リソースホワイトペーパー

ネットワーク アドレス変換のセキュリティに関する神話

導入

サービス プロバイダー ネットワークでは、ネットワーク アドレス変換 (NAT) が最も多く使用されるのは加入者のインターネット エッジ ポイントである傾向がありますが、残念ながら、このポイントはサービス プロバイダー ネットワーク内で最大の攻撃対象領域であり、最大の脅威を伴います。 モバイル ネットワークでは、このフットプリントは、Gi LAN、SGi LAN、モバイル エッジなど、さまざまな用語で呼ばれます。 より一般的に言えば、純粋なインターネット接続が、特定のアクセス テクノロジ (ワイヤレス、ケーブル、ファイバーなど) を管理するゲートウェイと出会う場所です。 ゲートウェイは、特定のアクセス ネットワーク上の加入者接続を管理するのに優れていますが、セキュリティ機能が限られていたり、コストが高すぎたりするため、セキュリティ制御やアドレス変換を適用するのには適していません。

これまでサービス プロバイダーは、NAT が加入者のインターネット エッジでアドレス変換とセキュリティの両方を提供できるという誤った前提で取り組んできました。 セキュリティ コミュニティはこの神話を払拭しようと努めてきましたが、依然として存在しており、攻撃が激化する今日の環境において、モバイルおよび固定サービス プロバイダーは NAT が不十分である理由を理解する必要があります。 この理解は、着信トラフィックの拒否に加えて、加入者の集約時点でさまざまな種類のセキュリティ サービスが存在することを認識することから始まります。

加入者集約セキュリティ

一般的なアーキテクチャ ソリューションは、ゲートウェイとインターネット間のステートフル システムで構成され、加入者とネットワークにさまざまなサービスを提供できます。 一般的なセキュリティ サービスの種類は次のとおりです。

  • DDoS 保護。 通常、インターネットからの大規模な攻撃から保護する分散型サービス拒否 (DDoS) 攻撃の緩和は、正当な目的を果たさないパケットを排除し、一般的な動作パターンから逸脱するパケットを制限することで構成されます。
  • ポートとプロトコルの制限。 10 年以上前、サービス プロバイダーはすべての加入者との間で広くオープンなアクセスを提供していました。 これにより、多くのアプリケーションの接続が容易になりましたが、ネットワーク リソースを過度に消費するウイルスやワームが蔓延する絶好の環境も提供されました。 現在、ほとんどのサービス プロバイダーは、マルウェアが蔓延するリスクを軽減するために、ネットワーク上で一部のプロトコルを禁止し、他のプロトコルの使用も制限しています。
  • インフラストラクチャの保護。 IP 接続の優れた点は、IP アドレスを持つ人なら誰でも、地球上の他の IP アドレスと通信できる可能性があることです。 ただし、これにより、加入者は正当な理由なくサービス プロバイダーのネットワーク上のシステムに接続できるようになる可能性もあります。 加入者集約ポイントでインフラストラクチャを保護するための制御を実装することは非常に重要です。
  • ボットネットの緩和。 いつでも、多くの加入者のシステムは、インターネット上のどこかにあるコマンド アンド コントロール (C&C) システムと通信するウイルスやマルウェアに感染しています。 この通信を制限すると、加入者のデバイスがボットネット攻撃に使用されることが減り、加入者とネットワークの両方にメリットがもたらされます。
  • サービス実施の種類。 多くのサービスプロバイダーは、加入者がさまざまなタイプの接続を実行できるようにするさまざまなサービスを提供しています。 たとえば、企業の顧客は、無制限のプロトコル使用とサーバーのホスト機能を備えた静的 IP アドレスを必要とする場合があります。 ただし、消費者向けサービスの下位レベルでは、モバイル デバイス上でのサーバーの実行が制限される可能性があります。 あるいは、CPE 上のファームウェアやソフトウェアを更新するための管理接続に、特殊なタイプの IP アドレス クラスを使用することもできます。 モバイル サービス プロバイダーが Voice over LTE (VoLTE) を導入する場合、接続性が制限された専用の APN を使用することになります。そうしないと、収益漏洩のリスクが大幅に高まります。

これら 5 つのセキュリティ制御の例はすべてを網羅しているわけではありませんが、加入者集約ポイントの最新ネットワークで必要な機能の基本セットを表しています。 これを考慮すると、NAT ソリューションは現代のネットワークを安全に保護するのに十分な機能を提供しません。 (企業が上記のいずれかの機能を実行するキャリアグレード NAT (CGNAT) ソリューションを提供する場合、それはサービス プロバイダーの最も価値のある製品、つまり人々とモノを接続する機能を保護するには NAT だけでは不十分であることを認めていることになります。) 上記のようなサービスを通じて加入者のインターネット エッジを保護するための適切なソリューションは、NAT ではなく、F5® BIG-IP® Advanced Firewall Manager™ (AFM) などのキャリア クラスのネットワーク ファイアウォールです。

技術的な議論

NAT では防御できないセキュリティ上の脅威が他にも多数あることがわかったので、迷惑トラフィックの最小限の拒否であっても NAT をセキュリティ サービスとして使用することに関する技術的およびビジネス上の誤解を払拭しましょう。

ステートフルおよびステートレスのイングレスとエグレス: IPv6

NAT は、重複するプライベート アドレス空間内のホスト間の通信を容易にするために作成されましたが、ネットワーク内で利用可能な個々の IP アドレスよりも多くのホストに接続を提供することを主な目的として、広く導入されてきました。 NAT に関連するセキュリティの問題は長い間文書化されてきました。 (インターネット技術特別調査委員会 (IETF) のRFC2663およびRFC2993のセキュリティに関する考慮事項のセクションを参照してください)。 こうした懸念が IPv6 作成の大きな原動力となりました。 世界が IPv6 に移行してからしばらく経ちますが、IPv6 を使用するホストでは NAT は不要になります。 したがって、IPv6 ホストに保護を提供することはできません。

ステートフル NAT46 または NAT64 ゲートウェイは、ある程度のセキュリティを提供できる可能性があるという議論もあります。 しかし、このセキュリティは部分的かつ短命なものに過ぎません。 CGNAT は主に、ホストの一方が IPv6 に変換されていない場合にホスト間のトラフィックを変換するように設計されています。つまり、最終的な目標は、CGNAT デバイスを削除し、ネイティブ IPv6 トラフィックを変換なしで許可することです。 キャリアクラスのネットワーク ファイアウォールがなければ、NAT デバイスはオペレータにとって完全な IPv6 移行の障害になります。

さらに、多くのサービス プロバイダー ネットワークでは、IPv4/IPv6 デュアル スタック構成が提供されています。 この場合、サービス プロバイダーが NAT44 を有効にしていても、IPv6 インターフェイスでは有効になっていません。つまり、組織は IPv4 インターフェイスのセキュリティには NAT で十分であると判断しましたが、同じホストが IPv6 インターフェイス上で完全にオープンなままであり、これは論理的に矛盾しています。 まったく同じ脅威が両方に当てはまるのに、ネットワーク アーキテクトはなぜ IPv4 では保護が必要で IPv6 では必要ではないと考えるのでしょうか。

オペレータはセキュリティの欠如を IPv6 変換の障害として受け入れないため、キャリアクラスのネットワーク ファイアウォールを今日ではソリューションとして位置付ける必要があります。 今日 CGNAT ポイント製品を導入すると、サービス プロバイダー ネットワークの変更は困難なプロセスであるため、オペレーターは将来的に機器とソフトウェアを再購入するとともにネットワークを再設計する必要があり、コストが大幅に増加します。 対照的に、キャリアクラスのネットワーク ファイアウォールに CGNAT 機能を実装すると、セキュリティ機能の同等性と容量の点で IPv6 へのスムーズな移行が保証されます。

CGNATポイント製品は、IPv4ホストに限定的なセキュリティを提供する可能性がありますが、IPv6ホストは完全に保護されません。
図1: CGNAT ポイント製品は IPv4 ホストに限定的なセキュリティを提供できますが、IPv6 ホストは完全に保護されません。
ステートレスなイングレスとエグレス: IPv4

