YAMAHA業務向けルーター運用構築スレッドPart9
natのmasqueradeについて疑問があります。
マスカレードだけでどれだけ外部からの攻撃から保護することができるかという疑問です。
マスカレードの管理テーブルは、相手先アドレスを管理して、その相手先からのパケットしか内部に透過させないのでしょうか。
それなら、その相手が安全だとするなら、静的動的フィルタなしでマスカレードだけでも十分、内部ネットワークを保護できると思うのですが。
この考え方は正しいでしょうか。
よろしくお願いします。
マスカレードだけでどれだけ外部からの攻撃から保護することができるかという疑問です。
マスカレードの管理テーブルは、相手先アドレスを管理して、その相手先からのパケットしか内部に透過させないのでしょうか。
それなら、その相手が安全だとするなら、静的動的フィルタなしでマスカレードだけでも十分、内部ネットワークを保護できると思うのですが。
この考え方は正しいでしょうか。
よろしくお願いします。
|
|
|
>>594
動的なNAT/NAPT(IPマスカレード)で遮断できるパケットは
「NATの外側アドレス」を宛先とするパケットのみだよ。
LAN内のアドレス宛てなど、ルーティングテーブルに存在するネットワークの
アドレスを宛先とするパケットは、NATを介さずにルーティングされてしまう。
動的なNAT/NAPT(IPマスカレード)で遮断できるパケットは
「NATの外側アドレス」を宛先とするパケットのみだよ。
LAN内のアドレス宛てなど、ルーティングテーブルに存在するネットワークの
アドレスを宛先とするパケットは、NATを介さずにルーティングされてしまう。
>LAN内のアドレス宛て
NATのインナー側がプライベートアドレスで構築しているなら、
インターネット側からは直接アクセスされないですよね。
>「NATの外側アドレス」
これは、PPインタフェイスのアドレスですよね。(nat descriptor masquerade の場合)
内側ネットワークがグローバルアドレスで構築されているようなネットワークを扱ったことがないので、
NATはグローバルとプライベートを隔てる壁のようなイメージで捉えてしまいます。
それだと拙い(まずい)んだと今日、初めて気づきました。ありがとうございます。
でもまだ、すっきりとわからないなあ。
グローバルで内側ネットワークを組んだらわかるんだろうか。
NATのインナー側がプライベートアドレスで構築しているなら、
インターネット側からは直接アクセスされないですよね。
>「NATの外側アドレス」
これは、PPインタフェイスのアドレスですよね。(nat descriptor masquerade の場合)
内側ネットワークがグローバルアドレスで構築されているようなネットワークを扱ったことがないので、
NATはグローバルとプライベートを隔てる壁のようなイメージで捉えてしまいます。
それだと拙い(まずい)んだと今日、初めて気づきました。ありがとうございます。
でもまだ、すっきりとわからないなあ。
グローバルで内側ネットワークを組んだらわかるんだろうか。
IP Spoofingって、送信元IPアドレスを詐称することでしょ。
NATのアドレスに詐称されたとき、何か問題が発生するわけ?
NATのアドレスに詐称されたとき、何か問題が発生するわけ?
>>596
百聞は一見に如かず。実験してみれば判るよ。
グローバルアドレスかどうかは関係ない。
[PC2] 192.168.2.2
│
─────── 192.168.2.0/24
│
│LAN2:192.168.2.1
[RT58i]
│LAN1:192.168.1.1
│
─────── 192.168.1.0/24
│
[PC1] 192.168.1.2
[PC1][PC2][RT58i]は送受信したパケットのログを取っておく。
[PC1][PC2]はRTシリーズ等で代用してもよい。
[PC1]に設定するデフォルトゲートウェイは192.168.1.1
[PC2]に設定するデフォルトゲートウェイは192.168.2.1
LAN2にIPマスカレードを掛けた場合のパケットの流れ
1 [PC2]が[PC1]宛てのパケットを送信する。送信元:192.168.2.2 宛先:192.168.1.2
2 [RT58i]が受信する。
3 [RT58i]はパケットをLAN1側にルーティングする。
4 [PC1]がパケットを受信する。送信元:192.168.2.2 宛先:192.168.1.2
5 [PC1]が[PC2]宛ての応答パケットを送信する。送信元:192.168.1.2 宛先:192.168.2.2
6 [RT58i]が受信する。
7 [RT58i]はパケットを動的IPマスカレードしてLAN2側から[PC2]へ送信する。送信元:192.168.2.1 宛先:192.168.2.2
8 [PC2]がパケットを受信する。送信元:192.168.2.1 宛先:192.168.2.2
9 [PC2]がパケットを破棄する。
10 通常のアプリケーションでは通信不成立、攻撃を意図したアプリケーションでは攻撃成立。
百聞は一見に如かず。実験してみれば判るよ。
グローバルアドレスかどうかは関係ない。
[PC2] 192.168.2.2
│
─────── 192.168.2.0/24
│
│LAN2:192.168.2.1
[RT58i]
│LAN1:192.168.1.1
│
─────── 192.168.1.0/24
│
[PC1] 192.168.1.2
[PC1][PC2][RT58i]は送受信したパケットのログを取っておく。
[PC1][PC2]はRTシリーズ等で代用してもよい。
[PC1]に設定するデフォルトゲートウェイは192.168.1.1
[PC2]に設定するデフォルトゲートウェイは192.168.2.1
LAN2にIPマスカレードを掛けた場合のパケットの流れ
1 [PC2]が[PC1]宛てのパケットを送信する。送信元:192.168.2.2 宛先:192.168.1.2
2 [RT58i]が受信する。
3 [RT58i]はパケットをLAN1側にルーティングする。
4 [PC1]がパケットを受信する。送信元:192.168.2.2 宛先:192.168.1.2
5 [PC1]が[PC2]宛ての応答パケットを送信する。送信元:192.168.1.2 宛先:192.168.2.2
6 [RT58i]が受信する。
7 [RT58i]はパケットを動的IPマスカレードしてLAN2側から[PC2]へ送信する。送信元:192.168.2.1 宛先:192.168.2.2
8 [PC2]がパケットを受信する。送信元:192.168.2.1 宛先:192.168.2.2
9 [PC2]がパケットを破棄する。
10 通常のアプリケーションでは通信不成立、攻撃を意図したアプリケーションでは攻撃成立。
600 : [―{}@{}@{}-] anonymous:2011/04/30(土) 09:56:25.82 ID:???
