人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

自宅サーバーのネット構成変更(DMZ設置)の質問です。テスト用の自宅サーバーを設置していますが、セキュリティ確保のため、DMZを設けたいと思っています。ルーターBを新規で購入し、ルーターAを第二のファイアーウォールとする予定です。

そこで2つ質問です。

ルーターAを第一ルーターから第二ルーターに役割変更するにあたり、「80ポート閉鎖」「80ポートでの静的ルーティング停止」の2つを考えていますが、?『他にすべきことはありますか?』

また、これだけでセキュリティ向上するとはおもえず、第二ルーターを置く意味があるのかがわかりません。?『DMZ領域をもうければ、セキュリティ向上する理由はなんですか?』

お手数おかけしますが、ご回答いただければ幸いです。


(現在の構成)

--(ネット)----[終端装置]----[ルーターA]-------[クライアントPC]
└---------------[サーバー]

(DMZ構成)

--(ネット)----[終端装置]----[ルーターB]-------[ルーターA]-------[クライアントPC]
└---------------[サーバー]





●質問者: logihot
●カテゴリ:コンピュータ インターネット
✍キーワード:DMZ pc クライアント サーバー セキュリティ
○ 状態 :終了
└ 回答数 : 3/3件

▽最新の回答へ

1 ● virtual
●27ポイント

>?『他にすべきことはありますか?

  1. 外側から見たポートは全て閉じる。
  2. 内側からはクライアントPCが必要とするポートのみを開ける。

>?『DMZ領域をもうければ、セキュリティ向上する理由はなんですか?』


元の図が良くないです。

(現在の構成)

--(ネット)----[終端装置]----[ルーターA]-------[クライアントPC]
                    └----[サーバー]

(DMZ構成)

--(ネット)----[終端装置]----[ルーターB]----------------[ルーターA]-------[クライアントPC]
                      └-[サーバー]

このように書くと分かりやすいと思いますが、現在のDMZが無い場合はネットからルーター越しに何者かがサーバーに進入してきた場合、サーバーを踏み台にしてクライアントPCにアクセスすることは非常に簡単です。

これに対してDMZ(ルーターBとルーターAの間)を設けることによってネットからルーターB越しにサーバーに進入されてもルーターAが全てのポートを閉じていればサーバーを踏み台にしてクライアントPCを攻撃することはできません。

DMZは「非武装地帯」という意味で、ネットとクライアントの間に一種の緩衝地帯を設けて外部からの攻撃を一旦自陣から分離してかわすのが目的です。

攻撃者にとってクライアントPCに辿り着くまでに二つのルーターを超えなければならないのでより強固なセキュリティが確保できることになります。

◎質問者からの返答

非常に勉強になりました。図、わかやすくしていただき感謝です。さて、市販製品には1台のルーターで上記構成を仮想的に作れる製品(ヤマハのRT58iなど)もあるようです。物理的に2つのFWを作ったほうが安心だとは思いますが、こういった製品でもほぼ同様のスペックを期待できるものでしょうか。


2 ● pyopyopyo
●27ポイント

?『他にすべきことはありますか?』

ルータAで、サーバからクライアントPCへのアクセスがちゃんと遮断できているか確認しましょう。

サーバから、クライアントPCのファイルなどが見えるようでは、DMZになっていません。

?『DMZ領域をもうければ、セキュリティ向上する理由はなんですか?』

サーバPCと、クライアントPCを隔離できるからです。

セキュリティホールを突かれて、サーバPCがクラックされた場合を考えてみてください。

もしDMZがないと、サーバPCを踏み台にして 今度はクライアントPCを攻撃できます。

DMZを用意しておけば、被害をDMZ内のPCだけに押さえることができます。

ルータBは、サーバを守る。ルータAは、クライアントPCを守る。と考えると分かりやすいと思います。

◎質問者からの返答

ありがとうございます。

>ルータBは、サーバを守る。ルータAは、クライアントPCを守る。と考えると分かりやすいと思います。

たしかにわかりやすいですね。

上の方にも、回答に質問でかえしてしまったのですが、市販製品には1台のルーターで上記構成を仮想的に作れる製品(ヤマハのRT58iなど)もあるようです。物理的に2つのFWを作ったほうが安心だとは思いますが、こういった製品でもほぼ同様のスペックを期待できるものでしょうか。


3 ● virtual
●26ポイント

さて、市販製品には1台のルーターで上記構成を仮想的に作れる製品(ヤマハのRT58iなど)もあるようです。物理的に2つのFWを作ったほうが安心だとは思いますが、こういった製品でもほぼ同様のスペックを期待できるものでしょうか。

安心という面ではそのとおりです。1台の場合は論理的にDMZは形成されていますが、物理的にDMZが構成されている訳ではないからです。下記のように設定ミスによる危険性を回避できるかどうかの違いになります。

非武装地帯

http://ja.wikipedia.org/wiki/%E9%9D%9E%E6%AD%A6%E8%A3%85%E5%9C%B0%E5%B8%AF_(%E3%82%B3%E3%83%B3%E3%83%94%E3%83%A5%E3%83%BC%E3%82%BF%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3)

DMZは、しばしばファイアーウォールの構成オプションを通じて作られるが、それによる各ネットワークはファイアーウォールにお互い異なるポートを使って連結される。これを、三脚ファイアーウォール設定(three-legged firewall set-up)と呼ぶ。より強力な手法は、2つのファイアーウォールを使うやり方である。それによると、DMZは使用する二つのファイアーウォールの中間にあり、双方のファイアーウォールと繋がれている。そして、一方のファイアーウォールは内部ネットワークと繋がれ、もう一方は外部ネットワークと繋がれる。これには、偶然によって生じる設定の過ちを通じ、外部ネットワークから内部ネットワークへのアクセスを可能にしてしまう事態を防ぐ補助的役割がある。このタイプの設定は、screened-subnet firewallとも呼ばれる。

◎質問者からの返答

大変よくわかりました。

関連質問


●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