防犯カメラ、防犯機器のカタスコポス - 秋葉原の映像セキュリティ機器販売店

カタスコポス インターネットショップ

 
  • 防犯機器専門店 ケイヨー
  • 防犯ソリューション
  • カメラレコーダーセット
  • 屋内用防犯カメラ
  • 屋内用防犯カメラ
  • ドーム型防犯カメラ
  • ズーム機能付き防犯カメラ
  • ダミーカメラ
  • 防犯カメラ用ハウジング
  • 防犯カメラ用ブラケット
  • カメラ内蔵型録画機
  • ネット対応録画機
  • ネット非対応録画機
  • センサーライト
  • 赤外線照射機
  • 映像ソリューション
  • モノクロ小型防犯カメラ
  • 27万画素 小型防犯カメラ
  • 高画質小型防犯カメラ
  • 偽装型小型防犯カメラ
  • 無線型防犯カメラ
  • 小型録画機
  • 情報ソリューション
  • ピンホールレンズ
  • 盗聴・盗撮発見器
  • コンクリートマイク
  • LANCコントローラー
  • ネットワーク機器
  • USBカメラ
  • ネットワークカメラ
  • WEBサーバー・ビデオサーバー
  • キャプチャーユニット
  • バラエティー商品
  • バラエティー商品その他
    •  
     

    IPマスカレードの働き・・・常時接続時代のセキュリティーを考える
     
     
    セキュリティーの向上に欠かせないIPマスカレード
     
     さて、皆さんは常時接続環境におけるセキュリティー対策をどう実現しているでしょうか。ここでは、常時接続時代の定番機器、ブロードバンドルーターによって実現できるセキュリテーについて考えてみたいと思います。
     

     ブロードバンドルーターには、IPマスカレード機能の他にもDHCPサーバ機能やDMZホスティング機能などさまざまな機能が備わっていますが、その中の代表的な機能のIPマスカレードについてすこし触れてみたいと思います。IPマスカレードは、1つのグローバルIPアドレスで、複数台のPCから同時にインターネットに接続することができるようになる機能だというのは、ご存知の方も多いと思います。実は、このIPマスカレードが、常時接続時代にインターネットに接続するうえで、外部クラッカーの攻撃に常にさらされている危険から守ってくれる役割も担っています。よく、ブロードバンドルターを導入するだけでセキュリティーが向上すると言われるのは、ブロードバンドルーターにこのIPマスカレードの機能があるからに他ならないのです。
     
     

    IPマスカレードの仕組み

      さっそくその仕組みを簡単に見てみましょう。IPマスカレードは、アドレスとポート番号の変換作業を主に行います。LAN内にある任意のパソコンとインターネット側にあるサーバーとがデータのやり取りをする場合、パケットという単位にてデータのやり取りが行われます。そのパケットには、送付先IPアドレス、送付元IPアドレス、送信先ポート番号、送信元ポート番号などのヘッダ情報が記録されています。そのヘッダ情報を元にして、通信相手の特定を行っています。しかし、LAN内のPCはプライベートIPアドレスが使用されインターネット側のサーバーはグローバルIPアドレスが使用されるためこのままでは通信ができないことになります。そこで、ブロードバンドルーターがLAN側とWAN側との、アドレスとポート番号の変換作業を行います。これがIPマスカレードですね。そして、ブロードバンドルーターは変換作業の内容をメモリ上にアドレス変換テーブル表として作成しておくのです。

    注)IPマスカレードはローカルIPアドレスとグローバルIPアドレスとを「多:1」で変換しますが、「1:1」のみで変換する機能はNAT(Network Adress Translation)機能とよ呼ばれます。したがって、NATの場合は、IPマスカレードのように複数台同時にはインターネットへ接続することができず、常に1台のみとなってしまいます。
     
