2007年07月31日 - ブロードバンドルーターのNAT機能はファイアーウォールじゃない - 適切な設定が必要
3週間前のITmediaの記事を読んで。
山賀正人署名記事の内容そのものはおかしなものではないし、是非とも薦めたいんだけど、一つ説明不足な点がある。
確かにNAT機能を利用すれば、外部よりのコネクションも関係無いトラフィックはブロックされるだろう、LANなどローカルセグメントに位置する内部のパソコンに対しては。
(正しくはIPマスカレードなのだろう、だがどうでいい話)
山賀正人氏に対してどうこう言う目的では無いんですよ。
よく「ルーターを使え!」と安易に教条的に促す方なりサイトを目にして、もう一歩進めて解説してもらえたらばなぁと。
IPフォワーディング(IP forwarding)機能やサーバー公開機能とかその他諸々の呼び名で呼ばれる機能がある。
外部より送信された通信を、ブロードバンドルーターが設定するLANでのローカルセグメントに転送してしまう機能だ。
利用目的としては、サーバーを公開するとか(Webサーバーを公開するには、ポートフォワーディング機能の方がより望ましいんだろうけど)。
UPnP機能を利用できない場合にとかオンラインゲームで難儀な設定を避けたい場合に、幾つかのサイトにて堂々と推奨されていたものだ(今時の製品では大分改善されているんだろうけど、オンラインゲームとかやってないし知らない)
ざっと簡単にまとめてみる。
だから理想的には、ブロードバンドルーターの設定画面よりデフォルトではないパスワードを設定し。
外部よりブロードバンドルーターの設定画面に接続できないよう設定し。
ファームウェアを極力最新のものにするよう更新し。
ポートフォワーディングやIPフォワーディングの利用には注意を払わなければならない。
安易に「NATを使えば安全」と喧伝するのも、どうかなぁと違和感を感じます。
多くの質問掲示板でのやりとりにて、同様の回答を見かけたものです。
「ルーターを使え、そうすれば安全だ!」と。
ADSLモデムと呼称されるものには、ルーター型とモデム型と大別されるものがあり、後者はグローバルIPアドレスはブロードバンドルーターではなくネットに接続するパソコンに割りあてられ、外部よりのトラフィックが丸ごと転送されたりする。
ISDNならば、ダイヤルアップルーターとTA(ターミナルアダプタ)が相当するのかな。コネクションをネットワーク機器が維持するのか個別のパソコンが維持するのかの違いとして。
NATを利用しているように見えて、実は利用していない。ADSLモデムがルーター型ではなかったとか。
そんな事例により相談者と回答者のやりとりが噛みあわない例を眺め。
どうしたらば回答者は、容易に質問者の環境を判別できるのかなぁと。
判別する方法として、グローバルIP addressかプライベートIP addressかを書かせ判断するのは一手ですが。
ケーブルテレビでの接続とかマンション収容タイプとか建物内部でのLANもあり、更にはプライベートIPアドレスであっても他の利用者が他人で信用できるのかわからない場合はどうなのよとか。
(今度はSniffingなどの可能性が検討項目に加えられます)
ネット上での相談や電話でのやりとりに応じるのは、難しいものがありますね。
関係無い話ですが。「Outlookでの問題」として相談される事例の半分は、OutlookではなくOutlook Expressだったりします。
山賀正人署名記事の内容そのものはおかしなものではないし、是非とも薦めたいんだけど、一つ説明不足な点がある。
手元のPCを、ネットワークケーブルで直接、ADSLモデムや光ファイバの回線終端装置に接続するといった形態だろうか? その場合は間にブロードバンドルータをはさみ、インターネットに直接PCを接続する状態をやめるべきだ。
一般にブロードバンドルータには、標準でNAT(アドレス変換)機能が搭載されている。NAT機能を利用すると、結果的にファイアウォールを導入したのと同様に、外部からPCへのアクセスが制限される。
>Windows 98やMeをこのまま使い続けるべきではない理由 (2/2)(ITmedia エンタープライズ)
確かにNAT機能を利用すれば、外部よりのコネクションも関係無いトラフィックはブロックされるだろう、LANなどローカルセグメントに位置する内部のパソコンに対しては。
