• ベストアンサー

異なるグループのLANへ安全に入るには‥

現在FWやプロキシの体制が万全なLANがあります。 それとは別に通常セキュリティレベルのLANがあり、 それぞれは全く別のインターネット回線を使用しています。 万全な方から異なる方のLANへ、 クライアントの負担をなるべく少ない状態で入るには、 どういった方法がありますでしょうか。 万全なLAN→ルータ→VLAN→もう一方のルータ→もう一方のLAN ということができたりするのでしょうか。 色々調べてみたのですが、色々な情報が混ざってしまって混乱気味です(___; どうぞ宜しくお願いします。

質問者が選んだベストアンサー

  • ベストアンサー
  • qaaq
  • ベストアンサー率36% (146/404)
回答No.5

>LAN01のLANからLAN02内のNASを覗くことができるが、 >LAN02からはLAN01に対して何もできない 前提条件が全く不明なので、以下の仮定で説明します。 ・NASは、特定のTCPポートAを使用する。 ・NASからコネクションを張る事は無い。(受動デバイス) ・LAN1とLAN2間にRT(以下RTと表記)がある。 ・UDP/ICMP等のパケットは全遮断でも問題が起きない。 ・NASのアドレス解決は、検討対象外。 RTにて以下のパケットフィルタを行う。 1)LAN2←→LAN1のUDP/ICMPを全遮断。 不要なUDP/ICMPパケットを全て遮断 2)LAN1→NAS(LAN2向け)TCPポートAをOPEN。 LAN1→NAS通信のTCP通信のみ許可 3)LAN2→LAN1向けTCP(SYN)を遮断。 LAN2→LAN1方向のコネクション確立のためのパケットを遮断。 大体、こんな感じでしょうか。 環境に合わせて検討してください。 PS. 一般には、この様な"設計"はSE契約等の費用が発生する、立派なお仕事です。 まあ、CISCOルータのACLの設定演習で良くやるパターンですけどね。

その他の回答 (4)

  • mii-japan
  • ベストアンサー率30% (874/2820)
回答No.4

>具体的な解決方法を求めています。 これ以上具体的な回答を要望するのでしたら ご使用の環境を具体的に書いてください ネットワーク機器、サーバの機種・OS等 ネットワークに接続されている機器の個別情報、投入可能な費用、物理的な配置等 具体的な回答に必要な事項も開示にしないで そのような受け取り方をするのでしたら、専門の業者にそれなりの費用を払って依頼してください

benny81
質問者

補足

もう少し冷静にお願いします。

  • mii-japan
  • ベストアンサー率30% (874/2820)
回答No.3

>ネット-ルータ-FW-LAN01 >ネット-ルータ-LAN02 >があり、LAN01とLAN02が同じフロアにあって、LAN01からLAN02内のNASを覗くことができるが、LAN02からはLAN01に対して何もできないようにしたいのです。 LAN01とLAN02をファイアウォールで接続です LAN01からLAN02のNASのみにアクセスを許可し、他は全て拒否する接続にします 具体的な実現方法は多種多様です、セキュリティレベル・管理・費用・使い勝手等を総合的に判断して決めてください

benny81
質問者

補足

具体的な解決方法を求めています。

  • yambejp
  • ベストアンサー率51% (3827/7415)
回答No.2

万全なLANがルータをかいして、万全でない LANにつながるというはおかしなはなしで それは万全でないLANというイミでしょう。 もしかりにつながるようであれば、個々のPC にセキュリティ対策をしておくしかないでしょう。

  • qaaq
  • ベストアンサー率36% (146/404)
回答No.1

何がしたいのか理解できません。 もう少し具体的に書いてください。 ただ、他方のセキュリティを突破するための手段を求めているのなら、 回答しないこともあり得ます。

benny81
質問者

補足

すみません。。 ネット-ルータ-FW-LAN01 ネット-ルータ-LAN02 があり、LAN01とLAN02が同じフロアにあって、LAN01のLANからLAN02内のNASを覗くことができるが、LAN02からはLAN01に対して何もできないようにしたいのです。 LAN01とLAN02は物理的に近くにあるので、何とか上記のようなことができないだろうかと考えております。 セキュリティの突破などを目論んでいるわけではありません。 宜しくお願いします。

