セキュリティとしてのネットワーク アドレス変換の神話

はじめに

サービス プロバイダ ネットワークでネットワーク アドレス変換(NAT)が使用される傾向が最も高いのは加入者のインターネット エッジですが、インターネット エッジは最も攻撃にさらされやすい場所であり、サービス プロバイダ ネットワーク内の深刻な脅威の侵入口でもあります。モバイル ネットワークではこのフットプリントは、Gi LAN、SGi LAN、モバイル エッジなど、さまざまな用語で呼ばれています。わかりやすく言うと、本来のインターネット接続と特定のアクセス技術(ワイヤレス、ケーブル、ファイバなど)を管理するゲートウェイが遭遇する場所です。ゲートウェイは特定のアクセス ネットワーク上の加入者接続を管理するのには優れていますが、セキュリティ機能が限られ、過剰なコストがかかるため、セキュリティ コントロールやアドレス変換を適用するには不向きです。

これまでサービス プロバイダは、NATを使用して加入者のインターネット エッジにアドレス変換とセキュリティの両方を提供できるという誤った思い込みにとらわれてきました。セキュリティ コミュニティはこの神話を一掃しようとしてきましたが、いまだに根強く残っており、モバイルおよび固定回線サービス プロバイダは、今日の攻撃がエスカレートする環境において、NATではなぜ不十分なのかを理解することが求められています。これを理解するにはまず、加入者の集約ポイントには受信トラフィックの拒否に加えてさまざまなタイプのセキュリティ サービスが配置されていることを認識しなければなりません。

加入者集約のセキュリティ

一般的なアーキテクチャ ソリューションは、ゲートウェイとインターネットの間にあって加入者とネットワークにさまざまなサービスを提供するステートフル システムで構成されています。一般的なセキュリティ サービスには以下のようなものがあります。

  • DDoS対策。一般にインターネットからの大規模攻撃を防御する、分散型サービス拒否(DDoS)攻撃の緩和策では、不正な目的を持ったパケットを排除し、標準的な行動パターンから逸脱したパケットを制限します。
  • ポートとプロトコルの制限。10年以上前、サービス プロバイダとすべての加入者との間のアクセスに制限はまったくありませんでした。これにより、多くのアプリケーションの接続が円滑になった一方で、ウイルスやワームの蔓延には絶好の環境となり、ネットワーク リソースを過剰に消費していました。現在、ほとんどのサービス プロバイダは自社のネットワーク上で一部のプロトコルを禁止するだけでなく、他者による使用を制限することで、マルウェアが蔓延するリスクを減らす努力をしています。
  • インフラストラクチャの保護。IP接続の利点は、IPアドレスがあれば誰でも、地球上に存在する他のどのようなIPアドレスとも通信できることです。しかし、これでは、加入者が合法的な理由なくサービス プロバイダのネットワーク上にあるシステムに接続できてしまうことにもなります。加入者の集約ポイントでインフラストラクチャを保護する制御機能を実装することが極めて重要になります。
  • ボットネットの緩和。多くの加入者のシステムがウイルスやマルウェアに感染し、インターネット上のどこかにあるコマンド アンド コントロール(C&C)システムと通信する可能性は常にあります。このような通信を制限することで、ボットネット攻撃に加入者のデバイスが悪用される機会が減るため、加入者だけでなくネットワークにとってもメリットがあります。
  • サービス実施のタイプ。多くのサービス プロバイダは、加入者がさまざまな接続を実行できるように多様なサービスを提供しています。例えば、エンタープライズ顧客は、プロトコルの使用に制限がなくサーバーをホストできる静的IPアドレスを必要としているかもしれません。しかし、顧客サービスの下位層ではモバイル デバイスでのサーバーの実行が制限されている場合があります。また、CPE上のファームウェアとソフトウェアを更新するための管理者接続には特殊なIPアドレス クラスを使用することもあります。モバイル サービス プロバイダがVoice over LTE(VoLTE)を展開する際に使用する専用のAPNでは接続を制限しなければなりません。さもないと、収益漏出のリスクが大幅に上がります。

