現在、メールサーバをDMZに立て、世間で騒がれているセキュリティ対策を検討し内部にメールデータを取込もうとしております。
この時、主にメールデータの漏洩・盗聴を厳重にし、それに伴って、外部へアクセスするので、不正侵入にも気を使わないといけません。
そこで、それらの知識が今ひとつない私に、どう構築するのが最も良いのか
知恵を貸してください。

お願い致します。

このQ&Aに関連する最新のQ&A

A 回答 (2件)

まずホストセキュリティをしっかりしてください。


OSのパッチをきちんとあてる
必要以外のサービスを起動しない(動かないようにする)
アカウントの管理をしっかりする
必要以外のアプリケーションを入れておかない

次にFirewallは、必要なもの意外は通さない(DMZなので、当然ありますよね・・・)

SMTPのSPAM対策をきちんとする

POPをインターネット側からアクセスできないようにしておく(もし使う場合は、APOPを使用する)

それ以上は、あまりたいしたことはできないでしょう。DMZへおく以上は、ある程度覚悟しておく必要があります。そんなにシビアになるのなら、メールボックスは、DMZでなく内部に置くべきです。DMZは、GWにしておくべきでしょう。

それ以上を望むのなら、Tripwire等の侵入検知ツールやlogsurfer等のログチェックツールsnortのようなネットワーク侵入検知ツールを導入してホストを見張っておくべきでしょう。
Firewallのログも監視する必要があります。

現在ホストセキュリティに関してOSやアプリケーションのバージョンアップやパッチを適時に導入することが大切でしょう。
簡単にできるのなら誰も困りません。(この環境では、上記の監視ツールを用いて見張っているしかないでしょう)

構築よりもメンテナンスに力を入れることが必要です。(当然バックアップもです)
    • good
    • 0

漏洩と盗聴の防止策であればSSL対応にすればいいのではないでしょうか?ただしクライアント側もSSLに対応している必要があります。

OEやNMは対応してますね。TurboLinux7Server(それ以外は知りません)であれば、ちょこっと設定するだけで、これらのことが実現できます。また製品版を購入すれば詳細なマニュアルもついてますよ。
    • good
    • 0
この回答へのお礼

有難う御座います。参考になります。

お礼日時:2002/03/06 16:49

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!

このQ&Aと関連する良く見られている質問

QDMZの構築方法、DMZとLANの関係について

Bフレッツの固定IP8個割り当ての契約をしています。
ブロードバンドルータ(Allied Tlesis AR450S)を使い、DMZ環境を構築したいのですが、うまく行かず困っています。

目的は、全てのサーバをLAN上で運用している現状に対し、(1)WebサーバをDMZに配置し、インターネットからの問い合わせに対し、LAN内に配置した(2)DBサーバから結果を返すというものです。
また、LAN内には(3)FTPサーバを残し、これまで同様に外部からアクセスできるようにします。
(サーバをLAN内に置くのが良いかどうか、セキュリティ上正しい選択なのか分かりません・・・)

(質問その1)
DMZに配置するサーバは、グローバルIPアドレスを直接割り当てて運用するものだと思っていたのですが、配置するにはプライベートIPアドレスも必要なのでしょうか?
(質問その2)
DMZに配置したサーバとLAN内に配置されたPCとでは、通常のネットワーク接続(LAN上にあるPC同士がフォルダを共有するようなこと)が可能なのでしょうか?また可能であればどのような方法があるでしょうか?
(質問その3)
廉価なブロードバンドルータが1台余っており、ルータを2台使って、中間層をDMZとする方法もあると聞きました。具体的にはどうすればよいのでしょうか?
(質問その4)
グローバルIPアドレスのうち、2つをDMZ用に、残りをLAN内のPCの外部アクセス用に、・・・などというような使い分けはできるのでしょうか?
上記AR450Sのマニュアルの設定例では全てのアドレスをDMZ化し、その1つを外に出るために共有する方法が載っていました。

なにぶん、独学でネットワークを勉強しているので、聞ける人が周りにいません・・・。
ネットワークに明るい方がいらっしゃいましたら、部分的にでも結構です。ご教授願います。
具体的な例を入れて頂けると助かります。
よろしくお願いします。

Bフレッツの固定IP8個割り当ての契約をしています。
ブロードバンドルータ(Allied Tlesis AR450S)を使い、DMZ環境を構築したいのですが、うまく行かず困っています。

目的は、全てのサーバをLAN上で運用している現状に対し、(1)WebサーバをDMZに配置し、インターネットからの問い合わせに対し、LAN内に配置した(2)DBサーバから結果を返すというものです。
また、LAN内には(3)FTPサーバを残し、これまで同様に外部からアクセスできるようにします。
(サーバをLAN内に置くのが良いかどうか、セキュリティ上正...続きを読む

Aベストアンサー

1)DMZ内ではプライベートIPを使用します。ルータがWAN側に対してNATでグローバルIPとローカルIPのマッピングを行います。ルータのNATの設定をしてください。
2)可能です。その場合はLAN-DMZ間でTCP/IPのポート137,138,139(NBT =NetBIOS over TCP/IP)をオープンしてください。
3)できます。グローバルIPのうちの一つはルータのWAN側に割り当てます。そのアドレスでLAN側のPCから外部にアクセスできるようにNATまたはIPマスカレードの設定をしてください。
>上記AR450Sのマニュアルの設定例では全てのアドレスをDMZ化し、その1つを外に出るために共有する方法が載っていました。
この設定でいいと思います。

QDMZの構成(Netscreen-25)

こんにちは。Netscreen(25)の構成の仕方について質問があります。

現在、外部に公開しているサーバーがあり(メール、Proxy、Web)、それぞれNIC2枚挿しでglobal/privateそれぞれのIPを一つずつ割り当ててあります。

これらのサーバーのPrivateアドレスと同じサブネットでバックオフィスのPCが繋がっています。

現在Firewall(NetScreen)の新規導入を考えておりますが、DMZ構成の仕方について一つ質問があります。

現在の構成は、

[modem]
|
|
[Switch]---------[Switch]---(backoffice)
| | |
| | |
A B C ←サーバー

考えている構成は以下のようなものです。

[modem]
|
|
|Untrusted
[Netscreen-25]---------[Switch]---(backoffice)
|DMZ Trusted
|
|
[Switch]
| | |
| | |
A B C

現在はGlobal IP(外部からのアクセス)、Private IP(内部からのアクセス)がサーバーに共存しているのですが、上のような構成の場合、DMZに割り当てるアドレスについて、どのような割り当て方が適当なのでしょうか。
各サーバーのアドレスをPrivateアドレスのみにし、Firewall上で、現在使用しているの各サーバーへのGlobalアドレスへの要求が来たときに、それを対応するサーバーのPrivateアドレスにMapするということは、実際にGlobalアドレスをサーバーに割り当てないでも可能なのでしょうか?

こんにちは。Netscreen(25)の構成の仕方について質問があります。

現在、外部に公開しているサーバーがあり(メール、Proxy、Web)、それぞれNIC2枚挿しでglobal/privateそれぞれのIPを一つずつ割り当ててあります。

これらのサーバーのPrivateアドレスと同じサブネットでバックオフィスのPCが繋がっています。

現在Firewall(NetScreen)の新規導入を考えておりますが、DMZ構成の仕方について一つ質問があります。

現在の構成は、

[modem]
|
|
[Switch]---------[Switch]---(backoffice)
...続きを読む

Aベストアンサー

>実際にGlobalアドレスをサーバーに割り当てないでも可能なのでしょうか?

サーバ自体のNICは1枚で、NICにはプライベートIPアドレスを付けて運用できます。

MIPを使う場合は、グローバルとプライベートを1対1で変換し、VIPを使う場合は、1個のグローバルの複数TCP/UDPポートを複数のプライベートに変換できます。

イメージは、日本語マニュアルの図が分かりやすいと思います。参考URLからダウンロードしてみてください。

Concepts & Examples ScreenOS Reference Guide: Vol 2, Fundamentals
の第8章、マップIPアドレスと仮想IPアドレスのところです。

参考URL:http://www.juniper.net/techpubs/software/screenos/screenos5x/translated/index.html#jp

QDMZ(非武装地帯)のことで

企業などのネットワークで、セキュリティ対策のために
"DMZ(非武装地帯)" というのが設けられることが多いようですが、
この用語の関係でおたずねします。

----
DMZ については、用語辞典などから、
『インターネット側からの不正な攻撃から守るため、
ファイアウォールの内側に設けたセグメントで、
そこには公開サーバが置かれており、
それらは「内部ネットワーク」とは別になっていて、・・・』
というようなことは、それなりに分かったんですが、

◎「ファイアウォールの内側のセグメント」ということなら
一応は"武装"されているんじゃないんだろうか、
どうして非武装(DeMilitarized)と呼ばれるんだろうか、
と思ったりもするんですが、
この辺はどのように理解しておけばいいんでしょうか?

◎「内部ネットワーク」とは別に、という点ですが、
どういう方法を使って別にしているんでしょうか?

で、それにより、
「内部ネットワーク」の方ではより高度のセキュリティが、
というようなことでしょうか?

--

企業などのネットワークで、セキュリティ対策のために
"DMZ(非武装地帯)" というのが設けられることが多いようですが、
この用語の関係でおたずねします。

----
DMZ については、用語辞典などから、
『インターネット側からの不正な攻撃から守るため、
ファイアウォールの内側に設けたセグメントで、
そこには公開サーバが置かれており、
それらは「内部ネットワーク」とは別になっていて、・・・』
というようなことは、それなりに分かったんですが、

◎「ファイアウォールの内側のセグメント」とい...続きを読む

Aベストアンサー

DMZの最も簡単な例として、下記のような構成のネットワークを考えてみて下さい。

インターネット
 |
 |
 |
FW(ルータ)―――DMZ(Webサーバを設置)
 |
 |
 |
内部ネットワーク

この場合、DMZに設置したWebサーバを公開するとして、FWに下記のようなフィルタの設定が考えられます。(あくまで一例です。状況によっていろいろな設定が考えられます。)
ただし、不許可であってもレスポンスは通します。

● インターネット → 内部ネットワーク
全て不許可

● インターネット → DMZ
WWWリクエストを許可

● 内部ネットワーク → インターネット
WWWリクエスト,MAIL関係(SMTP,POP3など)を許可

● 内部ネットワーク → DMZ
WWWリクエスト,FTPを許可

● DMZ → 内部ネットワーク
全て不許可

● DMZ → インターネット
WWWレスポンスを許可


最初の2つを見ますと、内部ネットワークよりもDMZの方が、WWWリクエストを許可する分、インターネット側からの攻撃に関して危険性が高くなります。メールサーバやDNSサーバなど外部に公開するものが増えるほど、インターネット側からの通信を許可する種類(ポート)も増やす必要が有りますので、さらに危険性が高くなります。
そのような事から「非武装地帯」と呼ばれるのかと。

DMZを作るメリットとしては、以下のことが思い当たります。
・ネットワークセキュリティのレベルを外部に公開するものとそれ以外で別々に設定できる。
・外部公開しているサーバがウィルスに感染する、乗っ取られたりしても、内部ネットワークに被害が及びにくい。

参考URL:http://www.atmarkit.co.jp/fsecurity/rensai/fw01/fw01.html

DMZの最も簡単な例として、下記のような構成のネットワークを考えてみて下さい。

インターネット
 |
 |
 |
FW(ルータ)―――DMZ(Webサーバを設置)
 |
 |
 |
内部ネットワーク

この場合、DMZに設置したWebサーバを公開するとして、FWに下記のようなフィルタの設定が考えられます。(あくまで一例です。状況によっていろいろな設定が考えられます。)
ただし、不許可であってもレスポンスは通します。

● インターネット → 内部ネットワーク
全て不許可

● インターネット → DMZ
WW...続きを読む

QDMZと社内LANは違うWindowsドメインにすべき?

Windows NT4.0が出た頃に構築された社内LAN&インターネットサーバ環境を、今頃ようやくWindows Server 2003 R2 & Windows 2000 Serverで構築されたネットワークにアップグレードしようとしています。

現在の状態は(ネットワークを構築した当時のセキュリティの観点からなのか)インターネットサーバが置いてあるDMZと、社内LANがわざわざ別のNTドメインになっています。

今回、Active Directoryで構築し直すに当たって、やはり同じようにドメインを分ける必要があるのかどうか判らず、教えていただければと思い投稿しました。

現在は、社内LAN、mailサーバ、wwwサーバ、DBサーバ全てがWindowsNT4.0になっています。
mailサーバとwwwサーバにはそれぞれ社内LANのサブネットと同じプライベートアドレスが振ってあり、Firewallでグローバルアドレスに変換して外部からアクセスできるようになっています。これをDMZと呼んで良いのかどうか判らないのですが一応DMZと呼んでいます。

