■ 構築問題 第十三問
おね〜さんと、
ほげたんのっ!!
3 Minutes Networking、
Step by Step !!
さて、Web、メール、DNSの基本3セットのサーバを公開できるようにしたわけだけど。
基本3セットって。まぁ、確かにそうだけど。
でしょ? 普通この3つのサーバは公開するわよね。小さいところなら1台にまとめっちゃったりするかもしれないけど。
あとはまぁ、データセンタにレンタルサーバ(ホスティング)するかもしれないけど、それはそれ。
そだね。Webサイト公開用Webサーバ、メールのやりとりのためのメールサーバ、URL・ドメイン名を使用可能にするネームサーバ。これらは基本中の基本、かな。
で、データセンタでホスティングしちゃう話はまた先として。
自分のところでこの3つを公開してるんだけど。
だけど?
現在、ファイアウォールの外側、つまりまったく防御もなにもされてないところなわけよ。
おね〜さん、これらのサーバも守ってほしいなぁ。
公開サーバのセキュリティを確保しなさい
[FigureSS13-01:第十三問]
- 公開サーバを外部からの攻撃から守りなさい
- 現在のネットワーク構成は第十二回の問題と同じとする
外部からの攻撃から守る…。
そ。
もちろん、外部からのアクセスが可能な状態でよ?
ってことはアレですか、おね〜さん。
■ 構築問題 第十三問 解答
つまり、「外部からのアクセスを禁止」と「外部からのアクセスを許可」という矛盾した命題を果たせばいいんだね?
そういうことになるわね。外部からの攻撃から守るために「アクセスを禁止したい」。でも、外部からのサービス要求のために「アクセスを許可したい」わけね。
どこにサーバを置くか、が問題だね。
そう、ファイアウォールの外側だと守られない。でも、ファイアウォールの内側だとアクセスされないわけだからね。
だから「使用するサービスのアクセスのみを通す」ようにすればいいんだよね。
つまり、外側と内側の中間地帯みたいな感じで。
そうね。
そういうのを何て呼ぶんだっけ?
DMZだねっ!!
[FigureSS13-02:ほげたんの解答]
うん。はい、OK。
つまり意味合い的には「緩衝地帯」というか、まぁ、そういうところなわけね。
武装(防御)しちゃうとダメだけど、完全に防御されないわけではないという意味だよね、DMZ。
言葉だけ聞くと、「まったく武装(防御)しない」って意味にもとれそうだけど。
まぁ、そうね。
で、このDMZは実質的には、こういう配置と同じことになるわ。
[FigureSS13-03:DMZの実質的な配置]
通常の「内部セグメントを完全防御するファイアウォール」と、「公開サーバをある程度防御するファイアウォール」この2つがある、と思ってもらえれば。
うん、それはわかるけど。
で、2つのファイアウォールじゃもったいないから、1つで実現するんでしょ?
そうだけどね、ほげたん。この図の言いたい事はね、DMZから内部へのアクセスは不可ってことなのよ。
1つにまとめちゃうと、そこのところが曖昧になっちゃう人がいるからね。
あ〜、なるほど。
確かに2つに分けて書けば、わかりやすいよね。
そういうこと。
つまり、1つにした形で書くと、こうなるわ。
[FigureSS13-04:ファイアウォールの動作]
は〜。なるほど。
この図は基本的なファイアウォールの動作として絶対覚えてね。
あとはこっちの図でもいいわ。
[FigureSS13-05:ファイアウォールの動作・2]
ん? どういう意味?
緑のグラフは防御度。で、後は水と同じ。
高い所から低い所へは流れる(アクセス可)だけど、低い所から高い所へは流れない(アクセス不可)。
あぁ、なるほど。でも、DMZへはアクセスは一部のみ可能なんでしょ?
基本動作として、よ。DMZのサーバへのアクセスは例外って考えた方がいいってことね。
つまりね、「DMZから内部は禁止」ってのが重要ってことなのよ。
うん。さっきも言ってたよね。
もともと「一部だけアクセスを許可」ってことならば、サーバは内部にあっても問題ないってことでしょ?
[FigureSS13-06:内部での公開]
そう、なるかな? 確かに「一部だけアクセスを許可」ってできるならば、内部に置いて、一部だけ許可、その他は禁止ってしちゃえば内部は守られつつ公開できるよね。
でもそれだと、内部に外部からのデータが流れ込むことになるし、さらに公開サーバが踏み台にされた場合防御法がないわけよ。
[FigureSS13-07:内部での公開の危険性]
踏み台もしくは乗っ取りされてしまうと、ファイアウォールもないし、確かに防御不能に近いよね。
でも、内部にデータが流れ込むのもダメなの?
じゃ、逆に聞くけど、内部にデータが流れ込んでもいいの?
良くはないけど、別に宛先も決まってるし、サービスも決まってるし、問題ないんじゃない?
おね〜さんが攻撃者ならそうは考えないわ。内部にデータが流れ込むことができるならば、どうにかなるって考えるわね。
おね〜さんも詳しくはないから明言できないけど、例えば途中にあるハブを潰すとかしちゃえば、内部LANにダメージを与えることができるわよね。
途中にあるハブを潰す……、なんかできそうでできなさそうな……。
詳しくないっていったでしょ?
おね〜さんったら、ナイフを持って生まれたという逸話があるぐらいの攻撃者の癖して、なんで知らないの?
私はナニモノなのよ、ほげたん?
戦鬼だって前から言ってる……、うぐぐぐぐぐ……。
ゴメンナサイゴメンナサイ、もう言いませんから許して……。
ふんっ。
まぁ、ともかく守る側としては、たとえ害があろうがなかろうが外部からのデータは内部に流さない方が絶対に安全なわけでしょ?
うん、それはそうだよね。
ま、それと踏み台の場合の防御もあるし、公開サーバは絶対に内部に配置できないわけでしょ?
だからDMZに配置するんだけど、DMZに配置しただけじゃなくって、さらにDMZからのアクセスをも禁止する、と。
そうすると、踏み台されてもDMZからのアクセスは禁止だから、内部は守られるってことだね。
そういうことよ。ちなみに、普通の家庭用ブロードバンドルータが持ってるDMZ機能って、ほとんどがこの内部での公開状態だから気をつけてね。
え? そうなの?
そうよ。だって普通のブロードバンドルータってインタフェースが3つもないもの。
「WAN」と「LAN」しかないよね、そういえば。
ちゃんとしたファイアウォールなら3つ目が必ずあるか、3つ目をオプションでつけることになるわ。
ま、ともかくDMZとその役割が今回の問題のポイントよ。
DMZのIPアドレスとかはどうなるの?
それはまた次回にしましょう。
おね〜さんと、
ほげたんのっ!!
3 Minutes Networking、
Step by Step !! でした〜〜〜っ!!
まったね〜〜〜!!
- DMZ
-
[DeMilitarized Zone]
日本語では「非武装地帯」「非武装セグメント」などと呼ぶ。