一般的に、ステートレス NAT はまれな使用例ですが、特殊な状況で使用される場合があります。 ステートレス デバイスは、加入者デバイスからの要求に関係なく、リバース NAT が許可されているポートへのすべてのトラフィックを許可します。 これらはステートレスであるため、NAT を必要とするホストから送信されたトラフィックを認識しません。したがって、すべての戻りトラフィックを許可する必要があります。 ステートレス NAT は、ほとんどの NAT ユースケースには適さない可能性があり、セキュリティ ユースケースにはまったく適していないことは明らかです。

すべての戻りトラフィックを許可する必要があるステートレスNATソリューションは、セキュリティを提供するのにはまったく適していません。
図2: すべての戻りトラフィックを許可する必要のあるステートレス NAT ソリューションは、セキュリティの提供にはまったく適していません。
ステートフル エグレス: IPv4

ステートフル出力 IPv4 NAT により、オペレータはほとんどの場合、外部から開始されたトラフィックから内部ホストを部分的に保護できるようになります。 ただし、内部ホストを保護することはできず、また、NAT デバイスに接続されている他のネットワーク リソースに対する内部ホストからの攻撃に対応することもできません。 多くの場合、侵害を受ける多くの内部ホストが、ボットネットのコマンドと制御のためにインターネットにアクセスする可能性があります。 まれではあるものの、非常に深刻なケースでは、侵害されたホストが、サービス プロバイダーの内部ネットワークに対する高度な攻撃や、望ましくない宣伝効果をもたらす、企業や政府の上位組織を標的とした外部からの攻撃の足掛かりとして利用されることがあります。 こうした種類の事件後の清掃に関連するコストは、解決策のコストをはるかに上回ります。

ステートフルNATは、意図的または意図的でない内部ホストに対する保護を提供しないため、ボットネットがネットワークまたは外部ターゲットを攻撃するために使用される可能性があります。
図3: ステートフル NAT は、意図的または意図的でない内部ホストに対する保護を提供しないため、ボットネットがネットワークまたは外部ターゲットを攻撃するために使用される可能性があります。
ステートフルイングレス: IPv4

ステートフル イングレス IPv4 トラフィックは、セキュリティ保護が NAT によって提供されると合理的に主張できる唯一のトラフィック タイプであり、しかも特定の条件下でのみ提供されます。 これは根強い神話ですが、上記の説明から明らかなように、IPv4 トラフィックは、ネットワーク ホストによって提供される攻撃対象領域のほんの一部にすぎません。 さらに、最新の攻撃手法では、パスに NAT デバイスが存在し、それを破壊する必要があると想定されているため、ステートフル NAT は IPv4 イングレスに対しても十分な保護を提供しません。 ホストの静的および宛先変換ではセキュリティは提供されません。

NAT のセキュリティの一部は難読化に依存していますが、セキュリティ コミュニティではこれが実際の解決策であるとは考えられていません。 難読化は、他の方法で取得できる情報を見つけることを困難にするだけなので、何も防ぐことはできません。 ステートフル イングレス NAT セキュリティ神話のもう 1 つの要素は、それが「一方通行」を提供すると考えられていることですが、実際にはそうではありません。 ステートフル イングレス IPv4 NAT は外部から開始された TCP トラフィックを拒否しますが、これは、特定の状況で外部ホストが内部ホストにトラフィックを送信したり、他の方法を使用して NAT を回避したりできないことを意味するものではありません。 実際、ほとんどのネットワークベースの攻撃では、これが侵害の要件であると想定されています。