(正しくはIPマスカレードなのだろう、だがどうでいい話)
山賀正人氏に対してどうこう言う目的では無いんですよ。
よく「ルーターを使え!」と安易に教条的に促す方なりサイトを目にして、もう一歩進めて解説してもらえたらばなぁと。
ブロードバンドルーターの機能と設定に関するまとめ
IPフォワーディング(IP forwarding)機能やサーバー公開機能とかその他諸々の呼び名で呼ばれる機能がある。
外部より送信された通信を、ブロードバンドルーターが設定するLANでのローカルセグメントに転送してしまう機能だ。
利用目的としては、サーバーを公開するとか(Webサーバーを公開するには、ポートフォワーディング機能の方がより望ましいんだろうけど)。
UPnP機能を利用できない場合にとかオンラインゲームで難儀な設定を避けたい場合に、幾つかのサイトにて堂々と推奨されていたものだ(今時の製品では大分改善されているんだろうけど、オンラインゲームとかやってないし知らない)
ざっと簡単にまとめてみる。
- IPアドレスを決め打ちした特定ホストを狙った通信であっても、ブロードバンドルーターまでにしか届かないからNATは安全だ?
- http://(IPアドレス)/ のアドレスで、誰かのブロードバンドルーターの設定画面に接続できる事例は下らない話ですが
- ブロードバンドルーターのパスワードとID(Semplice, 2005年1月15日)で紹介したように、初期パスワードのまま運用されているブロードバンドルーターは多数存在するので、外部から容易にクラックできちゃったりする。
- 不特定多数を狙った攻撃ならば、ブロードバンドルーターの設定画面に含まれる文字列をGoogleなどで検索すれば良い。幾らでも見つかるし、幾つかは初期パスワードである可能性がある。
- 想定できる危険性として、ブロードバンドルーターが利用するDNSサーバーを、悪意がある人物が設定したDNSサーバーに設定し、ファーミング詐欺を行える可能性がある。
- http://(IPアドレス)/ のアドレスで、誰かのブロードバンドルーターの設定画面に接続できる事例は下らない話ですが
- 「NATを利用していれば、構築されたローカルセグメント内部のホストには届かず、ブロードバンドルーターにしか届かない」のは設定次第
- IPフォワーディング(IP forwarding)機能やサーバー公開機能、簡易DMZ機能と呼ばれる設定を利用していると、NATを利用していても外部より発信されたコネクションが無い通信が、ローカルセグメント(つまり家庭内LANのパソコン)にルーティングされてしまう。
- IPフォワーディング(IP forwarding)機能やサーバー公開機能、簡易DMZ機能と呼ばれる設定を利用していると、NATを利用していても外部より発信されたコネクションが無い通信が、ローカルセグメント(つまり家庭内LANのパソコン)にルーティングされてしまう。
だから理想的には、ブロードバンドルーターの設定画面よりデフォルトではないパスワードを設定し。
外部よりブロードバンドルーターの設定画面に接続できないよう設定し。
ファームウェアを極力最新のものにするよう更新し。
ポートフォワーディングやIPフォワーディングの利用には注意を払わなければならない。
安易に「NATを使えば安全」と喧伝するのも、どうかなぁと違和感を感じます。
質問者の環境を判別する難しさ
多くの質問掲示板でのやりとりにて、同様の回答を見かけたものです。
「ルーターを使え、そうすれば安全だ!」と。
ADSLモデムと呼称されるものには、ルーター型とモデム型と大別されるものがあり、後者はグローバルIPアドレスはブロードバンドルーターではなくネットに接続するパソコンに割りあてられ、外部よりのトラフィックが丸ごと転送されたりする。
ISDNならば、ダイヤルアップルーターとTA(ターミナルアダプタ)が相当するのかな。コネクションをネットワーク機器が維持するのか個別のパソコンが維持するのかの違いとして。
NATを利用しているように見えて、実は利用していない。ADSLモデムがルーター型ではなかったとか。
そんな事例により相談者と回答者のやりとりが噛みあわない例を眺め。
どうしたらば回答者は、容易に質問者の環境を判別できるのかなぁと。
