• ベストアンサー

各プロバイダでIP帯域は決まっているのでしょうか?

他部署も担当しながら自社サーバ管理を受け持っています。 自社へ帰るのは、ほとんどそのサーバのメンテナンス(不要ファイルやログの確認・削除)のためだけなので、 自宅から遠隔操作で一連の操作を行おうと企んでおります。 W2000serverのリモートアクセスサービスを立ち上げ、一連の設定を済ませたのですが、やはりそのままではセキュリティ的にマズイので、 ルータかセキュリティソフトで、自宅の回線のプロバイダ(DHCPでほぼ毎回のようにIPが変わる) 以外からはアクセスを禁止したいと思っています。 そこで本題なのですが、例えばOCNのIP帯域はここ~ここまで、といった決まりというのはあるのでしょうか? あるいはIP以外で制限する方法はあるのでしょうか? ちょっと探してみても、軽めのセキュリティ設定しかなかったので、ご鞭撻を賜りに参りました。 どうぞ宜しくお願い致しますm(__)m

質問者が選んだベストアンサー

  • ベストアンサー
noname#14035
noname#14035
回答No.2

こんにちは。 当方も、asign862さんのスキルが良く把握できていませんので、失礼等あればお許しください。 直感的に非常に危険な運用をされていると感じます。(というよりも、もう少しインターネット越しのリモートアクセスに関するリスクと対策を学習された方がよいと感じます。) 確かに、RAS(サービス)では容易にリモートアクセス環境を構築できますが、業務で利用する以上、まずは我流でなく、後段で紹介するネット上からも無料で利用できるレクチャーを追いかけて、「基本」をおさえるのが鉄則だと思います。(結局は、それが安全性・利便性を両立させる最短コースであるとも感じます。) お話の「IPアドレス”割り当て”(記述されている「IP帯域」という言葉からは、通信速度や量というイメージを覚えます)と、通信事業者ごとの割り当て領域を利用したアクセス制限」という目論みですが、結論から言うと、ほぼアクセス制限の体を成していないと感じます。(もちろん、RAS標準の機能を含め、様々なアクセス制限対策を併用されるおつもりなのかもしれませんが、IPアドレスのみで制限をかけても、プロバイダ内のノードをプロキシとして利用することで世界中から、社のコンピュータにアクセスできる(IPレベルでですが)ことになってしまいます。(プロバイダ内のノードのIPアドレスが動的に変化しようがしまいが、関係ないということですネ。) 貴社のWAN/LANの境界線セキュリティー(ネットワーク構成)がわかりませんので、はっきりとした事がいえないのですが(環境により話は千差万別です。)、RAS+その他アクセス制限手段のみを利用されるケースでも、TCP/IPの基礎知識とともに、下記のレクチャーなどを参考に設定を施しておいた方が良いと感じます。 ■IPA提供 SOHO・家庭向けセキュリティ対策マニュアル(Ver1.20)■ (c) 2002 Information-technology Promotion Agency, Japan. All rights reserved. http://www.ipa.go.jp/security/fy14/contents/soho/html/index.html *項目<3.1.5>に、お使いのサーバーのパケットフィルタリング・ガイドがあります。 さて、ここからは余談気味になりますが、インターネット越しのリモートアクセスを許可するということは、当然リスクを発生させると言うことです。 繰り返しになりますが、上記の原則の中、利便性と安全性を両立させるためには(そもそもリスクに見合う必要性があるのかという判断も大切でしょう。)、自社のセキュリティーポリシーはもちろん、個々のシステム要件やネットワーク構成に最適なリモートアクセス手段(実装)を決定するべきだと思います。(現在では、様々なプロトコルによる「リモートアクセス型VPN」などの利用も可能ですよね。) このあたりのことは、下記URLの過去ログにも書きましたので、参考になさってみてください。 ■当サイト過去ログ■ ↓ http://okweb.jp/kotaeru.php3?q=747264 また、上記の過去ログのリンクからも、有用なセキュリティー情報にアクセスできますので、管理者の方であれば、一通り情報を得ておくよう、オススメします。 以上、概説的な話になってしまい、恐縮ですが、参考になさってみてください。 それでは。

