(4) NAT、IPマスカレード、パケットフィルタリング、UPnP機能
NAT 機能
ブロードバンドルータには多くの機能が搭載されていますが、NAT と呼ばれる機能も、その1つです。
NAT は、グローバルIPアドレスをプライベート IP アドレスに変換する機能で、現在のブロードバンド環境には欠かせない存在です。
特に LAN 環境を構築するには、この NAT 機能が重要になります。
現在のブロードバンドルータのほとんどの機種には 「NAT機能」 と呼ばれる IP アドレスの変換機能が搭載されています。
この、NAT (Network Address Translation) とは、グローバル IP アドレスをプライベート IP アドレスに変換する機能のことです。
グローバル IP アドレスは、インターネット上における、モデムの住所に相当する識別番号といえます。
このとき、モデムがルータタイプのモデムだと、プロバイダが割り振るグローバル IP アドレスは、モデムが取得してしまうことになり、
ルータに接続されたコンピュータには、ルータ自身が DHCP サーバー機能によりプライベート IP アドレスを割り振ります。
しかし、このままだと、外界 (インターネット) への通り道はモデムだけになり、パソコンに割り振られたプライベート IP アドレスは
ルータから内側である LAN 内でしか通信することができません。
パソコンとインターネットを結ぶための工夫が必要です。
そこで必要なのが、「NAT」 です。
NAT はプライベート IP アドレスをグローバル IP アドレスに、また、グローバル IP アドレスをプライベート IP アドレスに変換する機能です。
これにより LAN 内に接続されたパソコンからインターネットを利用することが可能になります。
例えば、ブロードバンドルータに 1台のパソコンを繋げたとしましょう。
もしNAT 機能がなかったらインターネットからのデータはモデムでストップしてしまいます。
インターネット網側は、モデムの住所であるグローバル IP アドレスに対してしかデータを送ってこないからです。
この場合、NAT 機能があれば、インターネット網からモデムに送られたきたデータの宛先は、NAT 機能によりプライベート IP アドレスに変換されるので、
パソコンにきちんと届けることができます。
IP マスカレード機能
IP マスカレードは、NAT 機能と同じく、lP アドレスを変換する機能です。
しかし、IP マスカレードはポートの切り替えも行うため、NAT 機能とは役割が大きく異なります。
複数台のコンピュータから、インターネットに同時接続を行えるのは、この IP マスカレード機能のおかげなのです。
ブロードバンドルータには、NAT 機能の他に 「IPマスカレード」 という機能も搭載しています。
この 「IPマスカレード」 (IP masquerade) の、「マスカレード」 (masquerade) とは、日本語に直訳すると、「仮面舞踏会」
という意味になり、「IP マスカレードとは」、「IP の仮面舞踏会」という意味になります。
IP マスカレードは、先に説明した 「NAT」 と密接に関わってくる機能です。
現在のブロードバンドルータの多くは、かならずと言ってよいほど、「NAT」 機能に加え、「IP マスカレード」 機能を併用させて使います。
実は、グローバル IP アドレス ← → プライベート IP アドレスの変換は、前述の NAT だけでは実現できないのです。
と、いうのは、NAT 機能のみの場合は、グローバル IP アドレス ← → プライベート IP アドレスの変換を 1対1 でしか行ってくれません。
これでは、ルータに 1台のコンピュータしか繋げないことになってしまいます。
本当は 1つのグローバル IP アドレスに対して、複数のプライベート IP アドレスを割り振ってくれる、「1対N」 の変換が必要なはずです。
そこで登場するのが 「IPマスカレード」です。
ルータは、A を使っている人が要求したサッカーのホームページのデータを A に届け、B が要求している野球のホームページのデータを B に届けなければなりません。
しかし、前述の NAT だけだと、1対1 の変換機能しかないために、A か B どちからのパソコンにしかデータは届きませんし、A か B どちらから一方の要求しかインターネットに対して頼めません。
この場合、NAT 機能に IP マスカレード機能をプラスして使うと、モデムのグローバル IP アドレスを A、B のプライベート IP アドレスにダイレタトに変換してくれます。
