- 締切済み
25,110以外の監査(webメール等の監査)
port25,110のトラフィックを監査する、あるいはサーバのスプールを監査するソフトは複数思いつきます。 しかし、それ以外のポートを使用して通信を行なう場合は、監査がかかりません。ポート番号は限定するとしても、SSL通信となると、トンネルを掘られた時点で監査ができなくなってしまいます。内部にproxyを立てて、このproxy上でSSLで包んだり解いたりすれば、良いということは分かっているのですが、この通信を監査する(ガーディアンのような)パッケージ製品はありますでしょうか。 また、Webについてアクセス制御ができる製品を探しています。具体的には、WebDAVや、Webメールを使用させたくありません。これらのSSL通信についても制御が必要です。
- puyopuyo3
- お礼率78% (30/38)
- ネットワーク
- 回答数2
- ありがとう数2
- みんなの回答 (2)
- 専門家の回答
みんなの回答
- takizawa-777
- ベストアンサー率37% (6/16)
この問題はかなり僕も知りたいです。 httpsにくるんでしまうと全くわかりません。 というか逆説的にいうと、わかってしまうとこまりますけどね。 ということで、dstで切るしか無いという結論です。 443経由のVNCで自宅にPCに入り、そこからトレードしてる なんていう人もいますし、難しい問題です。
- anights
- ベストアンサー率72% (35/48)
該当するのはi-FILTERとかでしょうかね。
お礼
GuardianWallよりも強力そうですね。 参考にさせて頂きます。 お礼が遅くなりまして申し訳ありません。
関連するQ&A
- ssl 443 以外
教えてください。 インターネットを介してリモートアクセスする際に、SSL通信で社内のサーバにアクセスをする場合を想定しています。 そのときに、社内WEBサーバにアクセスするときは、リモートPCからSSL-VPN装置までは「443」番ポートでアクセスすると思っています。 ただ、例えばそれが、メールサーバ(WEBメールではなくPOPやSMTP)だったり、RDP(リモートデスクトッププロトコル)だったり、ファイルサーバ(FTP)にアクセスする際も、やはりTCP「443」番でカプセル化されているのでしょうか?それとも、それぞれ別のポート番号なのでしょうか?
- 締切済み
- ネットワーク
- SSL/TLS通信を行う上で必要なサービス
OS:Windows Server 2008 R2 以下について、ご教示ください。 Windows Server 2008 R2おいて、他のサーバーとSSL/TLS通信を行うために必要なサービスは「WinHTTP Web Proxy Auto-Discovery Service」であっていますでしょうか。 その認識であっている場合、「WinHTTP Web Proxy Auto-Discovery Service」が起動していないとSSL/TLS通信はできないでしょうか。 某D社でSSL-VPN装置のサポートデスク業務につく際の教育でSSL-VPN装置とSSL接続する場合、「WinHTTP Web Proxy Auto-Discovery Service」の起動が必要と聞いた気がしていますが、うる覚えなところがあるため、ご教示頂きたいと考えております。
- ベストアンサー
- Windows系OS
- 古いブラウザでインターネット
お世話になります。 完全に趣味の世界の話です。 古いブラウザでインターネットをする方法を検討しています。 古いパソコンにインストールされているブラウザ、 SSL2.0、SSL3.0、TLS1.0にしか対応していないようなブラウザだと、 昨今のhttpsのウェブサイトは表示されず、httpの非暗号サイトしかアクセスできません。 以前、squidによるリバースプロキシで、80番のHTTPサーバに対して外部からのアクセスは、https化しているように見せかける…という方法が取れるというのは知っていたのですが、 proxyなどの中継サーバーを自宅内に立ち上げて、 通常のインターネット通信は、Proxyサーバー経由、 ローカル側のブラウザ-Proxyサーバー間は、ssl2.0や、もしくはhttpsリクエストを、proxy側でhttp化してアクセス。 (ローカル端末からはhttpアクセスでproxyサーバにキャッシュされたhttps(tls1.2→ssl2.0化)のWebサイトを見る。) といった事は現実的に可能でしょうか。 よろしくお願いいたします。
- ベストアンサー
- ネットワーク
- Apacheリクエストヘッダを制御してのリダイレクト
