3 Minutes Networking Step-by-Step
No.13

ネットワークなぜなに講座

構築第13回公開サーバのセキュリティを確保しよう

■ 構築問題 第十三問

おねーさん

おね〜さんと、

ほげたん

ほげたんのっ!!

おねーさん

3 Minutes Networking、

ほげたん

Step by Step !!

おねーさん

さて、Web、メール、DNSの基本3セットのサーバを公開できるようにしたわけだけど。

ほげたん

基本3セットって。まぁ、確かにそうだけど。

おねーさん

でしょ? 普通この3つのサーバは公開するわよね。小さいところなら1台にまとめっちゃったりするかもしれないけど。
あとはまぁ、データセンタにレンタルサーバ(ホスティング)するかもしれないけど、それはそれ。

ほげたん

そだね。Webサイト公開用Webサーバ、メールのやりとりのためのメールサーバ、URL・ドメイン名を使用可能にするネームサーバ。これらは基本中の基本、かな。

おねーさん

で、データセンタでホスティングしちゃう話はまた先として。
自分のところでこの3つを公開してるんだけど。

ほげたん

だけど?

おねーさん

現在、ファイアウォールの外側、つまりまったく防御もなにもされてないところなわけよ。
おね〜さん、これらのサーバも守ってほしいなぁ。

公開サーバのセキュリティを確保しなさい

第十三問

[FigureSS13-01:第十三問]

  • 公開サーバを外部からの攻撃から守りなさい
ほげたん

外部からの攻撃から守る…。

おねーさん

そ。
もちろん、外部からのアクセスが可能な状態でよ?

ほげたん

ってことはアレですか、おね〜さん。

解答は非表示になっています。自分なりの答えができた方は表示させてください

■ 構築問題 第十三問 解答

ほげたん

つまり、「外部からのアクセスを禁止」と「外部からのアクセスを許可」という矛盾した命題を果たせばいいんだね?

おねーさん

そういうことになるわね。外部からの攻撃から守るために「アクセスを禁止したい」。でも、外部からのサービス要求のために「アクセスを許可したい」わけね。

ほげたん

どこにサーバを置くか、が問題だね。

おねーさん

そう、ファイアウォールの外側だと守られない。でも、ファイアウォールの内側だとアクセスされないわけだからね。

ほげたん

だから「使用するサービスのアクセスのみを通す」ようにすればいいんだよね。
つまり、外側と内側の中間地帯みたいな感じで。

おねーさん

そうね。
そういうのを何て呼ぶんだっけ?

ほげたん

DMZだねっ!!

ほげたんの解答

[FigureSS13-02:ほげたんの解答]

おねーさん

うん。はい、OK。
つまり意味合い的には「緩衝地帯」というか、まぁ、そういうところなわけね。

ほげたん

武装(防御)しちゃうとダメだけど、完全に防御されないわけではないという意味だよね、DMZ。
言葉だけ聞くと、「まったく武装(防御)しない」って意味にもとれそうだけど。

おねーさん

まぁ、そうね。
で、このDMZは実質的には、こういう配置と同じことになるわ。

DMZの実質的な配置

[FigureSS13-03:DMZの実質的な配置]

おねーさん

通常の「内部セグメントを完全防御するファイアウォール」と、「公開サーバをある程度防御するファイアウォール」この2つがある、と思ってもらえれば。

ほげたん

うん、それはわかるけど。
で、2つのファイアウォールじゃもったいないから、1つで実現するんでしょ?

おねーさん

そうだけどね、ほげたん。この図の言いたい事はね、DMZから内部へのアクセスは不可ってことなのよ。
1つにまとめちゃうと、そこのところが曖昧になっちゃう人がいるからね。

ほげたん

あ〜、なるほど。
確かに2つに分けて書けば、わかりやすいよね。

おねーさん

そういうこと。
つまり、1つにした形で書くと、こうなるわ。

ファイアウォールの動作

[FigureSS13-04:ファイアウォールの動作]

ほげたん

は〜。なるほど。

おねーさん

この図は基本的なファイアウォールの動作として絶対覚えてね
あとはこっちの図でもいいわ。

ファイアウォールの動作・2

[FigureSS13-05:ファイアウォールの動作・2]

ほげたん

ん? どういう意味?