社内LANのNTドメイン(DOMAIN-Aとします)と、このDMZにあるmailサーバ、wwwサーバ、そして社内LANにあるDBサーバから構成されたNTドメイン(DOMAIN-Bとします)という二つのNTドメインが存在しています。

そして、OSが古かったからかもしれないのですが、DMZのNTドメインには以前外部から侵入された形跡があり、知らないユーザーアカウントが登録されたことがありました。そんなこともあったので、外部からアクセスできる領域は別のドメインにしておいた方がより安全なのかも、と思ったりしています。

しかし一方で「今はそんな面倒な組み方してる所はないよ」という話かもしれず、現在の主流な組み方が判らないので教えていただけないでしょうか。

よろしくお願い致します。

Windows NT4.0が出た頃に構築された社内LAN&インターネットサーバ環境を、今頃ようやくWindows Server 2003 R2 & Windows 2000 Serverで構築されたネットワークにアップグレードしようとしています。

現在の状態は(ネットワークを構築した当時のセキュリティの観点からなのか)インターネットサーバが置いてあるDMZと、社内LANがわざわざ別のNTドメインになっています。

今回、Active Directoryで構築し直すに当たって、やはり同じようにドメインを分ける必要があるのかどうか判らず、教えていただければ...続きを読む

Aベストアンサー

ネットワーク構成が以下のような状態にあると想定して回答します。
DMZは通常構成します。DMZが無い構成のほうが珍しいでしょう。
http://www.atmarkit.co.jp/aig/02security/dmz.html

DMZ専用に別のアカウント ドメインを作ることは、数年前までは常識でした。ログオンできるがメールを届けないなどのアカウントの区別ができなかったためと、この方がセキュリティが高いと考えられていたためです。(セキュリティが高いと考えられていたのは実際には勘違いで、パスワードが長期に変更されなくなるなどのリスクがかえって増大する結果となります)
また、DNSに関しても接続元のIPアドレスによって回答を変更するような機能がなかったため、外部用DNSサーバと内部用DNSサーバが分かれていました。
現在では同じアカウントを使用し受信可否の区別ができますのであえて分ける理由もないのではないかと思います。

真面目に構成するとしたら、DMZ上にフォワード用のDNSサーバとメールサーバ(ウイルスチェック用サーバなど)、外部公開用WWWサーバを設置し、内部ネットワークに内部用DNSサーバ、メールサーバ(クライアントが接続する本物のサーバpop3,imapなど)を設置します。

予算次第で台数が減るかもしれませんが・・・

ネットワーク構成が以下のような状態にあると想定して回答します。
DMZは通常構成します。DMZが無い構成のほうが珍しいでしょう。
http://www.atmarkit.co.jp/aig/02security/dmz.html

DMZ専用に別のアカウント ドメインを作ることは、数年前までは常識でした。ログオンできるがメールを届けないなどのアカウントの区別ができなかったためと、この方がセキュリティが高いと考えられていたためです。(セキュリティが高いと考えられていたのは実際には勘違いで、パスワードが長期に変更されなくなるなどのリス...続きを読む

QDMZについての質問

今日エレコムのルータを買いました。
ネットゲーム(AOE系)をやろうとおもいまして、
ホストを立てたところ、相手から接続できないようでした。
そこで、ゲームをプレイするマシンをDMZとして、起動したところ、ネット自体につながらなくなってしまいました。(HPの閲覧等不可能)

ネットゲームをするためにマシンをDMZにするのは問題ありますか?
また、なんでつながらなくなったのでしょうか・・・
終端装置(FTTH)とPCを直結するとネットゲームはできます、
直結とDMZではドコがどのようにちがうのでしょうか?

DMZについて分からないことが幾つかあるので、是非教えてください。
ちなみに、ルータは。LDBBR4M2です。

Aベストアンサー

DMZがちゃんと動作すればネットワークにつながるはずです。
DMZの設定で設定すべきコンピュータのIPアドレスを間違えていませんか。そのコンピュータのIPアドレスはDHCPではなくて固定になっていますか。
最新のファームウエアになっていますか。

参考URL:http://www.elecom.co.jp/support/download/network/broadband_router/ld-bbr4m2/index.html


人気Q&Aランキング

おすすめ情報