インターネット上のサービス

通常、特別なことをしなくても利用できますよね
… 不思議に思いませんか？

インターネットは、グローバルアドレス

① 重複

応答すべき宛先が分からないはず ...


プライベートアドレスでインターネットへアクセスできるのはなぜ ？？？
・プライベートアドレスとグローバルアドレス
　・ 直接通信できない！！
・組織内のプライベートアドレス
　・通常、プライベートアドレスがインターネット上に流れることはない
　　・ ルータが破棄するから
・グローバルアドレスの宛先と通信できるのはなぜ？
　・プライベートアドレスとグローバルアドレスを 相互に変換してるから
　・変換は誰がやってる？
　　・プライベートネットワークとインターネットを接続する ルータ

ルータが行う変換作業

① アドレス変換表(テーブル)
② P2→X　③ G→X　④ G←X　⑤ P2←X
この仕組みを、 NAT( Network Address Translation)という

この仕組みで何か問題はないか？

P2の インターネットアクセス中、他のPCはインターネット接続不可

NATは外部接続数に上限がある
・プライベートアドレスとグローバルアドレスの変換は、 1対1
　・外部接続できるPC数 = グローバルアドレス数
　・使用できるグローバルアドレスは、通常1~数十個
　　・浜工は8個(218.44.230.0/29)
　　・家庭用のBBルータなどは、1個(しかも、固定IPでない)
　・組織内で使用するプライベートアドレス数は、グローバルアドレス数よりずっと多い
・組織内の全PCを外部接続可能にしたい
　・どうする？

組織内の全PCを外部接続可能にしたい
・解決策１ … グローバルアドレスを増やす
　・現実的ではない
　・プライベートアドレスと 同数のグローバルアドレスが必要
　・新たにグローバルアドレスを取得することは非常に困難
　　・IPv4アドレスは既に枯渇している
　・仮にできたとしても …
　　・これではプライベートアドレスアドレスを使う 意味がない
・解決策２ … IPv6を使う
　・IPv4ネットワークとの相互接続には、 別の技術が必要
　　・IPv6 と IPv4 は別プロトコル（ 互換性なし）
　・IPv6に 非対応の機器やOSは交換が必要

・現実解は？
　・その前に、ちょっと寄り道
　　　… ネットワークアプリケーションの通信方式を見てみましょう

ネットワークアプリケーションの通信
クライアント・サーバモデル

① ポート番号　② OS
③ クライアント　④ サーバ　　　

組織内のPCを外部接続可能にしたい
・クライアント・サーバモデルを前提 … 考えられる現実解は？
　・ IPアドレスとポート番号のペアを変換対象にする


① P2:1000 → X:80　② G:5002 → X:80

NAPT(Network Address Port Translation)
・IPアドレスとポート番号のペアを変換対象にしたアドレス変換
・NAPTは、1つのグローバルアドレスを複数クライアントで共有
　・複数のクライアントが、同時に外部接続可能
　
　① P3:1000 → X:80　② G:5001 → X:80
　③ P1:1000 → X:80　④ G:5003 → X:80

　・戻りパケットも正しく受信できる
　
　① G:5001 ← X:80　② P3:1000 ← X:80
　③ G:5003 ← X:80　④ P1:1000 ← X:80

アドレス変換の用語
・ NAT（ Network Address Translation）
　・変換対象は、 IPアドレスのみ
　・外部と同時接続数の上限 = グローバルアドレス数
・ NAPT（ Network Address Port Translation）
　・外部と同時接続数の上限 = 16,384×グローバルアドレス数
　　・ポート番号は16bit
　　・動的割当ポート： C000(16)～ FFFF(16)（49,152～65,535=16,384個）
　・NAPTと同じ意味で使われる用語
　　・NATオーバーロード、動的NAT
　　・ IPマスカレード（ IP masquerade：Linuxの用語）
　　・NAT+、拡張NAT、eNAT、NATe　… etc.（メーカ独自用語 … カタログ等で確認）
※NATとNAPTは、 異なる技術なので注意

NAPTの恩恵
・プライベートアドレスの有効利用
　・ プライベートアドレスでのインターネットアクセス
　　・ プライベートアドレスは、外部と接続しない閉じたネットワークでの使用を想定
にも関わらず、インターネットへ接続でき、しかも 同時アクセスが可能になった
　・限られたグローバルアドレスの節約
　　・IPv4アドレスの 枯渇時期を大幅に遅らせることができた
　　　・but. … 逆に IPv6の普及は遅れることになった
・簡易的な ファイヤーウォールとして機能
　・NAPTの外からは、内側のノードの存在が 分からない
　　・NAPTの内側から送信されたパケットは、送信元がどこであるように見える？
　　　→ すべてNAPTが機能しているルータの 外部（グローバル）アドレス　