     
    NAT機能によるアドレス変換 IPマスカレードによるアドレス/ポート変換
     NATは、ローカルIPアドレスとISPから配布されたグローバルIPアドレスを1:1で変換します。従って、上例のようにある1台が接続されている間は他のコンピューターからの接続が制限されてしまいます。かりに、専用線などで複数個のグローバルIPアドレスを取得済みであったとしても、その数を超えての同時接続はできず、アドレスの数に常に依存してしまいます。  NATに対してのIPマスカレードは、ローカルIPアドレスとグローバルIPアドレスを多:1で変換します。ひとつのグローバルIPアドレスで複数のコンピューターが同時に接続できるようにするためにIPマスカレードは、上図のように各端末から送出されたセッションで、ポート番号と呼ばれる管理番号まで含めた変換作業を行うため、重複せずに複数台からの同時接続を可能にしています。
     
     
    なぜIPマスカレードでセキュリティーが向上するのか

      ではなぜそのIPマスカレードでセキュリティーが向上するのでしょうか。LAN内のPCがインターネット上のサーバーに、webサイトにアクセスする場合、パソコンはサーバーに対してデータを要求します。ブロードバンドルーター(ゲートウェイ)は、アドレス/ポート変換を行いその内容をアドレス変換テーブルに記憶しておきます。データパケットを要求されたインターネット上のwebサーバーはその要求に応じてデータを送り返します。データを送り返す宛先は、データパケット受信時のパケットに記載されたヘッダ情報に書かれていた送信元のアドレス/ポート宛となります。webサーバからデータが送られてきたらブロードバンドルーターは、そのパケットの送信先のポート情報と変換テーブルに記載されている情報とを比較参照してLAN内の当該パソコンに転送します。サーバーからのデータは受信時のヘッダ情報に基づき、ブロードバンドルーターの2000番ポートに送りつけてきますが、ルーターの変換テーブル表に「2000番ポート=192.168.10.10の1000番ポート」と記述があるため、当該パソコンのAに届けられるのです。同様に他のパソコンBも、サーバーDからのデータが送られてきます。こうして、1つのグローバルIPアドレスにて複数台のパソコンでインターネットができるのです(図2)。ここでもし、WAN(インターネット)側から変換テーブル表にないポート番号宛にパケットが送られて来た場合はどうなるのでしょうか。ブロードバンドルーターは変換テーブル表と照合してリストにないデータは破棄してしまいます。つまり、ブロードバンドルーターによって、インターネット側からの不正なアクセスを防ぐことができるということになるのです。
     
    図2)■IPマスカレードによるアドレス/ポート変換
     

    ①パソコンからwebサーバーにリクエスト(オレンジの矢印⇒)
    LAN内のパソコンAからwebサーバーCにインターネットにてアクセスする場合、ブロードバンドルーターのIPマスカレードにてパケットのアドレスとポート番号情報が変換されてからインターネットにデータ(パケット)が流れていきます。パソコンAは、1000番ポートにてサーバーCからのデータを待ち受けます。

    ②webサーバーはリクエストに応じて各パソコンにデータを配信(ブルーの矢印⇒)
    パソコンAからリクエストを受けたサーバーCは、受取ったデータのヘッダ情報に従って、202.202.100.50のポート2000番にデータを返します。サーバーCからのデータを2000番ポートで受取ったブロードバンドルーターは、変換テーブル表を参照してLAN内の192.168.10.10の1000番ポートに届けます。若し、変換テーブル表にないデータが送りつけられてくれとブロードバンドルーターは破棄します。

     
     
