- ベストアンサー
サーバーを公開していない場合
- みんなの回答 (8)
- 専門家の回答
質問者が選んだベストアンサー
- ベストアンサー
#7の書き込み者です。 自分の書き込みを読み返したら、わかりにくい点があったので、修正させてください。 >>これらのバグ(脆弱性)は、「ファイアーウォール(含ルータのフィルタリング機能)」や「IDS」などの仕組みでは基本的に防ぐことが出来ません。 >>こうした場合はIDSやファイアーウォール(パーソナル・ファイアーウォールでも可)など、万一脆弱性を突かれた場合でも挙動不審なトラフィックを監視しているから出来ることです。 ↓ 後段の意味は、「通信を注意深く監視する」という意味で、仕組みそのものでセキュリティーホールを防げるという意味ではありません。 何度もすみません。 それでは。
その他の回答 (7)
いわゆるセキュリティー・ホールというものに対する認識を誤っている人が多いので、自戒の念も込めてお話させてください。 MS関連のセキュリティー・ホール(重大な欠陥)が発見されたのは、何も今回に限ったことではありません。(参考URLにイヤになるほどの一覧があります。) これらのバグ(脆弱性)は、「ファイアーウォール(含ルータのフィルタリング機能)」や「IDS」などの仕組みでは基本的に防ぐことが出来ません。 これらのセキュリティー対策(仕組み)が施されているのは当然の前提として、それでも防ぐことが出来ないから”セキュリティーホール→セキュリティーの抜け穴”と呼ばれているわけです。 セキュリティーホールは、例えばIEやIISなどプログラムの欠陥をつくものですが、攻撃(含受動攻撃)はあくまで”正しい通信に見える方法”で行われます。 例えばWebブラウジング(HTTP通信)など、”正規”の通信方法を使って送り込まれるコードや仕掛けをプログラムが誤って解釈し誤動作を起こすわけです。 ですから、この場合プログラム自体を修正せずにこれを防ぐには、HTTPを利用しない(事実上インターネットを利用しない)しか方法が無いわけです。 これはあくまで基本的な考え方で、紹介されているような個別の対処法がある場合もあるでしょう。 しかし根本的な解決を行うためには、修正パッチを適用するしかありません。(対策法が無いから”緊急の”修正パッチでプログラムの欠陥を直すしかないわけです。) 「修正パッチは他の不具合の原因になるから、暫らく様子をみてから適用する。」というシステム管理者の方もいらっしゃいますが、こうした場合はIDSやファイアーウォール(パーソナル・ファイアーウォールでも可)など、万一脆弱性を突かれた場合でも挙動不審なトラフィックを監視しているから出来ることです。 しかし、現実的には社内全てのマシンに最新の修正パッチを適用し続けるのは結構手間がかかるものでしょう。 そのため私が#5で紹介させていただいた「PC+ソフトウェアを利用したゲートウェイ」などで、万一クライアントの一台がワームやトロイの木馬に感染した際にも二次被害を防ぐ対策を行っておくべきだと思います。 もちろん、この他にも方法があるでしょうし、ゲートウェイには最新の修正パッチを適用しておかなければ効果半減ですが…。 対策や認識不足による実害を受けた(与えた)会社の方は大抵、「安全だと思っていた。」とおっしゃいます。 上記の様な認識を社員全員が持てるようになるのが理想ですね。 掲示板システムでの長文で、すみません。 それでは。
- feininger
- ベストアンサー率41% (74/180)
> ルータのパケットフィルタリングが設定してあれば防げるものでしょうか? MS-RPCのバッファオーバーランのことかな? あまり記事は読んでないので外しているかもしれませんが・・・ MS-RPCは通常はルーターなどで閉じられているポートなので外からの攻撃には耐えられるでしょう。 でも、ルーター内部のPCから攻撃されたら耐えられないですよ。 ウィルスに感染したり、悪意あるサイトのスクリプトを実行してしまったPCからの攻撃には。 > パソコンでアップデートをしていなかった場合、今回はどのようなセキュリティをかければ、防げますでしょうか? 各PCにファイアウォールをインストールして、各PCがそれぞれポートを閉じれば大丈夫かな? でも使い勝手を考えるとアップデートするのが近道ですよ。
