現在自宅サーバーを構築しています。

まずは、以下画像をご覧下さい。
http://f.hatena.ne.jp/images/fotolife/u/uniuniko/20070322/20070322164109.jpg
※画像は回答者様のご指摘で随時変更する可能性があります。

このようなネットワーク図になっておりますが、ズバリこのネットワーク構成は「危険」でしょうか。

win win PBG4 iMacG5 PMG5 というクライアントPCがあり、LinuxサーバーもHUB経由で外側のネットにアクセス出来る状態です。そして、外部からはルーターを通ってLinuxサーバーにアクセス出来るようにしました。ルーターはHTTP(80番)のポートとSSH(22番)のポートのみが空いてる状態です。

ちなみに、「危険」とは外部からLinuxサーバー以外のクライアントPCに不正にアクセスされたりしないか?という意味です。

これだけの情報では危険かどうか判断出来ない場合は、お手数ですがご指摘頂ければ幸いです。なにぶん初心者ですのでご迷惑をお掛けするかもしれませんがよろしく御願い致します。

追伸
1時間ほど前に同様の質問をしましたがネットワーク図に誤りがあったようで、もう一度同様の質問です。。回答して頂いたb-windさん、cyanoさん、また宜しければお付き合いください。

回答の条件
  • 1人5回まで
  • 登録:2007/03/22 16:51:14
  • 終了:2007/03/23 07:34:10

ベストアンサー

id:kurukuru-neko No.1

kurukuru-neko回答回数1844ベストアンサー獲得回数1552007/03/22 17:44:00

ポイント45pt

危険:

理由:

 Linuxサーバーで何らかの

 WEB等のサービスが動作していると

 思います。

 もしそうなら何らかの脆弱性を利用して、

 Linuxサーバーを乗っ取られた場合

 eth0から社内は丸見えです。

 eth0→HUB→Firewallの経路は

 改善した方がよい。

> PCx5,Linux →HUB  

LinuxとPCのネットワークを分離して

Routerは最低挟んだ方がよい。

PCx5 ->Router,Linux->HUB

PC----Router ----HUB---- Firewall

    Linux-------

ルータ設定は、Linux->PCへの接続禁止

PC->Linuxは保守で使うと思われるので

許可する。単純にNATでもOK。

  

 

 

id:uniuniko

大変貴重なご意見ありがとう御座います。

Linuxサーバーを乗っ取られた場合、そのような状態になるんですね、、うすうす感づいてはいたのですが、ご指摘頂いたことで自信が持てました!

また、解決方法もご丁寧に解説して頂きありがとう御座いますm(__)m。もう少し勉強してみます。

引き続き皆様からのアドバイスを受け付けます。

これ以上の回答はなさそうですが、、^^;

2007/03/22 17:50:46

その他の回答(4件)

id:kurukuru-neko No.1

kurukuru-neko回答回数1844ベストアンサー獲得回数1552007/03/22 17:44:00ここでベストアンサー

ポイント45pt

危険:

理由:

 Linuxサーバーで何らかの

 WEB等のサービスが動作していると

 思います。

 もしそうなら何らかの脆弱性を利用して、

 Linuxサーバーを乗っ取られた場合

 eth0から社内は丸見えです。

 eth0→HUB→Firewallの経路は

 改善した方がよい。

> PCx5,Linux →HUB  

LinuxとPCのネットワークを分離して

Routerは最低挟んだ方がよい。

PCx5 ->Router,Linux->HUB

PC----Router ----HUB---- Firewall

    Linux-------

ルータ設定は、Linux->PCへの接続禁止

PC->Linuxは保守で使うと思われるので

許可する。単純にNATでもOK。

  

 

 

id:uniuniko

大変貴重なご意見ありがとう御座います。

Linuxサーバーを乗っ取られた場合、そのような状態になるんですね、、うすうす感づいてはいたのですが、ご指摘頂いたことで自信が持てました!

また、解決方法もご丁寧に解説して頂きありがとう御座いますm(__)m。もう少し勉強してみます。

引き続き皆様からのアドバイスを受け付けます。

これ以上の回答はなさそうですが、、^^;

2007/03/22 17:50:46
id:pbg4667 No.2

pbg4667回答回数98ベストアンサー獲得回数142007/03/22 19:29:44

ポイント30pt

kurukuru-nekoさんの言われるように、Linuxサーバーが乗っ取られた場合は危険です。

ただし、Linuxサーバーのセキュリティーをどれだけ上げるかによっては、リスクは低くできると考えます。

しかし、uniunikoさんがどういった目的で、このような構成を考えておられるか判らないので一概には言えませんが、LinuxサーバーがWebサーバーとしてのみ稼働しているのであれば、ルーターのインターフェースがEthernet×3以上あるならば、ネットワークを分けDMZ Zoneを作ってそこにLinuxサーバーを繋げるのが妥当と考えます。

参考図

http://f.hatena.ne.jp/images/fotolife/p/pbg4667/20070322/2007032...

