お世話様です。
弊社では5年位前にWindowsNTでインターネットサーバ(メールサーバ)を構築しました。もちろんファイアウォールもWindowsNTです。
現在、その構築をして頂いた業者から下記のことを提案されています
「Windowsのファイアウォールは出回りすぎて狙われやすい。セキュリティホールもよく見つかっている。そこでLINUXのファイアウォールに代えましょう!!」
という提案です。
業者の方は新人の営業であまりよくわかってんの??って感じだったんですが・・・私のほうの勉強も含めこの場で教えて頂きたいと思いまして・・・
linuxにすると先日のnimdaウィルスとかも防げるのですか??
何がどうよくなるかがはっきり分かりません。
よろしくお願いします。

このQ&Aに関連する最新のQ&A

A 回答 (5件)

ええと、コードレッドやニムダなんかはIISに対して感染してくるはずなので、IISを使用せず、WINNT用のAPACHEとかに切り替えればそのウイルスは感染しません。


問題なのはOSではなく、サーバーだと思います。
メールサーバーでも、IMS(インターネットメールサービス)よりもSENDMAILのほうがセキュリティーが高いし、SENDMAILサーバーもセキュリティーホールが見つかったりするし、でもqmailはセキュリティーホールが見つかってないとかあるので、OSよりも構築するサーバーが重要だと思います。

私の理想としては、
OS = LINUX or UNIX
MAIL = qmail
www = apache
dns = bind

構築方法も、ルーターにファイアーウォール機能付の物にし、NATを定義によるローカルサーバーがいいと思う。
WWWサーバーのみを隔離するという方法もある。
構築方法にもいろいろあるので、そこらへんを慎重にすることが大切。

qmailのみNTでは使えないので、ここをsendmailにかえればOSをNTにもできる。
    • good
    • 0

> linuxにすると先日のnimdaウィルスとかも防げるのですか??



FireWallがLinuxであっても、ウイルス定義されていなければニムダは中に入ってくるよ。

あと、基本的に、○○に変えるとウイルスが防げるという発想はやめたほうが良いよ。確かに、Linux系は、比較的ウイルスの攻撃に強いといわれている。それでも完璧ではないんだし。ちょっと前のRed Hat 6.2を標的にしたRamenウイルスは結構広がったしね。Linuxが安全なんて妄信すると痛い目にあうよ。

何のOSを導入するにしても、1アップデートやバクフィックスの情報をこまめにチェックしそのつど対応すること、2修正バッチがでたら速やかにインストールですること、この2つを守るだけで、ほとんどのウイルスの侵入を防ぐことができる。

確かに、NT系が狙われやすいのは事実だけど、それで被害にあうというのは別問題だよ。質問のように、ウイルスの感染からサーバーを守りたいのであれば、OSをどちらにするかで悩むよりも、先の2つ(1正確な情報の収集と2修正パッチでの最適化)を確実に実行できるかどうかが重要であって、OSの選択で悩むというのはなぁ。ちょっと視点がずれている気がする。


一技術者の独り言でした。

この回答への補足

ウイルス定義というのはどういう意味ですか??ウィルス対策のことでしょうか?トレンドマイクロでいうとSERVERProtectのようなものですか?専門用語に弱くてすみません。

補足日時:2001/10/20 12:46
    • good
    • 0

こんにちは。

itohhといいます。

ファイアウォールをLinuxにしても内側にWindows系のサーバやPCがあれば
nimdaウィルスは内側までやってきますよ!

Linuxには感染しないと言うだけです。
    • good
    • 0

LINUXでFirewallを設置するのであれば、最低限UNIXを知っている(使いこなせて管理できる)人間が必要です。



一応LINUX自体もソフトウェアなので全くBUGやセキュリティホールが無いわけではありません。ですから、linuxやUNIX全般のセキュリティホールに関する情報の追跡が常に必要です。
これらの維持/管理の作業を誰が行うのかをマズ第一に明確にしましょう。

多分、業者の方は売るだけなので、あなたが購入した後のことははっきりいって「知らん顔」なのではないでしょうか?