この回避を実行する方法はいくつかありますが、それらはすべてファイアウォールによって防止できます。 まず、攻撃者はターゲット攻撃またはスイープ攻撃を使用して、NAT デバイスの状態テーブルで開いているポートにトラフィックを送信できます。 この攻撃の目的は、ホストまたは NAT 状態テーブル上の既存のセッションを無効にしてサービス拒否 (DoS) を作成すること、内部ネットワークのフットプリントを記録すること、または内部ホストを侵害するためにサードパーティの既存のセッションにマルウェア ペイロードを挿入することである可能性があります。 設計上ステートレスである UDP トラフィックでは深刻な影響が見られますが、TCP やその他のプロトコルでも同じことが起こる可能性があります (ホストの脆弱性を考慮すると)。 さらに、NAT は、ファイアウォールや高度なセキュリティ デバイスが本来提供するプロトコル準拠、シーケンス番号チェック、その他のレイヤー 2 またはレイヤー 3 DoS セキュリティ対策を提供できない場合があります。 NAT では、セキュリティ侵害が発生した場合に対応するためのツールも提供されません。

IPv4ホストであっても、最近の攻撃ではパス上のNATデバイスが侵害される可能性が頻繁にあります。
図4: IPv4 ホストの場合でも、最近の攻撃によりパス内の NAT デバイスが侵害される可能性が頻繁にあります。
ビジネス上の議論

キャリアクラスのネットワーク ファイアウォールを配置するビジネス上の議論は単純です。 まず、今日の損害をもたらし、時には注目を集めるセキュリティ侵害を許容できるサービス プロバイダーはありません。 そのため、ファイアウォールとネットワーク アドレス変換サービスは、多くの場合バンドルされています。 現代のモバイル ネットワークで発生する金銭的損害は数百万ドルを簡単に超える可能性があり、攻撃によってはブランド全体に損害を与える可能性もあります。

2 番目に、NAT デバイスのみが存在する場合、サービス プロバイダーは攻撃に対応するツールを持たず、アドホックな解決策が見つかるまで無力に耐えなければなりません。

最後に、高度なファイアウォール デバイスを使用する賢明なサービス プロバイダーは、顧客に提供するサービスにセキュリティ サービスを追加できます。 従来、このような追加機能は、ビジネス資産を保護する明確な理由を持つエンタープライズ ビジネス顧客を引き付けます。 これらの機能を備えたファイアウォール デバイスがなければ、サービス プロバイダーは収益を得る機会を決して得られません。 実際、サービス プロバイダーが高度なセキュリティ機能を備えた NAT とファイアウォールの組み合わせソリューションを展示しないことで、顧客はサービス プロバイダーの製品ラインまたは専門知識にギャップがあると想定することになります。

結論

今日の高度な攻撃を考慮すると、NAT が何らかの重要なセキュリティを提供するという神話は払拭される必要があります。 実際、技術的な観点から見ると、NAT は次の機能を提供します。

  • IPv6 ホストには NAT が不要なので、セキュリティはありません。
  • ステートレス NAT ホストにはセキュリティがありません。
  • ステートフル NAT ホストのアウトバウンド攻撃に対するセキュリティはありません。
  • 最近の攻撃では NAT デバイスの存在が前提とされており、それらのデバイスが容易に侵害または回避されるため、ステートフル NAT ホスト侵入攻撃に対する保護は最小限です。
  • 日常的に発生するセキュリティ攻撃に対応するためのツールがありません。

ビジネスの観点から見ると、エッジ NAT およびセキュリティ ソリューションの一部として BIG-IP AFM などのキャリアクラスのネットワーク ファイアウォールを導入しないことは、深刻かつ悪質な収益漏洩のリスクがあり、サービス プロバイダーによるイノベーションの欠如を示しています。

対照的に、F5 が提供するような適切で機能豊富なキャリアグレードのファイアウォールを導入するサービス プロバイダーは、ネットワーク セキュリティに対する現実的な信頼を獲得し、攻撃に伴う金銭的リスクや評判リスクを軽減し、顧客に最先端の付加価値セキュリティ サービスを提供して収益を増やす機会を活用できます。

2016 年 2 月 10 日公開
  • Facebookでシェア
  • Xに共有
  • LinkedInにシェア
  • メールで共有
  • AddThisで共有

F5とつながる

F5 Labs

最新のアプリケーション脅威インテリジェンス。

F5 Labs へ移動

DevCentral

ディスカッション フォーラムと専門家による記事のための F5 コミュニティ。

DevCentral へ移動

F5 ニュースルーム

ニュース、F5 ブログなど。

ニュースルームへ移動