DMZとLAN内ブリッジ接続

webサーバー運営に向けてセキュリティについて勉強しています。
わからないことがあるので教えてください。

ルーター(PPPoE,NATを実行、セッションは1つと仮定)以下にサーバーを立てて、誰かにサーバーに侵入されrootを奪取された場合、ルーター以下のPCにも被害が及ぶことがあるとどこかで読んだのですがそれはなぜですか?LAN内ブリッジ接続を許可している場合、LAN内の他のPCにアクセスできるからでしょうか?
そのためDMZのようなサーバー配置がいいと聞きました。

サーバーの管理人など詳しい方ご教授お願いします。

No.1 ベストアンサー 回答者： kumaman 回答日時： 2010/03/13 08:23

その理解で問題ありませんよ。

ルーター（ファイアウォール）は
・LAN⇒WAN：許可
・WAN⇒LAN：禁止
という基本ルールで動作するのでWAN側を起点とする攻撃は防御しますが
LAN側を起点とする攻撃は原則防御してくれません。

※ 上記ルールだけではWAN側からLAN内のサーバーにアクセスできないので、
　 例外ルールも必要です。
　 ・WAN⇒LAN内の特定サーバーの特定ポートに対するアクセス：許可

攻撃者はWAN側にいるのでWAN側からLAN内を直接攻撃することは出来ませんが、
万一LAN内に設置したサーバーのrootを奪取されると、LAN内のサーバーを
起点とした攻撃を行われる可能性が否定出来なくなります。
サーバーからLAN内PCへの攻撃（アクセス）もそう、サーバーそのものに
トロイの木馬を仕掛ける、サーバーを踏み台にしてさらに別のサイトへ攻撃..etc.

DMZを持てるルーターの基本ルールは以下の通りです。

・LAN⇒WAN：許可
・LAN⇒DMZ：許可
・WAN⇒LAN：禁止
・WAN⇒DMZ：許可
・DMZ⇒LAN：禁止

DMZに置いたサーバーのrootを万一奪取されても、DMZ⇒LANは禁止なので
少なくともサーバーが直接LAN内に攻撃することは出来ないわけです。

この回答へのお礼

よくわかりました。
解答ありがとうございます。
ネットワークは奥が深いですね。もっと勉強します。

お礼日時：2010/03/17 02:36