自宅サーバー(webサーバー)を勉強の為に管理してみようと思っています。

ですが、既存のLAN内ネットワークのセキュリティの低下が心配です。
(既存のLAN内ネットワーク内にはサーバーはありません。)
ルーターはNEC Aterm WR8500Nを使用しています。
今はルーター→PC(非サーバー)という形でネット接続しています


質問1)どういう公開方法が一番既存のLAN内ネットワークのセキュリティの低下を防ぐことができるのでしょうか?
(ただしサーバー用にもう1回線契約というのは無理です)


DMZを作成した場合、サーバーと既存のLAN内PCと通信は一方向性だが、IP(TCP/IP)以外のプロトコルは双方向に通してしまうというのが心配です。
質問2)
これを防ぐためにLAN内PCでは具体的にどのような対策をすればいいのでしょうか?(サーバーもLAN内PCもubuntuです)


解答はサーバーを管理した事のある方や詳しい方お願いします。
また初心者の私にアドバイスなどありましたらお願います。(この件と関係なくても構いません)

回答の条件
  • 1人3回まで
  • 登録:
  • 終了:2010/03/14 18:47:31
※ 有料アンケート・ポイント付き質問機能は2023年2月28日に終了しました。

回答4件)

id:kick_m No.1

回答回数1372ベストアンサー獲得回数54

ポイント5pt

webサーバーはローカルのみ公開とすれば。あるいはローカル+指定IPにすれば実験用としては安心でしょう。http://www

id:korehaXX

ローカルのみですか・・

実際のネットワークに接続させてみて、侵入などを防げるかどうか試したいんですよね。

用はきちんとしたセキュリティが保てているか実証してみたいんですよ。

ローカルだけで公開してペネトレーションテストしても面白く無いので、基本的に外部に公開ということでお願いします。

初心者のクセにセキュリティとかほざいてますが許してください。

2010/03/10 02:13:29
id:kick_m No.2

回答回数1372ベストアンサー獲得回数54

質問内容が変わってきてます。フル公開を前提に、webサーバーのセキュリティですか?

それなら、こまめにアップデートと、脆弱性サイトを毎日見て、パッチを当てる。毎日コンパイルするではないですか?

まあ、はっきり言って、webサーバーなんて侵入されて当たり前のものだから、そこに重要なものを置かないとか、そこから操作させないようにすればいいのでは。縁側に貴重品を置かないだけですよ。縁側をつくりたいが、セキュリティがなんて発想矛盾ですよ。

id:korehaXX

>そこに重要なものを置かないとか、そこから操作させないようにすればいいのでは。

それが質問2です。おっしゃっているとおり、サーバーには貴重な物は何も置きません。

>縁側をつくりたいが、セキュリティがなんて発想矛盾ですよ。

私が言っているのは既存のネットワークのセキュリティを保持したいということです。

フル公開の時点でwebサーバーのセキュリティが低下するのはわかっています。

説明が足りませんでしたがアクセス制限をしないで完全に外部に公開する形でのサーバー運営がしたいです。

別回線は考えていませんでしたが、ちなみに私の環境では別回線は可能なのでしょうか?

2010/03/10 02:48:08
id:miymun No.3

回答回数14ベストアンサー獲得回数2

ポイント42pt

ルーターにグローバルIPを振ってあって、ルータ内にWebサーバーを置きたいんですね?

私の場合は、NAT機能を使っています。

例えば、グローバルIPが、123.456.789.012 で、

Webサーバーはプライベートアドレス、192.168.0.6 だったとして、

インターネット側から、123.456.789.012にWebページのリクエストが有った場合、

通常はポート80番ですから、ルーターで

123.456.789.012:80 --> 192.168.0.6:80 という

アドレス変換(Network Address Transfer)をしてあげれば、

インターネット(WAN)側に123.456.789.012の80番ポートとして

192.168.0.6というコンピュータの80番ポートを

公開することが出来ます。

この画面がヒントになると思います。


一つご注意を。DMZにサーバを配置するのは、おすすめ出来ません。

質問者さんの環境で、インターネットのリスクを防御しているのは、

1)ルータ

2)個々のPC

です。DMZは、ルータの外に(WAN側)にコンピュータを置くことになるので、

1)による防御は期待出来ません。コンピュータ自身のセキュリティを高めて置く必要があります。

ご質問の趣旨であるなら、はじめに申しました、NATを使う方法が良いと思います。

ネットゲームやP2PソフトでDMZにPCを置けみたいなことがあるようですが、

こちらの詳細はわかりません。

セキュリティについては、

とりあえず、以下の図書シリースを参考にされてはいかがでしょうか。

Fedora 11で作る最強の自宅サーバー (DVD-ROM1枚&CD-ROM2枚付)