以上の5つは、セキュリティ コントロールの例の一部にすぎませんが、最先端のネットワーク上にある加入者の集約ポイントに必要な機能の基本的なセットでもあります。このことを念頭に置くと、NATソリューションが最先端のネットワークを安全に保ち、保護するために十分な機能を提供するとは言えません。(ここで、ある企業が上記の機能を備えたキャリアグレードNAT(CGNAT)ソリューションを提供しているなら、それは、NATだけでは、サービス プロバイダの最も貴重な製品、つまり人とモノをつなぐ機能を保護するには不十分だと認めたことになることに注意してください。)加入者のインターネット エッジをこれらのようなサービスを通じて守るための適切な解決策は、NATではなく、F5® BIG-IP® Advanced Firewall Manager™(AFM)などのキャリアクラスのネットワーク ファイアウォールです。

技術的な根拠

NATでは対処しようのないセキュリティ上の脅威が他にも多く存在することがわかったら、たとえ些細な未承諾トラフィックの拒否であっても、セキュリティ サービスとしてNATを使用するという神話は技術面でもビジネス面でも一掃してください。

ステートフルとステートレスのイングレスとエグレス:IPv6

重複するプライベート アドレス空間のホスト間の通信を円滑にするために設計されたNATは、個々のIPアドレスというより、ネットワーク上のホストへの接続を提供することを主な目的として広く導入されてきました。NATに関連するセキュリティの問題は以前から記録されています(Internet Engineering Task Force(IETF)のRFC2663およびRFC2993のセキュリティの考慮事項に関するセクションを参照)。このような懸念が大きな引き金となり、IPv6が開発されました。しばらくはIPv6への移行が続きますが、IPv6を使用するホストにNATはもはや不要であり、IPv6ホストの保護にNATは利用できなくなります。

ステートフルのNAT46ゲートウェイやNAT64ゲートウェイが何らかのセキュリティを提供できるという議論がありますが、このセキュリティは部分的かつ一時的なものにすぎません。CGNATは主に、2つのホストのうち一方がIPv6に変換されていない場合にホスト間のトラフィックを変換することを目的として設計されています。つまり、その最終的な目標は、CGNATデバイスを排除し、変換なしでネイティブのIPv6トラフィックを受け入れることが可能になることです。キャリアクラスのネットワーク ファイアウォールが存在しない場合、通信事業者にとってNATデバイスはIPv6への完全な移行の障害となります。

さらに、多くのサービス プロバイダ ネットワークが現在、IPv4/IPv6デュアルスタック構成を提供しています。この場合、サービス プロバイダがNAT44に対応していても、IPv6インターフェイスが対応していません。つまり、このサービス プロバイダはIPv4インターフェイスのセキュリティにはNATで十分であると判断したことになります。しかし、IPv6インターフェイス上の同じホストはまったく無防備であり、これでは論理的に破綻しています。IPv4とIPv6はどちらもまったく同じ脅威にさらされているのに、なぜネットワーク設計者は、IPv4には対策が必要でIPv6には必要ないと考えるのでしょうか?

通信事業者はIPv6への移行の障害としてセキュリティの不備を許容しないなら、キャリアクラスのネットワーク ファイアウォールを現時点における解決策に位置付けるべきです。今、CGNATに特化した製品を導入することは、将来、装置とソフトウェアを再び購入しなければならないだけでなく、ネットワークを再設計することになり、サービス プロバイダ ネットワークの変更は困難であるため非常に高いコストがかかることになります。これに対し、キャリアクラスのネットワーク ファイアウォールにCGNAT機能を実装すれば、セキュリティ機能の同等性と能力の点からIPv6への円滑な移行が保証されます。

CGNATに特化した製品はIPv4ホストには一定のセキュリティを提供するが、IPv6ホストはまったく保護されない
図1:CGNATに特化した製品はIPv4ホストには一定のセキュリティを提供するが、IPv6ホストはまったく保護されない。
ステートレスのイングレスおよびエグレス:IPv4