apacheのリダイレクトで質問させていただきます。 http, httpsともに以下のようなリダイレクトを行いたいと思ってます。 (https) https://a.com/tenso/ 以下のアクセスを https://b.com/tenso/ にリダイレクト。 (http) http://a.com/tenso/ 以下のアクセスを http://b.com/tenso/ にリダイレクト。 どちらもドメインを置き換えたいといったシンプルな要件です。 が、現在httpsはLBで処理を行っており、apahe側では port80で処理しています。このため、https通信を認識できず リダイレクトが行えない状況です。 https通信の場合、LBからのリクエストヘッダに「SSL」とわかる文字列が挿入される設定になっているとのことで、このリクエストヘッダを 制御してリダイレクトを行えないものでしょうか? mod_proxyはssl非対応とのことと、あまり詳しくなく大変困ってます; どうぞよろしくお願いします。
- 締切済み
- Linux系OS
- メールの送受信ポート自動切り替え
社内ネットワークでSSL通信できるメールアドレスを使用していますが、社内拠点によってSSL送受信しかできない場合と、 SSLなしでななければ送受信できない場合があります。 このため、拠点間を移動する場合は送受信ポートを切り替える必要がありますが、これをワンタッチで行なう方法は ないでしょうか。 VBスクリプトでも構いません。
- 締切済み
- その他(ITシステム運用・管理)
- IPSecのVPNにおけるポートフィルタリング
お世話になります。 以下、質問させてください。 現在、2拠点間で、ヤマハルーター、RTX1100により、IPSecのVPN接続を行っております。 回線はBフレッツ、プロバイダはOCNです。 固定IPアドレスを取得して、インターネット接続では、IPマスカレードを使用しております。 セキュリティを強化するために、不要なポートを可能な限り、さらに閉じたいと思っておりますが、 閉じすぎてしまいますと、正常な通信が、出来なくなってしまいますので、 どのポートを閉じることが出来るかを、検討しております。 WELLKNOWNポート(0~1023)については、使用するポート(DNSサーバーの53、WEBの80、443、IPSecの500、等)以外のポートは、すべて閉じます。また、使用するポートも、IPアドレスによる制御をかけます。 登録済ポート(1024~49151)、自由使用ポート(49152~65535)については、特に狙われやすいポートを閉じ、他は、開けてあります。ただし、外部からのアクセスはIPアドレスにより拒否、内部から外部のDNSサーバー、WEBサイトへのアクセスの返答は、通過させるようにしております。 ここで、ご質問させてください。 まず、内部LANから、外部インターネットに接続する場合についてです。 内部LANの端末から、DNSサーバーの53番ポートへの送信、 DNSサーバーの53番ポートから、内部LANの端末への受信、を許可していますが、 その際に、こちら側のポートは、1024番以降のポート番号が、「任意」に割り当てられる、と、文書で読みました。 このため、1024番以降で、閉じているポートが、たまたま割り当てられてしまった場合は、正常な通信が出来なくなってしまいます。 この「任意」には、何らかのルールがありますでしょうか。 例えば、1024番から順番に割り当てられるのだとしたら、内部LANの端末数が100くらいで、また、すべての端末が同時にインターネットを使用する可能性は低いので、1024~1124ぐらいまでは、開けておき、1125~65535は、閉じておきたい、と思います。 外部WEBサイトに接続する場合、やはり、送信側の「任意の」ポートから、外部WEBサイトの80、443ポートに、パケットが送られ、そこから、ESTABLISHEDパケットが、送信側の80、443ポートを通じて(この認識も正しいかどうか、確証がありません)戻ってきて、3WAYハンドシェイクにより、接続が成立する、と理解しております。 この際の「任意」にも、何らかのルールがありますでしょうか。 ルーターRTX1100のマニュアルを観ますと、IPマスカレードを使っている場合、デフォルトでは、60000~64095が割り当てられる、と書いてあるのですが、通信ログを観ますと、1024番以降の比較的若い番号も、使われているようでして。 もし、このマニュアルの記述が正しいならば、1024~59999、64096~65535は、閉じてしまいたいとも、思うのですが。 次に、IPSecについてです。 調べますと、IPSecの共通鍵(IKE)交換は、両拠点の500番ポート同士で行われる、ということなのですが、それでは、両拠点間の通信は、すべて、この500番ポート同士のみで、行われるということになりますでしょうか。それとも、1024番以降のポートも、やはり、使われる可能性がありますでしょうか。 例えば、片方の拠点のLANにある、データベースサーバー(プライベートIPアドレス、MicrosoftSQLサーバー)を、もう片方の拠点のLANでも、参照、使用しております。 ポートフィルタリングで、SQLServerが使用する、1433、1434番ポートも、閉じているのですが、2拠点間の通信は、正常に行うことが出来ております。 以上、2つ、お伺いさせて頂きます。 どうぞよろしくお願い致します。
