特定プロトコルの通信許可設定のセキュリティについて

前へ 次へ
このQ&Aのポイント
  • 特定プロトコルの通信許可設定のセキュリティについて質問します。通信条件や構築内容について説明し、情報漏えいの危険性や問題点について教えてください。
  • 特定プロトコルの通信許可設定のセキュリティについて質問します。BからAへの一方通行の通信条件とプロトコルの相互通信許可について構築内容を説明し、情報漏えいの危険性や問題点について教えてください。
  • 特定プロトコルの通信許可設定のセキュリティについて質問します。ネットワーク間通信設定の構築内容やAからBへの通信の制限条件について説明し、情報漏えいの危険性や問題点について教えてください。
回答を見る
  • ベストアンサー

特定プロトコルの通信許可設定のセキュリティについて

現在構築しようと思っているネットワーク間通信設定の、セキュリティについて質問です。 2つのネットワーク間で、特定の通信のみ許可する設定をしたいと考えております。 許可したい特定の通信条件は次の通りです。  ※2つのネットワークを、仮にAとBとします。 【通信条件】  [1]通信はBからAへの一方通行のみ(※AからBへの通信はできない)  [2]8080(http)、443(https)、3306(mysql)、445(smb)プロトコルの相互通信は許可する 以上の条件を満たすように、次のような構築を考えています。 【構築内容】  [1]AとBの間に家庭用ルータ(BHR-4GRV)を設置し、AをWAN、BをLANとする  [2]「IPフィルター」機能を使用し、相互通信をしたいプロトコルの「通過」許可をする   ※その際、送信元も宛先も、すべてのIPアドレスに対し設定をする    (Aにある数台のサーバに対し、Bの数十台のPCが通信するため) 構築に関しては、上記内容で実現可能ではないかと考えているのですが、その「セキュリティ」について不安を抱えております。 そもそも、今回このような構築を考えた目的は、BからAへの情報漏えいを防ぐためです。 (※現在、このAとBのネットワークは一つのネットワークで運用しております) しかし、4つのプロトコルの通信を許可した場合、この構築自体が無意味で、物理的にネットワークを分けても情報漏えいの危険があるのではないかという不安があります。 そこで、次の質問がございます。 【質問内容】  この構築をすれば、BからAへの情報漏えいの危険はなくなりますか?  また、問題があるとすれば、どの点に問題があり、どのようにすれば解決しますか? 通信技術に関する知識が乏しく、ネットで情報を探しても、うまく見つけることができませんでした。 皆様のお知恵をお貸しください。 よろしくお願いいたします。

質問者が選んだベストアンサー

  • ベストアンサー
  • sujino
  • ベストアンサー率30% (3/10)
回答No.1

なんの情報を守りたいのかわかりませんが、ネットワーク機器の設定だけで行うのは無理があると思います。 特に、DB接続、SMBをすべてのクライアントを通すのであれば、MySQL側、SMB(ファイル共有)の設定は必須だと思います。 MySQLであれば、GRANTでアカウント・ホスト・操作権限を設定 ファイル共有であれば、フォルダ毎のアクセス権 あわせて、安価なネットワーク機器でフィルターかけると、かなり速度が落ちる場合があります。 どの程度のトラフィックかわかりませんが、ネットワーク機器でフィルタリングするならば、L3スイッチを検討されたほうが良いと思います。

mariko_ashida
質問者

お礼

お礼が遅くなり申し訳ございません。 いただいた情報を参考にさせていただきます。 今ある備品でと思ってはいたのですが、L3スイッチについても調べてみます。 ご回答ありがとうございました。

その他の回答 (4)

  • nnori7142
  • ベストアンサー率60% (755/1249)
回答No.5

 お尋ねの件ですが、お持ちのBuffaloルーターでは出来ないかと考えます。  Buffaloルーターにおきまして対応しますのは、静的フィルター機能のみで、B→Aの通信時にB側ルーターの方に動的フィルターが設定出来るタイプで有れば、out側の通信派生時に特定ポートを開ける設定が可能です。  Buffaloルーターですと、「ポートトリガー」といった名称の機能になるかと存じますが、「VR-S1000」でしたら対応しております。  情報漏洩に関しましては、A・B間の接続がどういった形になっているかは解りませんが、遠隔拠点間通信の場合には、通信自体の遮蔽通信も考慮する必要が有ります。  お持ちのBuffaloルーターは、脆弱性を含んでいるPPTPサーバ機能のみですので、IPSEC-VPNでの暗号化遮蔽接続が必要になる点、双方でのセキュリティレベルと通信の信頼性・スループット等の安定性を考慮する必要が有ります。  最低限の話ですが、A・B拠点に「VR-S1000」、VPNを利用されている状態でしたら、IPSEC-VPNでの接続移行、Bの接続端末等にセキュリティソフト等での認可・破棄等の規制が必要かと考えます。  ※ Kaspersky スマートオフィス・セキュリティ・・http://www.kaspersky.co.jp/small-office-security#Feature1  出来れば推奨として、Yamaha「FWX120」等のファイアーウォールルーターをA・B拠点での接続運用、ケースによって動的フィルタ等の設定が良いかと考えます。  ※ 「http://jp.yamaha.com/products/network/firewalls/fwx120/」、「http://www.rtpro.yamaha.co.jp/RT/docs/firewall/index.html?_ga=1.129256140.1366611709.1422777954#section2

