPTが入りますと、セキュリティー的にずいぶんと高まりますが、万全というわけではありません。 一番に良い例が、今回のウイルス事件です。たまたま一般的なルーターがブロックする135番ポートへのアタックだったため、ルーターを使っていますと随分被害が低減されました。他のポート経由であればどうなったかわかりません。 要するに、ＩＰアドレス・ポート番号さえきちんとしていれば、素通しになってしまうわけです。そこで最近企業で取り入れられてきているのがIDSと呼ばれる物です。これですと、入ってきたパケットを統計的な手法により、そのパケットの中味を調べ判断するしくみです。 ここまでしないと、厳密な意味でのセキュリティーは確保できないようです。

ちょっとだけ.... #1の方が， > これは嘘です。 > パケットの中を見ればわかりますよ。 と書かれていますが，これが嘘です． ブロードバンドルーターがプライベートIPアドレスとグローバルIPアドレスの書き変えをおこなうので，本来成立しない通信が成立しているのです． ごくまれに、パケットの中のデータ部分(ペイロードと言います)に自分の発信IPアドレスを埋めこむアプリケーション(たとえばNetMeeting)がありますが，ここにはプライベートアドレスが入ります。 ですが、このような一部の例外を除き、WAN側にプライベートIPアドレスがでることはありません。 セキュリティと言う意味では、すでに他の方が書き込まれている通りです。自分で外部から何かを拾ってさえ来なければ、NATはかなり安全です。 ただし、ルーターのDMZ機能を利用している場合は、ルーター無しで接続されているのと同じ状況になっている可能性がありますので、注意して下さい。

>セキュリティは万全じゃないのと思うのですが IPマスカレードは、LAN内からWAN側に接続して場合にIPアドレスとポート番号を 変換し、変換テーブルをルータに保持して、応答パケットを逆変換して LAN内に返すものです。 ですから、通常はWAN側からLAN側に接続開始をすることはできません。 しかし、場合によってはポートを開けることもありますし、UPnPやルータに セキュリティホールがあればアタックされることがないとは言い切れません。 でも、かなり安全になることは間違いありません。 外部から直接アタックされない場合でも、Webなどで、LAN側から接続した場合に、 意識的あるいは無意識に取り込んで（ダウンロードして）しまうことも ありますので、パーソナルファイアウォールとかウィルス対策ソフトなどで 守る必要があります。 http://www.atmarkit.co.jp/fpc/special/bbrouter_desc/ipmasq_nat.html

ネットワークセキュリティ勉強中のものです。 一例として、IPマスカレード環境は内側のIPアドレスは外側には見えませんからping攻撃のようなクラッキングに対しては大丈夫かもしれませんが、ホームページに不正なスクリプトを埋め込んで読み込ませる等の攻撃に対しては無力です。 もちろん、winnyなどで落としたファイルに不正ファイルがあることも考えられるでしょう。 このようにして、何らかの形で内側に細工を仕掛けられたら（いわゆるバックドアやトロイの木馬）そこを攻撃の起点として被害を受けると言うことになります。 そこで、最近のブロードバンドルータでは単にIPマスカレードでアドレスを秘匿するだけではなく、読み込もうとしているデータの一貫性をチェックして不正なデータが含まれていないかを検査するステートフルインスペクションという機能が付加されていたりします。

＞WAN側からはPCのプライベートアドレスは見えない これは嘘です。 パケットの中を見ればわかりますよ。