- 締切済み
接続IPアドレスを制限した場合もDMZは必要?
Amazon EC2 で、サーバをひとつ立てて、社内業務用に使う計画です。 VPC(バーチャルプライベートクラウド)を設けることも考えたのですが、当面、サーバひとつで、社内の他のシステムとのインターフェースも不要なので、出来るだけ簡便に出来ないかと考えています。 そこで、EC2のファイヤウォールであるセキュリティグループを用いてインバウンド通信での送信元IPアドレスを当社ネットワークのグローバルIPアドレスに制限すれば、EC2サーバをひとつだけ置いて、そこに Apache と Tomcat と MySQL を配備し、DMZも設けないという簡単な構成でも構わないのではないかと考えました。 以上のような構成は、セキュリティ上、問題があるでしょうか。あるようでしたら具体的に教えて下さい。書籍やインターネット上の資料も読みましたが、みな、「公開サーバ」を前提に、DMZを設けることを当然のように解説しているので、上記のように、送信元IPアドレスを組織内に限定した場合にも、同じ構成にしないとリスクがあるのかないのか、今一つよくわかりません。 よろしくお願いします。
- petopetopettan
- お礼率100% (1/1)
- ネットワーク
- 回答数1
- ありがとう数14
- みんなの回答 (1)
- 専門家の回答
みんなの回答
- poyopoyo111
- ベストアンサー率46% (128/277)
接続先を限定するとセキュリティは非常に高まります。ただし、DDoS攻撃やIPアドレス詐称へは対応することができません。 ただし、こうしたことをあまり考慮する必要のない強固なセキュリティを必要としない社内システムであれば特段問題はないと思われます。
関連するQ&A
- DMZ内のサーバに残るアクセス元IPアドレスについて
DMZ内のサーバに残るアクセス元IPアドレスについて 現在、JuniperのSSG5-ISDNを使用して、インターネットからアクセスできないLAN、インターネットからアクセスできるDMZを分けております。 で、インターネットからDMZにアクセスすると、アクセスもとのグローバルアドレスがアクセスログとして残りますが、LANからDMZにアクセスするとルーターのDMZポートのIPアドレスが出ます。 たぶんNATの役割を果たしているんだと思いますが・・・。 これを、インターネット→DMZのようにLAN→DMZもマスカレードされないようにすることはできますでしょうか。
- ベストアンサー
- ネットワーク
- DMZ内にグローバルIPアドレス付与のサーバー
お世話になります。 DMZ内にWEBサーバーを構築する場合、以下2点において (A)の方がセキュリティ上好ましいと記述する文献等が 多いと思います。 (A)NAT変換をしたローカルIPを付与したWEBサーバー (B)割り当てられたグローバルIPを直接付与したWEBサーバー しかし、仮に(B)で構築した場合の具体的な脅威についてが 不明です。 宜しくお願い致します。
- ベストアンサー
- ネットワーク
- DMZにWEBサーバを設置し、インターネットから接続させる場合のセキュリティ設定について
【環境】 サーバA:1.1.1.1(グローバル)192.168.1.1(プライベート) F/W :1.1.1.2(グローバル)192.168.1.254(プライベート) インターネット | | | FW(ルータ)―――DMZ(WEBサーバを設置) | | | 内部ネットワーク 【質問】 自分なりにいろいろ調べましたが、上記のようなNAT環境では以下のような点でセキュリティ上優れていると認識しました。、 「インターネット上のパソコンとWEBサーバが通信するとき、パケットの送信元/先は、FWになり、 Webサーバの存在は、通信相手から完全に隠されることになる。 外部から存在が隠される、つまり外部からはアクセスできないため、内部のホストのセキュリティが高まる」 ただ今ひとつ理解できないので、上記のような環境で何故NATを使うとセキュリティレベルが向上するか 初心者レベルで教えていただけると助かります。 ●主にわからないこと ・そもそも存在を隠すという意味合いが理解できません。 隠さなかったら、どうなるのかというのもわかりません。 また、隠すとは、グローバルIPアドレスを隠すということだと思うのですが、 Ping(例えば、ping www.yahoo.co.jp)など返ってくるアドレスは、 そのサーバのグローバルIPアドレスではないのでしょうか ・「外部からはアクセスできない」となっていますが、WEB公開している以上 なにかしらの方法でアクセスはできそうですが、どういう点で優れているのでしょうか? 理解不足のため、質問も良くわからないと思いますが、よろしくご指導ください。
- 締切済み
- ネットワーク
- IPアドレスの固定化の必要性について
小さい会社なのですが、サイトを立ち上げることになり担当者になりましたが、経験なくよくわからないので教えて下さい。 サーバ会社と契約する時に、今後データを更新する際WinScpでアクセスしてデータをアップしてほしいと言われ、 セキュリティ上IPアドレスの制限を行いたいので、固定アドレスを教えてくれと言われました。 社内でアドレスを固定化しているパソコンはありません。 こういう場合、このために月々料金を支払って固定化サービスに入るのは一般的に妥当でしょうか? 固定化していないのであれば、IPアドレスの制限は行わないと言われていますが、セキュリティ上行った方がよいのか、一般的に行うものなのかわかりません。 詳しい方どうぞ教えて下さい。 よろしくお願い申し上げます。
- ベストアンサー
- インターネットビジネス
- IPアドレスで接続できない
