ファイアー・ウォールについて教えてください

ファイアー・ウォールの設定に穴を開けるとどのような危険性があるのでしょうか？（ファイアー・ウォールを通過できるサーバを増やす等）
無差別に通しているわけではないのだから、通過できるサーバを一台くらい増やしてくれればいいのにと思ってしまいます。
元の役割をいまいち理解していないからこのような疑問が湧いてしまうと思います。
どなたか、教授お願いいたします。

No.5 ベストアンサー 回答者： ken2 回答日時： 2002/03/17 15:29

ここらへんがDBを使用する公開アプリケーションサーバーをどこへおくのかという論争になる部分ですね。

DBサーバーをDMZ(公開部分)でなく内部に置いておきたいのは当然の心理ですが、DMZにおいてあるWEbサーバーから内部のDBサーバーに接続できるということは、WebサーバーがDBサーバーへのクライアントとしてDMZから内部ネットへアクセスしてくることを意味します。Firewallの基本は、外から中へはアクセスさせないというのが基本です。ですから外からアクセスする(外へ公開する)ものは、DMZ等外へおくわけです。なのにDBサーバーを内部に置くということは、外部から内部への穴をあけてしまうということになります。つまり外から中へ入ることのできる道を作ってしまうということなのです。最悪の依場合、外部からDBサーバーを踏み台として内部へ侵入することが可能であるということです。
ということで、この場合は、DBサーバーを外へ出すということが1つの回答となるでしょう。Webサーバーと同じところに置くということです。
この場合注意しなければならないことは、DBサーバーのセキュリティ確保を行うことと、DBの中身は、公開するデータのみにするということです。
もちろんインターネットから直接そのDBサーバーへのアクセスポートは、許可してはいけません。￥

この回答へのお礼

とても参考になりました。
ありがとうございました。

お礼日時：2002/03/17 23:32

No.6 回答者： gold8 回答日時： 2002/03/17 19:50

なぜポートを開放することをいやがるかというと、Windows にしても、UNIXにしても、サーバを起動するとき、そのサーバに不必要なサービスをそのまま開放しているケースがあまりにも多いのが現状で、そのことが原因でサーバの乗っ取りやワームの拡散がいともたやすくできてしまうからです。

穴をとおすということは、まず第一条件としてそのサーバから、別のサーバへ経路を新規に作成することですからね。
あとは、FireWall といのはある程度不正アクセス、なりすましには効果はありますが、万能ではありません。（昨年の Nimda なんかを例にとれば、HTTP：80を狙って攻撃したものですからな。）

No.4 回答者： kusukusu 回答日時： 2002/03/17 00:44

弊害については皆さんが色々と「ご教示」されているようなので、ちょっと趣向を変えましょう。

通常の、DBサーバーとWebサーバーがともにグローバルアドレス上に、公開されているとします。
その場合、WebサーバーからDBへの書き込み要求が出たとき、

#ポート番号や細かい点は気にしないでください(^^;

----------
web Server
----------
　　↓ポート5432を開けろ～
----------
DB Server
----------
ん？こいつに(IPアドエスを見て)開けていいのかな・・
調べる・・・・うん、大丈夫だ！
と判断してポートを開きます。

さて、今度はWeb→FW→DBとなる場合を考えてみましょう。

---
Web
---
↓ポート5432を明けろ～
---
FW
---
5432への要求？聞いてないよ・・・だからだめ！
↓・・・・・
---
DB
---
となり、DBへは要求は伝わりません。
ゆえに、FWに、input、forward の２つでポートを開かなくてはなりません。

*外からDBを閲覧したい場合や、書き込みを確認したい場合はoutputも開く

で、管理者には、どうしてそのポートを開けるのがイヤなのかを問いただせばいいと思います。

# 私としては、FWに開ける穴は、別に80である必要はないと思いますよ。

この回答へのお礼

FW有り無しの違いを解りやすく「ご教示」して頂いて、ありがとうございました。

お礼日時：2002/03/17 23:35

No.3 回答者： Pesuko 回答日時： 2002/03/16 21:05

ＷＥＢサーバーから書き込むということはインターネットからイントラネットサーバーに接続できると言うことで、これは危険極まりないから、うちの会社なら絶対に許可しません。

ＷＥＢサーバーからインターネット経由でイントラネットサーバーに接続なんてほとんど無差別ですよ。

この回答へのお礼

ご指摘ありがとうございました。
セキュリティポリシーの勉強に励みます。

お礼日時：2002/03/17 23:37

No.2 回答者： Spur 回答日時： 2002/03/16 16:32

私は「教授」ではありません。

日本語は正しく使いましょう（笑）

ファイアウォールは何のためにあるのですか？
外からの侵入を防ぐためですよね？
だったら、穴をあければ、どんどん入ってきてしまますよね？
穴を全部ふさいでしまったら自分も外に出られないので、最低限必要なものはあけますね？
でも、穴をたくさんあければあけるほど外からは侵入しやすくなりますよね？
ただそれだけのことです。
80と443は仕方が無いのですが、それ以外のポートやftp、telnetなどは普通嫌がります。

No.1 回答者： Pesuko 回答日時： 2002/03/16 16:26

会社などで管理者に拒否されたのでしょうか。

＞ファイアー・ウォールを通過できるサーバを増やす

これの意味が解りません。
たとえばＷＥＢサーバーを通すのならポート８０を開けますが、８０ポートを開ければすべての８０を利用しているＷＥＢサーバーが通過できるはずです。

特定のサーバーが特定のポートを開けるように要求しているのでしょうか？

その場合、そのポートを空けることによりサーバー以外のリクエストで、外部から侵入できる可能性がある場合、管理者はそのポートを開けません。

この回答への補足

すいません。わかり辛かったですね。
具体的にいうとインターネット上で公開しているWebサーバ上のプログラムでイントラネット内のDBサーバにデータを書き込みたいのですが、ファイアー・ウォールの制限によりアクセスできません。
これを可能にするには、ファイアー・ウォールでどのような設定が必要になりますか？また、それに伴いどのような危険性が考えられますか？
というのを教えていただけると助かります。

補足日時：2002/03/16 17:31