LoginSignup
1
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 3 years have passed since last update.

@lymansouka2017

NAT(Network Address Translation)、NAPT(Network Address Port Translation)

Last updated at Posted at 2020-07-24

応用情報技術者令和元年秋期 午前問37

インターネットへの接続において,ファイアウォールでNAPT機能を利用することによるセキュリティ上の効果はどれか。

image.png

NAPT(Network Address Port Translation)は、プライベートIPアドレスとグローバルIPアドレスの相互変換するNATの考え方にポート番号を組み合わせた技術です。
NATNetwork Address Translationの略。プライベートIPアドレスとグローバルIPアドレスを1対1で相互に変換する技術です。

DMZ(DeMilitarized Zone)とは、インターネットなどの信頼できないネットワークと、社内ネットワークなどの信頼できるネットワークの中間に置かれる、ネットワーク領域のことだ。直訳して「非武装地帯」とも呼ばれる。

NAPTが有効になっている場合、利用者PCがインターネットにアクセスしようとすると、NAPT機能をもつ機器等はプライベートIPアドレスをグローバルIPアドレスに変換すると同時に、送信元ポート番号を未使用の別の番号に書き換えてからインターネットに送出します(②)。そしてインターネットから内部ネットワークへのパケットが返ってくると、その送信先ポート番号を見て、送信先IPアドレスと送信先ポート番号を適切に書き換えて利用者PCに届けます(⑤)。

image.png

NAPT機能をもつ機器では、インターネット接続に使用中のポート番号を記憶しています。このため攻撃者が内部ネットワークへの不正アクセスを試みても、記憶しているポート番号以外に宛てたパケットは宛先不明としてすべて破棄されます。しかもNAPTで割り振られるポート番号は数万種あり、セッション確立の度に異なるため、攻撃者がピンポイントでポート番号を指定して利用者PCに不正アクセスすることは困難です。このように、NAPT機能には内部ネットワークを秘匿できるというセキュリティ上の副次的効果があります。

NAPTで割り振られるポート番号が分かれば、例え上記の例の20000が分かれば、外部から20000でアクセスすると、⑤のように変換して、セッション以内では、攻撃は有効ですね。
ただ、その例の20000がばれてしまい、かつ攻撃がセッション有効の時間内(普通は1時間)では、困難ですね。

ーーーーーーーーーーーーーーーーーーーーーーーー
補足

TCP,UDPのポート番号を識別し,プライベートIPアドレスとグローバルIPアドレスとの対応関係を管理することによって,プライベートIPアドレスを使用するLAN上の複数の端末が,一つのグローバルIPアドレスを共有してインターネットにアクセスする仕組みはどれか。

image.png

1、NAPT(Network Address Port Translation)は、プライベートIPアドレスとグローバルIPアドレスの相互変換するNATの考え方にポート番号を組み合わせた技術です。

2、
・IPスプーフィング IP Spoofing
⇒IPスプーフィングは、IPアドレスを偽装し正規のユーザになりすましてアクセスを行う攻撃手法です。
IPスプーフィング(IP Spoofing)とは、送信元のIPアドレスを偽装し、通信を行う攻撃手法のことである。 偽装することにより、WebサイトなどのIPアドレス制限を突破したり、またDoS攻撃などを行う際、攻撃元の特定を困難にしたりすることができる。

・IPマルチキャスト
⇒IPマルチキャストは、IPパケットを1回で複数の受信者に送信する方法です。
 ・1回で1人の受信者に送信することをユニキャスト、
 ・1回で同じネットワークセグメントに属するすべての受信者に送信することをブロードキャストといいます。

・NTP
⇒Network Time Protocolの略。ネットワークに接続されている環境において、機器が持つ時計を正しい時刻(協定世界時:UTC)へ同期するための通信プロトコルです。

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
補足

プライベートIPアドレスを割り当てられたPCがNAPT(IPマスカレード)機能をもつルータを経由して,インターネット上のWebサーバにアクセスしている。WebサーバからPCへの応答パケットに含まれるヘッダ情報のうち,このルータで書き換えられるフィールドの組合せとして,適切なものはどれか。ここで,表中の〇はフィールドの情報が書き換えられることを表す。

image.png

・送信パケットは、送信元IPとポートを書き換える、
・受信パケットは、宛先IPとポートを書き換える

質問には、WebサーバからPCへの応答パケットので、受信パケットですね。
このときには、パケットにとっては、送信元は、Webサーバ、宛先はPCので、宛先のIPとポートを書き換えますね。

image.png

参照:
https://www.ap-siken.com/kakomon/29_haru/q36.html

1
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
1
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?