mariko_ashida
質問者

お礼

お礼が遅くなり申し訳ございません。 せっかく詳しいご回答をいただきましたが、今回は遠隔拠点ではなく、一拠点内でのネットワーク分断を想定しておりました。 ご回答ありがとうございました。

  • maesen
  • ベストアンサー率81% (646/790)
回答No.4

>この構築をすれば、BからAへの情報漏えいの危険はなくなりますか? いいえ。 >また、問題があるとすれば、どの点に問題があり、どのようにすれば解決しますか? 質問者さんが実施しようとしているのは情報漏えい全体と捉えた対策ではなく、 情報漏えいなどの原因の一つである不正アクセスの対応で、さらにその一つの対策に過ぎないからです。 そんなことはわかっていると言われるかもしれませんが情報漏えいの大半はヒューマンエラーです。 https://japan.norton.com/leakage-cause-1462 また、「危険はなくなりますか?」と問われていますが、情報漏えいをゼロにできる対策は現実的には無いと思います。 情報漏えいの対策は、情報漏えいのリスクをいかに少なくするかということになると思います。 対策は一つではなく複合的な対策になります。 情報漏えいを本格的に実施していきたいのならば、情報セキュリティについて学習してリスク分析から始めることをお勧めします。 他の回答者さんが書かれているように専門家に依頼するのも一つの方法です。 >しかし、4つのプロトコルの通信を許可した場合、この構築自体が無意味で、物理的にネットワークを分けても情報漏えいの危険があるのではないかという不安があります。 物理的にネットワークを分けても情報漏えいの危険は、上でも説明した通りもちろんあります。 しかし、質問者さんがやろうとしていることが無意味かといえばそうでは無いと思います。 多少なりとも情報漏えいのリスクを下げる効果はあると考えるからです。 ただ、セキュリティ対策に家庭用機器を使用するという発想は問題があると思います。

mariko_ashida
質問者

お礼

お礼が遅くなり申し訳ございません。 いろいろな観点でのセキュリティリスクのご指摘をいただきありがとうございます。 いただいた情報を参考にさせていただきます。 ご回答ありがとうございました。

noname#234537
noname#234537
回答No.3

とりあえずあまり知識がないということなので簡単に [1]通信はBからAへの一方通行のみ(※AからBへの通信はできない) NATを使えばそれらしくなります Bを家庭内(LAN) Aをインターネット側(WAN)として設定すればOKです [2]8080(http)、443(https)、3306(mysql)、445(smb)プロトコルの相互通信は許可する 【1】を設定していればhttp.httpsは確実に通ります たぶんsmbもとおるはず mysqlはやったことないので通るかもしれないし通らないかもしれません 家庭用ルーターだとフィルターなどの設定が殆どできないのであんまり良くはありませんがとりあえず分けたいレベルなら上記でいけると思います 上記でmysqlが通らないならば業務用ルーターを購入しフィルターでパケットの通過許可拒否設定が必要になります なんでもいいのならばYAMAHAの家庭向けルーターとか中古で購入すれば安いんじゃないでしょうか?

mariko_ashida
質問者

お礼

お礼が遅くなり申し訳ございません。 いただいた情報を参考にさせていただきます。 ご回答ありがとうございました。

  • notnot
  • ベストアンサー率47% (4848/10261)
回答No.2

>通信技術に関する知識が乏しく、ネットで情報を探しても、うまく見つけることができませんでした。 「プロトコル」や「ポート」という語の意味を理解されてない時点で、ネットワークセキュリティーを守るのは難しいと思います。 まずは、 ・ネットワークの基本知識を身につける ・専門家に任せる のどちらにするか決めた方が良いと思います。

