はじめての親子ハイキングに挑戦!! >>

社外から社内へのリモートアクセス要件があります。

現状、
・社内にLinuxサーバを設置
・社外と社内の間に設定されたルータについて、社内のLinuxサーバへのSSHポートを開放
・SSHはユーザIDとパスワードによる認証
・社外からSSHポートフォワードにより、社内へ接続
といった運用をしています。

セキュリティ確保のため、
・SSH接続に公開鍵認証方式を利用
の対応をする予定ですが、
・ルータのIPsec機能を用いて、公開鍵認証方式により接続
も検討しています。

・どちらの接続方式の方が良いか。
・それはどういう理由か。

について、教えて頂けませんでしょうか。

以上、宜しくお願いいたします。

このQ&Aに関連する最新のQ&A

A 回答 (2件)

SSH forwardingでログインシェルを無効にしキーシーケンスも無効にし


そのユーザーのみがSSHでログイン出来るようにして利用しています。(特殊環境)

普通に考えて、そのような要件のサーバーであれば複数のユーザーを作成するべきではありません。
それだけログインの成功率を上げてしまうので。

ルーターにIPSecの機能があるのであれば、わざわざSSH forwardingを利用する必要は無いかと思いますが。。。。
    • good
    • 0
この回答へのお礼

ご回答ありがとうございます。

ユーザが増えれば、セキュリティもさがる。
その通りですよね。

IPSECの方が脆弱性の出る可能性が少ないようなので、
IPSECを検討したいと思います。

お礼日時:2010/12/02 15:45

ええっと、現状で…標準ポート(22)で、パスワード認証なんですか?


もしそうなら既に乗っ取られていたりしませんかね?

11/11~11/25の約2週間ほど、標準ポートを開けてみましたが…約15万回のパスワード認証の試行がありました。
うち12万回ほどが中国だったりしますけど。
# 一人で12時間程度rootのパスワードを破ろうと「総当たり」で試行している人も居ましたが。(秒間1~2回。結構負荷でした。)
接続しに来たIPアドレスが85箇所(うち一つはさくらインターネットだった。VPSのCentOSが乗っ取られた?)。
試行されたアカウントのパターンが8256種。


まぁ、ソレは置いておいて…
>・SSH接続に公開鍵認証方式を利用
>・ルータのIPsec機能を用いて、公開鍵認証方式により接続
で…

>・どちらの接続方式の方が良いか。

最低でも公開鍵認証を使用するべき。
非標準ポートに変更する。というのもほぼ必須かと。
# 非標準ポートで2年程度動かしていますが…いまだ変なアクセスはありませんね。
AllowGroupで制限かけるのもよいかと。
# 外部からSSH接続する人達のグループを作成して、そこに登録する。

接続元で使用可能であればIPsecも使用…てすかね。
# 個人的にはソコまでするのも負荷が高そうだな…とは思いますが。

>・それはどういう理由か。

パスワード認証ではいつか破られる可能性があります。
誰か一人が弱いパスワードにしていたら、そこから侵入。
あとはローカルからの攻撃でroot権限奪われる可能性が出てきます。
公開鍵認証ならば、秘密鍵とパスフレーズが揃わなければアクセスできません。
# パスフレーズも総当たりという手段があるので秘密鍵が奪われたらいつかは危険に曝されます。

この回答への補足

ご回答ありがとうございます。

もちろん、ポートは変更しています。
「公開鍵認証+パスフレーズ」の利用は決定事項です。

「公開鍵認証+パスフレーズ」は、SSHでも、IPSECでも使えるので、
どちらにすべきかを迷っています。



要件を補足します。

社外から緊急時に社内ネットワークにアクセスしたい要件があります。


ネットワーク構成は

クライアント

Internet

Router
│ │
│ └内部セグメント

└──DMZ─公開サーバ


SSHだと、
クライアント -> Internet -> (SSH非標準ポート) -> Router -> (SSH標準ポート) ->
サーバ -> 内部セグメント
なつなぎ方を想定しています。

SSHのポートフォワードを利用する想定です。


IPSECだと、
Internet -> (IPSEC) -> Router -> 内部セグメント、公開サーバ
な接続になると思います。


って、まとめてみたら、IPSECの方が良い気がしてきました。
DMZのサーバから内部セグメントへのアクセスを許すのはセキュリティの抜け穴になって
しまいますよね・・・。

SSHには大きなアドバンテージがなさそうに思えますし、
IPSECは設定が面倒な事以外は問題ないような気がしてきました・・・。

補足日時:2010/11/30 11:50
    • good
    • 0

このQ&Aに関連する人気のQ&A

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!

このQ&Aを見た人はこんなQ&Aも見ています

このQ&Aを見た人が検索しているワード

このQ&Aと関連する良く見られている質問

QIPSecとSSHの違い

IPSecとSSHの違いがよくわかりません。
また相互通信できるものなのでしょうか。

Aベストアンサー

>IPSec
IPパケットレベルで暗号化します。

>SSH
telnet通信を暗号化します。
(telnetだけじゃないけど、基本はtelnet)

相互通信は出来ませんが、IPSecで暗号化した上で、さらにSSHで暗号化することは可能です。

Qpingでポートの指定

pingでIPアドレスを指定して、通信できるかどうかというのは
よく使いますが、pingでポートを指定して応答するかどうかは調べられるのでしょうか?

よろしくお願いします

Aベストアンサー

pingを含むICMPというプロトコルは、OSIの7レイヤで言うところのL2(同一セグメント内通信)とL3(IPルーティングされた通信)の両方にまたがる、ちょっと珍しいプロトコルです。

IPアドレスは指定できますが、別サブネットに属するIPアドレスに到達できればL3通信、できなければゲートウェイと呼ばれる同一サブネットに属する中継装置からの回答を得るという点でL2(MAC通信ではなく、同一セグメント内通信という意味)通信です。

ポート番号はL4で使用されるアドレスですから、L4機能の疎通確認はping(を含むICMP)ではできません。

FTPの疎通確認であれば、クライアントからサーバに対するTCP/21通信(FTP-CMD)が可能であること(サーバからクライアントへのTCP/21からの応答を含む)+サーバからクライアントに対するTCP/20通信(FTP-DATA)が可能であること(クライアントからサーバへのTCP/21からの応答を含む)が必要でしょう。

監視ソフトによるものであれば、
・クライアントからサーバへのログイン(TCP/21)
・クライアントからサーバへのlsの結果(TCP/20)
で確認すればよいでしょう。

pingを含むICMPというプロトコルは、OSIの7レイヤで言うところのL2(同一セグメント内通信)とL3(IPルーティングされた通信)の両方にまたがる、ちょっと珍しいプロトコルです。

IPアドレスは指定できますが、別サブネットに属するIPアドレスに到達できればL3通信、できなければゲートウェイと呼ばれる同一サブネットに属する中継装置からの回答を得るという点でL2(MAC通信ではなく、同一セグメント内通信という意味)通信です。

ポート番号はL4で使用されるアドレスですから、L4機能の疎通確認はping(を含む...続きを読む

QL2TP/IPSecのルータのポート開放

L2TP/IPSecのルータのポート開放なんですが

ルータのポートフォワーディングで
1701 (udp) ・・・・l2tp
4500 (udp)・・・・ipsec-nat-t
500 (udp)・・・isakmp

の3つを宅内サーバに向けて開放していますが、つながりません。
ポート開放の番号や数が違うんでしょうか?

同じようにサーバ側のパケットフィルタリングでも上記3つを開放しています。

Aベストアンサー

 お尋ねの件ですが、1701ポートNoをトンネルトランスポートされるようにしていますか?
 4500番はNATトラバーサル用ポート番号、500番はIPSEC認証キー用番号ですが、ポート開放以外にルーターのIPフィルタのパス登録コマンド、out登録コマンドにて通信透過されるようにしていますか?
 上記のチェックでも駄目な場合、DMZホスト設定でルーターの着信データを全てサーバへ向けてみては如何でしょうか?
 DMZの場合、全てのデータ着信はサーバへ向きますので、セキュリティ設定はサーバ側にて破棄登録等実施された方が良いかもしれません。

QIP-VPNとインターネットVPNの違い

就職活動をしている大学生です。
セキュリティとネットワークに興味があり、そこから自分が何をやりたいのか突き詰めて行った結果VPNを提供している企業が浮かび上がって来ました、業界研究をしている際に疑問が出てきました。

IP-VPNとインターネットVPNの違いの違いがいまいちわかりません。

インターネットVPNはインターネット上を介したVPN、IPは事業者のネットワーク内のVPNって解釈でよいのですかね??

そうなるとプライベート回線を引くのとIP-VPNの違いは???

提供している事業者の違い、VPNに関すること、VPNの今後&求められるもの等、教えてください。

よろしくお願いします。

Aベストアンサー

こんちは。hirasakuです。

簡単に言うと
インターネットVPNはその名の通り、インターネット網を利用した拠点間をあたかもLANのように使うためのWAN構築です。
基本的にVPN接続するためのルータの設定(トンネリングや暗号化・認証など)はユーザーが設定し、運用管理もユーザーが行います。
インターネット網なので通信に対する保障がありませんので、VPNに通すデータを検討しなければならない場合もあります。
一番安価に構築できランニングコストが抑えられます。

IP-VPNは通信事業者の閉域IPネットワーク網を通信経路として用い、自社専用ネットワークであるかのようなWANを構築できるサービスのことです。
通信事業者側で用意している網は品質を保証してあり、ユーザー側はIP-VPN網に接続するだけで、セキュアな通信ができ、インターネットVPN同様LANのように使えます。

プライベート回線とは専用線やフレームリレー網などのことを言っているのですかね?
専用線は料金が距離に比例し、拠点間の距離が離れるほどコストが大きくなり、セルリレー/フレームリレーは、フルメッシュ型接続ですけど、柔軟なネットワーク構築が難しいという問題があります。専用線・フレームリレーなどは回線帯域の割にはコストが高いので、インターネットVPNやIP-VPNでコストを安くしてネットワークを構築するようになってきてます。

インターネットVPNやIP-VPNはプロトコルにIPを使わなくてはならないので、データはIPに乗せる必要があります。
そこで、広域イーサネットというサービスを各通信事業者が行っています。広域イーサネットはプロトコルをIP以外(IPXやSNAなど)を通すことができ、またイーサなので、WAN側に接続するのに極端な話、スイッチでつなげられますので、今までのようにルータの設定などいらなくなります。(VLAN構成にするならスイッチの設定が必要ですけけど)また、QoSなどデータの優先制御や帯域制御などもできますので、VoIPなどにも使えますね。
ということで、簡単に拠点間のLAN構築が可能になります。

提供しているサービスの違いは、どこも似たり寄ったりかなって思いますけど。
サービス提供エリアや、構築にあったオプションサービスなどで選べばいいのでは。

こんちは。hirasakuです。

簡単に言うと
インターネットVPNはその名の通り、インターネット網を利用した拠点間をあたかもLANのように使うためのWAN構築です。
基本的にVPN接続するためのルータの設定(トンネリングや暗号化・認証など)はユーザーが設定し、運用管理もユーザーが行います。
インターネット網なので通信に対する保障がありませんので、VPNに通すデータを検討しなければならない場合もあります。
一番安価に構築できランニングコストが抑えられます。

IP-VPNは通信事業者の閉域IPネットワ...続きを読む

Q文字列として"(ダブルコーテーション)を表示させる方法

こんにちは。文字列として、ダブルコーテーションを表示させるには、どうすればよいのか教えてください。m(__)m


例えば、
<font size="2">あいうえお</font>

というタグの「あいうえお」の部分が、セルA1にあった場合、

="<font size="2">"&A1&"</font>"という表示にしたいのです。

"2"のダブルコーテーションも文字列として表示させるには、どうすればよろしいのでしょうか。

教えてください。よろしくお願い致します。

Aベストアンサー

こんにちは~

表示形式は 「標準」 のままで、
ダブルコーテーションを、ダブルコーテーションで囲んでください。

""2""

="<font size=""2"">"&A1&"</font>"

としてみてください。

Qapt-get install ****** でinstallしたものをuninstallするには?

御世話になります。
vncserverだけをinstallするつもりが
誤って
apt-get install vncとうってしまいました。
これをuninstallしたいのですが
どのようにすればよろしいでしょうか?

教えて下さい。

Aベストアンサー

# apt-get remove パッケージ名
では、設定ファイルは削除されずに残ります。

完全に削除するときは、
# apt-get --purge remove パッケージ名
です。

Q「x86」と「amd64」の違い

CPUの種類で「x86」と「amd64」がありますが、その違いについて教えてください。

先日、AMDプロセッサのマシンにUbuntu8.04のAMD版をインストールしようとしたところ、「AMDではありません」のようなエラーが出てインストールできませんでした。そこでx86版を試してみたら正常にインストールできました。
しかしインストール直後から動作が不安定で、高い確率でフリーズします。
特に重要な設定を変更した訳でもなく、マシンの性能が悪いとも思えず、唯一思い当たる節がインストールしたUbuntuが「x86」版か「amd64」版かくらいです。

私の認識では、
  x86 … Intel系
  amd64 … AMD系
と思っているのですが、もっと複雑なのでしょうか?
またUbuntuを不安定する原因が何かあれば教えてください。
よろしくお願いします。

●環境
CPU:AMD Athlon 64, 2200MHz 3500+
メモリ:2G
HDD:160G × 2

Aベストアンサー

AMD64はお考えの通りAMD CPUが元になってできた用語で、ごくごく大雑把に言うと
x86→Intel,AMD問わず32ビット版のプログラム
AMD64→Intel,AMD問わず64ビット版のプログラム
となります。64ビット対応はIntelではPentium4の末期から、AMDではAthlon64からになります。

AMD64ではありません~というメッセージですが、当方Ubuntuを使ったことはないので想像になりますが、BIOSに64ビット命令の有効無効を指定するような項目はないでしょうか?
確か古いマザーにはそういうスイッチが設定されているという話を聞いたような…(かなり自信なし)

QLANカードを 2枚挿して 社内LANとインターネットを 使い分けたい

LANカードを 2枚挿して 社内LANとインターネットを 使い分けたいのですが

LANカードを 2枚挿して 社内LANとインターネットを 使い分けたいのですが
普通に 設定していくと 社内側のLANを 有効にすると インターネットに
繋がらなくなります。
インターネット側は 社内の2000サーバーを DNSとして プライベートIPを
自動でもらって デフォルトゲートウェイは ルーターの192.168.11.1に設定してあります。
社内LAN側は IPを 手動で振って、DNSは 2000サーバー ゲートウェイは 空欄に
してあります。
社内には 4台PCが あり 2000サーバー以外は XPpro3 を 使っています。

2台共 2枚さしてみましたが やはり 有効の状態だと インターネットに繋がりません。

どなたか 詳しいお方が いらっしゃいましたら ご教授御願い致します。
自分で どうにかしようと 1ヶ月程試みていますが まったく 上手くいきません。
宜しく御願い致します

Aベストアンサー

セグメントを分けるというのは。

社内LAN側を192.168.10.***等に変更すれば別ネットワーク
として認識されそうに思えますが・・・

Qパスワード設定していないユーザーのログイン

いつもお世話になっております。

linuxで、useraddした後、passwdコマンドでパスワードを設定していないユーザーがいます。ここでは、postgresとします。

このユーザーに一般ユーザーからなるときに、
$su - postgres
としますが、パスワードがきかれて、何も入力しないと、
invalidになります。(centos5)

パスワードを設定しないと、一般ユーザーからログインできないのでしょうか。
ちなみに、rootからpostgresですと、ログインできます。
$su -
$su - postgres

お手数をおかけしますが、なにとぞご教授お願いいたします。

Aベストアンサー

 実際useraddしてみると分かりますが、useradd直後の状態では、パスワードは「設定されていません」。
 設定しとらんのやけん設定はされとらんやろ何を言うてるんアホちゃうんと思うなかれ。パスワードが設定されていないとは、パスワードが空である(=初期値としてランダムパスワードが設定されている訳ではない)という事です。さて、ではどうして一般ユーザーからsuできないのでしょうか。rootになって

# getent shadow postgres

とすると、パスワードの欄が半角びっくりマーク2個のみが印字されたかと思います。この半角びっくりマーク2個というのがLinuxにおいて「アカウントがロックされている」という状態になります。
 試しに/etc/shadowファイルをrootで直接書き換える(びっくり2つを削る)と、一般ユーザーからパスワードなしでsu - postgresできるようになります。もちろんこんな危険な操作(shadowの書き換え)は普通せずに、以下のようにします。

# passwd -u -f postgres

passwd -uというのは、ロックアウトされているアカウントのロックを解除するものですが、現在postgresにはパスワードが設定されていないためpasswd -uだけだと「危険だべ」と拒否されます。ので、-fオプションをつけて強行します。すると先ほど/etc/shadowを直接書き換えたのと同じ状態に変わり、一般ユーザーからパスワードなしでsu - postgresする事ができるようになります。逆にロックする時は

# passwd -l postgres

です。詳しくはpasswd -hなどを参照の事。root(uid 0)はロックされているアカウントもおかまいなしに変身できるという凄い権利を持っています。

 実際useraddしてみると分かりますが、useradd直後の状態では、パスワードは「設定されていません」。
 設定しとらんのやけん設定はされとらんやろ何を言うてるんアホちゃうんと思うなかれ。パスワードが設定されていないとは、パスワードが空である(=初期値としてランダムパスワードが設定されている訳ではない)という事です。さて、ではどうして一般ユーザーからsuできないのでしょうか。rootになって

# getent shadow postgres

とすると、パスワードの欄が半角びっくりマーク2個のみが印字されたかと思...続きを読む

Q起動しているサービスを確認するコマンド

初歩的な質問で恐縮ですが、ご教示いただけますと幸いです。

起動しているサービスを確認するために以下の2つのコマンドを打ってみるのですが、結果(出て来るサービス名)が違います。
このコマンドの違いについてご教示いただけますでしょうか。

(1)service --status-all
(2)chkconfig --list

Aベストアンサー

(1)service --status-all

サービスの現在のステータスを調べるコマンド

(2)chkconfig --list

OSのブート時に自動起動するサービスを調べるコマンド

違いが出るのは、
・ブート後に手動あるいは他のコマンドから起動したサービス
・ブート後に手動あるいは他のコマンドから、あるいはエラーで停止したサービス
・ブート後に実行はされるがすぐに停止して常駐しないサービス (ntpdate とか)

あるいは、(1)ではサービス名が表示されない物もあるので、どのサービスがどんなステータス出力をするのか知っておく必要もありますね。(service network statusとか)


人気Q&Aランキング