A が要求しているサッカーのホームページのデータは、きちんと A のパソコンにのみ届くのはもちろん、B が要求した野球のホームページも、B だけに届けられます。
もちろん A と B の2つだけでなく、何台繋いでも、1つのグローバル IP アドレスを複数のプライベート IP アドレスに変換してくれます。
また、A と B が違ったソフトを使ってインターネットに接続しているケースも考えられます。
A は Web ブラウザ、B はネットワークゲームといった場合、互いのアプリケーションが使用するポート番号は異なりますが、IP マスカレードでは、
ポート番号の切り替えも並行して行ってくれます。
つまり Web ブラウザが使用するポートが 80 番で、ネットワークゲームが使用するポートが 2000 番だとしたら、A がアクセスする際には 80 番ポートを使い、
B がアクセスする際には 2000 番ポートへ自動的に切り替えてくれるのです。
仮面を被っている人間が、1つしかないのがグローバル IP アドレスだとしたら、いくつもの顔がある仮面はプライベート IP アドレスに例えることができます。
正に、「1人の人間がいくつもの仮面で変身できる」 という、IP マスカレードの動作は仮面舞踏会のようですね。
パケットフィルタリング機能
現在のブロードバンドルータには、「パケットフィルタリング」 と呼ばれる機能が搭載されています。
この機能はセキュリティに重要な役目を果たすもので、NAT 機能や IP マスカレードに並び、ルータには欠かせない機能と言えるでしょう。
パケットフィルタリングの解説に入る前に、「パケット」 について、少し説明しましょう。
ネットワークを経由して、自分のパソコンから他のコンピューターへ伝達される情報はかならず通信しやすい形に整えられてネットワーク上を
流れていくのがデータ送受信の常です。
これは私たちの実生活にも言えることで、宅急使などを利用してたくさんの荷物を送る場合には、運搬しやすいように、段ボール箱などに小分けして、
それぞれに送付先や送り主が書かれた荷札を貼って、運送を依頼します。
ネットワーク上のデータ伝送でも、この考え方は同じです。
上記の説明で 「大きな荷物」 を 「データ」 と置き換えればピンとくるでしょう。
ネットワークの場合は、段ボールで梱包することはありませんが、送信したいデータを適切な大きさに分割して、荷札に相当する通信用の
「ヘッダ情報」 を付加して通信用の 「小包」 に整えることになっています。
この 「小包」 のことを「パケット」と呼びます。
インターネットに接続されているパソコンには、様々な場所から、こうした、「パケット化」 されたデータがやってきたり、逆に自分のパソコンから
データを送信しています。
Web ページを見る場合でも、Web ページの HTMLファイルや画像データなどは、パケット化されてあなたのパソコンに届くのです。
パケット自身には送付先や送り主が記載された 「ヘッダ情報」 が貼り付けられています。
ヘッダ情報には、以下のようなものが含まれています。
・送信元のIPアドレス (パケットの送り主のIPアドレス)
・送信先のIPアドレス (パケットの宛先のIPアドレス)
・送信元のポート番号 (パケットの送り主が使用したポート番号)
・送信先のポート番号 (パケットの宛先のポート番号)
パケットのヘッダ情報から、送信元・送信先の IP アドレスや、送信元・送信先のポート番号といった情報を抽出し、そのパケットを通過させるか、
遮断するかを判断するのが 「パケットフィルタリング」 です。
例えば、パケットフィルタリングにより、パソコンからインターネットヘのある特定の IP アドレスヘのアクセスを遮断するといったことや、
インターネット網側からパソコン側へのポート番号への接続要求はすべて拒否するといった指定を行うこともできます。
さらに、設定を行えば、どのようなパケットを許可したのか、遮断したのかといった 「ログ」 も残せるようになっています。
パケットフィルタリングは、ほとんどのルータに搭載されている機能です。
また、ファイアウォールソフトもこの機能を持っています。
ルーターによるパケットフィルタリングと、ファイアウォールソフトでのパケットフィルタリングの違いを挙げるならば、ルータの場合、
パケットをパソコンに通す前にふるいにかけることになります。
ファイアウォールソフトの場合は、一旦パソコンで受け取ってからふるいにかけることになります。
パケットフィルタリングのセキュリティ機能
Web ブラウザやメールソフトは、必要なときにソフトを起動して使用します。