一般にステートレスNATはあまり使用されませんが、いくつかの特殊な状況で採用されることがあります。ステートレス デバイスは、要求が加入者デバイスからのものかどうかにかかわらず、リバースNATに対して許可されたポートに送られてくるトラフィックをすべて受け入れます。これらはステートレスなので、NATを要求したホストからどのトラフィックが送られてきたかを認識しません。したがって、すべてのリターン トラフィックを受け入れるほかはありません。このことから、ステートレスNATがほとんどのNATユース ケースに適さないこと、そしてどのようなセキュリティ ユース ケースにもまったく適さないことは明らかです。

すべてのリターン トラフィックを受け入れるほかはないステートレスNATソリューションは、セキュリティの提供にはまったく適さない
図2:すべてのリターン トラフィックを受け入れるほかはないステートレスNATソリューションは、セキュリティの提供にはまったく適さない。
ステートフル エグレス:IPv4

ステートフル エグレスIPv4 NATを使用することで、通信事業者は、ほとんどの場合、外部で開始されたトラフィックから内部ホストを部分的に保護できます。ただし、内部ホストの保護機能はなく、これらの内部ホストからNATデバイスに接続された他のネットワーク リソースへの攻撃に対応することもできません。多くの事例で、侵害された多くの内部ホストは、ボットネットのコマンドや制御によりインターネットにアクセスします。まれですが非常に深刻な事例のいくつかでは、侵害されたこれらのホストが、内部のサービス プロバイダ ネットワークに対する高度な攻撃や、高水準の企業や政府機関を標的とした外部に対する攻撃の発射台として利用されて、評判を落とすことになっています。このようなインシデントの後始末にかかるコストは、ソリューションのコストをはるかに上回ります。

ネットワークや外部の標的を攻撃するためにボットネットに否応なしに利用される可能性のある内部ホストをステートフルNATが保護することはない
図3:ネットワークや外部の標的を攻撃するためにボットネットに否応なしに利用される可能性のある内部ホストをステートフルNATが保護することはない。
ステートフル イングレス:IPv4

ステートフル イングレスIPv4トラフィックは、NATがセキュリティを提供すると誰もが主張できる唯一のトラフィックですが、それも特定の条件下に限られます。これは今も根強い神話ですが、前述の説明から明らかなように、IPv4トラフィックは、ネットワークに接続されたホストがもたらす攻撃対象領域のほんの一部にすぎません。さらに、最新の攻撃法では経路にNATデバイスがあることを前提としているため、ステートフルNATは、IPv4イングレスさえ十分には保護できません。このような前提は覆す必要があります。ホストの静的な宛先変換がセキュリティを提供することはありません。

NATに想定されているセキュリティの一部は、難読化を利用していますが、セキュリティ コミュニティでは難読化は実際的な解決策とは考えられていません。難読化は、他の方法で取得できる情報を見つけにくくするだけで、何も防げません。ステートフル イングレスNATのセキュリティにまつわる神話の中に、いわゆる「一方通行」にするというものがありますが、実際にはそうではありません。ステートフル イングレスIPv4 NATが外部で開始されたTCPトラフィックを拒否することは事実ですが、それにより、特定の状況下で外部ホストが内部ホストにトラフィックを送信できなくなったり、他の方法によってNATを迂回できなくなることはありません。それどころか、ネットワークベースの大部分の攻撃では、これを侵害の要件と捉えています。

