質問させて頂きます。よろしくお願い致します。
192.168.1.254 がデフォルトゲートウェイ(ルータ)。
以下6台、すべてのマシンが固定IP(非DHCP)で、
192.168.1.1 ~ 192.168.1.6 というネットワーク構成です。
192.168.1.4:80で、WEBサーバを動かしています。
内部(ローカルエリア)からのみ使用する、自作WEBアプリを動作させるためです。
外部者に使われては困るWEBアプリを動作させているので、
万が一にも、外部からアクセスされては困る、という状況です。
デフォルトゲートウェイのルータには、
「外部からの80番ポートへのアクセスは、192.168.1.4へ流す」という、
いわゆるポートフォワーディングの設定は、していません。
なので、グローバルIPアドレスをブラウザのURL入力欄に入力しても、
一応は、WEBサーバへはアクセス出来ていないように見えます…
そこで、質問は、
外部から、192.168.1.4上のWEBサーバ(80番ポート)へのアクセスは、
本当にこれだけで不可能と考えてよいのか?
ということです。
言い換えれば、ルータにポートフォワーディングの設定をしていないだけで、
外部から192.168.1.4へのアクセスは、
本当にすべて遮断できていると考えてよいのか?
ということです。
ルータからの道筋がないわけですから、
単純に考えたらこれだけでも大丈夫のように思えるのですが、
自身のネットワークの知識は、粗末なものである為、
不安に駆られ、質問させて頂いた次第です。
初歩的かもしれませんが、ご教授下さい。
何卒、よろしくお願い致します。
No.3ベストアンサー
- 回答日時:
今回のご質問の範囲であるなら、ポートフォワーディングの機能を使う必要はないと思います。
したがって、
・ ポートフォワーディングの設定をしない
もしくは
・ ポートフォワーディングの機能をオフに設定する
のどちらかで、ポートフォワーディングの機能を悪用した外部からのアクセスは原理的に防げます。
ただし、「外部からアクセスできないようにしたい」ということであれば、サーバから外部に接続することを禁止しないと完全にはなりません。サーバが自ら外部にアクセスしてしまえば、それを逆流させてサーバに侵入することが理論上は可能になります。ですので、多くの前提条件が満たされないと可能性を完全につぶすことができません。なお、この侵入経路はポートフォワーディングとは関係ありません。
ポートフォワーディングは今回使う必要がない機能ですが、残念ながら機能を誤解しているように読み取れます。使わないと誓って勉強しないか、使う機会に備えて勉強するか、どちらかをお勧めします。
セキュリティというのは、システム全体での総合勝負です。ルータの設定さえまちがえなければ完璧、とか、パソコンにファイアウォールがあるから安心、とか、ウイルスソフトを入れてるからOK、というようなものではありません。もちろん、運用する人の些細な操作(たとえば、外部の Web にアクセスする、というような)からほころぶこともあります。セキュリティの向上が利便性と相反する場合もありますし、コスト面を犠牲にしても採用しなくてはならない場合もあります。細部にとらわれすぎることなく、また、細部までおろそかにすることなく、システムの構築をするよう努力してください。
WEBサーバのマシンからも、普通に外部にアクセスをしていました。
その行為が、外部からの進入経路になり得る行為だったとは、全く知りませんでした…
今後、控えたいと思います。ありがとうございました。
実は、現在は、本件のローカルWEBサーバを稼動させているだけなのですが、
近い将来、楽しみと実益を兼ねて、外部に公開するWEBサーバを稼動させることを夢みています。
ゆるい気持ちでやると惨事になりかねないこととは、理解しているつもりですので、
ひとまずしばらく、ネットワークやセキュリティについて、勉強しようと思います。
(なので、ポートフォワーディングについても、使う機会に備えてちゃんと勉強しておこうと思います。)
セキュリティの世界に、細部は無限にありそうですが、それも決しておろそかにすることなく、
とりあえずは、大きな部分から、精進して参りたいと思います。
また質問することがあれば、そのときは何卒、よろしくお願い致します。
ありがとうございました。
No.2
- 回答日時:
フォワーディングをしていないなら、もちろんOKです。
どうしても不安なら、WEBマシン自体のFIREWALLをローカルネットのみにしたらいいでしょう。
そうすれば万が一DMZ設定してしまっても安心です。
庶民的感覚でいうなら、ルータのポートフォワーディング機能を、
ある程度は信頼しても良さそうですね。
WEBマシンのFIREWALLをローカルネットのみに設定するというアドバイスも、
ありがたく頂戴したいと思います。
ありがとうございました。
No.1
- 回答日時:
質問がおかしいですね。
> 言い換えれば
この前後の文章は意味が異なります。ですから、言い換えることはできません。
> 外部から、192.168.1.4上のWEBサーバ(80番ポート)へのアクセスは、
このサーバがウイルスにおかされてなくて、操作をする人が不適切な操作をせず、ルータは外部から攻撃を受けていなくて、ルータの設定に不適切な項目はない、などの条件を満たした上で、という前提条件があるならば、アクセスできないでしょう。
> 外部から192.168.1.4へのアクセスは、本当にすべて遮断できている
それは意味がまったく異なります。
アドレスから考えて NAT を使っているわけですから、「外部から192.168.1.4へのアクセスができない」ということは「192.168.1.4 は外部と一切の通信が行なえない」という意味になります。それでよいのであれば、ルータがうんぬんという以前に外部ネットワークと物理的に切り離したほうが確実ですし簡単だと思います。費用もかかりませんし、心配事も根本的になくなります。
セキュリティ面から考えれば、ポートフォワーディングという機能自体がそもそも「失格」です。企業向けのルータやプロバイダ向けのルータには、ポートフォワーディングの機能がないのが普通です。機能があること自体で悪用/誤用される可能性が生まれますから、セキュリティを本気で気にするのであれば、まずはルータをちゃんとしたものに交換したほうがよいでしょう。