別にWindowsでもきちんと迅速に対処していれば、被害は最低限で押さえられるはずです。
たとえば、パッチ類は当然[米マイクロソフト]から発行されるので日本語版のパッチは当然遅れます。ですから、Serverにはパッチは先に発行される英語版のOSを使う等の方法はあるはずです。
また、Firewall-1等のちゃんとしたセキュリティツールを導入し、正しいサポートを受けていればこれも被害は少なくて済むはずです。

1つ言えることは、linuxではCodeRedは感染しないのは事実です。
Nimdaは今までのセキュリティホールの複合手法で攻撃/感染してきますので、クライアント側の対策も必要不可欠です。ですが、これもLinux自体は感染しません。

この回答への補足

いろいろ聞いてみたところ・・・関連会社ではファイアウォールをlinuxで運用しているとのことでした!!これはっと思い聞いて見ましたが、先日のnimdaにはやられた・・・ということでした。 linuxにしたがファイアウォールサーバにウィルス対策のソフトは導入していないということでしょうか??

補足日時:2001/10/19 14:55
    • good
    • 0

ウィルスは特定のOSやアプリケーション(の特定のバージョン)をターゲットに、それらの製品のセキュリティーホールをついて攻撃します。



WindowsとLinuxで、どちらのほうがセキュリティホールが多いとか少ないとかという比較はあると思いますが(私はこの辺りにはあまり知識がありませんが・・・)、それ以上に、Windowsは普及台数も多くターゲットになりやすいということはいえます。

最近流行した、CodeRedやNimdaはいずれもWindowsをターゲットにしたものですから、OSをLinuxにした場合、これらのウィルスに限っては影響を受けないことになるとはいえます。
    • good
    • 0
この回答へのお礼

なるほど!!CodeRedやNimdaはいずれもWindowsをターゲットにしたものなんですね。うちもこれにはやられました。やっぱりlinuxのほうが今のご時世いいのかもしれませんね。

お礼日時:2001/10/19 14:37

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!

このQ&Aを見た人が検索しているワード

このQ&Aと関連する良く見られている質問

Qファイアウォールを導入しようと思っています。環境はWindows7 6

ファイアウォールを導入しようと思っています。環境はWindows7 64bitです。
Windowsには標準でファイアウォールがセットされていますが、興味本位でサードパーティーのファイアウォールを導入しようと思っています。そこで、まずWindows7のファイアウォールでは不十分かどうかご意見を伺ってもよろしいですか?それから、サードパーティーのファイアウォールを導入する場合、Windows標準のファイアウォールと競合する可能性はありますか?サードパーティーのファイアウォールをセットしていれば、Windows標準のファイアウォールは無効にしても大丈夫でしょうか?

Aベストアンサー

>まずWindows7のファイアウォールでは不十分かどうかご意見を伺ってもよろしいですか?
サードパーティーのファイアウォールしかつかったことがないのでわかりませんが使いにくいとよく聞きます。
>それから、サードパーティーのファイアウォールを導入する場合、Windows標準のファイアウォールと競合する可能性はありますか
競合する可能性はあります(たいていはインストール時に無効にされます。)
>サードパーティーのファイアウォールをセットしていれば、Windows標準のファイアウォールは無効にしても大丈夫でしょうか?
サードパーティーのファイアウォールがちゃんとした製品なら無効にしても大丈夫だと思います。

Q家庭向きファイアウォール

市販のはシマンテック、トレンドマイクロ、マカフィー...といろいろありますが、どこのがおすすめですか?上記以外の会社でも高性能ならいいです、ただ値段高くても困りますけど。またFWいれたらルータなんか入れなくていいですね?ルータは複数のパソコンをつなぐのでなくセキュリティーのために入れるんですが。

Aベストアンサー

ファイアウォールとルータは機能が異なりますから、ファイアウォールがあればルータはいらない と言うことはありません

ルータはネットワーク間の接続に使用します、また、複数PCのネットワーク同時接続のためのIPアドレス変換の機能もあります

ファイアウォールは、セキュリティ(許可されていないアクセスの阻止等)に使用されます

ただし、近頃のいわゆるBBルータには、簡易ファイアウォール機能が内蔵されていますので、ポートによって通過/阻止を設定する程度のことはできます

複数のPCのインターネット接続を行うには、ルータが必要です

質問は、PCに導入するファイアウォールソフトです、通常ファイアウォールと言うと、ファイアウォール専用機をを指すことが多いです

QWindowsファイアウォールとパーソナルファイアウォール

ファイアウォールがネットで探してるといくつかあります。
たまにファイアウォールを重複して使っているとシステム的に不具合が生じることがあると聞いたことがあります。
現在kingsoftのパーソナルファイアウォールを使用していますが、Windowsファイアウォールを止めても問題ないのでしょうか?
WindowsファイアウォールはWindowsファイアウォールという特別なものであり、重複して使ってはいけないというのはパーソナルファイアウォール×2ということなのでしょうか。