asign862
質問者

補足

貼って頂いたURLの方はまだ一通りしか拝見していないため、まずはお礼を申し上げたくやって参りました。補足投稿という形で申し訳ありません。 RASを立ち上げた時には、FTPやメールサーバ同様、ある程度のセキュリティ設定と、 きちんと管理されたパスワード設定さえあれば、いけるだろうという目論見程度で始めていました。 これまで立ち上げた各種サーバも同じ流れで構築しておりましたし、 諸先輩方の構築ノウハウサイトなどを拝見していても、私の考えと同様、それほど強固なセキュリティを施してはいなかったため、 プロクシ仲介までは考えない、ISPのIP領域制限によるRASへのアクセス制限レベルで、と考えておりました。 しかしながらJzamrai様のご提示くださったURL並びに過去レスを拝見させて頂くにつれ、 自分の(一応システム管理者(;;)技術の稚拙さと、意識の低さ、 セキュリティ管理者としての情報収集力の低さに情けなさを感じております。 しかし泣き言を言ってもどうにもなりませんのでね、Jzamrai様に頂いたこの機会に、 他サーバ、サービスも含めて見直しと、自身のスキル向上に努めたい所存です。 しかしここで言うことではないのかもしれませんが、私のようになしくずし的にシステム管理者になって、 利便性や他者からの要求に追われ、セキュリティもそこそこに危ない綱渡り運営をしている方は少なくないような気がします。 諸先輩方のサイトを拝見していても、それは感じられますね(^^;) まずはお礼まで。ありがとうございました。

その他の回答 (3)

noname#14035
noname#14035
回答No.4

こんばんは。 一応、補足説明をしておきますね。 RASの話についてですが、私の認識不足もあり、既述の回答にはPPPレベルの接続とIPレベルの話を混同している(同列に話している)感が否めませんね。 確かに、純然たる”ダイアルアップPPP接続”等の話であれば、IPのレイヤが抱えている様々なリスクとは切り離して考えるべきでしたね。 この点について、最新のやりとり(参考URL)が非常に参考になると思われますので、リンクしておきます。 PPPでトンネルが張られてしまえば(+暗号化が行われれば)、プロキシ云々の話は無関係だということになりますが、それでもなお、気になる点があります。 自宅のPC(RAS接続を行うノード)に、別のインターネット接続手段(FTTH等)が用意されているのであれば、セキュリティー上のリスクを抱えていることに変わりはありません。(こうなると、IPレベルの話が大きく関係するケースが出てくるでしょう。) いわゆる「トンネル」は、物理的に”エンド・トゥー・エンド”なノード間での安全性(排他性)を高めてくれてるはずですが、一方のノードに信頼できない通信路(純然たるインターネット網)の影響を受ける可能性があれば、安全性を台無しにしてしまうケースが起こりうるということですネ。 さらに、変化の激しいネットワークの世界では、ダイアルアップという接続手法固有の問題が過去に指摘されている(盲点として)という事実もあります。 いずれにしても、利用する技術を正しく理解して効果的に運用することが大切なのだろうと、自分にも言い聞かせつつ、筆を置かせていただきます。 それでは。

