自宅サーバーのネット構成変更(DMZ設置)の質問です。テスト用の自宅サーバーを設置していますが、セキュリティ確保のため、DMZを設けたいと思っています。ルーターBを新規で購入し、ルーターAを第二のファイアーウォールとする予定です。


そこで2つ質問です。

ルーターAを第一ルーターから第二ルーターに役割変更するにあたり、「80ポート閉鎖」「80ポートでの静的ルーティング停止」の2つを考えていますが、①『他にすべきことはありますか?』

また、これだけでセキュリティ向上するとはおもえず、第二ルーターを置く意味があるのかがわかりません。②『DMZ領域をもうければ、セキュリティ向上する理由はなんですか?』

お手数おかけしますが、ご回答いただければ幸いです。


(現在の構成)

--(ネット)----[終端装置]----[ルーターA]-------[クライアントPC]
                  └---------------[サーバー]

(DMZ構成)

--(ネット)----[終端装置]----[ルーターB]-------[ルーターA]-------[クライアントPC]
                  └---------------[サーバー]


回答の条件
  • 1人5回まで
  • 登録:2008/05/06 14:06:31
  • 終了:2008/05/06 22:01:18

回答(3件)

id:virtual No.1

virtual回答回数1139ベストアンサー獲得回数1282008/05/06 15:22:05

ポイント27pt

>①『他にすべきことはありますか?

  1. 外側から見たポートは全て閉じる。
  2. 内側からはクライアントPCが必要とするポートのみを開ける。

>②『DMZ領域をもうければ、セキュリティ向上する理由はなんですか?』


元の図が良くないです。

(現在の構成)

--(ネット)----[終端装置]----[ルーターA]-------[クライアントPC]
                    └----[サーバー]

(DMZ構成)

--(ネット)----[終端装置]----[ルーターB]----------------[ルーターA]-------[クライアントPC]
                      └-[サーバー]

このように書くと分かりやすいと思いますが、現在のDMZが無い場合はネットからルーター越しに何者かがサーバーに進入してきた場合、サーバーを踏み台にしてクライアントPCにアクセスすることは非常に簡単です。

これに対してDMZ(ルーターBとルーターAの間)を設けることによってネットからルーターB越しにサーバーに進入されてもルーターAが全てのポートを閉じていればサーバーを踏み台にしてクライアントPCを攻撃することはできません。

DMZは「非武装地帯」という意味で、ネットとクライアントの間に一種の緩衝地帯を設けて外部からの攻撃を一旦自陣から分離してかわすのが目的です。

攻撃者にとってクライアントPCに辿り着くまでに二つのルーターを超えなければならないのでより強固なセキュリティが確保できることになります。

id:logihot

非常に勉強になりました。図、わかやすくしていただき感謝です。さて、市販製品には1台のルーターで上記構成を仮想的に作れる製品(ヤマハのRT58iなど)もあるようです。物理的に2つのFWを作ったほうが安心だとは思いますが、こういった製品でもほぼ同様のスペックを期待できるものでしょうか。

2008/05/06 15:58:37
id:pyopyopyo No.2

pyopyopyo回答回数357ベストアンサー獲得回数882008/05/06 15:23:38

ポイント27pt

①『他にすべきことはありますか?』

ルータAで、サーバからクライアントPCへのアクセスがちゃんと遮断できているか確認しましょう。

サーバから、クライアントPCのファイルなどが見えるようでは、DMZになっていません。

②『DMZ領域をもうければ、セキュリティ向上する理由はなんですか?』

サーバPCと、クライアントPCを隔離できるからです。

セキュリティホールを突かれて、サーバPCがクラックされた場合を考えてみてください。

もしDMZがないと、サーバPCを踏み台にして 今度はクライアントPCを攻撃できます。

DMZを用意しておけば、被害をDMZ内のPCだけに押さえることができます。

ルータBは、サーバを守る。ルータAは、クライアントPCを守る。と考えると分かりやすいと思います。

id:logihot

ありがとうございます。

>ルータBは、サーバを守る。ルータAは、クライアントPCを守る。と考えると分かりやすいと思います。

たしかにわかりやすいですね。

上の方にも、回答に質問でかえしてしまったのですが、市販製品には1台のルーターで上記構成を仮想的に作れる製品(ヤマハのRT58iなど)もあるようです。物理的に2つのFWを作ったほうが安心だとは思いますが、こういった製品でもほぼ同様のスペックを期待できるものでしょうか。

2008/05/06 15:59:30
id:virtual No.3

virtual回答回数1139ベストアンサー獲得回数1282008/05/06 20:55:32

ポイント26pt

さて、市販製品には1台のルーターで上記構成を仮想的に作れる製品(ヤマハのRT58iなど)もあるようです。物理的に2つのFWを作ったほうが安心だとは思いますが、こういった製品でもほぼ同様のスペックを期待できるものでしょうか。

安心という面ではそのとおりです。1台の場合は論理的にDMZは形成されていますが、物理的にDMZが構成されている訳ではないからです。下記のように設定ミスによる危険性を回避できるかどうかの違いになります。

非武装地帯

http://ja.wikipedia.org/wiki/%E9%9D%9E%E6%AD%A6%E8%A3%85%E5%9C%B0%E5%B8%AF_(%E3%82%B3%E3%83%B3%E3%83%94%E3%83%A5%E3%83%BC%E3%82%BF%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3)

DMZは、しばしばファイアーウォールの構成オプションを通じて作られるが、それによる各ネットワークはファイアーウォールにお互い異なるポートを使って連結される。これを、三脚ファイアーウォール設定(three-legged firewall set-up)と呼ぶ。より強力な手法は、2つのファイアーウォールを使うやり方である。それによると、DMZは使用する二つのファイアーウォールの中間にあり、双方のファイアーウォールと繋がれている。そして、一方のファイアーウォールは内部ネットワークと繋がれ、もう一方は外部ネットワークと繋がれる。これには、偶然によって生じる設定の過ちを通じ、外部ネットワークから内部ネットワークへのアクセスを可能にしてしまう事態を防ぐ補助的役割がある。このタイプの設定は、screened-subnet firewallとも呼ばれる。

id:logihot

大変よくわかりました。

2008/05/06 22:01:06

コメントはまだありません

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません