- - PR -
同一LAN内をセグメント分けした場合のセキュリティーについてご質問
| 投稿者 | 投稿内容 | ||||
|---|---|---|---|---|---|
|
投稿日時: 2008-06-05 02:55
小規模のネットワークにて、下図のような構成にしております。
やりたい意図としては、 ”一部(192.168.2.xxx)のセグメントからインターネット、メールは利用したいが、 192.168.1.xxxのセグメントに対してはアクセスできないように制御する”と いうことです。 Bフレッツ終端装置 | router1 |192.168.1.1 SW-HUB | | | +-------PC(5台)デフォルトゲートウェイ:192.168.1.1 | |Wan側192.168.1.250 router2 |192.168.2.1 SW-HUB | +-------PC(3台)デフォルトゲートウェイ:192.168.2.1 上記の構成にし、router2の機能で静的フィルタリングで192.168.2.xxxから 192.168.1.xxxへは通信を遮断する設定を加えたところ、上手くできました。 ここで疑問があります。初心者の質問で申し訳ありません。 結局router2配下のPCは静的フィルタリングにて192.168.1.xxxセグメントには アクセスはできないものの、router1で認証しているPPPoEの接続を利用しています。 例えばWindowsMessengerをやり取りしているのを考えると、192.168.2.xxxから インターネットゾーンに でるのも、相手の要求を受信するのも結局はrouter1(192.168.1.xxx)を通るので、 厳密にはセキュリティーが 高いとは言えないのではないかと言う事です。 どうなのでしょうか? | ||||
|
投稿日時: 2008-06-05 08:43
おはようございます.
何をもって「高い」とするかによるかもしれませんが, その filtering rule は ・192.168.2.xxx は 192.168.1.xxx と直接喋ってはいけません というものであれば,意図している内容を満たしていますから問題ないのでは? 例えば ・192.168.2.xxx は 192.168.1.1 と通信できる のであれば,前述の条件を満たさないことになりますから, 何らかの例外が生じてしまう道理です. これが例えば ・192.168.1.xxx に e_mail server や proxy server がある ・192.168.2.xxx はそれらの server を利用しないと外部と通信できない のであれば困るかもしれませんが,そうではなく ・192.168.2.xxx は 192.168.1.xxx と一切通信せずに外部と直接通信する ということでしょうから,それなりに secure であると言い得ると思います. | ||||
|
投稿日時: 2008-06-05 10:56
kaz様ありがとうございます。
それなりに secure であると言っていただけて、安心しましたが、 まだスッキリできない部分がありますので、もう一度ご質問させてください。 192.168.2.xxxセグメント内のPCが、インターネットをしているとして、 あるHP上からウイルス感染したとします。 192.168.2.xxxセグメント内のPCが、インターネットをすると言うことは、 router2を通して結局はrouter1で認証させているPPPoEを利用していると考えて いますので、ウイルス感染時はrouter1→192.168.1.xxxセグメント→router2という 流れでPCがウイルス感染するのではないでしょうか? そう考えると、192.168.1.xxxセグメントを危険にさらしてしまうのでは・・・と 考えました。 私の考えは的外れなのでしょうか? | ||||
|
投稿日時: 2008-06-05 11:18
ルータにバグとか変な設定がなければ、問題ないと思います。 ルータ1は192.168.2.xxxからのパケットはインターネットへ橋渡しするだけですし... ルータ2は192.168.1.xxx宛のパケットは入力で遮断しているんですよね? そんなに心配ならば、192.168.1.xxxのグループに新たにルータを追加したらいいんじゃないでしょうか? R1(192.168.1.1/24) | H-R3(192.168.1.128/25)-PC5台 | +-R2(192.168.2.0/24)-PC3台 距離が離れていないなら、192.168.1.xxxと192.168.2.xxxの構成を逆にすれば いいような... | ||||
|
投稿日時: 2008-06-05 18:56
感染の仕組みを考えると,192.168.2.xxx から 192.168.1.xxx に 直接通信ができる必要があるのでは? 通信ができないのに感染するとなると,どんな手立ても通用しないので理解の外です. 192.168.2.xxx はあくまでも router1 を介在して外と通信しています. 前述通り,router1 が e_mail server だったり proxy だったりしたら ご心配されている可能性はあると思いますが, router であればその可能性は低いと思います. | ||||
|
投稿日時: 2008-06-06 02:19
ありがとうございます。 router1や192.168.1.xxxセグメント内にはメールサーバー、プロキシサーバーは ございません。 ですので、可能性は低いと言うことだと思いますが、 まだもやもやしています。 ルーターの役割は内部と外部の橋渡しだと思いますが、 このパソコンが、www.yahoo.co.jpにアクセスした・・・という 情報はルーター側では管理していない言うことですよね。 このネットワークの構成だと、個々のパソコンがそれぞれインターネットゾーンに 出ているということですよね。 | ||||
|
投稿日時: 2008-06-06 05:44
これだけの構成が書けるなら、まず間違いないですね。
ただし、守るべきものが、より露出しているトポロジなのがいただけませんが。 この時点から、例外処理のツボに嵌ってますね。 (再掲:コピペ) Bフレッツ終端装置 | router1 |192.168.1.1 SW-HUB | | | +-------PC(5台)デフォルトゲートウェイ:192.168.1.1 | |Wan側192.168.1.250 router2 |192.168.2.1 SW-HUB | +-------PC(3台)デフォルトゲートウェイ:192.168.2.1 router2でフィルタリング済みなので、セキュリティ設定としてはそこまでで、 あとは、運用計画ですね。 運用管理したい情報は、大きく2つです。 1.どの端末が、何時から何時まで利用されていたか? →DHCPを利用しているなら、DHCPリース情報とMACアドレスの参照。 2.どこからどこへ通信しているか? →通信ログ(ルータが対応していれば)の保存と解析。 Syslogを立てたほうが良いかもしれません。 RADIUSなどを利用するのも手です。 _________________ _福田太郎_ | ||||
|
投稿日時: 2008-06-06 08:57
おはようございます.
電話で会話するのと,仲介者がいて会話を伝達してもらうのとの違いのような. 「電話も盗聴の可能性はある」という意味で仲介にあたる存在も 介在するかもしれませんが,基本的には電話で会話した当事者間しか 会話の内容は知らないわけで,仲介している電話会社は その会話に関知していませんよね? でも,仲介者がいて伝達していただくとしたら, その情報は仲介者も知っているわけです. つまりこの「知る」という状態が「感染」をともなうわけで, 「知らない」なら感染しない道理です. ※巧く説明できなくてゴメンナサイ. | ||||
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。