この迂回を成功するにはいくつかの手段がありますが、いずれも、ファイアウォールで阻止することができます。まず、攻撃者は標的型攻撃またはスイープ攻撃を使ってNATデバイスの状態テーブルで開放されているポートにトラフィックを送り込みます。この攻撃の目的は、ホストまたはNATの状態テーブルの既存のセッションを無効にしてサービス拒否(DoS)攻撃を仕掛け、内部ネットワークに足場を作ったり、マルウェア ペイロードを第三者の既存のセッションに組み込んで内部ホストに不正侵入することです。深刻な影響を受けるのは設計上ステートレスなUDPトラフィックですが、TCPや他のプロトコルでも(ホストの脆弱性を考えれば)同じことが起こりえます。また、NATには、ファイアウォールや高度なセキュリティ デバイスが本質的に備えているプロトコル適合性、シーケンス番号チェック機能、その他のレイヤ2またはレイヤ3のDoSセキュリティ対策がありません。さらにNATには、セキュリティ侵害発生時に対応するためのツールも用意されていません。

IPv4ホストでも、最新の攻撃は経路内のNATデバイスを頻繁に侵害
図4:IPv4ホストでも、最新の攻撃は経路内のNATデバイスを頻繁に侵害。
ビジネス面での根拠

キャリアクラスのネットワーク ファイアウォールの位置付けに関するビジネス面での根拠はシンプルです。まず、今日のダメージが大きく注目度の高いセキュリティ侵害に余裕のある態度をとることのできるサービス プロバイダはいません。ファイアウォールとネットワーク アドレス変換サービスがよくバンドルされているのはそのためです。モバイル ネットワークで発生する金銭的損害は数百万ドルを優に超え、攻撃によってはブランド全体が壊滅的な被害を被る可能性があります。

次に、NATデバイスが1台だけ配置されている場合、サービス プロバイダは、攻撃に対処するツールがなく、その場限りの解決策が見つかるまでどうすることもできません。

最後に、高度なファイアウォール デバイスを利用している賢明なサービス プロバイダは、追加のセキュリティ サービスを用意して顧客に提供することができます。従来から、このような追加のサービスは、ビジネス資産を守るという明確な状況にあるエンタープライズ ビジネス顧客を引き付けてきました。このような機能を備えたファイアウォール デバイスがなければ、サービス プロバイダが収益を上げる機会は失われるでしょう。実際、高度なセキュリティ機能を備え、NATとファイアウォールを組み合わせた解決策を提示しなければ、サービス プロバイダの製品ラインや専門技術に不備があるのではないかと顧客が不審を抱きかねません。

まとめ

今日の巧妙な攻撃を考えれば、NATが十分なセキュリティを提供するという神話はもう終わりにしなければなりません。実際、技術的視点から見ると、NATについて次のことが言えます。

  • NATはIPv6ホストに不要であり、IPv6ホストにセキュリティを提供することはない。
  • ステートレスNATホストにセキュリティを提供することはない。
  • ステートフルNATホストへのアウトバウンド攻撃に対するセキュリティを提供することはない。
  • 最新の攻撃は、NATデバイスの存在を想定していて、NATデバイスを簡単に侵害したり迂回したりできるため、ステートフルNATホストへのイングレス攻撃に対して最小限の保護しか提供しない。
  • 日常的に発生するセキュリティ攻撃に対応するツールがない。

ビジネスの観点から見れば、エッジのNATおよびセキュリティ ソリューションの一環としてBIG-IP AFMなどのキャリアクラスのネットワーク ファイアウォールの導入を怠ることは、深刻かつ致命的な収益漏出を引き起こす危険があり、さらにはそのサービス プロバイダがイノベーションを怠っているという印象を与えます。

これに対し、F5が提供しているような適切で機能豊富なキャリアグレードのファイアウォールを導入しているサービス プロバイダは、自社のネットワーク セキュリティに対して現実的な自信を持ち、攻撃がもたらす金銭的リスクと評判を失うリスクを緩和し、最先端の付加価値セキュリティ サービスを顧客に提供して収益を高める機会を得ることができます。

Published February 10, 2016
  • Share to Facebook
  • Share to X
  • Share to Linkedin
  • Share to email
  • Share via AddThis

Connect with F5

F5 Labs

The latest in application threat intelligence.

DevCentral

The F5 community for discussion forums and expert articles.

F5 Newsroom

News, F5 blogs, and more.