自宅サーバー

自宅サーバー、（ポート80番開放）を作り上げたのですが、いろんな意見で怖くて前に進むことができません、バックアップや違う環境でのサーバーのバックアップを取り、いつでもＯＳの再インストールを覚悟していてもセキュリティホールとか言うのはこわいですか？？？？

No.2 ベストアンサー 回答者： sono512 回答日時： 2008/10/28 21:00

はじめまして、こんばんは。

どんなOSでも（LinuxしかりWindowsしかり）セキュリティーホールはありますし、それをふさぐ努力を多くの人がしています。そうしたセキュリティ対策に役立つことを考えれば、逆に安易にサーバーを立ててクラッキングされて、他人に迷惑をかけてしまうケースが多い中で、質問者様の持つ警戒心が今後生きてくるのではと感じました。

すでにツボをついた回答がありますので、ポイントだけ書き込みを。
1.サーバーと普段使い用PCとを分ける
サーバーをクラックダウンされたときの被害を最小限に抑える配慮です。サーバーPCでパケットモニタソフトを動かしておくと、ルーターの設定が不十分でポート80以外のアクセスがサーバーPCに向けてある、ということもわかりやすくなるでしょう。
2．ルーターのDMZ機能を有効活用
「WAN側からのリクエストはDMZ内にしか流さない」ことでクラッキングの被害を抑える考え方です。DMZ機能と開けるポートの制限とで、クラッキングできる範囲をおさえましょう。

この回答への補足

わざわざご丁寧な回答有り難うございます。私にはわからない専門用語もありましたが調べて大変参考になりました。ところでポートフォアディングを使っても、単なるポート開放でもセキュリティ的には同じですか？それと25番ポートを587に変換つまり「メール」はセキュリティが
数段増すように思いますが、宜しければ教えてください。あつかましくてすみません。

補足日時：2008/10/28 21:15

No.8 回答者： Werner 回答日時： 2008/10/29 21:52

個人だとインシデントが起こってしまったときに

速やかに発見するというのが難しくなりそうですね。
インシデントを完全になくすのは無理にしても、
インシデントが発生したのに気づかないと言うのは最悪ですから。

DMZですが、家庭用ブロードバンドルーターのDMZ機能って
DMZとプライベートネットワークが隔離されずに、
単に全ての要求を特定のホストへ転送するだけの
なんちゃってDMZだったりするから使う気なら良く確認した方が良いと思う。
http://bb.watch.impress.co.jp/cda/bbword/6672.html

しかし、なんで
使用しているWebサーバーや関連ソフトウェアのセキュリティ情報を常にチェックして
公開されたセキュリティホールは直ちにふさぐとかいう話が出てこないのだろう。
最初に質問者がセキュリティホール云々言ってるから、
当たり前すぎて改めて言うほどのことでもないと判断されたのかな。



> ポートフォアディングを使っても、単なるポート開放でもセキュリティ的には同じですか
ポート開放とポートフォワーディングの違いは何だと思ってます？

ちなみに、私はポート解放はいろいろな意味で使われるあいまいな言葉だと思ってて
ネットワーク技術の話をするときはあまり使って欲しくなかったりします。
（大抵ポートフォワーディングと同義で使われてるけど、
フィルタリング解除の意味で使われてる場合もあった。
もしかしたら、リスニングポートに外部からアクセス出るようにするための全ての手順を
合わせてポート解放と呼ぶのかもしれない。
たぶん使ってる人は意味を深く考えずに使ってる言葉だと思う。）

この回答への補足

ご回答ありがとう御座います。やはりポート開放とポート変換は違うものだということですね、皆様の見識ある意見それぞれに有難いです。本を読んで勉強するタイプでなく試行錯誤で覚えていくものですから、皆様にはご迷惑を掛けてしまい、申し訳ありません。ただインターネットの階段を駆け足で上がってきてやっと躓いた感があり、少し意地にもなっています、其処のところよろしくお願いします。

補足日時：2008/10/29 22:11

この回答へのお礼

笑われるような話だと思いますが、個人的にはポート開放よりなんとなくポート変換のほうが、理論的といいますか整理された感があり好きですがセキュリティの面から見れば同じですか？？？？