mariko_ashida
質問者

お礼

ご回答ありがとうございました。

  1. カテゴリ
  2. [技術者向] コンピューター
  3. ITシステム運用・管理
  4. ネットワーク

関連するQ&A

  • 通信プロトコルについて

    通信プロトコルについて 現在、コンピュータネットワークについての勉強をしている者です。プロトコルに関連したことばの定義について、よくわかりませんので、質問させていただきました。どなたか、詳しい方、ご説明ください。 まず、「OSI」とは、何でしょうか?。wikipediaによれば、『OSI以前、コンピュータネットワークの通信プロトコルは、ベンダー毎に独自の規格が乱立していた(SNA、AppleTalk、NetWare、DECnet など)。』という件があり、OSIも、いちプロトコルであるかのようなニュアンスで書かれています。また、このOSIの概念には、「OSI参照モデル」というものがあり、これを、『ネットワーク・アーキテクチャ』として紹介しているのですが、わたしが勉強した内容からイメージすれば、OSIこそが、ネットワークアーキテクチャであり、OSI参照モデルとは、このOSIの“サンプル”であり、このモデルを構成する各レイヤーに所属するhttpやpop3といったものが、プロトコルであるというふうに理解しています。図にしてみました。正しい認識は、どういうふうに理解すればいいのでしょうか?。よろしく、お願いします。

  • http以外のプロトコルだから危険って??

    こんにちは。いつもお世話になっております。 ネットワーク系の勉強を始めたばかりなのですが、どうしても分からないことがあって質問させていただきました。 セキュリティ、ファイアウォールについてなのですが、説明文に、http以外のプロトコルは、危険な可能性があるから遮断する場合が多い、といった内容の記述を見ました。 私が理解する範囲では、例えば悪意のあるプログラムを仕込まれてしまった場合でも、どのみちhttpで通信されてしまうのではないか、という疑問です。 わざわざオリジナルのプロトコルを用いて悪意のあるプログラム同士が通信するメリットはなんなのでしょうか??

  • ポート単位の通信確認の方法とは?

    オンプレミス環境やクラウドなど問わないのですが、 個別にサーバを構築し、そのサーバ間の疎通確認を行う方法として確認したいことがります。 各サーバ間は、送受信する通信ポートは一意に指定して、それ以外のポート、指定外のプロトコルでの通信は破棄するように設定します。 その通信設定した内容が問題ないか、テストとしてどんなことをされてるんでしょうか? ICMPを許可していれば、ping試験ですが、TCPでの指定ポートのみの通信許可にしているので、不可かと思ってます。 設定例(1) Aサーバ→BサーバへのTCP ポート1000番のみ通信OKにしている。 設定例(2) Bサーバ→Aサーバは、レスポンスのみOKにしている といった感じになってます。 要点としては、 ポート指定して通信が通る確認の方法って何があり、どんな確認手段になりますでしょうか? telnetのポートしてでの確認もできるみたいなことがWEBにありましたが、結果どうなれば良いかまで良くわからず。 また、通信ができない試験も必要かと思いますが、そちらについてもアドバイスをお願いします。 経験が浅いので申し訳ないですが、お知恵を貸していただければと思います。 よろしくお願いします。

  • ネットワーク間の一通設定について

    2つのネットワーク間の、一方通行通信設定について質問です。 現在、1つの社内ネットワークを、2つのグループが共用で利用しております。 しかし、セキュリティの問題で、今後は2つのネットワーク(仮にAネットワークとBネットワークとします)に分けて運用したいと考えております。 分けるだけであれば、特に問題ないのですが、さらに、Bネットワークの利用者だけ、Aネットワークも利用できるようにしたいという点で困っております。 (Aネットワーク利用者は、Aネットワーク内のみ。AB間はBからAへの一方通行) おそらく、AネットワークとBネットワークの間にルータを介し、AをWAN側、BをLAN側に繋げば、何かしらの設定でできるのではないかと考えたのですが、知識不足のため、実際にどのように設定したらよいのかがわかりません。 なお、このネットワークは社内のみのLANで、外へ出るネットワーク設定は考慮する必要ありません。 以上のことから、以下の質問がございます。 (1)このAネットワークとBネットワークの環境は構築可能なのか? (2)上記(1)が可能であるならば、ルータにどのような設定をすればいいか?  ※ルータを使用しない場合は、どのようにすれば環境構築できるか? (3)この環境を構築した場合、AとBのネットワーク利用者で、IPアドレスのサブネットを変えたほうがいいのか?  ※現在は、2つのグループ全体で、「192.168.2.XXX」と「192.168.3.XXX」をIPアドレスに使用し、サブネットマスクに「255.255.224.0」を利用 使用する予定の家庭用ルータ:BUFFALO製 BBR-4HG 情報もネット上でいろいろ探したのですが、探し方が悪いのか、うまく見つけられませんでした。 皆様のお知恵をお貸しください。 よろしくお願いいたします。

  • ウィルスセキュリティについて

    「ウィルスセキュリティ」を使用していますが、楽天市場などにログインし、ユーザ情報を相互通信する場合、必ず設定を 『ファイアウォール』を「完全に開放」にしないとアクセスできません。 詳細設定で、Webブラウザの通信は「アクセスを完全に許可」にしているのですが、ダメです。 この場合は完全に開放するしか方法はないのでしょうか?

