まずは、以下画像をご覧下さい。
http://f.hatena.ne.jp/images/fotolife/u/uniuniko/20070322/20070322164109.jpg
※画像は回答者様のご指摘で随時変更する可能性があります。
このようなネットワーク図になっておりますが、ズバリこのネットワーク構成は「危険」でしょうか。
win win PBG4 iMacG5 PMG5 というクライアントPCがあり、LinuxサーバーもHUB経由で外側のネットにアクセス出来る状態です。そして、外部からはルーターを通ってLinuxサーバーにアクセス出来るようにしました。ルーターはHTTP(80番)のポートとSSH(22番)のポートのみが空いてる状態です。
ちなみに、「危険」とは外部からLinuxサーバー以外のクライアントPCに不正にアクセスされたりしないか?という意味です。
これだけの情報では危険かどうか判断出来ない場合は、お手数ですがご指摘頂ければ幸いです。なにぶん初心者ですのでご迷惑をお掛けするかもしれませんがよろしく御願い致します。
追伸
1時間ほど前に同様の質問をしましたがネットワーク図に誤りがあったようで、もう一度同様の質問です。。回答して頂いたb-windさん、cyanoさん、また宜しければお付き合いください。
No.1
1844
155
45pt
危険:
理由:
Linuxサーバーで何らかの
WEB等のサービスが動作していると
思います。
もしそうなら何らかの脆弱性を利用して、
Linuxサーバーを乗っ取られた場合
eth0から社内は丸見えです。
eth0→HUB→Firewallの経路は
改善した方がよい。
> PCx5,Linux →HUB
LinuxとPCのネットワークを分離して
Routerは最低挟んだ方がよい。
PCx5 ->Router,Linux->HUB
PC----Router ----HUB---- Firewall
Linux-------
ルータ設定は、Linux->PCへの接続禁止
PC->Linuxは保守で使うと思われるので
許可する。単純にNATでもOK。
No.1
1844155
ここでベストアンサー
45pt
危険:
理由:
Linuxサーバーで何らかの
WEB等のサービスが動作していると
思います。
もしそうなら何らかの脆弱性を利用して、
Linuxサーバーを乗っ取られた場合
eth0から社内は丸見えです。
eth0→HUB→Firewallの経路は
改善した方がよい。
> PCx5,Linux →HUB
LinuxとPCのネットワークを分離して
Routerは最低挟んだ方がよい。
PCx5 ->Router,Linux->HUB
PC----Router ----HUB---- Firewall
Linux-------
ルータ設定は、Linux->PCへの接続禁止
PC->Linuxは保守で使うと思われるので
許可する。単純にNATでもOK。
大変貴重なご意見ありがとう御座います。
Linuxサーバーを乗っ取られた場合、そのような状態になるんですね、、うすうす感づいてはいたのですが、ご指摘頂いたことで自信が持てました!
また、解決方法もご丁寧に解説して頂きありがとう御座いますm(__)m。もう少し勉強してみます。
引き続き皆様からのアドバイスを受け付けます。
これ以上の回答はなさそうですが、、^^;
No.2
9814
30pt
kurukuru-nekoさんの言われるように、Linuxサーバーが乗っ取られた場合は危険です。
ただし、Linuxサーバーのセキュリティーをどれだけ上げるかによっては、リスクは低くできると考えます。
しかし、uniunikoさんがどういった目的で、このような構成を考えておられるか判らないので一概には言えませんが、LinuxサーバーがWebサーバーとしてのみ稼働しているのであれば、ルーターのインターフェースがEthernet×3以上あるならば、ネットワークを分けDMZ Zoneを作ってそこにLinuxサーバーを繋げるのが妥当と考えます。
参考図
http://f.hatena.ne.jp/images/fotolife/p/pbg4667/20070322/2007032...
また、ルーターがEthernet×2の場合は、下図の様にもう1台ルーターを使用してkurukuru-nekoさんの言われるような構成にするのが良いでしょう。
参考図2
http://f.hatena.ne.jp/images/fotolife/p/pbg4667/20070322/2007032...
どちらも、ルーターの設定次第で、ファイルサーバーの用途にも対応可能です。
(逆に言えば、セキュリティー面もルーターの設定次第かと…)
やはり、危険な部類なんですね。図での説明解りやすくて大変助かります!ありがとう御座います。図を参考にもう少し勉強してみます。
とりあえず、「Linuxサーバーが乗っ取られた場合は危険」ということから、完全な構成になるまで、作業時以外などはLinuxの電源OFFにしておけば安心でしょうか?OFFでも危険だ、という場合は一声御願いします・・・
No.3
46069
30pt
回答受付中でもコメントがつけられるようにしていただけると無駄に回答を開く必要も無く、回答制限を気にならないので良いと思いますが...
外向きに開けておくのは少なければ少ない方が良いわけで、SSHも諦めてしまったらどうでしょうか?
WANからのメンテナンスをやめて、LAN内のみ、あるいはLAN内の特定PCのみと絞れば絞るほど安全です。できればSSHサーバも止めてしまって、ローカル端末からしか作業できないのが一番いいです。
Linux機に eth を2つ設けた理由はなんでしょう?
内側と外側を明確に分けようというのであれば、eth1 が(内側のPCを束ねてる)HUB と同じ側にあるのは無意味では?