参考URL:
http://okweb.jp/kotaeru.php3?qid=1310788
noname#14035
noname#14035
回答No.3

asign862さん、おはようございます、Jzamraiです。 ご丁寧、かつ前向きなお返事、ありがとうございます。(「補足欄」は上手に利用されていると思いますヨ。) さて、確かに世の中には全社的なビジョンと導入計画が無いまま、「IT(もはや死語?)やハッカーなら何でもできるんだろう?、君!」という経営陣の根拠の無い思い込みによって管理者を命じられ、「がんばっている感の割りにはインシデント多発で心も体もボロボロ…」という地獄のような日々を送られている方も多いようですネ。 ただ、配属されてしまった以上、ルーティーンをこなすだけではなく、積極的に管理手法や技術を学び、効率化をめざす。(徐々にで構わないので、場当たり式の管理を少しでも減らす努力を続けることが(なるべく上を巻き込んだ形で)、結局自らにとっても得策(忙殺回避)でもある、というスタンスが重要なのではないかと思っています。(組織の環境は、待ちの姿勢ではなかなか変わらないものですよね。) 情報セキュリティーの法則として、「永遠の鼬ごっこ」という問題がありますから、どうしても継続的な学習が必要になるかと思います。(プラスに考えた場合、有効な学習を続けている限り、「イザとなったらケツまくって辞める!」という覚悟のハードルを低くできるかもしれません。(できないか…)) 話が大きくそれましたが、前回紹介したレクチャーよりも、より各論の情報を含んでいるものを今回は下記にてリンクさせてください。 ■IPA提供レクチャー ~リモートアクセス環境におけるセキュリティ~■ Copyright (c) 2002 Information-technology Promotion Agency, Japan. All rights reserved. ↓ http://www.ipa.go.jp/security/awareness/administrator/remote/index.html ↑ *リモートアクセスの現状から実装方式別の各論まで体系的に網羅されています。 ■同、~大規模サイトのネットワークセキュリティ~■ ↓ http://www.ipa.go.jp/security/fy14/contents/enterprise/guide.html ↑ *41ページ以降にリモートアクセス(モバイルアクセス)についての概説がありますが、資料自体はもっと広い視野での情報セキュリティーとシステムについての解説を目的としています。 IPAの公募によって採用されたものらしいので、内容も非常に優れていて、高い金を出して下手な本を買うよりよっぽど実になるでしょう。 加えて、私のハンドル名からたどれる過去ログ一覧にもイロイロとリンクを貼ってきていますので、興味と時間があれば、asign862さんにとっての有用な情報源の一部となれば嬉しく思います。 それでは。

asign862
質問者

お礼

返事が大変遅くなってしまい、申し訳ありません(__;) 私もシステム管理者の端くれ(というか崖っぷち)ですから、Jzamrai様のおっしゃるように、地に足付けて1年ほどは正念入れて勉強してみることを決意した次第です(実はあまりPCが好きではなかったりしますがそこはご愛嬌‥(^^;)因みにWEBは好きです。) >「がんばっている感の割りにはインシデント多発で心も体もボロボロ…」 という言葉も、今までの経験と照らし合わせても、恐らくその道一直線になるとは分かっていても、その先にはシステム管理者の冠が似合うような自分がいると信じ、前向きに牛歩する所存です(^^;) お教え頂いたサイトの方も、概念から入っているので、今の私にとってはとても参考になりました。思わず見入ってしまっていましたからね。 特にIPAのサイトは良かったです。 沢山お教え頂いていて助かりました。Jzamrai様には深く感謝すると同時に、こういう場を設けている教えて!goo様並びにOKWeb様には感謝したいと思います。 ありがとうございました。

  • mii-japan
  • ベストアンサー率30% (874/2820)
回答No.1

各プロバイダはJPNICからIPアドレスの割当を受けています 自宅のIPアドレスはその都度変わると思いますが、通常は地域ごとにブロック割当を行なっているようですので、第1・2オクテットが変わる事はあまり無いと思います

asign862
質問者

お礼

ありがとうございます。私のうろ覚えでは、日が変われば第一クオテットからガラリと変わってしまうように思っていました。 アドバイス頂いた通り、毎日よくよくIP観察をしてみて、第三クオテット以降ぐらいしか変わらないなら少し安心できそうです。 ありがとうございました。

