投稿日:2006年01月18日 作成鷹の巣

No.20088 リモートアクセスのソースIPアドレスでの制限について



リモートアクセスのソースIPアドレスでの制限について

No.20088 投稿時間:2006年01月18日(Wed) 00:08 投稿者名:リモートアクセスしたい者 URL:

皆様はじめまして。
リモートアクセスのソースIPアドレスでの制限について質問させて下さい。

WindowsであればTerminalService、Linuxであればsshで、特定のIPアドレスを持つ外部から
リモートアクセスをさせたいと考えています。
その際にルータのフィルタ設定にてソースのIPアドレスでアクセス制限しようと考えています。
アクセス可能なソースIPを限定した場合、一般的にはそのIPアドレスを持つネットワーク以外からの
アクセスを拒否出来るかと思います。
この状態で、偽装したIPパケット(ip spoofing?)を使用した不正アクセスというのは
可能なのでしょうか?
(一般的な話と、技術的に可能かどうかの話の両方で)

もしご存知の方がいらっしゃれば教えてください。


アクセス制限されたTCPでのIPアドレスの偽装による不正アクセスは、それ単体では不可能。

No.20238 投稿時間:2006年02月25日(Sat) 23:22 投稿者名:鷹の巣 URL:

> 皆様はじめまして。
> リモートアクセスのソースIPアドレスでの制限について質問させて下さい。
>
> WindowsであればTerminalService、Linuxであればsshで、特定のIPアドレスを持つ外部から
> リモートアクセスをさせたいと考えています。
> その際にルータのフィルタ設定にてソースのIPアドレスでアクセス制限しようと考えています。
> アクセス可能なソースIPを限定した場合、一般的にはそのIPアドレスを持つネットワーク以外からの
> アクセスを拒否出来るかと思います。
> この状態で、偽装したIPパケット(ip spoofing?)を使用した不正アクセスというのは
> 可能なのでしょうか?
> (一般的な話と、技術的に可能かどうかの話の両方で)
>
> もしご存知の方がいらっしゃれば教えてください。

インターネット側から入ってくるパケットの始点が127.0.0.1やプライベートアドレスでしたら、
ip spoofing対策された最近のローカルルータでは、パケットが破棄されます。

TCPというのは、送信パケットと受信パケットで会話するものですから、
偽装したIPアドレスのパケットとは会話ができません。
仮にインターネット側から入ってくるパケットの始点が信頼できるIPアドレスに偽装されていても、
応答パケットは、信頼できるIPアドレスへ向けて送信されます。

TerminalServiceやsshにバグがなければの話ですが、
IPアドレスの偽装による不正アクセスは、それ単体では不可能だと思います。


目次掲示板過去ログ目次▲頁先頭