>>599
マスカレードしたら1〜5の通信は成立しないよ
4でNATされてないのはおかしいでしょ
そもそもどっちがouterでどっちがinnerよ?
マスカレードを論じるならその前提が明確じゃないと
論点がおかしくなるよ
マスカレードしたら1〜5の通信は成立しないよ
4でNATされてないのはおかしいでしょ
そもそもどっちがouterでどっちがinnerよ?
マスカレードを論じるならその前提が明確じゃないと
論点がおかしくなるよ
>>600
>>599の図の[RT58i]はRT57iで、[PC1]はRTA55iで代用してやってみた。
[PC] 192.168.2.2
│
─────── 192.168.2.0/24
│
│LAN2:192.168.2.1
[RT57i]
│LAN1:192.168.1.1
│
─────── 192.168.1.0/24
│
[RTA55i] 192.168.1.2
[PC]に設定したデフォルトゲートウェイは192.168.2.1
[RTA55i]に設定したデフォルトゲートウェイは192.168.1.1
RT57i Rev.8.00.95 のコンフィグ
ip lan1 address 192.168.1.1/24
ip lan2 address 192.168.2.1/24
ip lan2 nat descriptor 1
nat descriptor type 1 masquerade
nat descriptor address outer 1 primary
方法:[PC]のWEBブラウザでhttp://192.168.1.2/ へアクセスした。
RTA55iのログ
2011/04/30 13:53:15: LAN1 Passed at IN(100001) filter: TCP 192.168.2.2:3442 > 192.168.1.2:80
2011/04/30 13:53:15: LAN1 Passed at OUT(100002) filter: TCP 192.168.1.2:80 > 192.168.2.2:3442
>>599の図の[RT58i]はRT57iで、[PC1]はRTA55iで代用してやってみた。
[PC] 192.168.2.2
│
─────── 192.168.2.0/24
│
│LAN2:192.168.2.1
[RT57i]
│LAN1:192.168.1.1
│
─────── 192.168.1.0/24
│
[RTA55i] 192.168.1.2
[PC]に設定したデフォルトゲートウェイは192.168.2.1
[RTA55i]に設定したデフォルトゲートウェイは192.168.1.1
RT57i Rev.8.00.95 のコンフィグ
ip lan1 address 192.168.1.1/24
ip lan2 address 192.168.2.1/24
ip lan2 nat descriptor 1
nat descriptor type 1 masquerade
nat descriptor address outer 1 primary
方法:[PC]のWEBブラウザでhttp://192.168.1.2/ へアクセスした。
RTA55iのログ
2011/04/30 13:53:15: LAN1 Passed at IN(100001) filter: TCP 192.168.2.2:3442 > 192.168.1.2:80
2011/04/30 13:53:15: LAN1 Passed at OUT(100002) filter: TCP 192.168.1.2:80 > 192.168.2.2:3442
602 :[email protected]:2011/04/30(土) 15:24:38.18 ID:???
ちょっと別アドレスですけど58iで試しました。
ping 192.168.100.1に打って、599のとおりでした。
ip lan1 address 192.168.100.1/24
ip lan2 address 192.168.200.1/24
ip lan2 nat descriptor 1
nat descriptor type 1 masquerade
nat descriptor address outer 1 primary
nat descriptor address inner 1 auto
とはいえ、現実問題として
lan1側のアドレス体系なりアプリの種類なりを
知るのは難しいでしょうね。
ping 192.168.100.1に打って、599のとおりでした。
ip lan1 address 192.168.100.1/24
ip lan2 address 192.168.200.1/24
ip lan2 nat descriptor 1
nat descriptor type 1 masquerade
nat descriptor address outer 1 primary
nat descriptor address inner 1 auto
とはいえ、現実問題として
lan1側のアドレス体系なりアプリの種類なりを
知るのは難しいでしょうね。