    セキュリテーと利便性はトレードオフ

      以上のようにブロードバンドルーターが存在するだけで、外部からの不正アクセスを防ぐことができ、セキュリティーにとってブロードバンドルターの存在はかなり有効なのがお分かりいただけたと思います。ところで、今度は逆にwebサーバーなどを設置して、外部からのアクセスを許可したい時にはどうしたらよいでしょうか。このままでは、ルーターのIPマスカレードの働きで、外部からのアクセスは不正とみなされルーターが全て破棄してしまいます。インターネットやメールの送受信などの用途だけなら、基本的に外部からのアクセスは受け付ける必要はないのでこのままでよいのですが、サーバーやwebカメラを設置したいときは困ってしまいます。そこで、IPマスカレードの例外的処置として、外部からのアクセスを許可するための、ポートフォワーディング機能DMZ機能を利用します。ポートホワーディング機能は、ブロードバンドルーターの特定のポートに対する全てのアクセスを、特定のホストに転送する機能です。DMZ機能はアドレス変換テーブル表にないポートへのアクセス全てを、特定のマシン(DMZ域)に転送してしまおうという機能です。これらの機能の働きによりセッション(外部からのアクセス)を確立することができるようになりますが、この設定を行うとIPマスカレードによるセキュリティーは一切なくなってしまいますので、注意が必要です。外部からのアクセスが可能になり、便利さを手に入れた反面、外部不正アクセスによる危険性にさらされてしまうというわけです。セキュリテーと利便性はトレードオフの関係なのです。
     
     
    よりセキュリティーを高めるためのパケットフィルタリング

      見てきたようにwebサーバーなどを設置しない限りはIPマスカレードによりある程度のセキュリティーは確保できるでしょう。しかしより高いセキュリティーを実現するためには十分とは言えません。どうしたらよいのでしょうか。ほとんどのブロードバンドルターにはセキュリテーの機能として、パケットフィルタリング(packet filtering )というものが備わっています。
     

     パケットフィルタリングとは、ブロードバンドルーターを通過しようとするパケット(データ)を、フィルタリングのルールを設定することで、通過させたり破棄させたりする機能のことです。このフィルタリングのルールは、ブロードバンドルーターにより多少の違いがありますが、設定項目は主に次のような内容となるでしょう。

    ・送信元のIPアドレス
    ・送信先のIPアドレス
    ・パケットの向き(Inbound/Outbound)※1
    ・プロトコルの種別(TCP/UDP)
    ・ポート番号
    ・通過/破棄

     これらを指定してフィルタルールを決定し、外部からやってくるデータに制限をかけたり,また内部からの重要なデータが外部に出ないように制限することができます。IPマスカレードではセキュリテーをユーザーが特に設定する必要はなかったのですが、パケットフィルタリングはユーザ自身がユーザー環境にあわせてルールを設定しなければなりません。したがって、これが絶対という一般的なことは言えません。たとえば、一昨年大発生したあのBlasterワームについていえば、TCPの135番ポートに対して、WindowsNT/2000/XPの脆弱性を悪用して攻撃を仕掛けてきたものというのはあまりにも有名です。この135番ポートは、遠隔操作をする場合に、相手PCに問い合わせをする際に使用するポートで、Remote Procedure Call(RPC)と呼ばれています。このポートはWWWサーバーなどの構築時には、セキュリティ-上必ず閉じるべきポートとされています。 それ以外の閉じるべき重要なポートとしては

    23(telnet)、135、137、138、139、445

    などがあげられ、それぞれのポートのサービスはブロードバンドルーターのパケットフィルタリング設定にて、遮断したほうが良いポート(TCP/UDP両方)とされています。紙面の都合上、ここではそれぞれのポートの詳細な役割は割愛しますが、各ポートの役割をきちんと把握した上で、対処することをお勧めします。また、常日頃、windowsのアップデートはかかさず、「重要な更新」は必ず最新の状況にしておくことも、セキュリティ-にとってはとても大切です。
     
    ※1:ルータに流れるパケットには、Internet側からLAN側、またはLAN側からInternet側という2つの方向があります。前者は「外から中」なので「Inbound」、後者は「中から外」なので「Outbound」とそれぞれ呼んでいます。
     
    2004/12/24
    本サイト掲載記事内容(本文、イラスト、写真等)の無断転載・二次使用については固く禁止致します。
  •  
    携帯からでもクーポンが使えます

    		•

    ※本ページ記載の表示価格は通販での価格であり、店頭価格とは異なる場合があります。 ※写真はあくまでもイメージです。実際の商品と異なる場合もありますが予めご了承下さい。※ご使用に際しては法令を遵守し、公序良俗に反することのないように十分注意してください。