おねーさん

緑のグラフは防御度。で、後は水と同じ。
高い所から低い所へは流れる(アクセス可)だけど、低い所から高い所へは流れない(アクセス不可)。

ほげたん

あぁ、なるほど。でも、DMZへはアクセスは一部のみ可能なんでしょ?

おねーさん

基本動作として、よ。DMZのサーバへのアクセスは例外って考えた方がいいってことね。
つまりね、「DMZから内部は禁止」ってのが重要ってことなのよ。

ほげたん

うん。さっきも言ってたよね。

おねーさん

もともと「一部だけアクセスを許可」ってことならば、サーバは内部にあっても問題ないってことでしょ?

内部での公開

[FigureSS13-06:内部での公開]

ほげたん

そう、なるかな? 確かに「一部だけアクセスを許可」ってできるならば、内部に置いて、一部だけ許可、その他は禁止ってしちゃえば内部は守られつつ公開できるよね。

おねーさん

でもそれだと、内部に外部からのデータが流れ込むことになるし、さらに公開サーバが踏み台にされた場合防御法がないわけよ。

内部での公開の危険性

[FigureSS13-07:内部での公開の危険性]

ほげたん

踏み台もしくは乗っ取りされてしまうと、ファイアウォールもないし、確かに防御不能に近いよね。
でも、内部にデータが流れ込むのもダメなの?

おねーさん

じゃ、逆に聞くけど、内部にデータが流れ込んでもいいの?

ほげたん

良くはないけど、別に宛先も決まってるし、サービスも決まってるし、問題ないんじゃない?

おねーさん

おね〜さんが攻撃者ならそうは考えないわ。内部にデータが流れ込むことができるならば、どうにかなるって考えるわね。
おね〜さんも詳しくはないから明言できないけど、例えば途中にあるハブを潰すとかしちゃえば、内部LANにダメージを与えることができるわよね。

ほげたん

途中にあるハブを潰す……、なんかできそうでできなさそうな……。

おねーさん

詳しくないっていったでしょ?

ほげたん

おね〜さんったら、ナイフを持って生まれたという逸話があるぐらいの攻撃者の癖して、なんで知らないの?

おねーさん

私はナニモノなのよ、ほげたん?

ほげたん

戦鬼だって前から言ってる……、うぐぐぐぐぐ……。
ゴメンナサイゴメンナサイ、もう言いませんから許して……。

おねーさん

ふんっ。
まぁ、ともかく守る側としては、たとえ害があろうがなかろうが外部からのデータは内部に流さない方が絶対に安全なわけでしょ?

ほげたん

うん、それはそうだよね。

おねーさん

ま、それと踏み台の場合の防御もあるし、公開サーバは絶対に内部に配置できないわけでしょ?
だからDMZに配置するんだけど、DMZに配置しただけじゃなくって、さらにDMZからのアクセスをも禁止する、と。

ほげたん

そうすると、踏み台されてもDMZからのアクセスは禁止だから、内部は守られるってことだね。

おねーさん

そういうことよ。ちなみに、普通の家庭用ブロードバンドルータが持ってるDMZ機能って、ほとんどがこの内部での公開状態だから気をつけてね。

ほげたん

え? そうなの?

おねーさん

そうよ。だって普通のブロードバンドルータってインタフェースが3つもないもの。

ほげたん

「WAN」と「LAN」しかないよね、そういえば。

おねーさん

ちゃんとしたファイアウォールなら3つ目が必ずあるか、3つ目をオプションでつけることになるわ。
ま、ともかくDMZとその役割が今回の問題のポイントよ。

ほげたん

DMZのIPアドレスとかはどうなるの?

おねーさん

それはまた次回にしましょう。
おね〜さんと、

ほげたん

ほげたんのっ!!

おねーさん

3 Minutes Networking、

ほげたん

Step by Step !! でした〜〜〜っ!!
まったね〜〜〜!!

DMZ
[DeMilitarized Zone]
日本語では「非武装地帯」「非武装セグメント」などと呼ぶ。

3 Minutes Networking Step-by-Step No.13

管理人:aji-ssz(at)selene.is.dream.jp