法人(公人)であれば、「間接的加害者」になる可能性を排除する義務があると思います。(あまり好きな言葉ではありませんが、”常識”ではないでしょうか。) 現状のコーポレート・セキュリティー(含ネットワーク・セキュリティー)に関する意識は「自社に対する危害を防ぐこと」しか考慮していないことが多いのではないでしょうか。 間接的加害者になりうる具体的なケースは識者の方々の書き込みの通りですが、最低限、通信内容を記録・保全しておける体制をとるべきです。(社員の通信全てを監視するという意味ではなく、あくまでセキュリティー関連のログ保全という意味です。) この目的を達成するためには、本格的なファイアー・ウォールやIDSを設置・管理する必要はなく、「専用プロキシ(PC)」+「パーソナル・ファイアーウォール(NISなどのソフトウェア)」といった運用方法でも可能でしょう。 もちろん最低限の管理業務は発生するでしょうが、「ウィルスをバラ撒いたり、個人情報を漏洩してしまった場合の後始末」にかかる手間とリスクを考えれば、十分コストをかける価値があると思います。 ちょっと、講釈口調ですみません。 それでは。
補足
みなさん親切に回答ありがとうございます。 ちょっと気になったのでみなさんに聞きたいのですが、最近ウインドウズの重大なバグが発見されましたが、これはWEBを開いて悪意のプログラムを実行してしまうと、情報が外に漏れる可能性があるとありましたが、ルータのパケットフィルタリングが設定してあれば防げるものでしょうか? パソコンでアップデートをしていなかった場合、今回はどのようなセキュリティをかければ、防げますでしょうか? 知識が浅くて申し訳ございません。
- feininger
- ベストアンサー率41% (74/180)
不要なポートを閉じ、外→中へのIPを固定しない。 というのは外からの侵入を防ぐという点ではそれなりに強力です。 もっと上のセキュリティもありますがとりあえずは十分かと。 企業レベルとなると外からの侵入だけではなく、中からの漏洩も考慮する必要があると思いますよ。 ウィルスやセキュリティホールなどによる意図しない漏洩はもちろんですが、 企業となると「意図した漏洩」がないともいえませんので。←ここが個人レベルと違うところ 外からと中からのセキュリティをバランスよく保つのが重要かと。
- bship
- ベストアンサー率51% (47/92)
セキュリティ分野では、誤解や嘘も多いのでそれを切り分けることからして大変です... 悲観者は、いろんな可能性を唱えますし、楽観者は取られるものがないと開き直る.... セキュリティに100%はないので、どんな形態であれ、多少なりともリスクはあります。問題は、どの程度のリスクが存在し、どのレベルを許容するかなのです。 極端にいえば、正しく設定すればファイアウォールがなくても安全にできます。数千万円のファイアウォールを入れても設定や運用が誤っていれば、全く安全ではありません。 結論として、ご自身の要求するセキュリティレベルを満たしているかどうかは監査をしないと判りません。ですが、ちゃんと設定すれば安全にできる可能性は十分にありますよ。ただもう少し環境が判らないと一般論としてのアドバイスは困難ですね。 それと何より大切なのは、何を何から守るかというポリシーです。目標がないとどうしようもありませんので。
- XxXxXxXxXx
- ベストアンサー率8% (18/212)
サーバの公開にかかわらず、インターネットに接続できるなら、ファイアーウォールは必須です。 個人なら、何もしなくてもいいでしょうが、企業ならセキュリティをかけてあたりまえです。 クライアントPCが外部に出た時にウィルスを持ち帰り、LAN上のPCやサーバに感染し、破壊活動や情報の漏洩を行うことが可能です。 IPマスカレードはポートスキャン等の攻撃には有効でしょう。(閉じてれば)それだけです。 内部に侵入する方法はいっぱいあります。今日もWindowsの欠陥が報道されたばかりです。(10日にもありましたね)
- 100Gold
- ベストアンサー率27% (284/1018)