また、ルーターがEthernet×2の場合は、下図の様にもう1台ルーターを使用してkurukuru-nekoさんの言われるような構成にするのが良いでしょう。

参考図2

http://f.hatena.ne.jp/images/fotolife/p/pbg4667/20070322/2007032...

どちらも、ルーターの設定次第で、ファイルサーバーの用途にも対応可能です。

(逆に言えば、セキュリティー面もルーターの設定次第かと…)

id:uniuniko

やはり、危険な部類なんですね。図での説明解りやすくて大変助かります!ありがとう御座います。図を参考にもう少し勉強してみます。

とりあえず、「Linuxサーバーが乗っ取られた場合は危険」ということから、完全な構成になるまで、作業時以外などはLinuxの電源OFFにしておけば安心でしょうか?OFFでも危険だ、という場合は一声御願いします・・・

2007/03/22 19:45:42
id:tezcello No.3

tezcello回答回数460ベストアンサー獲得回数692007/03/22 20:37:31

ポイント30pt

回答受付中でもコメントがつけられるようにしていただけると無駄に回答を開く必要も無く、回答制限を気にならないので良いと思いますが...


外向きに開けておくのは少なければ少ない方が良いわけで、SSHも諦めてしまったらどうでしょうか?

WANからのメンテナンスをやめて、LAN内のみ、あるいはLAN内の特定PCのみと絞れば絞るほど安全です。できればSSHサーバも止めてしまって、ローカル端末からしか作業できないのが一番いいです。


Linux機に eth を2つ設けた理由はなんでしょう?

内側と外側を明確に分けようというのであれば、eth1 が(内側のPCを束ねてる)HUB と同じ側にあるのは無意味では?

質問文からすると、特にDMZとして設定している様ではないのですが。


真剣にLinux機経由の攻撃を避けるのなら、Linux機をLANに繋ぐべきではありません。

WAN -- HUB1
        +---router1 -- (eth0)Linux
        |
        +---router2 -- HUB2
                        +---PC1
                        +---PC2
                        +---PC3
                        +---PC4
                        +---PC5

のように、完全に分けるべきでしょう。

メインテナンス等で、PCとLinux機を繋ぎたい場合も、

・Linux機のeth1とHUB2を繋ぎ、必要時以外は物理的にケーブルを外しておく

  (ネットワークアドレスを明確に分けておくのは必要)

・USBメモリ等でデータのやり取りをし、オンラインは諦める

位の慎重さが必要です。

グローバルアドレスが複数取得できない場合は、Linux機に向けてDMZを設定し、Linux機で iptables や ipchains でガードをかける(Linux機はWANからはHTTPしか受け入れない。Linux機からLANへのアクセスは全て廃棄)かルータを入れる。

こんな感じ。

WAN ---router1 (DMZ)--- router2 -- (eth0)Linux
        |
        +-- HUB2
              +---PC1
              +---PC2
              +---PC3
              +---PC4
              +---PC5

でも実際の運用等を考えると厳密にやりすぎるとねぇ...って感じまします。

iptables 等でLinux機をガード(言ってみればルータ化)するのは難しいから、お手軽にルータを買ってくるのもアリとは思いますが、(最初の回答者さんに怒られるかも知れませんが)わざわざ2つ目のルータを入れなくても、サブネットで差別(PCはサブネットマスクを狭く、eth0 は広く、eth0 のアドレスはPCのマスク内に無いようにする)するくらいでいいのではダメなんだろうか?

ルータを越えて進入されたら、WAN側に迷惑を書け倒していることでしょうし、LAN内のPCに異常があれば、進入に早く気付くでしょ?

id:uniuniko

ご回答ありがとうございます。

コメントの設定の件ですが、そうですね今後はそのようします。はてなを使い初めて間もないので、、、まだいまいち解ってませんでした^^;

本題ですが、eth0とeth1が存在する理由ですが、参考書通りにやりましたんで、ただ単にそうなっているだけです。まだまだ解らないことだらけで、、とりあえず、言われるままにやってみよう、、というレベルです 汗。

