ですが、既存のLAN内ネットワークのセキュリティの低下が心配です。
(既存のLAN内ネットワーク内にはサーバーはありません。)
ルーターはNEC Aterm WR8500Nを使用しています。
今はルーター→PC(非サーバー)という形でネット接続しています
質問1)どういう公開方法が一番既存のLAN内ネットワークのセキュリティの低下を防ぐことができるのでしょうか?
(ただしサーバー用にもう1回線契約というのは無理です)
DMZを作成した場合、サーバーと既存のLAN内PCと通信は一方向性だが、IP(TCP/IP)以外のプロトコルは双方向に通してしまうというのが心配です。
質問2)
これを防ぐためにLAN内PCでは具体的にどのような対策をすればいいのでしょうか?(サーバーもLAN内PCもubuntuです)
解答はサーバーを管理した事のある方や詳しい方お願いします。
また初心者の私にアドバイスなどありましたらお願います。(この件と関係なくても構いません)
質問内容が変わってきてます。フル公開を前提に、webサーバーのセキュリティですか?
それなら、こまめにアップデートと、脆弱性サイトを毎日見て、パッチを当てる。毎日コンパイルするではないですか?
まあ、はっきり言って、webサーバーなんて侵入されて当たり前のものだから、そこに重要なものを置かないとか、そこから操作させないようにすればいいのでは。縁側に貴重品を置かないだけですよ。縁側をつくりたいが、セキュリティがなんて発想矛盾ですよ。
>そこに重要なものを置かないとか、そこから操作させないようにすればいいのでは。
それが質問2です。おっしゃっているとおり、サーバーには貴重な物は何も置きません。
>縁側をつくりたいが、セキュリティがなんて発想矛盾ですよ。
私が言っているのは既存のネットワークのセキュリティを保持したいということです。
フル公開の時点でwebサーバーのセキュリティが低下するのはわかっています。
説明が足りませんでしたがアクセス制限をしないで完全に外部に公開する形でのサーバー運営がしたいです。
別回線は考えていませんでしたが、ちなみに私の環境では別回線は可能なのでしょうか?
ルーターにグローバルIPを振ってあって、ルータ内にWebサーバーを置きたいんですね?
私の場合は、NAT機能を使っています。
例えば、グローバルIPが、123.456.789.012 で、
Webサーバーはプライベートアドレス、192.168.0.6 だったとして、
インターネット側から、123.456.789.012にWebページのリクエストが有った場合、
通常はポート80番ですから、ルーターで
123.456.789.012:80 --> 192.168.0.6:80 という
アドレス変換(Network Address Transfer)をしてあげれば、
インターネット(WAN)側に123.456.789.012の80番ポートとして
192.168.0.6というコンピュータの80番ポートを
公開することが出来ます。
一つご注意を。DMZにサーバを配置するのは、おすすめ出来ません。
質問者さんの環境で、インターネットのリスクを防御しているのは、
1)ルータ
2)個々のPC
です。DMZは、ルータの外に(WAN側)にコンピュータを置くことになるので、
1)による防御は期待出来ません。コンピュータ自身のセキュリティを高めて置く必要があります。
ご質問の趣旨であるなら、はじめに申しました、NATを使う方法が良いと思います。
ネットゲームやP2PソフトでDMZにPCを置けみたいなことがあるようですが、
こちらの詳細はわかりません。
セキュリティについては、
とりあえず、以下の図書シリースを参考にされてはいかがでしょうか。
Fedora 11で作る最強の自宅サーバー (DVD-ROM1枚&CD-ROM2枚付)
UBUNTUをお使いとのことですが、参考書籍はFedoraです。
UBUNTUはDebian系のデストリビューションなので、あまり参考にならないかもしれません。
RedHatの流れを汲む、フリーのサーバディストリビューションとしてCentOSというのがありますので、
お使いになるなら、その方が差分が小さいです。
解答ありがとうございます。
redhat系よりdebian系が好きなので今回はubuntuで挑戦してみます。
いずれはCentOS使ってみます。てか普通はcentですよね。
自宅サーバーの目的がWebを外部に公開する実験で、セキュリティが心配でしたらルーターの2段接続で物理的にDMZを作るのが一番解りやすく管理が楽でしょう。物理的にネットワークが把握できるので間違いようが無いからです。その代わりLANから外部との通信のパフォーマンスは落ちます。
外部→ルーター+→サーバー | →ルーター→LAN
Webサーバーの管理はLANからssh/ftpなどで行いますので自宅のサーバーであってもLANからサーバーへの一方向のアクセスは問題ないはずです。
自宅サーバーをLAN内部にもサービスする、あるいは特にLAN内部と接続も必要であればルーターの機能でDMZ設定(一種のNAT)を使ってLANにサーバーを置き外部からのアクセスをLAN内部のサーバーにフォワードすることになります。
私はたまにサーバーを立てて外部に晒すことがありますがルーターのAirstationのDMZ機能を使っています。
簡単でいいですがLAN内部に外部のトラフィックが流れますのでセキュリティ的にはあまり気持ちの良いものではないことは確かです。
サーバーの勉強が目的であればWebサーバーを立てる前にそのサーバーを使ってルーターを作ってみることをお勧めします。現在のルーターをブリッジモードにしてPPPoE接続から設定してIPフィルタとNATの設定がきちんとできてからWebサーバーを立ててもいいと思いますよ。
解答ありがとうございます。
コメントにも書きましたが今回はハブ以下に既存のネットワークとは別のネットワークを作り、そこにサーバーを立ててみようと思います。
ローカルのみですか・・
実際のネットワークに接続させてみて、侵入などを防げるかどうか試したいんですよね。
用はきちんとしたセキュリティが保てているか実証してみたいんですよ。
ローカルだけで公開してペネトレーションテストしても面白く無いので、基本的に外部に公開ということでお願いします。
初心者のクセにセキュリティとかほざいてますが許してください。