- 締切済み
- ネットワーク
- Apache mod_proxy_balancer
Apache2.4のmod_proxy_balancerとWeb Socket通信についてご教示下さい。 ■環境 Linux6.5 Apache 2.4 ■実現したいこと Apacheをフロントとエンドで2台構成で使っています。 ・フロント mod_proxy_balancerを使用し、後続のエンド用Webサーバの振り分けを行っています。 通信はWeb socket通信を使用しております、WSSの通信をWSに変換してエンドに中継しています。 ・エンド 基本的なWebサーバの機能を有しております。この奥にAPがいる形です。 ■問題 フロントとエンドが1:多の関係だと、Web Socket通信が思うようにいきません。 しかし1:1の関係だとWeb socketの通信が想定通りに行われます。 ■ご教示いただきたいこと mod_proxy_balancerを使用したWebsocket通信がうまくいきませんが、 このあたりで何か事例など知っていましたら教えていただけないでしょうか。
- 締切済み
- オープンソース
- COM16以上を設定を使用してシリアル通信したい
現在、VB6.0を使用してシリアル通信の制御をしたいのですが、MSCOMMを使用するとCOMポートの番号が16以上のポートを設定しようとするとエラーになってしまいます。(私の設定がおかしいのかもしれませんが・・・。) 通信ポートを16以上のポートも使用できるようにするにはどの様にしたらいいのでしょうか?
- ベストアンサー
- Visual Basic
- webクエリ メッセージが出る エクセル2010
エクセル2010で、webクエリをしようとすると、 「このWebサーバーへのアクセスは規定で無効になっています。 このWebサーバーは基本認証で制御されており、SSLが使用されていないことが マイクロソフトオンラインサポート企業情報で解決策を検索しますか?」 とでて、webクエリができません。 http://kichijoji.topteam.jp/modules/diary/index.php?page=detail&bid=998 を見ると、全部外せば治るとの事ですが、 とりあえず全部外す前に、必要なものだけ外したいので どれを外せばいいか教えてください。
- ベストアンサー
- オフィス系ソフト
- ローカルネットワークから外部Webの参照
Windows7マシン上のVmWareでSolarisをインストールしています。 仮想SolarisマシンとWindows7マシンは仮想のローカルネットワーク接続になっています。 Solaris(192.168.10.2) ↑ ↓ Windows NIC1(192.168.10.1) Windows NIC2(DHCP) ↑ ↓ ルーター ↑ ↓ 外部インターネット で、Solarisから外部インターネットに接続したいのですが、基本的にはソフトのダウンロードの時など、限られた時だけ接続できればいいと考えています。 よくわからないながらも、それなら接続したいときだけWindows上でproxyサーバーを起動すれば外部Webにアクセスできるのではないか思って、BlackJumboDogというproxyサーバーを設定して起動してみたのですが、どうもうまくいきません。 質問1 そもそもproxyサーバーというものはこういう目的に使えるものなのでしょうか? 質問2 調べてみると、こういうことをしたいのならsocksプロトコルが使える、ということらしいのですが、つまりこれはSocksに対応したproxyを使えばいい、ということでしょうか? #つまり、BlackJumboDogはsocksに対応していないからできなかった、とか?? どうも基本的なところがわかっていないので、的外れな質問かもしれませんが、よろしくお願いいたします。 以下補足です。 ・SolarisとWindows間の疎通は確認済みです。 ・Solaris上のFirefoxのネットワーク設定では、proxyを使用するように設定しています。 ・proxyのIPアドレスは192.168.10.1、ポートは8080(BlackJumboDogが使っているポート)を指定しています。 ・Windowsファイアウォールでは受信に8080のUDP、TCPをあけています。
- ベストアンサー
- ネットワーク
お礼
dstだけで切るという訳にはいかないでしょう。新たなWebメールサービスが出たり、個人でWebメールサイトを立ち上げられたときに対応できないです。 443問題は、一つはネットワーク監視だと思います。長時間に及ぶ443のセッションは強制的にカットするとか。