Fedora 11で作る最強の自宅サーバー (DVD-ROM1枚&CD-ROM2枚付)

  • 作者: 福田 和宏
  • 出版社/メーカー: ソーテック社
  • メディア: 単行本

UBUNTUをお使いとのことですが、参考書籍はFedoraです。

UBUNTUはDebian系のデストリビューションなので、あまり参考にならないかもしれません。

RedHatの流れを汲む、フリーのサーバディストリビューションとしてCentOSというのがありますので、

お使いになるなら、その方が差分が小さいです。

id:korehaXX

解答ありがとうございます。

redhat系よりdebian系が好きなので今回はubuntuで挑戦してみます。

いずれはCentOS使ってみます。てか普通はcentですよね。

2010/03/14 18:43:57
id:virtual No.4

回答回数1139ベストアンサー獲得回数128

ポイント43pt

自宅サーバーの目的がWebを外部に公開する実験で、セキュリティが心配でしたらルーターの2段接続で物理的にDMZを作るのが一番解りやすく管理が楽でしょう。物理的にネットワークが把握できるので間違いようが無いからです。その代わりLANから外部との通信のパフォーマンスは落ちます。

外部→ルーター+→サーバー
       |
        →ルーター→LAN

Webサーバーの管理はLANからssh/ftpなどで行いますので自宅のサーバーであってもLANからサーバーへの一方向のアクセスは問題ないはずです。

自宅サーバーをLAN内部にもサービスする、あるいは特にLAN内部と接続も必要であればルーターの機能でDMZ設定(一種のNAT)を使ってLANにサーバーを置き外部からのアクセスをLAN内部のサーバーにフォワードすることになります。

私はたまにサーバーを立てて外部に晒すことがありますがルーターのAirstationのDMZ機能を使っています。

簡単でいいですがLAN内部に外部のトラフィックが流れますのでセキュリティ的にはあまり気持ちの良いものではないことは確かです。


サーバーの勉強が目的であればWebサーバーを立てる前にそのサーバーを使ってルーターを作ってみることをお勧めします。現在のルーターをブリッジモードにしてPPPoE接続から設定してIPフィルタとNATの設定がきちんとできてからWebサーバーを立ててもいいと思いますよ。

id:korehaXX

解答ありがとうございます。

コメントにも書きましたが今回はハブ以下に既存のネットワークとは別のネットワークを作り、そこにサーバーを立ててみようと思います。

2010/03/14 18:45:21
  • id:b-wind
    >ただしサーバー用にもう1回線契約というのは無理です
    契約回線次第では低価格で別セッション持てるんだけどな。

    既存の環境もう少し提示して貰わんと回答しにくい。
  • id:korehaXX
    Bフレッツマンションタイプ契約でルーター→有線→ubuntuでネットに接続しています。

    >契約回線次第では低価格で別セッション持てるんだけどな。
    料金によりますが、契約した場合、私の既存の環境でサーバーを公開することは可能なのでしょうか?
  • id:korehaXX
    追記
    コメントでの解答でも有益だと判断した場合、後でポイントを贈らせていただきます。
  • id:korehaXX
    書き忘れました
    電話線口?>VDSL装置>ルーター>PC(ubuntu)です。
  • id:b-wind
    >Bフレッツマンションタイプ契約
    http://flets.com/sessionplus/s_outline.html
    NTT 東・西でも詳細が異なるから正確に書いて貰わないと困るが、
    その契約なら裁定2セッションは使えるから別のプロバイダにそれぞれつなげればいい。

    VDSL の後ろに HUB を設置してルーター2台でやるか1台+Web サーバーで直接 PPPoE やるとか。
    プロバイダは何でも良いけど安いところだと 500円から。
    http://bb.excite.co.jp/service/course/hikari/flets/?area=east&page=charge
  • id:korehaXX
    >HUB を設置してルーター2台
    別セッションを契約してこれだと完全に独立した環境でサーバーを公開できるのでいいですね。既存ネットワークにも影響ありませんしね。
    全体としてのパフォーマンスは落ちるかもしれませんがそんなに帯域を使って無いので、その点はあまり心配していません。
    直接PPPoEブリッジも考えたんですが、侵入されてそのセッションのIDとパスが盗まれるのが嫌なのでやはりPPPoEはルーターにやらせたいです。
    ということで、別セッションを契約する方向で考えて行きます。
    なんか最初と言ってることが矛盾しててすいません。

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

回答リクエストを送信したユーザーはいません