NAPT(Network Address Port Translation)


① 見えない

NAPTがあればIPv6は不要か？
・IPv4のグローバルアドレスは枯渇しているけれど …
　・インターネットアクセスは、IPv4のプライベートアドレスで十分
　　・本当にそう？
　　・IPv4で 新規サービスを提供することは困難
　　　・インターネット上で提供するサービスには、 グローバルアドレスが不可欠
　　・同時に使用できるポート番号には、 上限（16,384個）がある
　　　・16,384個あれば十分？、それとも少ない？
　　　・1台のクライアントPCだけでも、同時にインターネットへアクセスするサービスは複数ある
　　　　ブラウザ、メール、ソフトウェアの自動更新、Skype等の通信アプリ、　…　etc.
　　　　特にブラウザは、1つのアプリケーションで 複数のポートを消費する
　　　・多数のセンサーや機器をネットワークに接続する IoTでは、全く不十分
・NAPTには、その仕組みに由来する アドレス変換問題が存在

アドレス変換問題(NAT, NAPTの特性)
・NAT, NAPTの変換対象は ヘッダ部分のみ
　・データ部分は変換対象外
　・データ部分に アドレス情報を持つプロトコルやアプリケーションも
　　少なくない　…　NATやNAPTでは正常に機能しない
　　・ICMP, FTP, SMTP, POP, IMAP … etc.
　　・tracertコマンド, 経路MTU探索, 多くのネットワーク対応ゲーム … etc.
　・データ部分は、セキュリティ上暗号化されていることも多い
　　・アドレス変換の仕組みを改良して、データ部分を変換することは 不可能
・NAPTの 外側から内側へのアクセスは困難
　・NAPT配下にあるサーバ（サービス）を 外部に公開できない

アドレス変換問題が起きる例

① P → X　② G → X
③ X ← G　④ G ← R1　⑤ X ← G

NAPT配下のサーバへは外部からアクセス不能


アドレス変換問題への対処法
・アドレス変換問題への対処法
　・通称、「NAT（NAPT）越え」とも言われる
・データ部分にアドレス情報を持つ場合への対処
　・ ルータが各プロトコルごとに個別対応する
　・ UPnP（ Universal Plug and Play）を使う
・NAPTの内側のサービスを外部へ公開する
　・ ポートフォワーディング（ Port Forwarding）を使う
　・ DMZ（ DeMilitarized Zone）ホストを設定する

・データ部分にアドレス情報を持つ場合への対処（１）
　・ルータが各プロトコルごとに個別対応する
　　・各プロトコルのデータ部分を解析、アドレス情報を 書き換える
　　・対応できるのは、 仕様が公開されている 一般的なプロトコル
　　　・ICMP, FTP, SMTP, IMAP, POP … etc.
　　・ICMP等、 ポート番号を持たないプロトコルは、通常この方法が採られる
　　・個別対応には限界がある
　　　・アドレス変換によるオーバーヘッドで、パケットの 転送速度が犠牲になる
　　　・全てのプロトコルに対応するのは 困難
　　　　コストが高くなる、新しいプロトコルは次々に登場する … etc.
　　　・データ部分が 暗号化されていると、対応不可能

・FTP（File Transfer Protocol）通信の例
　・FTP通信は制御チャネルとデータチャネル、2つのコネクションを使う
　　・制御チャネル　： PUT（Upload）、GET（Download）などの制御用
　　・データチャネル： 送受信されるデータが流れる
　・制御チャネルはクライアントが、データチャネルはサーバが作る
　　・データチャネルの待ち受けポート番号は、クライアントがサーバに指示
　　
　① 2000　② 2000

　・途中にNAPTが入ると…
　
　① 作られない　② 破棄　③ 2000

　・NAPTルータがFTPに個別対応
　
　
　① 2000　② 5001　③ G:5000
　
　① G:5001　② G:5001　③ P:2000

・データ部分にアドレス情報を持つ場合への対処（２）
　・UPnP（Universal Plug and Play）を使う
　　・UPnPは、ネットワークに接続された機器に対して

　　　・IPアドレスの取得、通知
　　　・存在、機能の通知
　　　・状態確認、機能の呼び出し　等を定義するプロトコル

　　・NAPTでは、 アプリケーション、 OS、 ルータが協調してアドレス変換表を作る
　　　・仕組み上は、あらゆるプロトコルに対応できる汎用的な方法

　・UPnPの利用
　
　1 グローバルアドレス　2 空きポート　3 5000　4 5000
　
　① 通常のNAPT　② 5000　③ 5001
　
　① 5000

・データ部分にアドレス情報を持つ場合への対処（２）
　・UPnPを使うための条件
　　・ アプリケーション、 OS、 ルータの全てがUPnPに対応している必要がある
　　　・OSやルータは、現在ほとんどのものが対応
　　　・アプリケーションは、AV機器（DLNA）を除き、対応しているものはあまり多くない
　・UPnPの問題点
　　・プロトコル自体に脆弱性がある → 認証機能がない
　　　・UPnPを悪用すると、UPnP対応機器を自由に操作できてしまう

・NAPTの内側のサービスを外部へ公開する
　・ ポートフォワーディング ( Port Forwrding： ポート転送)を使う
　　・アドレス変換表を 手動で( 静的に)作る方法
　　　・静的アドレス変換、ポートマッピング、バーチャルIP、バーチャルホスト etc. とも呼ばれる

　・Webサーバを公開する例
　
　① ルータ　② G　③ Webサーバ　④ 80　⑤ 80

ポートフォワーディングの問題点(1)
・同一ポート番号の複数サービスの公開には制約がある
　・サービス数の上限 = グローバルアドレス数
　

　・待ち受けポート番号を明示したアクセスができる場合は対処可能
　
① 8001　② 8002

ポートフォワーディングの問題点(2)
・サービス提供のポート番号が固定されていないとダメ
　・ポート番号がかわると、アドレス変換表を 静的に作ることができない
　
　

アドレス変換問題への対処法
・NAPTの内側のサービスを外部へ公開する
　・ポートフォワーディング（Port Forwarding：ポート転送）を使う
　　・アドレス変換表を手動で（静的に）作る方法
　　　・静的アドレス変換、ポートマッピング、バーチャルIP、バーチャルホスト etc. とも呼ばれる
　・ポートフォワーディングの問題点
　　・同一ポート番号の 複数サービスの公開には、制約がある
　　　・公開できるサービス数の上限は、 グローバルアドレスの数に制限される
　　　・待ち受け ポート番号を明示したアクセスができる場合は、対処可能
　　・サービス提供のポート番号が 固定されていないとダメ
　　　・ DMZ( DeMilitarized Zone)ホストを設定することで、対処可能 … 但し、これは最終手段
　　　・アドレス変換表にないパケットを受信したら、すべてDMZにある特定のホスト( DMZホスト)へ転送する
　　　・DMZホストは全く無防備 → (重要) DMZから内部LANへのアクセスを禁止しておく

ポートフォワーディングの問題点(2)
・DMZ利用時の注意
　・DMZから内部LANへのアクセスは禁止しておく
　
① すべてのノード

アドレス変換とセキュリティ
・NATの場合
　・変換対象のノードは、 インターネット上にあるのと同じ
　　・セキュリティ的には、 全く無防備
　
　

・NAPTの場合
　・内部ノードは、外部から 見えない
　　・ある程度のセキュリティは、確保できる … 安心して大丈夫か？
　　
　　① 破棄

　・外へ出て行くパケットが盗聴されたら…
　
　① 盗聴

　・ポート番号を偽装されたパケットは、転送されてしまう
　

　・LAN内を宛先にしたパケットを、Gに送信する
　　・設定によっては、通常のルーティングが行われる
　　
　　① ルーティング　② 内部を宛先　③ 破棄

アドレス変換とセキュリティ(まとめ)
・NAT … セキュリティー的には、無防備
　・通常、特別な理由がない限り使われない
・NAPT … その特性上、外部から内部は見えない
　・ある程度のセキュリティーは確保できる
　・but. 過信は禁物
　　・アドレス変換表にあるポート番号で偽装されたパケットを、区別できない
　　・内部のプライベートアドレス宛に送られると、ルーティングされるかもしれない
　　　・最低限、内部を宛先として送られてきたパケットは、破棄するようにしておく
・セキュリティ対策には、 ファイヤーウォール製品を使う
　・アドレス変換には、必ず パケットフィルタリングを併用する

NAPTの利用場面
・基本的な利用場面
　・プライベートアドレスとグローバルアドレスの変換
　　・プライベートアドレスでインターネットを利用する
・プライベートアドレス同士を変換する
　・組織内の部署や部屋ごとのLANをセキュリティー的に 分離
　

・プロバイダーが IPv4グローバルアドレスを節約する

① グローバルアドレス　② プライベートアドレス　③ LSN( Large Scale NAT)