投稿日:2007年08月28日 作成鷹の巣

No.21822 セキュリティー



セキュリティー

No.21822 投稿時間:2007年08月28日(Tue) 01:10 投稿者名:123 URL:

winでWebサーバーをたてておりますが、セキュリティーが気になっております。 基本的にポートを閉じていますが、フォルダー共有等が出来なく(実際はやりたい)なります。 質問はルータでポートが閉じてあるならLAN内ポートは気にしなくてよいのでしょうか? それとも問題有りと考えるのでしょうか? ご教授よろしくお願い致します。


極端な意見

No.21823 投稿時間:2007年08月28日(Tue) 02:22 投稿者名:通-行-人 URL:http://www.google.com/search?hl=ja&q=%E3%81%94%E6%95%99%E7%A4%BA+%E3%81%94%E6%95%99%E6%8E%88

同一セグメント、 同一ネットワークにサーバと他のマシンが同居していること自体を問題しないのであれば、 そこでポートをどうこうしたところで大して変わらないと思います。

ルータで必要外のポートを閉じることにより、 サーバ機の不要なサービスへのアクセスは排除できるでしょう。 しかし、 これは公開しているサービス自身の脆弱性を突いた攻撃は排除しません。
いわゆる 「自宅サーバ」 のレベルでも、 ルータ / ファイアウォールを介してサーバ群とクライアント用マシンを別ネットワークにしている人はいます。


Re: 極端な意見

No.21830 投稿時間:2007年08月28日(Tue) 21:10 投稿者名:123 URL:

> 同一セグメント、 同一ネットワークにサーバと他のマシンが同居していること自体を問題しないのであれば、 そこでポートをどうこうしたところで大して変わらないと思います。

やはり大して違いがないと思われますか。
> 。
> いわゆる 「自宅サーバ」 のレベルでも、 ルータ / ファイアウォールを介してサーバ群とクライアント用マシンを別ネットワークにしている人はいます。
DMZやルータでサーバーとクライアントを別のセグメントにしていると理解して良いのでしょうか。 参考になります。有難うございます。 


Re: セキュリティー

No.21833 投稿時間:2007年08月29日(Wed) 21:20 投稿者名:パソコン教室教師 URL:

> winでWebサーバーをたてておりますが、セキュリティーが気になっております。 基本的にポートを閉じていますが、フォルダー共有等が出来なく(実際はやりたい)なります。 質問はルータでポートが閉じてあるならLAN内ポートは気にしなくてよいのでしょうか? それとも問題有りと考えるのでしょうか? ご教授よろしくお願い致します。
LAN内ポートって何ですか。どこで設定していますか。、ファイアウォールは何を使ってらっしゃるか分かりませんが、フォルダー共有等が出来ないのは設定で許可していないからでは。よくあるケースでは、Windows のファイアウォールとウイルスバスターなどのファイアウォールどちらも有効になっているケースです。どちらかを無効にして、共有設定がどうなっているか確認してみては…。


Re^2: セキュリティー

No.21835 投稿時間:2007年08月29日(Wed) 21:42 投稿者名:123 URL:

ご返答ありがとうございます。lan内ポートとは共有とかcomとかに使用しているポートのつもりです。わかり難くすみません。 ディスプレイが一台でPC3台使っている為Webサーバーはリモートアクセスで操作しています。共有ホルダーが使いたいのですが、セキュリティー上使えなくしていますので問題がなければ共有したいと思い書かせて頂ました。 各々のPCにはウイルスバスターのファイヤーがありますが、先日外部からのアクセスを求められていると警告が出ました。 誤報告なら良いのですが、サーバーが踏まれるのかな?と心配になりまして、、。 ルータももう一台あるのですが、192.168.1の3オクテットまで変えられないのでセグメント分けも出来ないのが現状です。 安価な方法があれば参考にさせて下さい。


Re^3: セキュリティー

No.21837 投稿時間:2007年08月30日(Thu) 01:11 投稿者名:パソコン教室教師 URL:

ご返事いただきましたが、やりとりが全くかみ合ってないような…。
WAN側に対するポートの設定と、LAN内でのセキュティ設定とは別物と考えられませんか。

サーバーが踏まれるって具体的にどういうことだとお思いですか。webサーバですよね。
mailサーバなら頷けますが…。webサーバを外部に公開したら、そのアドレス宛に
色々な不正アクセスはつきものです。でもweb用の80番しか開放されていないのであれば、
それほど心配は要らないでしょう。

ルーターをふたつ使うなんて、心配のし過ぎ。そんなに気にされるのでしたら、サーバ
運営そのものをお止めになられた方がいいのかな…。


Re^4: セキュリティー

No.21840 投稿時間:2007年08月30日(Thu) 21:07 投稿者名:123 URL:

