自作サーバを構築した場合のセキュリティーについて（初心者的質問）

こんばんは。

今、自作webサーバを構築したくて、色々本を読み漁っているのですが、読むほどにセキュリティーの難しさ・自己責任の重さがのしかかって、具体的な第一歩を踏み込めないでいます。

現在、ルータを介して、2台のPC（win2000・XP）をつないでいます（双方の共有はしていません）。
ここで、2000をサーバーとして・XPを個人用として運用した場合、もし外部からwin2000に侵入されたときには、もう一方のXPにまで侵入される恐れがでてくるものなのでしょうか。

商用ではないので、win2000のサーバーは万が一侵入されてもあきらめられるのですが、XPのほうだとショックです。たとえ個人ファイルをCDに保存したとしても。

また、侵入された場合、その後インターネットをしていくためには、OSを消して再インストールすれば、同じルータを使っても平気なものでしょうか。

初心者の質問で申し訳ありませんが、詳しい方にアドバイスをいただければ幸いです。
よろしくお願い致します。

No.2 ベストアンサー 回答者： noname#6217 回答日時： 2002/11/24 02:09

次のサイトで確認しましょう。

国の関連機関が公開している基準です。

「小規模サイト管理者向け セキュリティ対策マニュアル」
http://www.ipa.go.jp/security/fy12/contents/crac …

「セキュアなWebサーバーの構築と運用」
http://www.ipa.go.jp/security/awareness/administ …

関連する事項または、すべてをご確認されることをお勧めします。
内容が理解できないようであれば、用語や操作など "意味や使い方" からの勉強をお勧めします。
これぐらいできなければ、サーバのリリースは考え直した方がいいでしょう。

ところで、シマンテック社またはトレンドマイクロ社などのセキュリティ製品は、インストール済みなのですね？
お金を出して、製品版を買いましょう。
セキュアなサーバ構築とセキュリティ製品は、必ず "併用" しましょう。
セキュリティ製品は、個人用にも必須です。

ルータのセキュリティ設定も併用しましょう。

ご参考で。

参考URL：http://www.ipa.go.jp/security/index.html

この回答への補足

Einaさん、こんばんは。
早々のアドバイスありがとうございました。
また、とても参考になるページをご紹介いただきましてありがとうございます！早速熟読いたしました。
また、この連休で、セキュリティ・自宅サーバ構築の書籍を読み漁りました^^

内容について、意味や使い方は理解できたのですが、いまいち「LAN内の2台のPCの片方をwwwサーバとしたときの、もう片方に施す安全策」のイメージがつかめていません。ルータで開くポートを限定したり、セキュリティパッチを頻繁に適用することはわかるのですが。。
多分、実際に運用してみて、そこから学んでいくところが多いと思うのです。
ただ、どうしてもXP機を乗っ取られたくない(メールの履歴以外にたいしたデータはありませんが^^;)ので、その点について、出来る限りの安全策を施したいと考えています。

現在の環境は、
　　　　　　　　インターネット
　　　　　　　　　　　｜
　　　　　　　　　　ルータ(netgenesisOPT)
　　　　　　　　　　　｜
　　　　　　　　　　／　＼
　　　　　　　win2000　　 winXP

フレッツADSLでぷららと契約。
2台のPC間では共有はなく、ANhttpdでwwwサーバを構築したいと考えています。

そこで基本的な質問で申し訳ないのですが、ルータを乗っ取られなければ、
XP側に侵入されることはないということでしょうか。
ルータとXP機(非サーバ機)の間にもうひとつルータorハブを挟んだりすることは、効果のあることで・可能でしょうか？

また、話が飛んで申し訳ないのですが、上記のようにwwwサーバを公開する場合、UPnPをサポートしているルータを購入して(netgenesisOPTと交換)、LAN内のもう一台のXP機でMSNメッセンジャーを利用することは、セキュリティ上問題あるのでしょうか。