たとえば、そのサーバから外部に対してブラウザで接続したさいに、ブラウザのセキュリティーホールをついて、そのPCにプログラムを仕込みます。 そのプログラムとは、そのサーバの側から外部の遠隔操作ソフトに接続しに行くものです。 そのようにすれば、侵入が可能になります。 あるいは、内部の人間が上述のようなソフトをインストールすることによって、退職後などに遠隔操作して業務にダメージを与えたり、情報を得たりすることが可能になります。ハッキング被害の多くは内部の人間の仕業です。 重要なサーバであるならば、外部への接続もできないようにしておくべきです。 さらに、そのサーバを直接操作できる人間は極力少なくするようにしておきましょう。 また、操作できる人間に対しても、必要最小限の権限のみ与えるようにしましょう。 また、定期的にパッチを適用して、既知のセキュリティホールはすべてつぶしておく必要があります。
補足
>たとえば、そのサーバから外部に対してブラウザで接続したさいに、ブラウザのセキュリティーホールをついて、そのPCにプログラムを仕込みます。 そのプログラムとは、そのサーバの側から外部の遠隔操作ソフトに接続しに行くものです。 サーバーは公開していないのですが、それはクライアントPCでも同じことということですよね? あと、たとえば今年SQLポートを狙われた被害がありましたが、サーバー上でSQLは使用していませんが、ルータではポートは開いてたので、もしこちらにも被害があったら、ルータがパンクするといった事が起こりえたのでしょうか? サーバーを公開していない場合にファイアウォール導入する意味はあるのでしょうか?
関連するQ&A
- サーバーを以下のように公開しようとおもうのですが・・・
サーバーを以下のように公開しようと思うのですが・・・ ルーター内にサーバーがあるため、 何かサーバーでサービスを提供使用とした場合、 ルーターでポートを開放しないといけないので、 その作業がめんどくさいので、 DMZアドレスをサーバーに設定してそとから丸見えの状態に しております。 さすがにこれはやばいので、ファイアーウォールソフトを用いて、 ポートを遮断して、必要なポートだけを制限かけていないのですが。 これはセキュリティにどうなんでしょうか?
- ベストアンサー
- その他(インターネット接続・通信)
- FTサーバが公開できません・・・・・・
GuildFTPDを使ってFTPサーバを構築しているのですが、LAN内、localhost接続はできるのですが、外からFTPサーバに接続できません。 どうしたら外(WAN側)からつなげられるか教えていただけませんか? [OS]windowsxp Pro SP2 [サーバソフト]GuildFTPD [ルータ]NWG OPT100E V4.511.01 [FTPクライアント]FFFTP [ルータ設定] 「WANポートの設定」 *動作モード設定* ・PPPoEクライアント *PPPoE動作モード設定* ・PPPoE セッション1 を使用する IPアドレス固定(1~16個) *IPマスカレードテーブル設定* ・PPPoE ポート1(セッション1) 登録リスト プロトコル:tcp 先頭ポート番号:ftp 終了ポート番号:ftp 変換IPアドレス:プライベートIPアドレス 「LANポートの設定」 ・ファイアウォール設定 Action:pass IN:pppoe1 Out:lan IP/Mask Dst:プライベートIPアドレス PortNo Dst:ftp/ftp [windows設定] windowsのファイアーウォールは切ってます。 自分でいじったのは以上です。
- 締切済み
- その他([技術者向] コンピューター)
- IPポート番号を変えて外部公開できるルータ
自宅に光(Bフレッツ)環境を構築したので、複数台のPCを外部(インターネット)に公開したく思っています。 固定IPは取得ずみです。 この際、内部PC(サーバ)について、 IP:192.168.0.100 Port #1433 を、インターネット IP:固定IP Port #80とか110とか25とかで、IPマスカレードにより公開できるルータを探しています。 (公開ポート数設定は多ければ多いほどいいです) ポート番号を変更するのは、職場のファイアウォールによって外部接続制限があるためです。 現在はとりあえず使用したいだけなので、安定接続やメーカサポートは特に望まなく、安ければ安いほどいいです。 おすすめのルータはありますでしょうか?