判別する方法として、グローバルIP addressかプライベートIP addressかを書かせ判断するのは一手ですが。
ケーブルテレビでの接続とかマンション収容タイプとか建物内部でのLANもあり、更にはプライベートIPアドレスであっても他の利用者が他人で信用できるのかわからない場合はどうなのよとか。
(今度はSniffingなどの可能性が検討項目に加えられます)
ネット上での相談や電話でのやりとりに応じるのは、難しいものがありますね。
関係無い話ですが。「Outlookでの問題」として相談される事例の半分は、OutlookではなくOutlook Expressだったりします。
この記事へのトラックバックURL
http://app.blog.livedoor.jp/lucanian/tb.cgi/50982746
この記事へのコメント
Outlook ExpressをOutlookと略すのは、日本独特の略し方です。例えば、Los AngelesをLosというのと同じです。Super Marketを単にSuperというのも同じ。この手法だと、Superman(Super Man)も単にSuperとなってしまう。
正しい略し方は、Los Angeles→L.A.にならい、Outlook Express→O.E.、Internet Explorer→I.E.となる訳です。
で、OutlookはOfficeのなかのひとつなので有料、IEとOEはOSにバンドルされたもので、半ば有料のもの、以上を理解する必要があるわけですが、大半の人は理解していませんね。
OSですら、PCの価格に含まれていることも理解していませんから。
正しい略し方は、Los Angeles→L.A.にならい、Outlook Express→O.E.、Internet Explorer→I.E.となる訳です。
で、OutlookはOfficeのなかのひとつなので有料、IEとOEはOSにバンドルされたもので、半ば有料のもの、以上を理解する必要があるわけですが、大半の人は理解していませんね。
OSですら、PCの価格に含まれていることも理解していませんから。
Posted by ベルモンツ
at 2007年07月31日 23:39
同じような事を苦慮してますね。
自分も違いを聞かれたらば、OEはIEバンドル、OutlookはOfficeバンドルと説明してます。
電話での相談で「おや?」と思った際には、「アイコンは青色か薄茶色かどっち?」と聞いてます。
自分も違いを聞かれたらば、OEはIEバンドル、OutlookはOfficeバンドルと説明してます。
電話での相談で「おや?」と思った際には、「アイコンは青色か薄茶色かどっち?」と聞いてます。
Posted by Luca
at 2007年08月01日 21:24
ボット駆除活動宣言 http://www.botkujo.jp/point/index.html より引用。
[quote]point3. ブロードバンドルータを導入する
あなたのパソコンは常にインターネット側から感染攻撃を受けています。ところが、ブロードバンドルータを用いて接続すれば、そのNAT機能により感染攻撃から効果的に守ることができます。パソコンが1台のみでもブロードバンドルータを導入しましょう。[\quote]
[quote]point3. ブロードバンドルータを導入する
あなたのパソコンは常にインターネット側から感染攻撃を受けています。ところが、ブロードバンドルータを用いて接続すれば、そのNAT機能により感染攻撃から効果的に守ることができます。パソコンが1台のみでもブロードバンドルータを導入しましょう。[\quote]
Posted by itochan
at 2008年02月05日 03:05
自分はこのエントリ中にて以下の2点を取り上げており。
1)NATルーターはファイアーウォールではない、役割や機能は全く異なる
2)ブロードバンドルーターは、適切な設定が必要
紹介していただいた記事には安易に賛同できず、情報としての価値を見出せません。
1)NATルーターはファイアーウォールではない、役割や機能は全く異なる
2)ブロードバンドルーターは、適切な設定が必要
紹介していただいた記事には安易に賛同できず、情報としての価値を見出せません。
Posted by Luca
at 2008年02月05日 22:48