お世話になります。 現在、windows7にtomcatをいれてサーバ構築を行っております。 しかし、IEから接続しようとした時に、localhost(http://localhost:8080)でアクセスするとページが表示されるのですが、自PCのIPアドレス(http://192.168.***.***:8080)でアクセスした場合、「ページが表示できません」というエラーが表示されてしまいます。 確認した点といたしましては、 ・自分のIPにpingは通る。 ・windowsファイアウォールは切断して試行済。 ・tomcatの設定でIPをはじいてはいないことは確認済。 ・IPアドレスはパソコン側で固定に設定してあり、競合もしていない。 以上の4点になります。 尚、ウイルスソフトはフリーのavastを使用しており、ファイアウォール機能が存在しないため、切断することはしていません。 考えられることは調べてみたのですが、手詰まりしていました。 お手数おかけいたしますが、宜しくお願いいたします。
- ベストアンサー
- ネットワーク
- なぜMACアドレスだけでなく、IPアドレスが必要なのか
現在ネットワークについて勉強しております。 ・MACアドレスはNICに固定で、隣接区間でのデータリンク通信に必要。 ・IPアドレスはネットワークを越える、エンドツーエンドでのあて先・送信元指定に必要。 という点は理解しております。 ネットワーク超えの通信においても、ホストを特定するための要素はMACアドレスだけで十分では?という疑問が生じました。 上記のエンドツーエンドでのあて先・送信元指定にもMACアドレスを用いる事はできるはずです。 (IPパケットの中に最終的な宛先・送信元MACアドレスを書けばいいのでは?) なぜ「IPアドレス」という概念が必要なのでしょうか。 MACアドレスとIPアドレスという、似たような概念をあえて2つ作っている理由を教えてください。
- ベストアンサー
- ネットワーク
- NATディスクリプタを挟んだ送信元のIPアドレス
ルーターを挟んでネット上のあるサーバーとhttpで通信する時 (パソコン)-(ルータ)-(ネット上のあるサーバー) パソコンのプライベートIPアドレス 192.168.100.2 ルーターのプライベートIPアドレス 192.168.100.1 ルーターのグローバルIPアドレス 124.83.235.204 ネット上のあるサーバー のグローバルIPアドレス 74.125.235.119 とします。 1 パソコンからネット上のあるサーバーへパケットを送ったとき そのパケットを受け取った ネット上のあるサーバー上では、 そのパケットのIPヘッダーの送信元IPアドレスは 192.168.100.2、192.168.100.1 ではなく 124.83.235.204 2 ネット上のあるサーバーから応答パケットがパソコンへ戻ってきたとき そのパケットを受け取った パソコン上では、そのパケットのIPヘッダーの送信元IPアドレスは 124.83.235.204、192.168.100.1 ではなく 74.125.235.119 で正しいでしょうか?
- ベストアンサー
- ネットワーク
- LANからWANの送信元IPアドレスについて
初歩的な質問ですみません。 IPヘッダの送信元IPアドレスについて質問です。 以下の構成でパソコンAからパソコンBにデータを送信した場合、送信元IPアドレスにはどのIPアドレスが入っているのでしょうか? よろしくお願いします。 ***送信元[68.51.0.100]*** パソコンA[192.168.0.10] ↓ ルーターA[192.168.0.1] ↓ --WAN-- ↓ ***送信先[20.102.36.42]*** ルーターB[192.168.100.1] ↓ パソコンB[192.168.100.10]
- ベストアンサー
- ネットワーク
- DMZのPHPからLAN内のMySQLへの接続が遅いのですが・・・
初めて質問させていただきます。 現在、公開サーバ(DMZ)のPHPから、DBサーバ(LAN)のMySQLへ、接続を試みています。 mysql_connect()により接続はできるのですが、どうにも時間がかかって困っています(5秒くらい)。 (公開サーバにMySQLをインストールして接続すると、ほぼ待ち時間なく接続されます) 環境、設定は以下の通りです。 (公開サーバ)DMZに接続 Windows 2003 Server プライベート:192.168.0.1 (DBサーバ)LANに接続 Windows 2003 Server プライベートIP:192.168.1.1 (ルータ/ファイアウォール)SonicWALLを使用 DMZ(192.168.0.1)からLAN(192.168.1.1)へアクセス[Any]を許可 WANからDMZ(192.168.0.1)へのアクセス[HTTP]を許可 (PHPのソース) mysql_connect('192.168.1.1', $dbuser, $dbpwd); <<質問>> (1) PHPから、同サーバのMySQLに接続する場合と、別サーバに接続する場合とでは、このレスポンスの差は仕方がないものなのでしょうか? (2) 接続が遅くなる要因になりそうなことがあれば教えてください。 (3) DMZからLANへのアクセスを[全て]許可するのは、セキュリティ上どうかと思うのですが、MySQLにアクセスするのに何を許可すれば良いかわからず[Any]にしています。許可が必要なサービス(ポート?)を教えてください。
- ベストアンサー
- その他(ITシステム運用・管理)
お礼
ありがとうございます。そうですね。ご指摘のようにIPアドレス詐称はあり得ると思います。その点ではVPCの方が安全なのですね。一方、DDoS攻撃については、社内ネットワーク上のPCしか踏み台として使えないので、攻撃じたい著しく困難になるのではないかと考えています。もちろん、一般論として(Distributed でない)DoS攻撃は可能と思いますが。このあたりも誤認があればご指摘お願いします。