これに対し、自動的に起動して常に動作しているソフト(常駐ソフト)もあります。
これらの中には、自分の知らない間にインターネットにアクセスしてデータを送受信しているソフトもあります。
例えば、Windows 2000 や Windows XP ではパソコンの時計を常に補正し、正しい時刻を表示させるため、インターネットから正確な時刻を取得し、
パソコンの時計を定期的に補正してくれる機能があります。
こうした仕組みを悪用したのが、「トロイの木馬」 と呼ばれる種類のコンピュータウイルスです。
不審なメールを受信し、添付ファイルを開いてしまった場合や、悪意あるWebサイト閲覧中に感染します。
この 「トロイの木馬」 タイプのウイルスは、派手な破壊活動は行いません。
むしろ、表面的には感染前とは何も変わらず、パソコンユーザーは、感染していることに気づかない場合が多いのです。
しかし、一旦、感染したパソコンがインターネットに接続されると、パソコン内に保存してある諸処のデータを外部に流し始めます。
友達の住所や電話番号、自分のクレジットカード番号など、絶対に他人に見られたくない情報を悪意ある第 3者へ向けて送信してしまう、恐ろしいウイルスです。
こういったウイルスに感染した際でも、パケットフィルタリング機能があれば、通常と違う不審なポートを使うパケットを遮断することで内部情報の流出を
防ぐことができるのです。
ユニバーサル・プラグ・アンド・プレイ UPnP
最近注目されている「UPnP」は、これまでのルータでよく起こっていたトラブルを回避したり、より便利なインターネットの利用法を実現させる技術です。
現在のルータにおいてまだまだ主流ではありませんが、今後はUPnPを採用したルータが当たり前になっていくと予想されます。
グローバルIPアドレスを端末側で認識できる
UPnP(Universal Plug and Play)はMicrosoftによって提唱された技術的な仕様です。
現在主流のルータに搭載されている割合はまだまだ少ないですが、UPnPはパソコン以外のネットワーク対応ハードウェアを相互に接続するために
必要不可欠な技術です。
UPnP対応の製品は、ネットワーク上に存在する周辺機器がお互いを自動的に発見して通信できる状態に自動的に設定してくれます。
例えば、UPnP対応のインターネット家電をLANに接続させた場合、Windowsのマイネットワークから他のパソコンと同様にインターネット家電が認識され、
Webブラウザなどを通して家電製品の制御ができるようになります。
これはルータも例外ではなく、現在のルータはNAT機能やIPマスカレードでプライベートIPアドレスをグローバルIPアドレスに変換してインターネットと
データのやりとりを行っていましたが、これだとデータの出入り口であるポートが、どのプライベートIPアドレスに割り当てられていたかが分からなくなる場合があります。
これは、一部のブロードバンドコンテンツが利用できないなどのトラブルを引き起す原因となっています。
このようなトラブルを解決するには、ルータのNAT設定を手動で変え、対処しなければなりません。
これに対し、UPnP対応のルータの場合は、「NAT Traversal」という機能が利用可能となっており、ルーターのWANポートに割り当てられた
グローバルIPアドレスをルータに接続されたパソコン側で認識することができます。
そしてパソコン内のアプリケーションが自動的に、ルータのNAT設定やデータを受け取るポート設定を行えるようになります。
現在のブロードバンドコンテンツの利用で発生しているトラブルのうち、ルータに起因しているトラブルが解消できるのです。
ただし、UPnPを有効にするのは、ブロードバンドルータだけが対応していればいいというわけではなく、アプリケーション側もUPnPとNAT Traversalに
対応していなければなりません。
残念ながら、現時点でこの条件を満たす対応アプリケーションはMicrosoftのメッセンジャーソフト「Windows Messenger」のみに限られており、
全てのネットワークコミュニケーション機能を持ったアプリケーションが対応しているわけではありません。
しかし、多くのメーカーがUPnPに賛同しており、近い将来には、多くのネットワーク機器やネットワークアプリケーションがUPnPに対応する日がくるでしょう。
また、思わぬ電化製品がUPnPに対応し、ネットワーク家電となって家庭内LANの中に組み込まれていくことでしょう。
これからルータを購入するのなら、UPnP対応のブロードバンドルータを選ぶとよいかもしれません。
Home Page