• 締切済み

サーバの配置とセキュリティの問題について

インターネットからアクセスが来る場合のWebサーバの配置についてセキュリティ面も考慮して議論しております。意見は2通りあって・・・ 1.DMZにWebサーバを置いてFWやLB・ウイルスチェッカー等で通常の   構成で行った方が良い。 2.DMZではなく、今はLBにリバースプロキシの機能が付いたものがあるんで   FWの内側(セキュア)に入れて、FWの設定、負荷を減らせる方が良い。 各々、メリット、デメリットはあると思うのですが、これが決まらないと全て先に進まず困っております。こんなのこうしたら安全で最高じゃんという意見がありましたら是非ヒントを下さい。 どうやら、決め手はリバースプロキシのようです。 これがどの位安全なのか実績が無いため語れません。 これってどうすればどの位安全に機能するのか、教えてください。 私は2番目の方が良いと思っております。 宜しくお願い致します。

みんなの回答

  • gold8
  • ベストアンサー率31% (60/191)
回答No.2

うーむ。どっちでも絶対安全とはいえませんけど。2番の構成だと、内側に FW をいれとかないと、少し危険なような気がします。(最低でも、フィルタのかけられるルータなど)あと、LB の外側と、内側のルーティングは許可しないとかの構成にしとかないと、1番、2番の構成でもなんにもなりませんからねぇ。

noname#41381
noname#41381
回答No.1

すみません自分だけかもしれませんが... 「LB」とは何でしょうか?ロードバランサー? ということで2の構成がいまいちわかっていません。すみません。 補足要求だけではなんですので... リバースプロキシの利用 これは運用面においていろいろとメリットがあるので 導入したほうがいいと思います。 プロキシなので元Webサーバは直接インターネットにさらすよりもセキュリティは向上するでしょう。 となると、「リバースプロキシ自体のセキュリティホールの危険性は?」 という感じになると思うのですがいかがでしょうか? 例えばリバースプロキシのキャッシュ不正操作によるWeb乗っ取りとかはおきないの?とかでしょうか。 これはその製品の信頼性、サポート等を見ていくしかないのかな。 一般レポートにはそういった事例はまずないと思うので。

関連するQ&A

  • DBサーバをどこに置くのがよいか

    インターネットに公開しているWebシステムのDBサーバを内部ネットワークに置くのがよいのか、 DMZに置くのがよいのかで悩んでいます。 ※ここでいうDBサーバは、個人情報を取り扱っていますが、外部に公開していない別の システム等が使用しているデータは居候していません。 以前の私の認識では、WebサーバをDMZに置き、DBサーバは内部ネットワークに置いて、 DBサーバへの接続はWebサーバからのみに限定するというのが一般的なのではないかと 思っているのですが、今も同じでしょうか? 内部ネットワークにDBを置いた場合、次の問題が考えられるので、本当に大丈夫なのかと 思ってしまいます。。 - DMZから内部ネットワークへの通信が許可しなければならないこと。 - WebサーバとDBサーバの接続をFWで遮断したとしても、WebサーバからDBサーバに 接続するためには、あらかじめWebサーバの設定ファイルにDBサーバのユーザ名とパスワード を書いておく必要があります。なので、、WebサーバとDBサーバ間のFWがあまり役に立たないのではないか。(Webサーバが乗っ取られた時点で、苦労なく個人情報も抜かれるリスク大) そればかりか、DBサーバを内部に置くことで、DBサーバをDMZに置いた時よりも内部 ネットワークが脆弱になると考えられる。(DMZから内部ネットワークへの通信を許可する必要あり) - 総合すると、最近の Linux や Windows にはFW機能があるので、何も内部ネットワークに 置かなくても、その機能を有効化しサーバ自体はDMZに置けば内部ネットワークに置くよりも 全然よいのではないかと思える。 よろしくお願いいたします。

  • NATとリバースプロキシについて

    今ネットワークの設計と構築を行っており添付のとおり設計してます アクセスはHTTPSでFWのWAN側のIPにアクセスし その通信をNATしてリバースプロキシに向け リバースプロキシがURL毎に該当のサーバーに振り分けます。 このとき戻りのパケット(ウェブサーバーからの応答パケット) はFWに行くのでしょうか? 当方リバースプロキシサーバーの知識がなく よくわかりません。汗 (担当の人はいけると言ってるのですが、、、) サーバーのデフォルトゲートウェイはFWに向いているのですが この場合だとNATテーブルにないためパケットが破棄されてしまうのでは? と思っています。 知識のある方お知恵をお貸しください。

  • メール双信での配置、仕組みについて

    ネットワークのことを勉強しております。 その中でメールについてまだまだ無知で、色々調べているのですが わからないことが多く、こちらにご質問できればと思います。 ・ISP?からメールドメインを取得すると、自動的に世界中の人が参照できるDNSサーバーにMXレコードの情報が登録されるのでしょうか。 また、社内環境に外部用DNSサーバー(セカンダリ?)をおく場合もあるようですが、その場合のメリットというのはどのようなものでしょうか。(メールサーバー以外の用途もあるのかもしれませんが・・・。) ・セキュリティ向上のために、MTAサーバーが一度メールを受信することが多いかと思いますが、  FireWall等でNAPTでメールを受信、それを社内のメールで受ける場合、セキュリティとして  前者と違いは生じますでしょうか。 ・リバースプロキシサーバーをDMZにおく場合ですが、リバースプロキシサーバーは基本的に SSLーVPN(httpsからのアクセスを受ける)と同じと認識してよろしいでしょうか。またMTAとの機能を持たすこともできるのでしょうか。 ご存知の方いらっしゃいましたら、アドバイスいただけますでしょうか。 宜しくお願い致します。

  • リバースプロキシ使用時のSSL証明書について

    クライアント-(SSL)-リバースプロキシ-(SSL)-Webサーバ構成の場合、WebサーバにインストールするSSL証明書は自己署名で構わないのでしょうか? リバースプロキシ-(SSL)-Webサーバ間ではSSLクライアントはリバースプロキシですから、リバースプロキシというものが一般的に証明書の正当性チェックをしないものであれば問題ないと思うのですが、やはりリバースプロキシの仕様に依存するのでしょうか?