せっかくアドバイスいただいたのに質問が多くなって申し訳ありません。
お忙しいと思いますが、上記についてアドバイスいただければ嬉しいです。
よろしくお願い致しますm(_ _)m

尚、win2000・XP共にウイルスバスター2002を入れてあります^^

補足日時：2002/11/26 03:38

No.6 回答者： noname#6217 回答日時： 2002/12/08 16:10

＞XPではwebサイト閲覧ができなくなるということですよね？？

そういう意味や説明ではないのですが、表現が悪かったようです。
ポートはサーバ側の玄関（入口）なので、XP で web サイトが閲覧できなくなるということはありません。
具体的に、IIS （web サーバプログラム）は停止していますか？
必要に応じ、アンインストールしましょう。
つまり XP はクライアントでの使用のようですので、必要のないサーバプログラムを停止または削除しましょう。
個別で説明すると長くなりますので、本屋さんなどで XP の参考書（特にセキュリティに関すること）を購入しましょう。

＞こんな風に、ルータを二重にしてセキュリティー

その前に、ルータ 1 以下の接続でうまく行くかテストしましょう。
ルータや、ウイルスバスターのログを確認しましょう。
不正なアクセス（本当の攻撃）はありますか？
ルータ 2 はその次です。

＞（改めて図を見ると、DMZっぽいですね^^;）

そうですね。
ルータ 2 は DMZ 搭載ルータということになるでしょう。
ひとつの方法として。
その他、説明すると長くなりますので LAN の構築方法も、本屋さんなどで参考書を購入しましょう。

＃後は、決断です。

この回答へのお礼

Einaさん、こんばんは。
またアドバイスいただきましてありがとうございます。

>具体的に、IIS （web サーバプログラム）は停止していますか？
>必要に応じ、アンインストールしましょう。
わかりました。
そうですよね、使いませんもんね。

>その前に、ルータ 1 以下の接続でうまく行くかテストしましょう。
わかりました^^
尚、不正なアクセスログに関しては、ここ数ヶ月ないようです。
踏み台にされては、他の方々に迷惑をかけてしまうことを肝に銘じて、慎重にサーバ化を進めたいと思います。

>ルータ 2 は DMZ 搭載ルータということになるでしょう。
>ひとつの方法として。
先日、2つめのルータを入手しました。
マイクロ研究所のnetgenesisOPTです。
古くて、DMZホスト機能もUPnPにも対応していませんが^^;、DMZとはいかなくても、セグメントを別けてクライアント機のセキュリティを高めたいと思います。

現在、ハッカージャパンetcのバックナンバーを読み漁っています。自分を守るために、敵を知らなければ。
Einaさんをはじめ、みなさんに参考になるアドバイスをいただいて、自分の中でかなりイメージがかたまりました。本当に感謝しています。

また何か質問することもあるかと思いますが、何か思い当たる節がありましたら、その時はまたアドバイスいただければ嬉しいです。
ありがとうございました＾＾

お礼日時：2002/12/09 22:18

No.5 回答者： noname#6217 回答日時： 2002/11/28 23:43

＞　　　　　　　　インターネット

＞　　　　　　　　　　　｜
＞　　　　　　　　　　ルータ(netgenesisOPT)
＞　　　　　　　　　　　｜
＞　　　　　　　　　　／　＼
＞　　　　　　　win2000　　 winXP

外部から見えているのはルータのみで、問題ないかと思われます。
netgenesisOPT が外部からのアタックを遮断してくれるでしょう。
万一ルータ越えでも、ウイルスバスター2002のパーソナルファイアウォールが存在を隠すため、見えません。
個々（それぞれ）のセキュリティ対策や設定を、間違わなければの話しですが。

「*K氏宅の場合」
http://www02.msnet.co.jp/bbconnect/service/bbjir …

ANhttpd の使用するポートと同番号のポートは、 winXP 側は閉じます。
少なくとも、 Web サーバプログラムが起動していたら、停止しましょう。

＞UPnPをサポートしているルータを購入して

ルータに必要とされる機能をきちんと搭載していれば、問題ないでしょう。

「Aterm BR1500H」
http://review.ascii24.com/db/review/peri/ta_rout …

設定を正しく。
使用を正しく。
不要なサービスは停止。
セキュリティ製品を併用。
Windows Updata （重要な更新と製品）を併用。

あとは、いろんな意味で決断と思います。
ご参考で。

この回答への補足

Einaさん、こんばんは。
アドバイスありがとうございました。

昨日、win2000にサービスパックなどをあてる作業がようやく終わりました。どうやらインストール時に、増設メモリとの相性等不具合で、必要なシステムファイルが欠けていたらしく、悩みに悩んだ末、メモリを取り外してのフォーマットをしてみたら、ようやくきれいにインストールすることができました。

わたくしごとはさておき、

>ANhttpd の使用するポートと同番号のポートは、 winXP 側は閉じます。
>少なくとも、 Web サーバプログラムが起動していたら、停止しましょう。
サーバPCのwwwサーバが起動していたら、メインPCの80番を閉じる、つまりは、サーバPC稼動時はメインPC(winXP)を利用しないようにする、ということでしょうか。
XPの、Win2000と同番号のポートを常時閉じるということは、XPではwebサイト閲覧ができなくなるということですよね？？

>あとは、いろんな意味で決断と思います。
とても重みのある言葉です。その通りだと思います。
10日以内に決断し、実行します。


それと、新たな質問なのですが^^;、

　　　　　　　　インターネット
　　　　　　　　　　　｜
　　　　　　　　　　ルータ1(netgenesisOPT)
　　　　　　　　　　　｜
　　　　　　　　　　／　＼
　　　　　　　　 ／　　　ルータ2orハブ?
　　　　　　　win2000　　 　＼
　　　　　　　　　　　　　　　winXP

こんな風に、ルータを二重にしてセキュリティーを高めることはできないでしょうか。
多少、XPの通信速度が落ちても構いません。
（改めて図を見ると、DMZっぽいですね^^;）
もしこの構図が可能だとすると、ルータ1からwin2000とルータ2に割り当てられるIPはプライベートアドレスですよね。例えばwin2000が「192.168.0.2」・ルータ2が「192.168.0.3」だとすると、ルータ2からwinXPに割り当てられるIPアドレスは「192.168.0.4」になりうるものでしょうか。
「192.168.0.3」のままだと、ルータ2を通す意味がなさそうな気がします。

補足のアドバイスにまた質問して申し訳ありません。
まだ知識が浅い為に、見当違いの質問をしているかもしれませんが、そのときはビシビシご指摘いただければ嬉しいです。
お忙しいと思いますが、またアドバイスいただければ幸いです。よろしくお願いいたします。

P.S.こちらの投稿が遅くなりましたことをお詫びいたします。

補足日時：2002/12/05 19:10

No.4 回答者： akino4 回答日時： 2002/11/28 01:13

>akino4さんはサーバを公開されているのでしょうか？

ええpaochiさんと同じような構成でサーバを公開しています。
っていっても、もっぱら自分や友達が外から使うというのが多いのですが。

確かにルータの乗っ取りはやな感じですね。
設定を書き換える時に物理的なスイッチをONにするとかいうのがでればいいのに・・

まず、win2000マシンがのっとられないように努力するのが大前提ですが、
乗っ取られたときの対処として、そいつが内部に対して攻撃出来ないように
さらにファイヤーウォールで閉じこめるという方法も有ります。
ルータを守るだけならルータのファイヤーウォールの設定でできますが。
ＤＭＺ機能付きというルータを買えば、ローカルネットワーク全体を
守ることが出来ます。
#私はやってませんが(^^;
無論ＰＣでDMZを作ってもいいのですが・・・

この回答へのお礼

akino4さん、こんばんは。
アドバイスありがとうございました。

昨日、win2000にサービスパックなどをあてる作業がようやく終わりました。どうやらインストール時に、増設メモリとの相性等不具合で、必要なシステムファイルが欠けていたらしく、悩みに悩んだ末、メモリを取り外してのフォーマットをしてみたら、ようやくきれいにインストールすることができました。

