[connect24h:1788] Re:Re:ad2001とInternetWeek2001

[kobayasi@xxxxxxxxxxxxxxxxxxxx]

こばやしです

 >まぁ、そういう意見もありますが、安価でそれなりの効果が期待できるという
 >意味で、NATはセキュリティにとって良い選択肢でありつづけると思いますよ。
 >すくなくとも内部のIPアドレスを隠蔽するという意味で、パケットフィルタリ
 >ングよりも、一段、セキュリティが高いでしょう。

う～ん、そうなんですか。たとえアドレスが知られたところで、きちんとガードして
いれば問題ないと思っていたのですが、甘い考えなんでしょうか。

それでも、NAT *だけ*というのはやはりまずいですよね。出て行くパケットに対して
NAT は無力なので。少なくとも NAT によるセキュリティがパケットフィルタリング
のそれを包含することはないと思うのですが...

# もちろんパケットフィルタリング程度では守れないものもたくさんありますけど。

 >受動的攻撃や 蛙飛び などが行える、あるレベル以上の攻撃者にとっては、
 >NATもパケットフィルタリングも役に立たないかも知れませんが、そのレベル
 >の攻撃者にその企業が積極的に狙われるというリスクを考えた場合、NATレベル
 >で十分な企業のほうが多いでしょうしね。

NAT の内側に入れることによって守ろうとするマシンは、クライアント機であるこ
とが多いと思うのですが、だとすると特定の listening port を狙ってくるような
能動的攻撃よりも、むしろ受動的攻撃のほうが要注意な気がするのですが。
受動的攻撃のほうが能動的攻撃よりもレベルが高いというわけでもないでしょうし。

# 最近の傾向をみると、むしろ受動的攻撃のほうがお手軽に行なわれている気すら
# します。

ところで、受動的攻撃を受けたり、内部に不心得者がいるなどで自組織内から外部
への不正アクセスが生じてしまった場合、NAT を使っていると発信元の調査が難し
くなると思うのですが、どうするのがいいのでしょう。
全 NAT セッションのログを取っておくべき?

 >実際、NATの持つ複雑さとありますが、じゃぁ、企業にとってNATが無いほうが
 >幸せなアプリケーションがあるか？というと、そんなアプリはまだまだ無いわ
 >けで、NATを捨ててまで導入したいアプリケーションが出てこない限りには、
 >NATは安価なセキュリティ実現の有力手段として生きつづけるでしょうね。

H.323 なアプリケーションとかは動機になりませんかね?
-- 
KOBAYASHI Yoshiaki


--[PR]------------------------------------------------------------------
　 /￣￣￣ /⌒ヽ　　　　　届いたメールをクリックしてポイントを貯めると
　│　\　│　│　　　　　　ステキな商品と交換できるポイントメールより
　│　　ヽ│PointMail─， 　寒い冬もあったかくなる、ナイスなお知らせ!!
　└─┬┬┴─┴───′
             http://ad.freeml.com/cgi-bin/ad.cgi?id=aClHV
------------------------------------------------------------------[PR]--
<GMO GROUP> Global Media Online  www.gmo.jp