単純に分離する方法ですが、とても参考になりました。ありがとうございます。ルーターが1個しか用意してないのでもう1個買ってみてまた試行錯誤してみようかと思います。

そうですね、SSHも締めてしまっても問題ないですね。わざわざWANから接続することもないですしね。ただ、今後、さくらの専用サーバー(9800円の)をレンタルする予定で、なるべくその構成に近づけようと、まずは自宅で試してる、、、といった感じです。本サーバでアプリケーションのインストールやサーバー設定などいじり倒すのは少々気が引けたので(お金も毎月発生しますし、、)今回、サーバー構築を始めようかと思った次第です。

「オンラインは諦める位の慎重さ」やはりそうですか、これが最大の防衛ですね。

少しずつ解ってきたような気がします。ありがとう御座います。

2007/03/23 07:18:23
id:pbg4667 No.4

pbg4667回答回数98ベストアンサー獲得回数142007/03/22 20:50:48

ポイント15pt

電源OFFで大丈夫かと思います。

あと、そういったリスクに対して気を遣っているのなら、ルーターのICMPに対する応答(Ping応答)はしないように設定されることをおすすめします。(ルーターによってはステルスモードなどと言われています)

攻撃の第一段階はPingから始まりますので、これによりDNSに登録していない場合はWAN側から存在が判りませんので、攻撃対象にされにくくなります。

また、構成図を書く場合、矢印をお使いですが、基本的に通信は同一経路を通るように設計することが基本ですので、物理構成に関しては矢印を使用しない方が望ましいです。

(Serverへ矢印を引く場合はPort80と指定して別に引くなど)

id:uniuniko

ご回答ありがとう御座います。

電源OFFにしておけばとりあえず安心ということで、了解いたしました。pingに関しても大変貴重な情報ありがとう御座います、今後念頭においてネットワーク構築を行いたいと思います。

構成図に関しても、ご指摘ありがとう御座いました。なかなか回りに教えてくれる人がいないので、そのような点もご指摘頂けると大変勉強になります。

2007/03/23 07:21:41
id:rsyudou No.5

rsyudou回答回数10ベストアンサー獲得回数12007/03/22 21:14:26

ポイント15pt

すでに回答でているのでポイント不要です。


DMZを作ってルータでZONEを分けるorルータを挟む、

そしてLinuxの電源OFFであればまず問題ないでしょう。


それよりも、

ルータ本体へのWebログインを外部からアクセス拒否としているか

LinuxサーバにフォワードしているSSH(22番)は、秘密鍵必須となっているか(パスワードのみNG)

Linuxサーバの定期的なアップデートをしているか

SSHの受付ポート番号を22番から8022番のようにするだけでも、SSHアタックはほとんど来なくなりますよ。

id:uniuniko

ご回答ありがとう御座います。


>DMZを作ってルータでZONEを分けるorルータを挟む、そしてLinuxの電源OFF


了解いたしました、念頭において構築してみます。DMZに関してはまだよく分からないので、Googleで調べたり基本的なことを勉強した上でまたチャレンジしたいと思います。


SSHの秘密鍵に関しては、確かそうなっていたと思いますが、サーバーを立てて間もないので、サーバー自体の設定は現在ノータッチです。。


22番から8022番にする件ですが、とても参考になりました。ありがとう御座います。てっきりSSHは22番!というように決まっているものかと思っていました。

2007/03/23 07:30:16
  • id:uniuniko
    皆さんのご意見、大変参考になりました。
    どうもありがとう御座いました。亀の歩みですが、少しずつ理解していこうかと思います。

    また、質問させて頂くかもしれませんが、今後ともよろしく御願い致しますm(__)m
  • id:hnd_info
    私もこの質問に対する回答がとても参考になりました。 どうもありがとうございました。

    うちはサーバが2台と無線LANの他、HUBに接続しているクライアントPCのOSと台数が違うだけで、uniunikoさんが考えた構成とほぼ同じです。 もう4年余り使っていますが特に問題はありませんでした。 HTTP,SSHの他にメールやFTPも使っているので、WAN側に開放しているポートも多いです。 外からのアクセスについては、サーバにiptablesを使ってブロックしています。 例えば、海外からは80番以外のアクセスが出来ないとか、メールも友人や留学生がいる国の家や大学のみを開放する方法をとっています。 クライアントPCはアクセスするサイトがほぼ決まっていますし、メーラーはOutlook系を使っていません。


    使用するルーターにもよりますが、家のは「パケットフィルタリング」で宅内LANで使用しているクラスCのIPアドレスはブロックしています。 実際にこのクラスCへのアクセスがあり、現在のルータのカウント値が10となっています。 それから、TCPポート:137-139、TCPポート:445も同じようにブロックしています。
    「NBTとMicrosoft-DSのルーティングを禁止する」と「IDENT要求を拒否する」にもチェックを入れています。

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません