サーバー構築 セキュリティ TCP/IP基礎 TIPS 書籍 ブログ リンク

Web全体 サイト内検索

 サーバー構築導入編
はじめにお読みください
自宅サーバー構築前の準備
固定IPアドレスのススメ
参考:自宅サーバー環境
 ルータ設定編
ルータとは何か/ルータの賢い選び方
手動でIPアドレスを設定する
NAT/IPマスカレードとDMZの違い
 Apacheでのサーバー構築
WWWサーバー構築の流れ
Apache2.0の導入/インストール
Apacheの構造
Apache とにかくこれがやりたい!
ブラウザでの確認/Webページ公開
Apache(1.3)の設定 PART
Apache(1.3)の設定 PART
制御ファイル「.htaccess」
付録:Apacheの設定 索引
AN HTTPDの設定
ApacheLogViewer でアクセスログ解析
 DynamicDNSを利用する編
Dynamic DNSとは?
Dynamic DNSの管理
無通信状態での自動切断の防止策
急げ!新ドメインは早いもの勝ち!
 FTPサーバーの構築編
War FTPのインストール[ Ver.1.82 ]
War FTPの設定[ Ver.1.82 ]
War FTPの設定:基礎編 [ Ver1.65 ]
FTPサーバーの動作確認/ログイン
コラム:パーミッションの設定
FTPコマンドでファイル転送する
TFTPサーバーの構築/コマンド
 メールサーバーの構築編
メールサーバーソフトのインストール
メールサーバーソフトの基本設定
 VNCサーバーの構築編
TightVNCによるVNCサーバーの構築
 バックアップ編
True Imageのインストール
True Imageによるイメージバックアップ
True Imageによるバックアップからの復元
 自宅サーバー関連書籍

「全部フリーソフトで作るシリーズ」のWindowsXP版。初心者でもわかりやすい解説で人気のある1冊です。これから初めてサーバー構築する方には特にオススメ!


Apache2の逆引きリファレンス。知りたいと思ったディレクティブが簡単に引けて大変重宝しています。内容も非常に濃いのでこんな機能があったのか〜と思わず感動してしまう事も。お勧め。
 レンタルサーバー
Xbit(エクスビット)
さくらインターネット
ロリポップ!
 個人情報(IPアドレス)の確認
SSI環境変数
 関連ソフトウェアDOWNLORD
AN HTTPD
Apache
BlackJumboDog
Tiny FTP
War FTP
3CDaemon
ArGoSoft Mail Server
DiCE
九十九電機


NAT/IPマスカレードとDMZの違い


NAT/IPマスカレードとDMZは双方ともサーバーを公開できるようにするという性質上、一見、同じ意味であるかのような気がしますが、実はセキュリティ的に大きな違いがあります。簡潔にいってしまえば、企業などの大規模なネットワークを想定するのではなく、自宅でサーバーを公開するケースを想定して言うと、NAT/IPマスカレードの方がセキュリティが高く、DMZの方がセキュリティが低いことになります。特に1台のコンピュータでサーバーを構築する場合にDMZ(DeMilitarized Zone)を使用すると、その名のとおり、自分のサーバーマシンがそのまま非武装地帯と化してしまいます(なお、パケットフィルタリング機能を併用していればその限りではありません)。では、非武装地帯となってしまうということはどういうことなのかをNAT/IPマスカレードの役割と併せて解説していきます。以下の表が大まかなNAT/IPマスカレードとDMZの違いです。

NAT/IPマスカレード DMZ
プロトコル・ポート番号ごとに転送先を設定します。
転送先にIPアドレスを指定します。
外部から内部へのルーティングを正しく設定することで、外部からLAN内にある複数のコンピュータを隠蔽することができます。 転送先に指定したコンピュータは、セキュリティが低下します。





NAT/IPマスカレードの仕組み

まず、サーバーを公開せず、単に特定のWebサイトを閲覧するケースを考えてみましょう。LAN内にある特定のコンピュータ[192.168.0.5]が外部にある特定のWebサイトを閲覧するためには、ルータに対して「LAN側のどのコンピュータから、WAN側のどのコンピュータへ、TCP/UDPのポート何番でアクセスしたのか」といったIPパケット送る必要があります。ルータはその情報を受け取り外部にアクセスして、接続が確立した場合にLAN内にある特定のコンピュータ[192.168.0.5]へとIPパケットを送り返します。それによって[192.168.0.5]のコンピュータはWebページを閲覧することができるようになるわけです。