よろしくお願いいたします。

Aベストアンサー

こんばんは。

>現在kingsoftのパーソナルファイアウォールを使用していますが、Windowsファイアウォールを止めても問題ないのでしょうか?

問題ありません。
kingsoftにメールで確認しました。

Qファイアウォールとインターネット時刻サーバーとの同期

ファイアウォールとインターネット時刻サーバーとの同期に関する質問です。

セキュリティソフトはAVG Internet Security 8.5使っているのですが、最近ウィスル対策とスパイウェア対策のデータベースが最新ではありません。と表示されます。
なのですぐにアップロードをするのですが、毎回”コンピューターシステム時間が不正確である可能性があります。これにより、誤ってウィルスデータベース最新状態レポートが行われる場合があります。可能であれば、システム時間を修正してください。”と表示されます。

日付と時刻のプロパティをチェックしたら、インターネット時刻との同期が行われていませんでした。なので、色々なサーバーで試したのですが、どれも“同期中にエラーが発生しました。”と表示されます。
ちなみに今はヨーロッパに住んでいるので、タイムゾーンはGMT+01:00です。

この二つは関係があるのでしょうか?
また、どのようにしたら、この2つのコンポーネントのデータベースを最新にすることが出来るのでしょうか?

わかる方いましたら、アドバイスをお願いします。

ファイアウォールとインターネット時刻サーバーとの同期に関する質問です。

セキュリティソフトはAVG Internet Security 8.5使っているのですが、最近ウィスル対策とスパイウェア対策のデータベースが最新ではありません。と表示されます。
なのですぐにアップロードをするのですが、毎回”コンピューターシステム時間が不正確である可能性があります。これにより、誤ってウィルスデータベース最新状態レポートが行われる場合があります。可能であれば、システム時間を修正してください。”と表示されます。

...続きを読む

Aベストアンサー

>Microsoftのタイムサーバーとはtime.windows.comでしょうか?
そうです。
「今すぐ更新」ボタンをクリックしてエラーが出ますか?
問題点は時刻の誤差ではなくセキュリティソフトのアップデートの問題と思います。
メッセージで「コンピューターシステム時間が不正確である可能性があります。」とあってもチェックの結果が正確な時刻になっていればソフト側の不具合と考えるべきでしょう。
製品版をご利用ならばサポート窓口に問い合わせて下さい。
無料の試用版の場合はアンイストールして別のソフトに切り替えて下さい。

Qファイアウォール?複数必要?

ファイアウォールについて気になったのですが、
会社などでは社内ネットワーク上にファイアウォールのサーバーが設定
されています。それとは別に各PCにもWindows標準の
Windows Defender のファイアウォールソフトが入っています。
何故、ファイアウォールサーバーと各PCのWindows Defender の
ファイアウォールとそれぞれ必要なのでしょうか?

Aベストアンサー

社内外のゲートウェイに設置すれば外と中との入出力を制御できるけど、社内は無防備になるでしょ?
持ち出しした PC が外で変な物拾ってきたまま社内ネットワークに接続して、社内の共有フォルダーなどを標的に活動しちゃうとかね。

QNTのネットワークセキュリティを構築する

こんにちは、honiyonです。
 NTに GlobalIPを割り当てて、常時接続環境し、DNS,WWW,MAILの構築に挑戦しようかと考えています。
 そこでネットワークセキュリティについて質問させて下さい。
 UNIXではフリーで構築出来るようなセキュリティでも、NTでは有料で、別途購入が必要であるような事を以前耳にした事があるのですが、実際の所はどうなのでしょうか? また、「十分」と言えるレベルまでセキュリティを高めるには、どれくらい時間がかかりますでしょうか?
 またお勧めの参考書もお教え頂ければ幸いです。

 宜しくお願い致します(..

Aベストアンサー

基本は、利用しないポートは塞ぐや、ミドルウェアのセキュリティパッチは頻繁にチェックする等を行えば今横行している、スクリプトキディによるクラックは防げると思います。

ただ、貴方に対して悪意を持ったクラッカーからのアタックはそれだけでは防ぎきれないでしょう。
それが考えられる場合とっても高価なFireWall製品を導入するのが、もう一つ上のセキュリティをかけられますが、その効果は期待できないかもしれません。

ポートを塞ぐのは、ルータのフィルタ機能を使えば投資なしで可能ですが、NTに機能を任せる場合、無料では済まないかもしれません??(リソースキットかオプションパックのどちらかにモジュールが在ったと思うのですが・・・)
#Windows2000ではその機能を内蔵しています。
ルータでフィルタリングを行う場合、設定は自分以外絶対に設定が変更できないようにルータを設定してください、設定はシリアルからの接続のみでネットワークからの設定は一切不許可にしておくのが望ましいです。
それとちょっと不便ですがICMPパケットも一切応答しないようにしておくと良いでしょう。

WWWサービスの場合IISを利用したくなると思いますが、IISは最近頻繁にセキュリティーホールが発見され、多くのサイトが書き換えなどを受けていることを考えると利用しない方が良いのかもしれません、ただMSのASPを利用したい場合たに選択肢がないので、かなり頻繁にIISのセキュリティ情報をチェックする必要があると思います。
CGI程度が利用できれば良いのであれば、Apache for Win32とActivePerlを利用する方がセキュリティレベル的には高いような気もします。

DNSはMSのDNSより細かな設定の可能なBINDを利用するのが良いと思うのですが、BINDも良く大きなバグを出すアプリなのでセキュリティ情報は頻繁にチェックすると良いと思います。

MTAはNTで設定したことがないので、どれを使えば良いのか分かりませんが、不正中継を許可するような設定だけはきっちりやっておかないと何時の間にかスパムの踏み台に利用されていたりします。

internet上にはかなり多くのNTサーバが起ちあがっており、その多くがセキュリティが十分に施されていないものが多いらしく、クラッカーのターゲットになりやすく、さらにクラッカーが多い為にツール類が豊富にあり、それを利用するスクリプトキディの数も半端ではないので、クラックされる可能性は非常に高いと思ってください。
そのためNTをinternetServerにする場合はセキュリティ情報はかなり豆に行う必要があります。
ただ豆にチェックしてもIISなど日本語パッチが出るまでに結構時間がかかるので、その間にクラックされてしまうことも考えられますが・・・・

月刊誌(日経Windows2000)などを毎月読んでいるとそれなりに覚えられるのですが時間がかかるので???です、書籍の場合スキルによって適切な本はまったく違うので、実際に本屋さんで目を通してレベルの違う書籍を複数冊購入するのが良いと思います、一冊だけだと結構誤解してしまうこともあるので・・・

NTセキュリティリンク

http://www.port139.co.jp/
http://winsec.toranoana.ne.jp/

基本は、利用しないポートは塞ぐや、ミドルウェアのセキュリティパッチは頻繁にチェックする等を行えば今横行している、スクリプトキディによるクラックは防げると思います。

ただ、貴方に対して悪意を持ったクラッカーからのアタックはそれだけでは防ぎきれないでしょう。
それが考えられる場合とっても高価なFireWall製品を導入するのが、もう一つ上のセキュリティをかけられますが、その効果は期待できないかもしれません。

ポートを塞ぐのは、ルータのフィルタ機能を使えば投資なしで可能ですが、NTに...続きを読む

Qファイアウォールのインストール後の不具合

ファイアウォールをインストールするのは初めてだったのですが、ファイアウォールをインストールして再起動すると、OSの起動直後、突然終了してしまうという不具合が起こりました。
システムの復元でファイアウォールのインストール前に戻し、この問題は解決できました。
ファイアウォールをインストールしたとき、Windowsファイアウォールが有効になっていました。
新しいファイアウォールをインストールする場合、既存の全てのファイアウォールを無効にすれば問題ないのでしょうか?それとも既存の全てのファイアウォールをアンインストールする必要があるのでしょうか?

回答よろしくお願いします。

Aベストアンサー

ファイアーウォールは競合しますから、Windowsファイアーウォールを「無効」にします。
セキュリティ対策ソフトのパーソナルファイアーウォールは「有効」にします。

XPのWindowsファイアーウォールは「入る」だけをブロックする簡易版ファイアーウォールで、セキュリティ対策ソフトのパーソナルファイアーウォールは「入る」「出る」の両方を遮断する高性能機能版(が多い)

スパイウェア・アドウェア・マルウェアに感染すると(ネットからだけでなく、USBなどからも感染する)システムプログラムファイルなど(レジストリキーを含む)に名を変えて潜み、個人情報を流す(「出る」)場合があります。

>突然終了してしまうという不具合

「有効」にしても遮断するアプリケーション(Internet Explorer、Windows Updateやプログラムなど)やネットワーク(無線LANなど)を探し(履歴など)「例外ルール」に追加・変更・登録して「許可」しないといけません。

Qファイアウォールで制限できない新技術に対してどのようなセキュリティが

Skype、PacketiX VPNのようにファイアウォールで制限できない新技術に対してどのようなセキュリティがよいのでしょうか。
最新バージョンを適用するように心かげるしかないのでしょうか。

Aベストアンサー

ファイアーウォールで制限できる物は、基本的に通信全般になります。
が、もちろん全ての通信を制限した場合、インターネットを利用できない事になります。
そこで、ポートという物で制御を行っています。
(例:80や8080ポートはHTTPというプロトコルを通す等)
ですので、基本的には「使用しないポートは閉じておく」事が一番です。

また、使用しているポートを通って攻撃を仕掛ける方法ですが、代表としては「ウィルス」になるかと思います。
これは、悪意を持ったプログラムをユーザーにダウンロードさせ、実行させる事で攻撃を行います。
ですので、これに対しては「怪しいファイルは開かない、怪しいサイトには行かない」といったユーザーの意識が必要です。
また、ファイアーウォールが通す物をチェックする為に「ウィルス対策ソフト」や「スパイウェア対策ソフト」があるので、それを活用する事です。

他に、「正当なソフトの脆弱性を利用した攻撃」があります。
例えば、最近ではフラッシュを利用していないウェブサイトは無いと言っていいくらい増えていますが、この8月にフラッシュプレイヤーの脆弱性が発見されています。これの場合は、ウィルス対策ソフト等では防げませんので、速やかにソフトウェア(例の場合ですとフラッシュプレイヤー)のアップデートをする事が必要になります。

最後に、最近ではゼロデイ攻撃という物が増えています。
これは、新しいウィルスや脆弱性が発見された場合に、まだ対策されていない端末を狙って、新種のウィルスや脆弱性を利用して攻撃するという事です。

以上、総括しますと、「定期的に脅威の情報を集め、定期的にウィルス対策ソフトを含めてソフトウェアのアップデートをし、定期的にウィルスチェックを行う事」がセキュリティの基本であり、王道です。
(もちろん、その前に「怪しいファイルは開かない、怪しいサイトには行かない」事が前提です)

ファイアーウォールで制限できる物は、基本的に通信全般になります。
が、もちろん全ての通信を制限した場合、インターネットを利用できない事になります。
そこで、ポートという物で制御を行っています。
(例:80や8080ポートはHTTPというプロトコルを通す等)
ですので、基本的には「使用しないポートは閉じておく」事が一番です。

また、使用しているポートを通って攻撃を仕掛ける方法ですが、代表としては「ウィルス」になるかと思います。
これは、悪意を持ったプログラムをユーザーにダウンロードさ...続きを読む

Qフリーのファイアウォールについて

フリーのファイアウォールについて


win7でavastを使用して快適に使用しています。
ところがavastにはファイアウォール機能がないということを聞きましたが
もし、そうであればavastとは別に『ファイアウォール』をインストールしなければ
セキュリティー上危険なのでしょうか。
(PC知識未熟ゆえ・・・)

PCのアクションセンターを見ますと

『  「ネットワークファイアウォール・・・・有効」
windowsファイアウォールはお使いのコンピューターを保護します。 』とありますが
これとは別のファイアウォールソフトのことでしょうか。

そこでフリーのファイアウォールソフトとして
COMODO というソフトを検討していますが、もしこのソフト(「ファイアウォール」のみを
インストールができる・・・・との記載あり)を使用するとすれば競合するものがあるでしょうか。
たとえば、「ネットワークファイアウォール」を無効にするとかの必要な設定があるでしょうか。

よろしくお願いいたします。


PCの使用機種
LIFEBOOK SH760/AN

Aベストアンサー

Wondows7には標準でファイアウォール機能が搭載されています。
フリーのファイアウォールソフトは不要です。

QPCにNICを2枚挿しした時のファイアウォール設定

PCにNICを2枚挿しして、一方は社内LANに接続してファイル共有やインターネットアクセス、他方にはルータを接続して、不特定の端末からそのPCに特定プログラムでデータの授受のみ行うネットワーク構成を検討しています。
 ・概要図
   社内LAN -- <<PC>> -- ルータ -- 不特定の端末
              共有フォルダ etc

セキュリティ上、ルーター経由の端末からは、PC上の共有フォルダや、社内LAN上の他端末の存在を知られたくない(特定のプロトコルのみPCと通信する)ようにしたいのですが、PCのWindowsファイアウォールの設定を変更することで実現で可能でしょうか?

WindowsXPではファイアウォール設定でNIC毎にファイルとプリンタ共有のON/OFF等を設定(特定プログラムを例外登録)すれば実現できそうなんですが、Windows7ではNIC毎の設定というのが無くて困っています。

Aベストアンサー

ルーターやレイヤー2スイッチングHUBより、設定が楽なソフトを見つけました。

余分な機能もありますが、セキュリティー強化には役立ちます。

富士通ソフトウェアテクノロジーズ
Portshutter Premium(ポートシャッター プレミアム)
http://jp.fujitsu.com/group/fst/services/portshutter-premium/function/

問い合わせは、URLの書いてあるフリーダイヤルでOK!!
http://jp.fujitsu.com/group/fst/contact/service.html

体験版も用意されていますので、一度試されてみては如何でしょうか??

NIC2枚ざしにするPCの台数や、ルーター価格・他端末の個別設定の手間など色々考えると、このソフトはそれほど高くありません。
企業で一番怖いのが、PC知識の乏しい社員がフリーソフトや作成データの持ち込み・持ち出しを自由に出来る所です。

アンチウィルスソフトを入れていても、フリーソフトの場合はインストーラーのファイル圧縮型式により、アンチウィルスソフトに引っかかりません。
一般的なインストーラは、msi型式のMS開発圧縮ファイル、lzhファイル、cabファイル、zipファイルなどですが、ウィルスが仕込んであるファイルの場合は、各OSバージョンで普通では開かないファイル圧縮形式を使います。

例えば、gzip・YZ1・TAR・BGA・ISEなどなど・・・・

一般的なアンチウィルスソフトは、圧縮ファイル内のウィルスも検出しますが、各OSバージョンで普通では開けないファイル圧縮型式は、インストーラ(*.exe)の中身をチェックできません。
それを、社員が持ち込んだら、社内PC・Serverにあっという間に伝染します。

また、普通のファイルWordやExcelファイルの持ち込み持ち出し禁止は、持ち出し=情報漏えい・持込=ウィルス以外の改ざんデータの持込やゲームソフトの持込などセキュリティーを脅かす操作を、シャットアウトできます。
どうしても必要な作業がある場合は、システム管理者が他端末(社外人員)の変わりに作業をする事で、セキュリティー保護が出来ます。

富士通のPortshutter Premium(ポートシャッター プレミアム)を入れることにより、NICの2枚挿しが不要で、素人のPC使用者には、今までと変わりないしに使って頂けます。

あとは、自己責任で・・・

      

ルーターやレイヤー2スイッチングHUBより、設定が楽なソフトを見つけました。

余分な機能もありますが、セキュリティー強化には役立ちます。

富士通ソフトウェアテクノロジーズ
Portshutter Premium(ポートシャッター プレミアム)
http://jp.fujitsu.com/group/fst/services/portshutter-premium/function/

問い合わせは、URLの書いてあるフリーダイヤルでOK!!
http://jp.fujitsu.com/group/fst/contact/service.html

体験版も用意されていますので、一度試されてみては如何でしょうか??

NIC2...続きを読む


人気Q&Aランキング

おすすめ情報