  1. カテゴリ
  2. [技術者向] コンピューター
  3. ITシステム運用・管理
  4. ネットワーク

関連するQ&A

  • 社内LANの各クライアントパソコンからのメールサーバーへの接続

    いつもこちらのサイトにはお世話になっております。 目的は、社内LANの各クライアントパソコンでメールが読めるようしたいです。今までは一台のパソコンのみ、インターネット・メールができるようになっていました。現在、テスト的に次のような構成のネットワークを構築しました。 ・回線はフレッツISDN ・ダイヤルアップルーターでプロバイダにアクセス(変動グローバルIPの取得) ・Linuxでプロキシサーバーを設置 (LANボードを2枚差して1枚はルーターと接続、もう一枚は社内LANと接続) (プロキシではhttpのポートの許可だけ設定しました) インターネットはプロキシで許可したクライアントではできるようになりました。 この状態から更に各クライアントから外部のメールサーバーに接続することはできないのでしょうか?

  • 小規模LAN構成について

    小さな事業所のLAN構成について教えてください。 現在、NTT光を使って、ONU→CTU→HUBという簡単な構成にしていますが、別の部屋を借りる事になり、セキュリティの関係で別セグメント構成にしたいと考えています。 また、セグメントで分けた別部屋に設置予定のNAS(ディスク)へのアクセス出来るようにしたいと考えています。 簡単なイメージはこの通りです。 この様なイメージで、セグメントを分けて無線LANを使用し、今の部屋から別部屋のNASへはアクセスしたいと考えています。  ONU → CTU → L2スイッチ → 今の部屋のHUB → 無線LAN(ルータ) → 各PC                 ↓            ↓                           ↓            →  有線LAN → プリンタ                 ↓                 ↓ →  → 無線LAN(ルータ) → 各PC(別の部屋で使用) 質問1   CTUにL2スイッチをつないでVLAN構成にしたいと思います。 そのVLANで別セグメントに   HUB や無線ルータをつなぎたいと思いますが、問題はあるでしょうか。 以上、よろしくお願いします。  

  • VLANであればセキュリティ的に安全?

    サブネットや第3オクテットの分けだと、 パソコン側で設定変更すれば別セグメントに侵入できてしまいますよね? VLANであれば、仮想的に分断できているので、 別LANのセグメントにはユーザー側からはどうやっても侵入できないのでしょうか? (セキュリティ的に安全?)

  • LANのセキュリティについて

    自宅オフィスに、業務用とプライベート用のLANを構築しお互いにセキュリティを保ちたいと思っております。 そこでブロードバンドルータを利用してLAN1とLAN2を構成することは可能でしょうか?(手段はVLAN等なんでもいいのですが) 可能であるブロードバンドルータをご存知でしたら教えていただけますでしょうか? Internet━ONU━BBR━━━LAN1(有線) (Flets光)    ┗━━LAN2(無線) 通信要件: LAN1⇒Internet:OK(NAPT)      LAN2⇒Internet:OK(NAPT)      LAN1⇔LAN2  :NG 以上宜しくお願い致します。     