質問文からすると、特にDMZとして設定している様ではないのですが。
真剣にLinux機経由の攻撃を避けるのなら、Linux機をLANに繋ぐべきではありません。
12
12
WAN -- HUB1
+---router1 -- (eth0)Linux
|
+---router2 -- HUB2
+---PC1
+---PC2
+---PC3
+---PC4
+---PC5
のように、完全に分けるべきでしょう。
メインテナンス等で、PCとLinux機を繋ぎたい場合も、
・Linux機のeth1とHUB2を繋ぎ、必要時以外は物理的にケーブルを外しておく
(ネットワークアドレスを明確に分けておくのは必要)
・USBメモリ等でデータのやり取りをし、オンラインは諦める
位の慎重さが必要です。
グローバルアドレスが複数取得できない場合は、Linux機に向けてDMZを設定し、Linux機で iptables や ipchains でガードをかける(Linux機はWANからはHTTPしか受け入れない。Linux機からLANへのアクセスは全て廃棄)かルータを入れる。
こんな感じ。
WAN ---router1 (DMZ)--- router2 -- (eth0)Linux
|
+-- HUB2
+---PC1
+---PC2
+---PC3
+---PC4
+---PC5
でも実際の運用等を考えると厳密にやりすぎるとねぇ...って感じまします。
iptables 等でLinux機をガード(言ってみればルータ化)するのは難しいから、お手軽にルータを買ってくるのもアリとは思いますが、(最初の回答者さんに怒られるかも知れませんが)わざわざ2つ目のルータを入れなくても、サブネットで差別(PCはサブネットマスクを狭く、eth0 は広く、eth0 のアドレスはPCのマスク内に無いようにする)するくらいでいいのではダメなんだろうか?
ルータを越えて進入されたら、WAN側に迷惑を書け倒していることでしょうし、LAN内のPCに異常があれば、進入に早く気付くでしょ?
ご回答ありがとうございます。
コメントの設定の件ですが、そうですね今後はそのようします。はてなを使い初めて間もないので、、、まだいまいち解ってませんでした^^;
本題ですが、eth0とeth1が存在する理由ですが、参考書通りにやりましたんで、ただ単にそうなっているだけです。まだまだ解らないことだらけで、、とりあえず、言われるままにやってみよう、、というレベルです 汗。
単純に分離する方法ですが、とても参考になりました。ありがとうございます。ルーターが1個しか用意してないのでもう1個買ってみてまた試行錯誤してみようかと思います。
そうですね、SSHも締めてしまっても問題ないですね。わざわざWANから接続することもないですしね。ただ、今後、さくらの専用サーバー(9800円の)をレンタルする予定で、なるべくその構成に近づけようと、まずは自宅で試してる、、、といった感じです。本サーバでアプリケーションのインストールやサーバー設定などいじり倒すのは少々気が引けたので(お金も毎月発生しますし、、)今回、サーバー構築を始めようかと思った次第です。
「オンラインは諦める位の慎重さ」やはりそうですか、これが最大の防衛ですね。
少しずつ解ってきたような気がします。ありがとう御座います。
No.4
9814
15pt
電源OFFで大丈夫かと思います。
あと、そういったリスクに対して気を遣っているのなら、ルーターのICMPに対する応答(Ping応答)はしないように設定されることをおすすめします。(ルーターによってはステルスモードなどと言われています)
攻撃の第一段階はPingから始まりますので、これによりDNSに登録していない場合はWAN側から存在が判りませんので、攻撃対象にされにくくなります。
また、構成図を書く場合、矢印をお使いですが、基本的に通信は同一経路を通るように設計することが基本ですので、物理構成に関しては矢印を使用しない方が望ましいです。
(Serverへ矢印を引く場合はPort80と指定して別に引くなど)
ご回答ありがとう御座います。
電源OFFにしておけばとりあえず安心ということで、了解いたしました。pingに関しても大変貴重な情報ありがとう御座います、今後念頭においてネットワーク構築を行いたいと思います。
構成図に関しても、ご指摘ありがとう御座いました。なかなか回りに教えてくれる人がいないので、そのような点もご指摘頂けると大変勉強になります。
No.5
101
15pt
すでに回答でているのでポイント不要です。
DMZを作ってルータでZONEを分けるorルータを挟む、
そしてLinuxの電源OFFであればまず問題ないでしょう。
それよりも、
ルータ本体へのWebログインを外部からアクセス拒否としているか
LinuxサーバにフォワードしているSSH(22番)は、秘密鍵必須となっているか(パスワードのみNG)
Linuxサーバの定期的なアップデートをしているか
SSHの受付ポート番号を22番から8022番のようにするだけでも、SSHアタックはほとんど来なくなりますよ。
ご回答ありがとう御座います。
>DMZを作ってルータでZONEを分けるorルータを挟む、そしてLinuxの電源OFF
了解いたしました、念頭において構築してみます。DMZに関してはまだよく分からないので、Googleで調べたり基本的なことを勉強した上でまたチャレンジしたいと思います。
SSHの秘密鍵に関しては、確かそうなっていたと思いますが、サーバーを立てて間もないので、サーバー自体の設定は現在ノータッチです。。
22番から8022番にする件ですが、とても参考になりました。ありがとう御座います。てっきりSSHは22番!というように決まっているものかと思っていました。
uniuniko
2007/03/23 07:37:48
hnd_info
1
2
大変貴重なご意見ありがとう御座います。
Linuxサーバーを乗っ取られた場合、そのような状態になるんですね、、うすうす感づいてはいたのですが、ご指摘頂いたことで自信が持てました!
また、解決方法もご丁寧に解説して頂きありがとう御座いますm(__)m。もう少し勉強してみます。
引き続き皆様からのアドバイスを受け付けます。
これ以上の回答はなさそうですが、、^^;