> ご返事いただきましたが、やりとりが全くかみ合ってないような…。
> WAN側に対するポートの設定と、LAN内でのセキュティ設定とは別物と考えられませんか。
そこを質問させていただいている感じです。 どの程度別物と考えて良いのか。 という事です、教師さんはまったく別と捉えているのですね。
> サーバーが踏まれるって具体的にどういうことだとお思いですか。webサーバですよね。
私のイメージでは他のポートを開けられLAN内PCの情報を抜かれる等ですね。
Webの80&8080を開けてます。
> mailサーバなら頷けますが…。webサーバを外部に公開したら、そのアドレス宛に
> 色々な不正アクセスはつきものです。でもweb用の80番しか開放されていないのであれば、
> それほど心配は要らないでしょう。
> ルーターをふたつ使うなんて、心配のし過ぎ。そんなに気にされるのでしたら、サーバ
> 運営そのものをお止めになられた方がいいのかな…。
そうですか。 会社でもDMZをしてますので、用心に越した事はないのかなと思っています。
教師さんならどの程度のセキュリティーで十分だと思われますか? 具体的に教えて頂ければ幸いです。


Re^5: 教師さんへ

No.21846 投稿時間:2007年09月02日(Sun) 18:19 投稿者名:123 URL:

> 教師さんならどの程度のセキュリティーで十分だと思われますか? 具体的に教えて頂ければ幸いです。
お忙しいのか、質問が分かりにくかったでしょうか? お話を拝見しますとHPは運営されている事と思います。 そこで設定している内容を教えて頂ければ参考にしたいとおもっております。 宜しくお願い致します。


Re^6: 教師さんへ勘弁してあげます

No.21851 投稿時間:2007年09月03日(Mon) 23:09 投稿者名:123 URL:

最初の回答で教師さんのスキルは把握できてました。 通行人さんが内容を把握した返答をして頂いているのにそれを読んでいると思われる教師さんは的はずれでした。 私の前に質問していた方(子供と思われる)にもあまりにも意味の無い返答をしておられたので、ちょっと懲らしめようと思ったのです。 答える気が無いなら不要なレスは失礼とおもいませんか? 私の質問にも質問しか返さず回答になっておりませんね。 もう少し深く潜れるかと思ったら速攻逃げられたのは私の想像より更に経験が無いという事ですね。 本当に教師をやっているのでしたら、辞められたほうがよいのかな、、。 HPもセキュリティー無しなら踏み台にされて他の方の迷惑になるのでそちらもお止めになられた方がよいのかな、、。


お返事遅くなりました

No.21857 投稿時間:2007年09月04日(Tue) 23:14 投稿者名:パソコン教室教師 URL:

忙しくて書き込みしていませんでした。
わたしの生意気な書き方で、すっかり気分を害されてしまわれたようで、そのことに
関しては、申し訳ございませんでした。

何が起こるか分からないのがサーバ管理のような気もしますので、これだけやって
おけば十分なセキュリティというものはないのではないでしょうか。

win機をサーバにすることは、結構セキュリティ上危ない感じがします。それに勿体無い
気もします。リナックスなどのユニックス系を使われた方が良いのでは。

ファイル共有は、サーバ機以外のクライアント機同士で行いたいのですよね。
LANは皆有線ですよね。色々細かい情報をお聞きしないと細かいアドバイスはでき
ませんが、通行人さんが仰っているように、サーバ群とクライアント用マシンを
別ネットワークにできたのでしたら、それはそれでより強固なセキュリティになって
良いと思います。そこまでする必要がないのでは、と書いたのは、123さんの
webサーバのアクセス数がどのくらいのものかも知らないのですが、普通の自宅
サーバされておられる方くらいの感じでしたら、ルータをもうひとつ買って来て
細かい設定をするほどのこともないのでは、という意味です。

わたしの自宅サーバ仲間の方が良くこう言います。「サーバーへの不正アクセスが
頻繁に行われているので、ちょっと心配です。ブロックの方法が有ったら 教えて下さい。」
ログにたくさんの不正アクセスが記録されているのを見て、こう言われました。
でもそれらは皆 login failures となっている記録であって、既にブロックされて
いるのです。だからあまり神経質になりなさんなと言いたいのです。

WAN側に対して、22、23番ポートが閉じていることの確認。外部にFTPポートを開けた
場合は、FTPがanonymous接続できないようになっていることの確認。サーバ機がwin機
でしたら、リモートアシスタンスが無効になっていることの確認。クライアント機たちと
ネットワークグループ名が同じになっていないかなど確認でしょうか。

わたしに不正アクセスよりも、ファンやハードディスクの寿命の方が心配です。
あまり参考にならないようでしたら、右から左に受け流してください。m(_ _)m


Re: セキュリティー

No.21836 投稿時間:2007年08月29日(Wed) 23:32 投稿者名:123 URL:

ルータのもう一つがセグメント変えられ、それに対応してポートフォワードできる事が判明しました。(4オクテットしか空欄にならない為、勝手にフォワード出来ないと思っておりました)やはり安全の為共有フォルダーはあきらめ、多段ルータでセグメント分けにてセキュリティー対応してみます。


目次掲示板過去ログ目次▲頁先頭