  • LAN側のクライアントPCのブラウザから同LAN内にあるサーバに割り当ててあるドメインへのアクセスができない

    【質問】 LAN側のクライアントPCのブラウザから同LAN内にあるサーバに割り当ててあるドメインへのアクセスができません。どなたかどこに問題があるかわかる方はいらっしゃいますでしょうか? 以下に、現在の環境、状況を記述します。 【環境】 自宅サーバー(VineLinux+Apache)を立ち上げています。回線はYahooBBで、ルータはYahooBBブロードバンドルータを利用しています。 ネットワーク構成ですが、 WAN側─ルータ┬─サーバー(192.168.3.10)           └─クライアント(192.168.3.*) 上記のようになっています。 クライアントのプライベートIPはDHCPで割り当ててます。サーバーに割り当てているドメインをtest.jpと仮定して下さい。(DNSサーバはWAN側にあります) 【状況】 ・WAN側のPCのブラウザからhttp://www.test.jpへのアクセスはできています。 ・LAN側のクライアントPCのブラウザからサーバのプライベートアドレス(192.168.3.10)へのアクセスはできています。 ・LAN側のクライアントPCのブラウザからWAN側にあるプロキシサーバーを利用してhttp://www.test.jpへのアクセスはできています。 ★LAN側のクライアントPCのブラウザからhttp://www.test.jpへのアクセスができません。 ・LAN側のクライアントPCからtest.jpへPINGは通ります。 以上です。 よろしくお願い致します。

  • WPAの無線LAN設定が出来なくなりました

    はじめまして。 NECのVALUESTAR G(タイプTX)を使っています。 先日、無線LANルータ(BUFFALO WZR2-GN300)を購入し、無線LANの設定をしました。無線LANルータ付属の「クライアントマネージャ」をインストールした所、回線の接続が頻発する為、PCに最初からインストールされていたNECの「ワイヤレスクライアントマネージャ」をアンインストールしました。(ルータの説明書のQ&Aの指示に従いました) アンインストールした所、無線LANのセキュリティがWEPのみとなり、より強固なセキュリティのWPAがAOSSの設定で出来なくなりました。 アンインストール以前はWPA2-PSKでした。 「ワイヤレスクライアントマネージャ」をインストールしても元に戻りません。 内蔵無線LANカードはAlps社UGJZ1 11a/b/g MiniPCI NETWORK Adapterです。 どなたか対処法が分かる方がいらっしゃいましたらご協力お願い致します。

  • 無線LANのセキュリティーについて

    家庭でADSL回線に無線LANルーターを接続し、Windowsにてインターネットを利用しております。 WPA2、AESを設定し、(今現在は)万全なセキュリティーと思い、使っておりました。 しかし、あるソフトウェア(WirelessK**Vi**というソフトです)を使うとSSIDとセキュリティーキー(パスワード)がばっちり表示されているではないですか!。 約1年間、野ざらし状態で電波を出していた事にショックを受けました。 WPA2ってそんなに簡単に見破られている??AESは通信の内容は暗号してくれるけど、セキュリティーキーでネットワークに接続されたら、共有フォルダ見られたり、ルーターにログインされてしまいますよね・・・。 残すセキュリティーと言えば、「SSID隠蔽」や「MACアドレス制限」位しか思いつきませんが、 他に良い方法、ありませんでしょうか? ソフトウェア(WirelessK**Vi**というソフト)に対応していない無線LANルーターがあるなら、そちらに 変更しようと思っております。 以上、ご存知の方いらっしゃいましたらご教授ください。 よろしくお願いします。

  • 無線LAN n接続の設定

    お願いします。 無線LANルーターがバッファロー WZR-G144N クライアントPCがSONY VGN-FW30B を使用しています。 両製品とも無線LAN規格のn接続が可能だと思うのですが、 クライアントマネージャーで接続速度を確認すると54Mbpsで表示されています。 何かの設定を行えば、接続速度をあげることをできるのでしょうか? できる、できないを含めて、アドバイスをお願いします。