わたくしごとはさておき、

>っていっても、もっぱら自分や友達が外から使うというのが多いのですが。
友達と一緒にスペースを共有するのもいいですよね＾＾
何Gもひとりで使い切ることができるわけないですし。
電気代を少し負担してくれると尚良し、ですね♪

>ＤＭＺ機能付きというルータを買えば、ローカルネットワーク全体を 守ることが出来ます。
ええ、やはり、メインPC(サーバ以外の)を守る為にはDMZしかないようですね。。
DMZにすると、サーバPCが乗っ取られやすいと聞いたので、それも困るなと考えていたわけですが、そんなことではいつまでたっても公開できないですよね^^;

もう少し、自分の理想とするセキュリティの形を追求して(素人なので、めちゃくちゃな理想ですけど)、同時に公開に踏み切る用意を進めたいと思います。
貴重なアドバイスをいただきましてありがとうございました。
また何か質問することもあるかと思いますが、何か思い当たる節がありましたら、その時はまたアドバイスいただければ嬉しいです。
ありがとうございました＾＾

お礼日時：2002/12/05 19:09

No.3 回答者： akino4 回答日時： 2002/11/25 20:59

私も自サーバをたてています。

OSはFreeBSDですが。

あなたの場合はwin2000が乗っ取られて、win2000経由でXPの方が攻撃される
というシナリオをおそれているわけですよね？？？
win2000はポートの制限が出来るので、必要なポート以外をすべて止めておく
等の対処をしておけばある程度はＯＫなのではないでしょうか？
無論完璧ではありませんが。

自分の使っているソフトのセキュリティ情報をこまめにチェックしてパッチを
あてる程度はしましょう。たまに設定が変じゃないか見直してみるとか。
(多くのソフトはセキュリティ勧告専用のメールマガジンみたいなのが有るから
それ使うとべんりかも)

＞OSを消して再インストールすれば、同じルータ
同じＯＳ同じルータでも問題は無いでしょうが、その侵入ルートの推定して
それをふさぐ必要が有ります。
まぁ。ルータは設定を間違えず、且つ適宜メーカーからのパッチをあてていれば十分でしょう。
OS側の再インストールの時はインターネットにつなぐ前にパッチを当てましょう。
(パッチはあらかじめダウンロードしてＣＤに焼いておくと便利です)
無論ポートを閉じるなどの設定もインターネットに接続する前にやっちゃいましょう

この回答への補足

akino4さん、こんばんは。
アドバイスありがとうございます。

>あなたの場合はwin2000が乗っ取られて、win2000経由でXPの方が攻撃されるというシナリオをおそれているわけですよね？？？

双方ともに共有はしておりませんので、wwwサーバ=win2000に侵入されることによってルータを乗っ取られ、その結果XPに侵入されるのを恐れています。
もちろん、必要なポートだけを開いて、アンチウイルスソフトをインストールして、セキュリティパッチを頻繁に適用したり、そういった基本的な防御策は施すつもりですが、それだけで守れるのかどうかが不安なのです。

>(多くのソフトはセキュリティ勧告専用のメールマガジンみたいなのが有るからそれ使うとべんりかも)
ありがとうございます^^ これって大切ですよね。

akino4さんはサーバを公開されているのでしょうか？
私以外にも、同じような条件で(ルータを介して、LAN内の2台のPCのうちの1台をサーバにする)小規模サーバを構築されている方もたくさんいると思うのですが、みなさんはどのような環境・対策をされているのでしょうか。

12月15日までにサーバを公開して、独自ドメイン(DDNS)のHPをUPしたいと考えています。
・・・UPするものの、誰も来ないのですけど^^;