そこで逆のケース、WAN側からLAN側へとアクセスするケースを考えてみます。例えば、WAN側にある特定のコンピュータがLAN側にある特定のコンピュータにアクセスするためには、ルータがWAN側から送られてきたIPパケットをもとにLAN側にある特定のコンピュータへ情報を送り返さなければなりません。しかしながら、WAN側から送られてきたIPパケットには「LAN内にあるどのコンピュータへ届ければいいのか」といった情報が無いために、ルータはそのようなIPパケットを破棄することになります。つまり、IPマスカレードを使用していることによって、WAN側から不正なIPパケットが送信されてきた場合に、不正アクセスから防御していると考えることができるのです。

◎WAN側からLAN側への要求を破棄する場合





次に、サーバーを公開する場合を想定して考えてみます。上記のような例では、WAN側からのアクセスがあった場合に、ルータによって自動的にパケットが破棄されてしまうためにいくらサーバーを公開しようとも、WAN側からはLAN内にある特定のサーバーへとアクセスすることができなくなってしまい、Webサイトを閲覧することができません。そこで、サーバーを公開するためには、WAN側から送られてきたIPパケットをLAN内にある特定のサーバーマシンへ送るようにルータに記憶させておかなくてはなりません。例えばWWWサーバーを公開する場合は、WAN側からのアクセス要求が発生したら、ルータは「TCPの80番ポートを使用してLAN内にあるサーバーマシン[192.168.0.5]にパケットを転送する」ということをあらかじめ記憶させておく必要があります。NAT/IPマスカレードテーブルでこのように設定しておけば、WAN側からLAN側にあるサーバーマシンへ接続することができ、無事にWebサイトを公開することができるようになります。ここで重要となるのが、NAT/IPマスカレードはプロトコル・ポート番号ごとに転送先を設定できるという点です。つまり、プロトコル、ポート番号が異なりさえすれば、複数の転送先を設定することも可能となります。

大規模DMZモデル

まとめると、NAT/IPマスカレードテーブルを設定しなければ、WWWサーバーを公開することもできなければ、IRCやネットワーク対戦型ゲームのようなネットワークアプリケーションを使用することもできません。しかしながら、NAT/IPマスカレードを使用することによってLAN内にあるサーバーマシン以外の特定のコンピュータへの不正なパケットは全て破棄されるために結果的にセキュリティを高めることができるようになります。



NAT/IPマスカレードの仕組み

3ネットワークモデル(DMZモデル)は外部ネットワークと内部ネットワークの他に非武装セグメント(DMZ)と呼ばれる3つめのネットワークを構成したファイアーウォールシステムのことで、もともとのファイアーウォールの設計思想ともいえるものです。これは、ファイアーウォールの内側に、隔離された非武装セグメントと呼ばれる社内システムとは別のネットワークを設けて、そこに対外向けの公開サーバーを設置する仕組みのことです。このようなシステムを構築することによって公開サーバーへのアクセスも必ずファイアーウォールを通過することになるためにある程度のフィルタリングも可能となり、仮に公開サーバーへ侵入を許したとしても内部ネットワークとは別の非武装セグメントであるために被害をその範囲内だけに食い止めることができるようになります。

◎大規模DMZモデル図

大規模DMZモデル


このような外部からのアクセスを実現するための仕組みは前述の通りDMZ、あるいはフォワーディングとも呼ばれており、IPマスカレードによって確保されるセキュリティとは、明らかに反したものです。フォワーディングはある特定のTCP/UDPポートへのアクセスがあった場合に、あらかじめ指定されているコンピュータのIPアドレスへと転送する方法のことで「アドレス変換/置換」などとも呼ばれています。あるいは、IPマスカレードに比べて、静的にアドレスを設定するので、「静的IPマスカレード」と呼んでいるルータもあります。

これとは別にDMZを使用した場合、確かに企業などの大規模なネットワークを構築している場合には社内ネットワークまで被害が及ぶことがないのである程度はセキュリティが確保されていると言えますが、自宅でサーバーを立てる場合にはそんなに何台もコンピュータがあるわけではなく、通常は1台のサーバーマシンを使用していることを考えると、コンピュータがWAN側に直接接続されている(IPマスカレードの保護下から外れる)図式になるために、不正アクセスの対象となる可能性があります。DMZはIPマスカレードのようなプロトコル・ポート番号ごとに転送先を設定できるというものではなく、TCP/UDPポートを特定することなしに、すべてのアクセスを指定されたIPアドレスのコンピュータへと転送することになるため、セキュリティ上、非常に危険な状態に陥ります。もし、DMZを使用する場合にはセキュリティ面での恩恵は受けられないため、リスクを覚悟の上で、それなりにきちんとした対策を施しておく必要があります。

◎自宅サーバーDMZモデル図

大規模DMZモデル



 

Copyrights©KORO 2002-08 All Rights Reserved.Since 02/08/15 | サイトのプライバシーポリシー