  1. カテゴリ
  2. [技術者向] コンピューター
  3. ITシステム運用・管理
  4. ネットワーク

関連するQ&A

  • IP帯域国内外です

    http://www.fujitv.co.jp/tsugi/index.html ここからのオンデマンド放送にアクセスすると 「IP帯域国内外です」という表示が出てしまいます。 この原因が 何か教えてください。 プロバイダのサーバーが海外にあるということでしょうか

  • 帯域圧迫

    家族のものが自分の部屋のPCで大容量転送をしている間、私のPCまで帯域がまわって来ず、ウェブサイトにアクセスできなくなります。 ローカルIPを固定しましたが効果はありませんでした。 ということは完全に帯域圧迫ですよね。 また、どのサイトにもアクセスできなくなるので、サーバーの混雑ではありません。 サービスは、DIONの光ONEホームで、ひとつのルータ(ATERM-FA19BD)から各部屋の合計5個のLANポートに配線がなされている状態です。 私のPCに帯域を幾分か確保する方法はないでしょうか? ルータの設定でLANポートの優先度を設定するとか..

  • リモートアクセスのセキュリティ対策

    操作されるパソコン(Win10 home)にRDPWrapというソフトを使い、遠隔地からリモートアクセスしています。 しかし操作するパソコンに操作されるパソコンのグローバルIPアドレスを入力し、 その後パソコンにログインするときのIDとパスワードを入力しただけでアクセスできるので 万が一のセキュリティが心配です。 1:操作される側のパソコンのログイン時のパスワードに回数制限を設けようと思っていますが、 それ以外にできるセキュリティー対策を教えてください。 2:操作される側のパソコンをwin10 proにすれば特定IPからのみしかアクセスできないようにできるようですが、 アップグレードせずWindowsファイアウォールの受信の規則で特定IPからのみのアクセスにすることはできますか? できるようであればどのように設定したらよいでしょうか? よろしくお願いいたします。

  • グローバルIPとDHCPから振り分けられるIPの関係

    ISPから接続の度に与えられるグローバルIPとモデムのDHCPサーバ機能を使用して与えられるIPとはどのような関係になるのでしょうか? DHCPサーバを使用している時は一つのPCがISPからのグローバルIPとDHCPからのIPと二つのIPを持っているということでしょうか? 外部から見た場合にはどのグローバルIPしか見えないのでしょうか? よくルータを使用してプライベートIPにすると外部からの不正アクセスがなくなるように聞きますがDHCPからのIPアドレスはプライベートアドレスとは言わないのでしょうか?

  • DHCPのIPアドレス予約に関して

    こんにちは。 DHCPサーバーのIPアドレスの予約に関して、質問が あります。 DHCPサーバー側で、クライアントのMACアドレスをもとに、IPアドレスの予約設定ができますが、MACアドレス以外にDHCPのOption情報をもとに、IPアドレスの予約の設定は可能でしょうか?

  • PCanywhereで遠隔地のパソコンを管理するのは危険でしょうか

    遠隔地の支店があり、パソコン操作の不明点の解消や、パソコンの管理に、pcanywhereを導入して、遠隔地から操作できるように出来ればと思っています。 しかしやはり心配なのがセキュリティの問題です。非常に大雑把な質問で申し訳ないのですが、一般的に言って、下記のような条件でpcanywhereを使ったリモートアクセスは危険ではないでしょうか。 また、アドバイス等頂けましたら非常に助かります。 ・遠隔地へのアクセスは、通常のインターネット(光)回線。 ・固定IPではないので、その時使用しているIPでアクセス。 ・pcanywhereと、ログインされるPCのパスワードは12文字以上。 ・バッファローのルータで、基本的なセキュリティ対策は採っている。 ・ログインされる側のルータのポートは常に開ける。 以上です。また、XPproのリモートアクセス機能も使おうと思えば使えます。構築も行ったことがあります。 リモートアクセスできればとても助かるのですがやはり危険でしょうか。 どうぞ宜しくお願い致します。