  • プロキシサーバーについて

    ◆前置き◆ webページを開発しているのですが、ローカル内からグローバルドメインでアクセスできません。 どうやらルーターの設定のようなので、プロキシを通して外部からアクセスすることでローカル内からもグローバルドメインでアクセスしたいと考えています。 ◆質問内容◆ プロキシについて調べてみると安全でないこともあるようなのでどのようなプロキシが安全なのか知りたいのです。 そこでプロキシサーバー、オススメのプロキシサーバーなどがあれば教えていただきたいと考えています。 できるかぎり無料のプロキシがいいです。 また、プロキシについてあまり知らないので注意店なども上げていただければありがたいです。 長くなってしまいましたが、何卒宜しくお願い致します。

  • DMZサーバーは通常は物理サーバーなのでしょうか

    ある業務用の社内サーバーがあり、社内からはWebブラウザで httpでアクセスできています。 このWebサーバーを社外からスマホやWEBブラウザでアクセス するためには、セキュリティーのために外部アクセス用の DMZサーバーとFirewallを用意する必要がある、と言われたの ですが、このような用途のDMZサーバーは、一般的にどのように 準備をするものでしょうか。 1)物理サーバーとして社内に立てる 2)仮想サーバーとして社内に立てる 3)ルーターを追加してDMZの機能を有効にする 4)AWSを使って外部に立てる また、上記のどれでも可能な場合、一番メンテナンスに手間が かからず費用も最小限なのはどのケースでしょうか。

  • アプリケーションサーバへのCGI設置

    サーバーをリバースプロキシと アプリケーションサーバに分けて cgiの動的ページの生成などは アプリケーションサーバにまかせると言う仕組みに 興味を持っているのですが イマイチ仕組みが見えてきません。 あまりに初歩的な質問でしょうが 上記の様なサーバー構成の場合 CGIファイル自体はどちらのサーバーに置くのですか? リバースプロキシに置いて アプリケーションサーバーのCPUだけ借りるのですか? アプリケーションサーバに置く場合 リバースプロキシに置いてあるHTMLでは CGIの場所をどの様に指定するのでしょうか? またCGIではHTMLの生成場所をどの様に指定 するのでしょうか? 分かる方がいらっしゃいましたら よろしくお願い致します。

    • ベストアンサー
    • CGI
  • SSL通信のFW設定

    教えてください。 DMZにあるWebサーバで証明書を使っている場合、WANからDMZへのhttpやhttpsをFWで開ける必要がありますが、逆にDMZからWANに対してhttpやhttpsを開ける必要がありますでしょうか? SSLでWebサーバが起点となって発信しているものがあれば必要かと思うのですが。

  • DMZ上のプロキシサーバの名前解決先

    ひとつ知恵を貸してください。現在ネットワーク構築構想として、社内からインターネットへのHTTPアクセスは、DMZ上のプロキシサーバを仲介して行おうと考えています。またDNSサーバはキャッシュサーバを社内ネットワークに、コンテンツサーバをDMZに置こうと考えています。セキュリティ的に「キャシュサーバはDMZに置かない」という考えです。 ここで疑問なのですが、DMZ上のプロキシサーバがインターネットにアクセスする場合、当然名前解決が必要ですが、「この名前解決をどこに投げるか」ということなのです。DMZ上にDNSキャッシュサーバを置かないということは、社内ネットワーク上のキャッシュサーバに名前解決を投げるしかないと思うのですが、それがこの環境での最適解なのでしょうか。どうも「DMZ⇒社内ネットワーク」に穴をあけるというのが、気持ち悪い気がするのですが。。。いろいろとネットでプロキシサーバの名前解決について事例を漁ってみたのですが、明解な結果が得られなくて困っています。 それとも「DMZにはDNSキャッシュサーバを置かない」というポリシーと、「HTTPアクセスはDMZのProxyを通して行う」というポリシーは相容れないのでしょうか? もし事例などをご存知の方がいましたら、ぜひ考えを聞かせていただきたく、質問させていただきました。よろしくおねがいいたします。

  • 異なったパブリックIPでWEBサーバーを公開したい

    現在は、SSG320でこの構成で動いておりますのでできるとは思われますが、UTMの差し替えがあり、Sonicwall Pro 3060で再構築しているところです。 要件としては、DMZ内にWAN側と異なったセグメントのグローバルネットワークでWEBサーバーを公開する方法を探してます。 設定例 WAN GW グローバルIP 10.10.10.247/29 DMZ  ローカルIP 192.168.1.0/24 DMZ  グローバルIP 61.205.227.135/26 DMZローカルとDMZグローバルをNATして61.205.227.135/26のセグメントを使用して、WEBサーバーを公開しようと考えてます。 出来る・できないはちょっと不明ですが、イメージとしては、以下をできる機能を探してます。( NATの二重みたいな感じですが・・・) WAN IP  → DMZ グローバルIP → DMZLocalIP  こんな機能とかってなんかありますかね? 設定する機能名の当たりでも教えてもらえれば後は頑張れそうです。