CATV研究所・iTSCOMエリア掲示板

CATV 研究所 navi_bar	トップページ	総合情報	全国版／エリア版	エリア版	エリア版・過去ログ(書き込み不可)	運営室
総合掲示板	旧総合板過去ログ	J:COM [コ][板]	その他 [コ][板]	iTSCOM [コ][板]	Mediatti [コ][板]	M-NET [コ][板]	CNO [コ][板]	MCat [コ][板]	連絡掲示板	各掲示板の趣旨
現在位置		↑

タイトル	：ファイアーウォールの警告
記事No	： 4570
投稿日	： 2003/01/27(Mon) 20:28
投稿者	：怒＠世田谷区

ＭｃＡＦｅｅのPersonal Fire Wall を使用していますが、以下のような
警告メッセージがでました。僕はカットビ・プラスでローカルアドレス
なのに、どうして外部からアクセスできるのか、不思議です。カットビ
プラスでローカルＩＰでも、外部からの攻撃にさらされるのでしょうか？

警告メッセージ
ＩＰアドレス６８．１１６．７０．５４のパソコンがあなたのパソコン上のＴＣＰポート２３に対して任意の接続を試みました。

タイトル	： Re: ファイアーウォールの警告
記事No	： 4571
投稿日	： 2003/01/27(Mon) 20:47
投稿者	：田辺＠目黒区．iTSCOM渋谷サブ
参照先	： http://www2.justnet.ne.jp/~s_tanabe/

> カットビ
> プラスでローカルＩＰでも、外部からの攻撃にさらされるのでしょうか？
> 
> 警告メッセージ
> ＩＰアドレスxx．xxx．xx．xxのパソコンがあなたのパソコン上のＴＣＰポート２３に対して任意の接続を試みました。

まず，できれば相手のIP Addressは伏せるようにした方が良いと
思います。本当の攻撃者とは限らないので。今回の例はtelnetポー
トに来ているので，多分本当にアクセスしようとしたのだと思い
ますが・・・

この件は，以前iTSCOMの設定が変わった直後に話題になったことが
あります。結論を言えば，「外部からの攻撃にさらされます」。
iTSCOMの設定は，Global AddressとPrivate Addressが１対１に
対応し，更に（多分）ほぼ全てのポートを転送しています。その
ため，外部からの攻撃はそのままユーザのPCに届くのです。
逆に見れば，Private Addressであるにもかかわらず，やろうと思
えばtelnet serviceやftp serviceに外部からアクセスできます。
従って，ネットワークゲームなどでPrivate Addressでは普通は動
かないようなものでも，iTSCOMの場合は動く可能性が高くなりま
す。Broadband Routerを入れている場合は，そちらでもポートを
転送する必要がありますけれど。

タイトル	： Re^2: ファイアーウォールの警告
記事No	： 4572
投稿日	： 2003/01/27(Mon) 21:18
投稿者	：怒＠世田谷区

田辺さん

グローバルアドレスとプライベートアドレスが１対１に対応していることも、
１対１に対応していると外部からの攻撃がユーザに届くことも知りませんでした。イッツコムのパンフレットには、なんか、安全なようなことが書かれていたような気がしたので、安心していたのですが。。

また、いろいろ教えてくださいね。

タイトル	： 1対1対応
記事No	： 4578
投稿日	： 2003/01/28(Tue) 09:15
投稿者	：たけし＠青葉区

> iTSCOMの設定は，Global AddressとPrivate Addressが１対１に
> 対応し，更に（多分）ほぼ全てのポートを転送しています。その
> ため，外部からの攻撃はそのままユーザのPCに届くのです。
かっとびプラスなのですが、先日この事実を知り、
ダイナミックDNSを使っていろいろ実験をして楽しんでました。
でもどうやら夜中になると、1対1対応じゃなくなってるみたいです。
WindowsマシンとLinuxマシンを持っているのですが、
どちらにも同じグローバルIPが割り当てられていて、
Linuxマシンに外部からアクセスすることが出来ないことがありました。

ユーザーが増える夜中は臨機応変に
1対1対応から1対n対応に変える、なんてことが出来るのかどうか
よくわかりませんが、出来るのならたぶんそうなってるのではないでしょうか。

タイトル	： Re: 1対1対応
記事No	： 4579
投稿日	： 2003/01/28(Tue) 21:24
投稿者	：田辺＠目黒区．iTSCOM渋谷サブ
参照先	： http://www2.justnet.ne.jp/~s_tanabe/

> でもどうやら夜中になると、1対1対応じゃなくなってるみたいです。

可能性としては，DHCPの割り当てで，下の方から１対１に対応させ，
たとえば500個を配り終わったところでその上は２巡目に入るのかも
しれません。あるいは，Cable MODEMのMAC Addressで判断して，
同じユーザから来ている場合はひとつにまとめてしまうとか。私は
Broadband Routerのようなもの，GateLock X200を入れているので，
そういう現象に遭遇したことがありません。
しかし，考えてみれば，単純に１対１ならば，プラスの方がワイド
より多くのGlobal Addressを取得できてしまうことになり，変な話
になります。こういう設定はありですね。

タイトル	： Re^2: 1対1対応
記事No	： 4580
投稿日	： 2003/01/28(Tue) 22:05
投稿者	： NORI＠武蔵新城プラス

自分のプライベートアドレスはわかりますが、対応しているグローバルアドレスはどうやったらわかるのですか？tracertやSymantecのセキュリティスキャンで出てくるアドレスは違うようです。

タイトル	： Re^3: 1対1対応
記事No	： 4581
投稿日	： 2003/01/29(Wed) 05:52
投稿者	：竹内＠ふじみ野.東上
参照先	： http://

　こんにちは。

> 対応しているグローバルアドレス

　これはＮＡＴテーブルという物を調べるとわかると思うのですが、
こればかりは通信事業者のネットワーク機器の中に格納されている
テーブルですから、ユーザー側の操作ではわからないと思います。

　セキュリティ・チェック用のＷＥＢサイトがあちこちに存在する
ようですが、そういう物を何度か試して、類推する方法とかは考え
られると思います。（外部から、自分のＩＰアドレスがどう見えて
いるかを確認する方法。）

　そのようなサイトの例として、下記を紹介しておきます。ただし、
Quick Scan 以外のテストをかけますと延々と時間がかかる可能性
がありますので（ポートスキャンのアラームが、ファイアーウォー
ルに大量にログされる可能性も）、ご注意下さい。

　参考ＵＲＬ
　http://scan.sygatetech.com/

　竹内＠ふじみ野.東上

タイトル	： Re^3: 1対1対応
記事No	： 4583
投稿日	： 2003/01/29(Wed) 19:39
投稿者	：雄峰@高津区

> 自分のプライベートアドレスはわかりますが、対応しているグローバルアドレスはどうやったらわかるのですか？tracertやSymantecのセキュリティスキャンで出てくるアドレスは違うようです。

自分の対応しているグローバルIPアドレスは例えば下記で簡単にわかります。
http://www.openspc2.org/reibun/JS_TipsAndTricks/script/etc/011/
の下の方のサンプルスクリプトを実行するの右の>>実行をクリックします。
グローバルIPアドレスからインターネットホスト名を調べるのはこちら
http://www.pleasuresky.co.jp/lookup.php3

タイトル	： Re^4: 1対1対応
記事No	： 4587
投稿日	： 2003/01/31(Fri) 07:37
投稿者	： NORI＠武蔵新城プラス

竹内＠ふじみ野.東上さん
雄峰@高津区さん
グローバルアドレスで見ることができました。
ありがとうございました。