>この前後の文章は意味が異なります。ですから、言い換えることはできません。
これは書き方が悪く、混乱を招き、大変失礼しました。
言い換えた前後の文の、前側が、正しい質問文になります。
なお後側についてですが、
192.168.1.4のWEBサーバへは、他5台のローカルマシンから、アクセス出来る必要があります。
しかしながら、他5台のローカルマシンは、外部と通信出来なくては困るのです。
そして、ご指摘の通り、グローバルIPアドレスは1つ限りを、NATで使いまわしているという状況です。
よって、192.168.1.4を、外部から物理的に完全に切り離すことは、出来ない気がしますが、
(結局はLANですべてつながってしまうため)
もし上記状況下で、そのようなことが可能であるならば、
方法をご教授願えればと存じます。
ポートフォワーディングについてですが、
http://oshiete1.goo.ne.jp/qa4226660.html
こちら方の、便乗質問への回答もあわせてみることで、理解が深まりました。
(便乗して質問して下さった方にも、感謝致します。ありがとうございます。)
ポートフォワーディングをつかわない、ということは、
アクセスされたポート番号によってマシンを変えることはしない、ということだと思いますので、
つまり、グローバルIPアドレスとマシンが、一対一で直通するということになるかと思います。
セキュリティを高めるために、コストをかけられる状況であれば、
サーバマシンの数だけグローバルIPアドレスを用意し、ポートフォワーディングに代えたほうがよい…
ということだと解釈しましたが、もし間違っていれば、またご指摘下さるとありがたく存じます。
なお、上述の192.168.1.4マシンには、ご想像の通りとは思いますが、
金額にしてせいぜい数万円になるかならないかというデータが入っている程度です。
セキュリティを高めるためにかけられるコストも少ないので、
こうした状況下でポートフォワーディングが「あり」か「なし」かでいえば、
総合的に考えて「あり」になるのかな、と思いました。
しかしながら、ポートフォワーディングがいわゆる「貧乏ソリューション」で、
セキュリティというものを突き詰めたときには、使われない程度の信頼度であるということは、理解致しました。
丁寧に答えて下さり、まことにありがとうございました。
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
関連するカテゴリからQ&Aを探す
おすすめ情報
- ・漫画をレンタルでお得に読める!
- ・人生のプチ美学を教えてください!!
- ・10秒目をつむったら…
- ・あなたの習慣について教えてください!!
- ・牛、豚、鶏、どれか一つ食べられなくなるとしたら?
- ・【大喜利】【投稿~9/18】 おとぎ話『桃太郎』の知られざるエピソード
- ・街中で見かけて「グッときた人」の思い出
- ・「一気に最後まで読んだ」本、教えて下さい!
- ・幼稚園時代「何組」でしたか?
- ・激凹みから立ち直る方法
- ・1つだけ過去を変えられるとしたら?
- ・【あるあるbot連動企画】あるあるbotに投稿したけど採用されなかったあるある募集
- ・【あるあるbot連動企画】フォロワー20万人のアカウントであなたのあるあるを披露してみませんか?
- ・映画のエンドロール観る派?観ない派?
- ・海外旅行から帰ってきたら、まず何を食べる?
- ・誕生日にもらった意外なもの
- ・天使と悪魔選手権
- ・ちょっと先の未来クイズ第2問
- ・【大喜利】【投稿~9/7】 ロボットの住む世界で流行ってる罰ゲームとは?
- ・推しミネラルウォーターはありますか?
- ・都道府県穴埋めゲーム
- ・この人頭いいなと思ったエピソード
- ・準・究極の選択
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
帯域制限のできるルーターって...
-
IPアドレスってPCごと?接...
-
ASUS RT-AX3000のルーターを使...
-
フリーWi-FiがIPアドレス取得中...
-
グローバルIPがしょっちゅう...
-
PCのWifiについてです。 詳しい...
-
オンラインゲームをプレイする...
-
wifiルーターを替えたらswitchb...
-
ルーターを初期化せず捨てた ど...
-
アクティブランプがつかない
-
ひかり電話解約→インターネット...
-
サーバーとルーターの違い
-
違うネットワークに属するPC...
-
yamaha rtx1100 USEN GATE02で...
-
テザリング、プリンターの無線L...
-
192.168.1.1に接続できない…
-
ipv6 ipv4
-
助けでください http://192.16...
-
無線LANに見覚えのない機器が接...
-
v6プラス下で ポート開放の必要...
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
LinkStationをFTPサーバーとし...
-
ルーターの外部からのping許可...
-
Wi-Fiルーターに盗聴機能が付い...
-
帯域制限のできるルーターって...
-
ルーターとブロードバンドルー...
-
LANにおけるFQDNの設定
-
特定サイト以外のサイトの閲覧...
-
ログ機能(HTTP)のある安いル...
-
WindowsServer2003のRRASについて
-
ブロードバンドルーター選定
-
二重ルーターの設定
-
スイッチの仕様について
-
IPv6で接続したときのルータ...
-
NTT東西日本の機器の違い
-
自宅のnasをdropboxのように使...
-
ルーターのARPテーブルは見れな...
-
アクセスしたサイトの痕跡は「...
-
住友電工製のMegaBit Gear TE41...
-
ルーターの設定
-
ルーター、ファイヤーウォール...
おすすめ情報