- ベストアンサー
サイトのセキュリティの強さ
ある個人のサイトをサーバで構築しインターネット上に密かに公開(言葉使いがおかしいか) したとします。仮にこれをAサイトと呼びます。そのIPアドレスを仮にIPアド:Aとします。 但しそのサイトへアクセスできるものに関しては特定の固定IPアドレス( IPアド:B1からBK)を所有したものにだけできるようにサーバーにチェックする仕組みを入れるものとします。 このようにした場合、セキュリティ上は特に問題がでることはないのでしょうか。 つまり、悪意ある第三者がAサイトの存在を知り、そのIPアド:A及びIPアド:B1からBKを知ったとして例えばB1所有者に成りすましてアクセスする方法があるのかどうかということなのですが。その辺の仕組みも含めて教えていただきたい。 回答をよろしくお願いします。
- taktta
- お礼率72% (1031/1430)
- ネットワーク
- 回答数4
- ありがとう数4
- みんなの回答 (4)
- 専門家の回答
質問者が選んだベストアンサー
送信元をIPアドレスによって制限することは一般的に有効な手段です。これで、十分に望まれるセキュリティを確保できるといえる場合は多くあります。 ただし、IPアドレスのスプーフィングが簡単にできることは事実です。それはハガキの差出人を偽るのと全く同じレベルで簡単です。 ただ、おっしゃるように、偽ったその後の通信のつじつまを合わせるのはそう簡単ではありません。よってIPアドレスで範囲を限定することは大変合理的で、現実によく行われる手段です。 もっといえば、相手をシームレスに認識するには、IPアドレスしかないんですよね...(ですから高価なFireWallでもIDSでもIPアドレスを基にするのは常識です) 回答として、IPアドレスを元にアクセス制御を行うことは、基本中の基本であり、(ポリシーによりますが)かなりのケースでこれで十分なセキュリティを保てるとして現実的に誤っていないでしょう。
その他の回答 (3)
> アクセスしてくる側のIPアドレス、つまりこの場合B1からBKでチェックするだけで安全かということを知りたい。 では具体的なチェックの仕方を提示ください。 > 少なくともAから出すデータは偽っていればBの方へ行き、悪意ある人(Cとする)の方へいかないとおもうのですが、違いますでしょうか。 仮に貴殿の言う通りAが相手を選んでデータを送るものとして、Aはその相手をIPアドレスを根拠に識別しているのでしょう? CがBのIPを名乗っている以上、その他の情報がなければBに送ったつもりでCの元へ…と考えるのが妥当では? > IPアドレスの偽造というのは簡単なのでしょうか。 簡単です。 > 偽造に関わる知識というのはどこかにありますか。 あります。少なくとも私の頭の中にはあります。
お礼
参考にさせていただきました。 Thank you very much !
- Aruku-20030515
- ベストアンサー率23% (362/1544)
どの程度の機密保持をされるかは、分からないので 全てはいえませんが、IPアドレスによる縛りだけだと 主に下記の点があげられるかと思われます。 ・IPアドレスの偽造にはまったくの無力 ・信頼するホストが、のっとられた場合が一番悲惨 大手のプロバイダーの中には、セキュリティー向上のためのサービスを提供しているところもありますので利用するも手です。(社内システムをISPに委任しているところもありますしね) インターネット上に個人でサイトを設ける場合は 「被害を受けない・被害を増やさない」に気をつけて構築してください。
お礼
回答どうもありがとうございました。 IPアドレスを偽ってAサイトとの通信が成立するものですか。 少なくともAから出すデータは偽っていればBの方へ行き、悪意ある人(Cとする)の方へいかないとおもうのですが、違いますでしょうか。
補足
IPアドレスの偽造というのは簡単なのでしょうか。 もしそれが簡単ならB1~BKの情報は機密に相当しますね。 偽造に関わる知識というのはどこかにありますか。
> そのIPアドレスを仮にIPアド:Aとします。 これはサーバのIPって意味ですか? > 悪意ある第三者がAサイトの存在を知り、 悪意はなくても存在くらいは知ることが出来るでしょうが > そのIPアド:A及びIPアド:B1からBKを知ったとして例えばB1所有者に成りすましてアクセスする方法があるのかどうかということなのですが。 サーバのIPなど知らずとも、URLが分かればアクセスは可能です。 アクセス制限の方法によっては、閲覧を許可されたIPアドレスを偽る必要もなく、閲覧が可能です。 …そんなことに気を揉むくらいならインターネットを使うな、と言いたい。(笑
お礼
早い回答ありがとうございました。 とても参考になりました。
補足
urlを知られたとして、アクセスしてくる側のIPアドレス、つまりこの場合B1からBKでチェックするだけで安全かということを知りたい。
関連するQ&A
- サイトのアクセスについて
現在サーバーを構築しサイトを作成してるのですが気になることがあります。 パソコンAからサイトのトップページでもどこでもいいのですが、IE8でもF5を押しっぱなしでリロードさせるとステータスバーに「待機中:http;//○○.jp」と表示されたままページが10秒とか15秒程度何も操作できない状態になります。 その間に別のパソコンBからサイトにアクセスするとすぐにページが表示されずパソコンAがリロード完了したタイミングでパソコンBもロード完了となります。 これはつまり他者が悪意を持って同様のことを行えばサイトが止まってしまうと思うのですが、こういったことにどう対応すればいいのでしょうか。 例えばjavascriptなどでF5を機能させないようにしたところでjavascriptを無効にすれば意味がないし攻撃を行ってるIPをアクセス禁止にするにしてもアクセス禁止にするまでは攻撃できてしまいます。 apacheやルーター等の設定でどうにかなるものなのでしょうか? ちなみにアクセスしたサイトのページは特段重い処理を行ってるわけじゃなく、テキストリンクを5つ程度表示してあるだけの仮ページです。 回線とサーバーの環境は以下の通りです 回線:フレッツ光ネクストファミリー・エクスプレスタイプ固定IP OS:WindowsXPsp3 CPU:Core 2 Quad Q9650 メモリ:3.25GB webサーバー:Apache2.2.14 ルーター:AtermWR8700N LAN環境はルーターかましてサーバー機にケーブルで繋いであるだけの単純な構造です。
- ベストアンサー
- HTML
- インターネットの仕組みについて
認識があっているか教えてください。 社内LAN(仮にA社)のクライアントPCから外部サイト(仮にB社のWebサイト)を閲覧したとします。 A社のインターネットの契約はISPとの一般的なもので、メールアドレスの発行やサイト開設等のレンタルサーバーの使用やドメインの取得はないものとします。 この時、ルーターにはISPのDNSサーバーからグローバルIPとドメインが割り振られ、それらをもとにして他の複数のサーバーを経由し、B社のWebサイト(B社は別のISPからレンタルサーバーとドメイン取得の契約をしている)にたどりつきます。 また、A社に割り振られたグローバルIPとドメインはA社のISPが管理しており、その所有者はA社ではなくA社のISPということになります。そしてこの割り振られたグローバルIPとドメインは定期的に変更されるためA社にとっては半永久的なものとはなりません。 この時、B社が自社のWebサイトにアクセス解析をかけ、それにより取得したA社のドメインをwhois検索をかけてもそのドメインの所有者はA社であるためA社の情報(会社名等)がB社に知られることはありません。 但し、A社が固有グローバルIPやドメインも取得しており、DNSサーバーを自社で構築している場合はA社の情報がわかることとなります。 こんなに認識であっていますでしょうか?
- 締切済み
- ネットワーク
- ソースアドレスはどうなるのか知りたい
現在サーバーに2枚のLANボードがささっており、それぞれにIPアドレスを設定(仮にAとBとします)しています。 IIS6.0とアプリ(ColdFusionMX6.0)を使って認証サーバにアクセスするページを作った際、AとBどっちのIPがソースアドレスになるのでしょうか。 認証サーバーにこちらのIPを伝えなければならないのですが、どっちのIPで接続しにいっているのか分からないのです。 ちなみに、IISで仮想フォルダを作ってその配下に認証サーバーにアクセスするプログラムは置いています。 また、IISのIPアドレスの設定の部分は「未使用のIPアドレスを使用」という設定にしています。
- 締切済み
- ネットワーク
- VirtualHostディレクティブの記述について
教えてください。 サーバで既に構築してあるサイトについては、httpd.confの中でVirtualHostを使っています。 追加で検証用のサーバを立てるのですが、IPアドレスでアクセスできるようにしたいです。IPアドレスでサイトにアクセスするようにするには、追加のVirtualHostを書き、ServerNameにIPアドレスを指定すれば良いでしょうか? 宜しくお願い致します。
- ベストアンサー
- Linux系OS
- IPアドレスでアクセスできないサイト
複数のドメイン名を1つのIPアドレスに割り当てたDNSにおける挙動を教えて下さい。 ブログで有名なjugemなどでは、http://ユーザ名.jugem.com/ というURLによってサイトにアクセスすることができます。 これはおそらくダイナミックDNS(←詳細は知らないのですが)で 複数のドメイン名を1つのIPアドレスに割り当てている、 ということだと認識しています。 このようなサイトに対し、 nslookupしてIPアドレスでアクセスしようとすると、 うまくいきません。 これはユーザ名にあたる情報が無いので、そりゃそうかな、と思っていたのですが、 DNSの仕組みを考えると不思議に思います。 ユーザのPCからURLでアクセスする場合でも、 c場合はどうなるのでしょうか? 例えば、ユーザPCの近くに、サイト(JUGEM)が知らないDNSサーバがあったとして、 URLとIPアドレスの対応をキャッシュしていたとすると、 同様にIPアドレスでのアクセスができない、ということにはならないのでしょうか?