  • RTX1200でのフィルタについて

    以前同じような質問をしたのですが、内容がいろいろ変更になったので、改めて投稿します。 社内ネットワーク、192.168.10.0/24があります。 192.168.10.1にルータを置き、インターネットに接続。 192.168.10.10にサーバーを置き、ファイルサーバー、プロキシサーバー、社内DNSサーバーとして運用していました。 業務拡張により、上記に加え 172.16.10.0/24 というネットワークを作ることになり、ルータにはRTX1200を使用することになりました。 LAN1は使用せず、LAN2をWAN側、LAN3をLAN側としました。 LAN3側は、192.168.10.0/24と172.16.10.0/24としてVLANを切ってあり、ルータの下にはL2スイッチがあり、タグVLANとして192.168.10.0/24、172.16.10.0/24 それぞれが接続されています。 まずはシンプルに下記のように記述したところ、192.168.10.0/24、172.16.10.0/24 どちらのクライアントもインターネットに接続でき、192.168.10.10のサーバーの共有フォルダへのアクセス、プロキシサーバーの利用もできました。 -------------------- ip lan2 address (IPアドレス) ip lan2 nat descriptor 1 ip route default gateway (GWアドレス) nat descriptor type 1 masquerade nat descriptor address outer 1 (IPアドレス) dns server (DNSサーバーのアドレス) vlan lan3/1 802.1q vid=1721 name=M010 ip lan3/1 address 172.16.10.1/24 vlan lan3/2 802.1q vid=1921 name=K010 ip lan3/2 address 192.168.10.1/24 dhcp service server dhcp server rfc2131 compliant except remain-silent dhcp scope 101 172.16.10.20-172.16.10.100/24 dhcp scope option 101 dns=192.168.10.10 dhcp scope 102 192.168.10.20-192.168.10.100/24 dhcp scope option 102 dns=192.168.10.10 -------------------- ここにフィルターをかけ、下記のような動作を実現したいと思っています。 ・192.168.10.0/24グループと172.16.10.0/24グループは、グループ内PC同士のアクセスは可、グループ間の相互アクセスは不可 ・サーバーが192.168.10.10にあるので、172.16.10.0/24グループもこのサーバーへは自由にアクセスできる ・インターネットの接続(www)は必ず192.168.10.10のプロキシサーバーを通したいので、クライアントから直接WAN側に(www)は出られないようにする。 ・プロキシサーバーはwwwだけなので、pop3やsmtpなど「webサイトを見る」以外はプロキシ経由でなく直接WAN側に出られるようにする 色々試しているのですが、どうもすべてうまくはいきません。 フィルタのかけ方、もしくは上記を実現するよい方法がありましたら、アドバイスいただきたいと思います。 よろしくお願いします。

  • 無線LANのセキュリティを簡単に言うと?

    無線LANとipod touchをつなぐにあたって多少はセキュリティを考えてつなごうと思っています それでもちんぷんかんぷんなので自分で概念を簡単にしてみましたがこれであってますか? 初期状態 無線LAN(届く範囲に無線を流してるよ 受信できる機器さん受け取ってー) (でも入るにはパスワードがあるからね 不正はさせないよ) タッチ(了解。LANに書いてあるSSIDとパスワードで入るよー) セキュリティ強化の場合 無線LAN(無線流すよ でもセキュリティのために受信できる機器でもみれないようにしてあるよ) (受け取りたかったら僕の居場所、回線の種類とかを入力してね) タッチ(了解 SSIDとパスワードと・・・あれ居場所とか回線とかわからないぞ・・) 無線LAN(僕にはディスプレイが付いてないからね 僕につながってる有線のパソコンから 見れるからそれを見て居場所とかを調べてね ) タッチ(了解) これであってますか? 質問2 また現在 ocnの光モデムルータから無線ルータ(アクセスポイント)につないでいます。 pcはocnのルータから有線でつないでいます このpcから必要な情報はすべて手に入るのでしょうか? イメージ的にocnのルータの情報は見れそうですがあくせすポイントである無線の 情報は経由していないので見れない気がするのですが・・ ipod touchで入力する必要がありそうなものdhcp,bootp 静的、 ipアドレス、サブネットマスク ルーター 、dns、検索ドメイン 、クライアントidです wpa2が悪くなさそうで両方に対応しているっぽいのでそれでやるのがいいのかなと思っています よろしくお願いします

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する