WindowsXP Proを使用しています。
そこで、wwwサーバをたててインターネット上にHPを公開しながら特定の人にしか見れないようなシステムを構築したいと考えています。
そこで、方法についての相談です。
WWWサーバのみの公開で、さらに閲覧するユーザは数名であるため、VPNを構築するほどの必要性は感じません。
認証に関しては、最悪HP上でのID、パスワード認証のみでよいとして、インターネット上で生のデータをやり取りするのはさすがに問題があります。
そこで、暗号化を行いたいと考えています。
実験的なものであり、コストはあまりかけれません。
WindowsXPなので、IPSecで通信を暗号化する方法を調べているのですがよくわからず困っています。
どなたか詳しい方、教えていただきたいのですが。
また、IPSecをこのように使用するというのは正しいのでしょうか?
A 回答 (3件)
- 最新から表示
- 回答順に表示
No.3
- 回答日時:
>wwwサーバで、同時に暗号化したメールを送信することも考えており、
中略
>この場合、メールの暗号化も一つのサーバ証明書で暗号化できるのでしょうか?
送信経路の部分的な暗号化、つまりSMTP over SSLをお考えの場合ならサーバ証明書を使える可能性もありますが、End-to-endの暗号化、つまりS/MIMEをお考えなら、普通は個人証明書を使うと思われます。
>サーバの証明という目的ではないため、自己署名でかまわないかなぁと思うのでわりと簡単にできそうですね。
自己署名(オレオレ証明書)のリスクについては十分考慮されてください。過去の質問にもたくさん出ています。
No.2
- 回答日時:
エンド ツー エンドのセキュリティ IPSec (Internet Protocol Security) の概要
という文書がマイクロソフトのウェブサイトにあります。(参考URL)
手順としては、サーバ側・クライアント側の双方でIPsecポリシーを作成することになります。
詳しく手順を解説するには、この場所は向いていないですし、設定内容は導入する環境に依存するので、ドキュメントを読みながらいろいろ実験してみてください。
こういう利用法が正しいか、という質問については、「要件や制約が満たされるなら正しい」と答えておきたいと思います。
ただ、サーバ・クライアント双方にポリシー設定、という手間があるので、ポリシーを一貫して設定・配布しやすい、企業などの組織内で使われることが一般的だと思います。
また、基本的に上位層を選ばないので、httpだけでなく、ファイル共有や業務アプリケーションも暗号化することができます。
組織内のネットワークではあまり問題にはなりませんが、インターネットを通る場合、経路の途中にNATがあって、エンド ツー エンドIPsecのトラフィックが通過できない場合があります。そのへんはNATを行っているデバイスやプロバイダの仕様なので、なんとも言えませんが、あきらめるしかない場合もあります。
実験的なものであれば、SoftEther VPNあたりでお茶を濁すのもありでしょう。(要件次第)
この場合、サーバ・クライアントの双方にVPN softwareをインストールする必要がありますが、無償版を使えばライセンス費用はかからないと思います。
くわしくは、
http://www.softether.com/jp/
で知ることが出来ます。
もちろんWebサーバに証明書をインストールして、SSLで暗号化するのもありだと思います。
証明書の取得・維持費用はかかりますが、クライアント側のインストールや設定がいらない(普通のブラウザでかまわない)こと、サーバ側の設定もそんなに難しくないこと、経路の途中にNATがあっても超えられる可能性が高いこと、などというメリットもあります。
参考URL:http://www.microsoft.com/japan/windows2000/techi …
ご返答ありがとうございます。
お礼が遅れて申し訳ありません。
やはりインターネット上を通るとなるとIPsecは難しいようですね。
wwwサーバで、同時に暗号化したメールを送信することも考えており、IPsecで暗号化すればすべて暗号化されるため丁度よいと安易に考えていましたが、
IPsecでSMTPサーバ、POPサーバを通過するのは非常に難しいようですね。
VPNというのは一番良い回答だとは思うのですが、
業務目的で使用するためフリーソフトというのにどうも抵抗があります。
となるとやはりSSL通信が妥当でしょうか。
サーバの証明という目的ではないため、自己署名でかまわないかなぁと思うのでわりと簡単にできそうですね。
この場合、メールの暗号化も一つのサーバ証明書で暗号化できるのでしょうか?
それともまた別の対応がいるのですか?
よろしくお願いします!!
No.1
- 回答日時:
暗号化は簡単で、ローカルエリア接続のプロパティからTCP/IPを選んでプロパティ、そこから詳細設定のオプションを選び、IPsecのプロパティで必要な機能をONにする……といった手順です。
今、Windows2000でしか確認できないのですが、記憶によればXPでも大差はなかったかと。ところで、使用法としては、なんというか一般的じゃないです。 IPsecは基本的にトンネリング(≒VPN)に使うものですから。 Webサーバで公開するならSSLを使うのがお約束、という気がしますがどうでしょうか。
もちろん暗号化には違いないですから構いはしないですけどね。
むしろ問題になるとしたら、サーバ上での認証の甘さでしょう。
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- Wi-Fi・無線LAN PCWi-Fiの設定方法がわからなくて困っています。 4 2022/12/28 18:30
- その他(セキュリティ) IDと暗証番号・パスワードの管理の画期的かつ簡単便利な方法を考案した。他人に検証してもらう方法は? 5 2023/02/08 08:49
- その他(インターネット接続・インフラ) IPアドレスについて 2 2022/10/23 14:48
- Windows 10 再起動後 Pinが使用できず、PC(windows11)にサインインできない 3 2022/08/30 20:53
- VPN フリー wi-fi は安全ですか 自宅での wi-fi VPNを使用したら良い? 2 2022/05/31 04:12
- その他(IT・Webサービス) ランサムウエアに汚染されたかもしれない外付けHDDのファイル復旧方法 3 2023/02/04 01:23
- その他(プログラミング・Web制作) プログラムの起動、利用について、使用期間を設定する方法 3 2023/08/06 21:03
- その他(コンピューター・テクノロジー) 下に書いたの条件でgoogleアカウントの復旧方法等を教えてください。 1 2023/02/06 23:32
- その他(お金・保険・資産運用) 先日口座を開設した時暗証番号の設定の時に担当してくださった銀行員の人に○の数字を2つ入れてもいいんで 5 2023/02/18 06:42
- その他(スマートフォン・携帯電話・VR) 某信用金庫の通帳アプリ 4 2023/04/09 11:01
関連するカテゴリからQ&Aを探す
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
rexecの有効化方法について
-
UltraVNCについて
-
LinuxでのDNSキャッシュ表示
-
Windows共有ができません。
-
DHCPサーバでの、複数スコープ設定
-
SCPでパスワードを使う方法
-
tera termについて
-
Tera Termが接続できない
-
FTPの接続継続時間について
-
Cactiサーバのデータ移行方法に...
-
mac os X2台でファイルを共有...
-
サーバの文字コードを知りたい
-
NFS接続+シンボリックリンクを...
-
ストリーミングサーバ
-
FTPサーバーについて教えてくだ...
-
サーバ/クライアント間のシステ...
-
海外の子会社にも可能か
-
Windows2000Serverでのウィルス...
-
OSの違い
-
VNCの複数利用の方法
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
Tera Termが接続できない
-
DHCPサーバのIPアドレスの確認方法
-
DNSの逆引き権限委譲
-
自作のウェブサイトを友人に見...
-
FTPの接続継続時間について
-
意味の違い ホスト名とサーバー名
-
Cactiサーバのデータ移行方法に...
-
UltraVNCについて
-
LinuxでのDNSキャッシュ表示
-
VNCの複数利用の方法
-
TeraTermでsqlplusを利用した時...
-
DBサーバをどこに置くのがよいか
-
tera termについて
-
EDN0の設定方法について
-
WindowsServerで複数のDHCP
-
rexecの有効化方法について
-
NFS接続+シンボリックリンクを...
-
コマンドプロンプトでFTPできない
-
ローカル環境でのNTPサーバ
-
NTPサーバアドレスについて
おすすめ情報