  • セキュリティ導入後の社内LANの不具合

    当社は、PCを3台LANで接続してネットワークを組んでいますが、セキュリティ導入前は、3台のPCが相互間でデータのやり取りが出来ていたのですが、セキュリティの3台用を設定後、次のような状態になり困っています。 (1)PCのAからは、PCのB・Cへはつながる。 (2)PCのB・Cは相互間でつながる。 要するに、B・CからAへデータを送れません。色々設定を調べたのですが、復旧できません。誰か解る方、教えて下さい。

  • 通信理論における相互情報量とは?

    通信路符号化の勉強をしているんです。その中で相互情報量というものが出てきました。検索してみたところ相互情報量とは「B(受信側)が実質的に持っているA(送信側)の情報」ということらしいのです。その言いたいことはなんとなく分かったのですがそれがなぜ下の式で表せるのかが分かりません。もし分かる人がいれば教えてください。 I(A;B) = H(A) - H(A|B)

  • HTTPプロトコルは何語で書かれているのか

    Webページから情報を得るための通信方法の手順がHTTPプロトコルとよく説明されています。実際問題としてプロトコルというものの実体がわかりません。パケット通信をするとか、そういう抽象的なことではないのです。Webページをホームページビルダーでしか作ったことがない人に、あれはHTMLというルールでつくられていると言われてもわかりません。実際にメモ帳で簡単なタグなどを利用し、作成して初めてわかります。HTTPプロトコルとかFTPプロトコルとは何語で書かれているのですか?そしてそれはインターネットエクスプローラーのソフトの中に書かれているのですか?もちろん詳しい説明はわかりませんから、1行目の内容より少しでも踏み込んだ具体的な内容を知りたいのです。

  • ファイアウォール設定<windowsのワークグループ通信を許可>

    ファイアウォールの設定に質問です。 以下の場合、ファイアウォールをどのように設定すればよいでしょうか? ●windowsOS搭載のホスト A B C が同一ネットワーク内に存在します。 ●windows自信のファイアウォールは無効になっており、ウィルスバスターとネットワークセキュリティ0 というソフトのファイアウォールを利用しています。 ※ネットワーク内に他にファイアウォールは存在しません。各host上のものだけです。 ●windowsのワークグループ設定でこの3host間でファイルを共有します。 ●仮に上記3host以外のhostが同じワークグループに所属してもワークグループ機能による通信は遮断したい。 ポートの設定等ご紹介いただければと思います。 宜しくお願い致します。

  • ウィルスバスターのファイアウォール設定で、通信を許可したいPCのみファイアウォールを通過するように設定する方法は?

    家庭内ネットワークでのフォルダ共有設定をしており、ファイアウォール設定について質問です。 自宅で使用しているデスクトップパソコンとノートパソコンとで【ネットワーク上でのフォルダー共有設定】をしました。ネットワークセットアップウィザードを利用してワークグループ名も双方ともに同じ名前で設定しました。おそらく正しく共有設定できていると思います。 2台のPC共に「ウィルスバスタ2006」を利用しており、パーソナルファイアウォールを無効にすると共有フォルダーにアクセスできるのですが、有効にするとアクセスできなくなります。 アクセスできない原因がファイアウォール設定にあると思われるのですが、セキュリティー的に設定を無効にするのはかなり不安があります。 ファイアウォールを有効に戻して、通信を許可したいPCのみファイアウォールを通過するように設定し直す方法を試してみたのですが…途中で行きずまってしまいました。 ウィルスバスターで、ファイアウォールの例外設定の追加をしてみたのですが、「通信プロトコル」や「ポート番号」や「IP設定:IPアドレス」に何を入力するのかがわかりません。 ご存知の方がいらっしゃれば、教えていただけると助かります。 ※ノートPC  OS:WindowsXP home Edition  ウィルスバスター2006  無線LAN接続 ※デスクトップPC  OS:WindowsXP home Edition  ウィルスバスター2006  有線接続(ブロードバンドルータ経由)  

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する