  • DHCPサーバのIP割り当てについて

    DHCPサーバをWindows2003Serverで動かしていて、クライアントはWindowsXPという環境で利用しています。 例えばDHCPの割り当て範囲を192.168.1.1~192.168.1.254(全範囲)にしたとします。 この状態で「192.168.1.10」を固定IPにして利用したい場合は、通常はDHCPサーバの方で固定にしたいIPアドレス「192.168.1.10」を除外して利用すると思います。 そこで質問したいのですが、固定IP「192.168.1.10」を利用したい場合、上記手順ではなくDHCPサーバでIPアドレス「192.168.1.10」が払い出されていないことを確認し、クライアントPCにIPアドレス「192.168.1.10」を設定したとします。 この場合、他のクライアントにはこの固定で設定したIPアドレス「192.168.1.10」以外で払い出されていないIPアドレスから払いだされることになり、特に問題はないと思うのですが、他のクライアントやDHCPサーバへの影響や不都合等はあるのでしょうか? 宜しくお願いします。

  • サーバーでIPアドレスを固定する

    サーバーを立てます。IPアドレスを固定する必要があります。その場合、どの辺りでIPアドレスを固定するのが実際的なのでしょうか? 具体的にはローカルIPアドレスが192.168.1.0/24の場合ですが、192.168.1.5が良いのか?それとも、192.168.1.250などと後ろの方を取るのが実際的なのでしょうか? ブロードバンドルータがゲートウェイになっています。凡そ、192.168.1.1がそのアドレスだと思います。 実際自宅でサーバーを立てていますが、これまではDHCP機能を192.168.1.20からIPを割り振ると言う設定をブロードバンドルータに設定して、192.168.1.5と言うアドレスを割り振っていました。しかし、ある会社でサーバーのIPは192.168.1.250と言う感じで振られていました。中小企業で本格的なサーバーでは無いというようなケースの場合、市販のブロードバンドルータかNTTのホームゲートウェイを使ったような簡易なネットワークの場合ですが。できれば、自習目的で自宅でDHCPやDNSサーバーを立てようと考えています。DHCPはルータではなく、サーバーにその機能を持たせようと考えています。よろしくお願いします。

  • リモートデスクトップの接続元のIP指定が効かない

    Windows server 2008 R2に対して、接続元をIPアドレスで制限をかけるために、以下の設定を行いました。 「セキュリティが強化されたWindowsファイアウォール」→"受信の規則"→リモートデスクトップ(TCP受信) 「全般」タグ:セキュリティで保護された接続のみ許可する 「スコープ」タグ選択しリモートIPアドレスに 192.168.1.5 / 91.102.xxx.xxx (外部IP) と設定し、社内のローカルPC(ip: 192.168.1.4)から接続しようとすると、問題なく接続出来てしまう。 また、社外PC(ip:上記設定以外)からも接続できてしまう。 Windows Server 社内ip : 192.168.0.3 です。 社外からは固定IPでipマスカレードで接続できるように設定されています。 上記以外でどこか設定が必要なのでしょうか? よろしくお願いします。

  • グローバルIPとプライベートIPを区別する方法

    グローバルIPアドレスは、ISPがDHCPで割り振る事はなく、 自宅のPCに割り振られているIPは全てプライベートIPアドレス (つまりIPSのルータが割り振っている)という話を聞きました。 自宅PCのIPアドレスは、ルータ使用時は 192.168.1.2 (プライベートIP)ですが、ルータをはずして直接 接続した場合は、121.2.144.39 になります。これは グローバルIPだと思っていたのですが、違うのでしょうか。 ipconfig /all で見ると、デフォルトゲートウェイも同じでした。 ネットワーク接続の中の接続している設定をWクリックして 詳細を見ると「サーバーIPアドレス 59.146.160.85」になっています。 どちらがDHCPサーバかもよく分かりません。 はっきりとグローバルかプライベートか確認する方法は ないでしょうか。似た質問を検索してみたのですが、 同じ質問はありませんでした。よろしくお願いします。

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する