- ベストアンサー
- ルーター・ネットワーク機器
- 外部公開サーバにおけるルータの設定
外部公開サーバを構築中で外部からhttpにてサーバへアクセスさせるため、 静的IPマスカレードの設定を行ったのですが、うまくいきません。 設定を行った後に、 http://グローバルIPアドレス とPCから入力しても、ルータの管理画面が表示されてしまいます。 サーバはCentOS5.2でapacheが動作し、 LAN側のPCからブラウザでアクセスできることを確認済みです。 ルータの管理画面(PCのブラウザからアクセス)にて、 静的IPマスカレードの設定を行いました。 ルータはNTTからレンタルしているPR-200NEです。 下記の通り設定しました。 ------ エントリ番号:1(なにもなかったので) 変換対象プロトコル:TCP 変換対象ポート:www 宛先アドレス:192.168.1.101(プライベート空間におけるサーバのIPアドレス) 宛先ポート:www ------ このほかに設定する項目があるのでしょうか。 上述にもありますが、ブラウザからのアクセスで、 エラーメッセージもなくルータの管理画面が開いてしまうので、 完全にルータの設定に誤りがあると判断しているのですが・・・。 プライベート空間は下記の通りIPアドレスを振っています。 ルータ:192.168.1.1 サーバ:192.168.1.101 PC:192.168.1.3 アドバイスをいただけると幸いです。 よろしくお願いします。
- 締切済み
- ネットワーク
- 侵入検知
シマンテックインターネットセキュリティーを使用してます。つい先ほど台湾から侵入がありまして遮断したのですが 下記の件、何方か教えてください 詳細: 侵入: Invalid TCP Options 侵入者: 210.○○.○○○.○○○ 危険度: 中レベル 送信元 IP アドレス: 210.○○.○○○.○○○ 送信先 IP アドレス: ○○○(210.○○.○○○.○○○) TCP 送信元ポート: ○○○ TCP 送信先ポート: ○○○(○○) 無効な TCP オプション: 0x○○○○○○○○ アドレスをクリックすると攻撃者を追跡できます この攻撃についての詳しい情報は シマンテックセキュリティレスポンスで入手できます とありますが、侵入: Invalid TCP Options の意味がわかりません。
- ベストアンサー
- ネットワーク
- TeraStationのFTP公開機能について
お世話になっております。 自宅で、TeraStationProを使用しており、FTP機能がついているので、外部からFTPでアクセスできるように設定したくて四苦八苦しております。 自宅は固定IPアドレスがあります。 この固定IPで外部からTeraStationへアクセスしたいのです。 回線はフレッツ光で、プロバイダはニフティです。 固定IPはニフティのサービスで取得しております。 IPアドレスのチェックをすると、固定になっております。 ルータはNTTのRT-200NEを使用しております。 TeraStationPro自体の設定はFTPに公開と設定するだけでOKとの事なので、設定済みです。 ルータの設定は静的IPマスカレード設定で 変換対象プロトコルはTCP 変換対象ポートはftp 宛先アドレスはTeraStationProに設定しているローカルIPの192.168.1.2を設定してあります。 ほかに何を設定すればよいのでしょうか?? とりあえず外部からアクセスが可能になったら、パケットフィルタでセキュリティを確保しようと考えております。
- ベストアンサー
- ハードウェア・サーバー
- WEBサーバーの公開
WEBサーバーを公開したいと思っております。 そもそも『Aterm WR7610HV』で公開は可能でしょうか?? とりあえず、ポートマッピング設定で 変換対象ポートを80、 宛先アドレスを公開するサーバーのプライベートIP で登録。 その後、パケットフィルタ設定で フィルタ種別を通過 送信元IPアドレスを * 宛先IPアドレスを公開サーバーのプライベートIP プロトコル種別をTCP 送信元ポートを 80 宛先ポートを 80 方向を両方向 で登録してみました。 IPは複数です。 ネットの外部よりの接続確認でポート80番が空いていないか、apacheが起動していないといわれます。apacheはローカルでアクセスできるので、起動しています。 ご存知の方がいらっしゃいましたら宜しくお願いします。
- 締切済み
- ネットワーク
- プライベートIPのVPNサーバーを公開できるルータ
プライベートIPアドレスのVPNサーバー(Windows2000ServerによるPPTPサーバー)をインターネットに公開したいと考えています。VPNクライアントはWindowsXP、2000、98、ME。 次の機能が必要だと思いますが、これに対応したルータをご存知の方は教えてください。または「この機能では実現できないよ」ということであれば、ご教示下さい。 ・PPTPマルチパススルー機能 ・静的IPマスカレードによって、TCP1723ポートとGREプロトコルをVPNサーバーのIPアドレスへ転送する機能
- 締切済み
- その他(インターネット接続・通信)
- RV-230SEで公開したサーバにLAN側PCからグローバルIPでアクセスできない。助けて!!
