[connect24h:1756] Re: ad2001とInternetWeek2001

[ohmizu yuichi <yu1o@xxxxxxx>]

おおみずです。
こんにちは。

hamaさんが01.12.10 10:22 AMに書きました：
>> 確かに内部の IP アドレスを外部に対して隠蔽できるというのはセキュリティとい
>> えばセキュリティかもしれませんけど、NAT の持つ複雑さのためにかえってややこ
>> しくなる場合もありそうな気がします。
>
>まぁ、そういう意見もありますが、安価でそれなりの効果が期待できるという
>意味で、NATはセキュリティにとって良い選択肢でありつづけると思いますよ。
>すくなくとも内部のIPアドレスを隠蔽するという意味で、パケットフィルタリ
>ングよりも、一段、セキュリティが高いでしょう。
>

そうですね。社内のIPアドレスが外部に対して見えることは、企業にとっては
抵抗が大きいと私も思います。



>受動的攻撃や 蛙飛び などが行える、あるレベル以上の攻撃者にとっては、
>NATもパケットフィルタリングも役に立たないかも知れませんが、そのレベル
>の攻撃者にその企業が積極的に狙われるというリスクを考えた場合、NATレベル
>で十分な企業のほうが多いでしょうしね。
>
>実際、NATの持つ複雑さとありますが、じゃぁ、企業にとってNATが無いほうが
>幸せなアプリケーションがあるか？というと、そんなアプリはまだまだ無いわ
>けで、NATを捨ててまで導入したいアプリケーションが出てこない限りには、
>NATは安価なセキュリティ実現の有力手段として生きつづけるでしょうね。
>

v6とは違いますけど、企業のイントラへのリモートアクセスの手段として、
ブロードバンドのご時世なのにいつまでもちんたらダイヤルアップでつなぐ
手段じゃないだろう、と思って、VPNの利用を提案したいんですが、NAT越え
ができる技術が開発されないと導入が難しいなあ、と思います。

ま、少なくともv4的な世の中では、どうしてもNATを前提に考えてしまいますね。
そして世の大半の情報システム担当者は、たぶんv4的な通念にとらわれきって
しまっていることでしょう（私含め）。


v6になれば、NATは不要とかエンドエンドのIP Secがはれるとかできて、いろ
いろv4の時の構成から変更が出てくるとすれば、IPv6をIPv4の改良版と考える
よりまったく新しい動作をする別のプロトコルが企業網のなかに入ってくる
んだ、と考えた方がすっきりするかな。
IPXやAppleTalkからIPに移行した時のような（経験はしていないけど）。




_]_]    Yuichi OHMIZU   ＠Kamakura, Kanagawa    _]_]
_]_]      mailto:yuichi.ohmizu@xxxxxxxxxxx      _]_]
----------------------------------------------------------------------
◎○  メーリングリスト「Telecom Workers」
◆□  通信事業者（キャリア,ISP等）に働く人や関係者のための交流の場　□
>>>>  http://homepage2.nifty.com/yu1o/telecom_w/


--[PR]------------------------------------------------------------------
　　　　　　　　　　　　　。*°Д。°。
　　　　　　　　　　　　　　ヽ(‥)ノ。*
　　　　　　　　　　　　　*°(　　)°。
　　　　　　　　　　　　　⌒⌒⌒⌒⌒⌒⌒
             http://ad.freeml.com/cgi-bin/ad.cgi?id=aBW0S
------------------------------------------------------------------[PR]--
<GMO GROUP> Global Media Online  www.gmo.jp