- 締切済み
- その他(ITシステム運用・管理)
- スムーズなサイトリニューアル
現在運営しているサイトがあります。今度サイトを新たに構築したいと思います。そのアドレスを使いたいのですがサーバーは別のところを予定しています。現サイトをストップするわけにいかないので、仮のアドレスで他のサーバーで構築してアップします。完成した後 アドレスを引きづたいのですが、ドメイン管理会社からDNSサーバー設定を変更すると反映されるのに数日かかる場合があります。 その間404エラーになるかと思いますが、それを避けて スムーズに移行する方法はないでしょうか?
- ベストアンサー
- HTML
- 閲覧者限定のサイト作成
同窓会のサイトを作ろうと考えています。 しかし、「誰でも見える」サイトだと、プライバシーの保持が難しいので 閲覧者を限定させたいと考えています。 しかし、例えば「a.htmlにcgiのパスワード認証を掛けて、パスワードが 一致した人だけb.htmlを閲覧できるようにする」という仕組みを作っても、 b.htmlのアドレスがわかれば、そこからリンクしているc.html、d.htmlなども 自由に閲覧できてしまいます。となると、「b.htmlにアクセスしようとしても、 パスワードがないとa.htmlに飛ぶ」という仕組みが必要です。 そこで、 1.上記のような仕組みを利用できるプロバイダ名を教えてください 2.仮に、「自作cgiが使えればどのサイトでもできる」のであれば、 そのような自作cgiを公開しているサイトを教えてください。 なお、当方、cgi(厳密にはperlなど)に関しての知識はほとんどありませんので、 「自作cgiを1から作る」ことは不可能です。
- ベストアンサー
- レンタルサーバ・ASP
- 特定のサイトにアクセスできません
会社から特定のサイトにアクセスすると、「サーバーが見つからないか、DNS エラーです。」とエラーが出て接続できません。 他のサイトは問題なく閲覧できます。 また、自宅など他の環境からはそのサイトにアクセスできます。 使用している回線は、OCN光アクセスの「Bフレッツ」プラン。 プロキシサーバは使用していません。 【試してみたこと】 1.nslookup コマンドプロンプトからnslookupを使用して、ホスト名からIPアドレスを引くことができました。 2.IPアドレスで接続 ブラウザからIPアドレスで接続を試みましたが、同じエラー内容でアクセスできませんでした。 3.ping そのIPアドレスに対してpingを行うと、「Destination host unreachable.」と言われます。 4.traceroute 16ホップ目で応答がなくなりました。 考えられる原因と対策を教えていただきたく、よろしくお願いします。
- ベストアンサー
- その他(インターネット接続・通信)
- IPアドレスを変更してもフォルダが共有できるようにするには
パソコンAとパソコンBがネットワーク上にあります。 AのIPアドレスは仮にxxx.yyy.55.123とします。 BのIPアドレスは仮にxxx.yyy.55.456とします。 この場合はAのフォルダを共有にした時に、 Bからちゃんとアクセス出来ます。 ここで、Bのアドレスを xxx.yyy.50.456とすると、 Aを認識することは出来るのですが、 アクセスしようとすると権限がないと言われてしまいます。 50.456にした場合でもアクセスできるような方法があれば 教えてください。
- ベストアンサー
- Windows XP
- DNSサーバ構築
初めて質問します。 Mac初心者ながら、諸事情あってOS X10.8 のサーバ構築をしています。 現在、DNSサーバの構築を、サーバ構築の参考書を見つつ行っているのですが、 (1)DNSサーバのプライマリゾーンのIPアドレス欄は、グローバルIPアドレスを設定すれば良いのでしょうか? それともプライベートIPアドレスでしょうか? 参考書を読んだ感じだとグローバルだと思うのですが・・・ 単に”IPアドレス”としか記載されておらず、どちらをどう記入すればよいかわかっていない状態です。 (最終的にはインターネットサーバの構築をしたいと考えています。) (2)サーバを立ち上げるたびに、”警告”に「ホスト名が変更されました」と出てしまうのですが、 ハードウェア<ネットワーク<ホスト名には、ISPなどで取得したドメイン名を入れれば良いのでしょうか? 現状は、とりあえずDNSサーバを構築してみたところです。 その結果、普通のWebページにアクセスできるのですが、 次の段階のWebサーバ構築でWebサイトの表示ができません。 また、ネットワークユーティリティのLookupは正常な結果ですが、 Pingが”Host is down”になってしまいます。 最終的にはインターネットサーバの構築をしたいと考えています。 ネットワークの仕組みも全く知らないところから始め、一通り自力で学んでみているのですが、 まだ知識が追い付かないままやっております。 私の見当違い、また解決に必要な情報が足りないようでしたらご指摘ください。 よろしくお願いします。
- ベストアンサー
- Mac
お礼
非常に貴重な意見ありがとうございました。 参考にします。