お礼日時：2008/10/29 22:36

No.7 回答者： kenken546 回答日時： 2008/10/29 21:11

>エンタープライズレベルの、大量のアクセスに耐えるシステムにかかわっていらっしゃるkenken546の書き込み、

いつ自分がネットワークエンジニアなんて言いましたか?
>どんな人：一般人
で回答しているんだからわかるでしょ。
本職はPG/SEですから。
もっとも情報処理の人間ですから最低限の知識はあるし
友人にはネットワークエンジニアもいるし
そういう友人と専門的話もしますからね。

>>2．ルーターのDMZ機能を有効活用
>>サーバーPCでパケットモニタソフトを動かしておく
>クラッカーの踏み台にされる危険性を少なくしたいと考え、提案しました。
>この内容について、「無意味」である理由について、ヒントだけでも教授していただけないか、お願いします。
自分のサーバでないPC環境には被害が行かなければ全世界のインターネットユーザに対して迷惑になるのはかまわないと言うことでしょうね。
それと「パケットモニタソフトを動かしておく」だけでは
意味ありません。
常時監視する必要があります。
しかもパケットだけではなくてプロセス管理などほかの物も監視する必要があります。
で企業はそのような人を専門にシフト制で365日24時間監視しています。
でちょっと自宅サーバーやろうとしている人はそれをやるためには
仕事/学校をやめて引きこもりにならないと無理でしょうね。

質問者に最後に一言。
自分の専門分野がなくてなんでも専門家で回答している
偽物さんがいる人の書き込みははたして信用がおけるのでしょうか?

この回答への補足

kenken546様ご回答有り難う御座います。大変失礼な事を申し上げると
回答もありがたいのですが、あなたに興味がいってしまいます。私に指南の手ほどきをしてくてたのも同業の人ですので、どの様な内容の仕事をされているのかお察し申し上げます。いずれにしましてもご回答有り難く思っております。でも私は毒舌、孤立無援の単細胞ですから皆様の
ご意見本当に涙がでるほど嬉しいです。

補足日時：2008/10/29 21:33

No.6 回答者： sono512 回答日時： 2008/10/29 02:48

書き込み拝読しました。

エンタープライズレベルの、大量のアクセスに耐えるシステムにかかわっていらっしゃるkenken546の書き込み、はっとさせられました。お察しの通り私はサーバー構築については、小規模のLANにおいて触った程度で、「なんちゃって専門家」と責められても仕方のないレベルです。（kenken546さんの提示されたurlを1年ほど前に拝見し、もう少し学習してからサーバーを立て直そうと、公開を取りやめた過去があります。そこでぶら下がり質問で恐縮なのですが、

>1.サーバーと普段使い用PCとを分ける
クラッキングによる情報流出を阻止する点や、万が一のサーバーへのクラッキングに対する被害への対処（OSの脆弱性に関する情報収集やトラブルに対するメールの送受信などに対処するためにの、通常業務への影響を抑える対策として提案させていただきました）
>2．ルーターのDMZ機能を有効活用
>サーバーPCでパケットモニタソフトを動かしておく
クラッカーの踏み台にされる危険性を少なくしたいと考え、提案しました。
この内容について、「無意味」である理由について、ヒントだけでも教授していただけないか、お願いします。

決してkenken546さんの書き込みを批判するつもりはなく、今後増えるであろうサーバー構築志望の方(自分も含めて）に慎重派としての最低限的を外さない、学習のきっかけになるアドバイスができればと考えています。Cisco製ルーターを基幹ネットワークを管理する技術者が扱うのと、家電量販店の赤い箱・黄色い箱の中身を素人が扱うところを同一視するつもりもなく、その限界についてきちんと知っておきたいと切に感じてます。忙しいところ申し訳ないですが、追加の書き込みをお願いします。
元の質問者様にも、すみません。

この回答への補足

親切なご返事有難うございます、何に於いてもプロとアマの差は歴然としたものと平生から肝に銘じている自分です、kenken546さんの意見はありがたく承っております。sono512の言われているヒントこの場で書き込んで頂けたらありがたいです。ただ頭でっかちになるだけだと思いますが。