Webサーバの公開にチャレンジしてます。 環境はBフレッツ・マンションタイプです。 機器はNTTから送られてきたRV-230SE(ファームウェアVer:1.51)です。 行った作業は、 静的IPマスカレード/NAT設定で、 "Webサーバを外部に公開する"をチェックして、 WebサーバのIPアドレスを指定して"設定"ボタンを押しました。 一覧には以下のように表示されます。 >1 25 メインセッション 192.168.1.12 自WAN側アドレス TCP www 結果としては、 グローバルIPで外部(インターネット)側からはアクセスできますが(Iモードで確認)、 内部LANのPCからはアクセスすることができません。 内部LANのPCからグローバルIPアドレスでアクセスするにはどうすればよいでしょうか? よろしくお願いします。
- ベストアンサー
- FTTH・光回線
- 自宅サーバーポート開放
Linuxで自宅サーバーを作っています windows7にVMwarePlayerでCentosを仮想マシンで動かしています。 VMwareのネットワーク設定はbridgeにしてあります。 centosのファイアウォールは無効にしてあります。 apacheを使っております。 ローカルでは他のPCからアクセスできます。 つまずいているのは外部からのアクセスです。 外部から80番ポートの要求があった場合、Linuxターミナルのifconfigコマンドで確認した、192.168.~~のipアドレスに飛ぶようにしたいです。 それが出来れば外部からアクセスできる・・・はずですよね? なのでルーターの設定をいじりました。ルーターはNTTのPR-S300NEです。ファームウェアバージョン は5.25です。 静的IPマスカレード設定で、 変換対象プロトコルはTCP、変換対象ポートは80番(www)、宛先アドレスは192.168.~~、宛先ポートは80番(www) となっております。 設定を変更し、保存したあと、外部(友人の家や、iPhoneの3G回線)からアクセスしようとすると見つかりません、となってしまいます。 Windowsのファイアウォールも一応無効にしてみましたがダメでした。 何が・・一体何が・・・。 正直お手上げです・・・。 心が・・挫けそうです・・。 私は一体・・・。 どなたかWindows上でLinux仮想マシンで外部からアクセスできるWebサーバー作った経験があるかたや詳しい方、どこがおかしいか心当たりがおありの方教えてください・・お願いしますm(_ _)m
- ベストアンサー
- その他(インターネット接続・通信)
補足
長々と回答ありがとうございます!こんなに親切に教えていただけると大変うれしいです。 今、私どもの会社では、ゲートウエイのセキュリティを強化(ファイアウォールの導入)しようという話があるので、こういった質問しました。 社内の者の中には、ルータのIPフィルタリングで不正アクセスはされないから充分だという人間もいるので困ってます。私が不要なポートは閉じたほうがよいというのに、サーバを公開していないからそれは必要ないといわれます。私自身、知識が浅いので、実際どこまでセキュリティをかけるか迷ってます。