お忙しいところ恐縮ですが、またアドバイスいただければ幸いです。
よろしくお願い致しますm(_ _)m

補足日時：2002/11/26 03:53

No.1 回答者： epson01 回答日時： 2002/11/23 20:43

Win2000機がＷＷＷ機だと思うのですが、ＩＩＳの設定に詳細がありますのでしっかりと閉めておいてください。

くれぐれも「telnet」は開けないように。XP側は共有していなければほとんど問題ないと思われます。
「ほとんど」の意味は、メール添付やフリーソフト、ＷＷＷでの閲覧で知らない内に「悪さソフト」を埋め込んでいる場合があります。それが動き出せばＷＷＷサーバに穴を開けることも可能です。また、ＸＰ機を破壊すろことも可能となります。まずは、ルータにはセキュりティ機能があると思いますので、そこはしっかりとガードしてください。
以前、telnetを使い、任意のIPアドレスでログインしてみたところ、ルータが開いており、ログイン名がadministratorで、しかもパスワードもadministratorというのがあり、簡単に入ることができました。時計が狂っていましたので、時計を合わせてあげて、ログを消し、新たにパスワードを掛け直してあげたことがあります。このような人ばかりではありませんのでご注意ください。
ＯＳを再インストールすればＯＫです。（ＢＯＯＴに巣くうウイルスは消去しておいてください。）
同じルータを使ってもＯＫです。（一旦電源を入れ直してください。）

この回答への補足

epson01さん、こんばんは。
アドバイスありがとうございました。また、返事が遅くなって申し訳ありません。
この連休中にさらに本を読み漁ったところ(超初心者用のものですが^^;)、もう少し具体的に質問すればよかったと反省しました。

現在の環境は、
　　　　　　　　インターネット
　　　　　　　　　　　｜
　　　　　　　　　　ルータ(netgenesisOPT)
　　　　　　　　　　　｜
　　　　　　　　　　／　＼
　　　　　　　win2000　　 winXP

フレッツADSLでぷららと契約。
こんな感じです。っていうか簡単すぎてすみません^^;
2台のPC間では共有はなく、ANhttpdでwwwサーバを構築したいと考えています。2台ともウイルスバスターを入れてあります。尚、公開は一日2時間ほどの、人気ラーメン店並の営業時間です(商用ではありません)。
「XP側は共有していなければほとんど問題ない」ということですが、ルータを介して繋がっているので、侵入されないかと未だ不安なのです。
「それが動き出せばwwwサーバに穴を開けることも可能です。また、XP機を破壊することも可能となります。」ということですが、wwwサーバを公開した時点で、セキュリティーホールを通しての侵入は防げないと考えています。そこで、侵入されてもXP機に危害が及ばないようにしたいのです。
とてもわがままですが^^;
DMZだと、wwwサーバが乗っ取られた場合、CGIを書き換えられてのクライアントへの危害を心配しています。
ただ、これはLAN内で乗っ取られた場合も同じリスクがありますので仕方ないのですが、できればLAN内においておきたいと考えています。

そこで、
　　　　　　　　インターネット
　　　　　　　　　　　｜
　　　　　　　　　　ルータ(netgenesisOPT)
　　　　　　　　　　　｜
　　　　　　　　　　／　＼
　　　　　　　　 ／　　　ルータorハブ
　　　　　　　win2000　　 　＼
　　　　　　　　　　　　　　　winXP

こんな風に、ルータを二重にしてセキュリティーを高めることはできないでしょうか。
多少、XPの通信速度が落ちても構いません。
　　　　　　　　　　　　　　
実際、wwwサーバを立ち上げている一般の方々は、どのようにしてセキュリティを高めているのでしょうか。
やはりポート設定と頻繁なセキュリティパッチの適用が一番効果があるのでしょうか。
時計の時間を直してくれるような人が侵入する分には構いませんが(笑)、管理者権限を奪って悪さする人がほとんどだと思いますので、やはり公開する以上、クライアントへの責任を負わなければいけないと思うのです。

長くなりましたが、上記につきまして何かアドバイスいただければ嬉しいです。
お忙しいところ何度も申し訳ありませんm(_ _)m

補足日時：2002/11/26 02:44