補足日時：2008/10/29 09:39

この回答へのお礼

sono512様、私なりの結論を出してみましたのでお読みください、まず言い訳ですが、この件に関してまったくの素人です。その上、短絡・偏見の者です。ご返事にさいして最初は「sono512様の意見を参考に頑張ります」と書こうと思っていましたが、書物とkenken546様の助言により問題はルータにあり、と決め付けました。外部からの通信は全部遮断して必要なものだけ通す。内部からの通信はすべてOK、なんてことを数万円のルータでできる気がしません。（マニュアル読んでません、中古機器のみ購入）そこでkenken546様も数百万するルータを買う気がないやつは、自宅サーバを立てるなと言いたいのではと推測いたしましたし、私も同感です。kenken546様より投稿がないのでわかりませんが。・・・・全く見当違いの答えを出しているかも分かりません。
また意見があれば投稿ください。見ず知らずの物にご指導いただき誠に有難うございました。感謝申し上げます。

お礼日時：2008/10/29 14:09

No.5 回答者： kenken546 回答日時： 2008/10/29 00:33

>有難うございます。

サーバとPCを別の電話線で別のプロバイダだとPCは
>無事だと言う、ことは成立しませんか？
なんで自分の事しか考えないのですか?
自分のPCさえ無事ならサーバが乗っ取られて全世界のインターネットユーザに迷惑になってもどうでもいいんですね。

まぁなんちゃって知識だけでサーバ公開しているような人は
他人の迷惑なんてどうでもいいと思っているからやっているのでしょうけどね。

この回答へのお礼

ご回答有難うございます、すごい知識ですね。

お礼日時：2008/10/29 00:41

No.4 回答者： INTLINSIDE 回答日時： 2008/10/28 21:38

オンラインにする前に、なるべく最新の状態にしておく事は必要だと思います。

もう昔の話ですが。
code red などは、セキュリティパッチをあてていないと、オンラインにするだけで数十秒で感染しました。
この手のウィルスがまた現れないとも限りませんので、お使いのウェブサーバーやOSに関する情報を小まめに収集して、脅威を把握する必要もあると思います。

この回答へのお礼

ご回答有り難う御座います、参考にさせていただきます。

お礼日時：2008/10/28 21:45

No.3 回答者： garaogu 回答日時： 2008/10/28 21:25

No.1です。

質問者様の考え方は、すごく慎重な考え方をしているだけで、間違っているわけでも、全然短絡的な考えではないですよ。

No.2さんの１．と２．を実践すれば、不正アクセスへの対策が立てやすいです。
また、万が一不正アクセスがあった場合でも、自宅内の普段使いのPCへの影響は、最小限に抑えられると思います。

この回答への補足

この欄の使用のルールがもう一つわからないので、no.2様にもした質問ですが・・・・ポートフォアディングを使っても、単なるポート開放でもセキュリティ的には同じですか（意味が同じかも）それと25番ポートを587に変換つまり「メール」はリスクが数段増すように思いますが、宜しければ教えてください。あつかましくてすみません。

補足日時：2008/10/28 21:30

この回答へのお礼

大変参考になります有り難う御座います。

お礼日時：2008/10/28 21:36

No.1 回答者： garaogu 回答日時： 2008/10/28 20:02

こんばんは

サーバは、公開した時点で、インターネット上で危険にさらされますので、怖いといえば怖いです。
危険にさらされているという点では、自宅サーバに限らず、企業のサーバでも同様です。

怖いからと言って二の足を踏んでいると、いつまでたっても自宅サーバーは公開できません。
自宅サーバを公開するなら、ルーター等の設定で、外部から自宅ネットワークへのアクセスをしっかりと遮断してください。

また、サーバのバックアップは、できるだけこまめに取りましょう。
ルーターやサーバーのアクセスログもきちんと確認する方が良いですよ。

まずは、恐れずに第一歩を踏み出してみる事をお勧めします。


もし、「どうしても、セキュリティホールが怖くて....」と言うのであれば、レンタルサーバーを利用する事を考えた方がいいと思います。
有料ですが、ある程度のセキュリティは確保されていますので、恐々と自宅サーバーを公開するよりは、精神衛生上もよいと思います。

この回答への補足

ご親切な返事まとこにありがとうございます。
レンタルサーバは廉価なところも含めて利用しています。セキュリティの件をルータの会社に問い合わせるとポートの開放などは日常的に行われている風に言われるし、80番の開放は同じ意味では無いかと思いｈｐを上げたいのですが、いま少しすべきことは何か考えています。この考えは間違いですか？短絡ですか？

補足日時：2008/10/28 20:04