こんにちはゲストさん。会員登録(無料)して質問・回答してみよう!

解決済みの質問

特定プロトコルの通信許可設定のセキュリティについて

現在構築しようと思っているネットワーク間通信設定の、セキュリティについて質問です。


2つのネットワーク間で、特定の通信のみ許可する設定をしたいと考えております。
許可したい特定の通信条件は次の通りです。
 ※2つのネットワークを、仮にAとBとします。

【通信条件】
 [1]通信はBからAへの一方通行のみ(※AからBへの通信はできない)
 [2]8080(http)、443(https)、3306(mysql)、445(smb)プロトコルの相互通信は許可する

以上の条件を満たすように、次のような構築を考えています。

【構築内容】
 [1]AとBの間に家庭用ルータ(BHR-4GRV)を設置し、AをWAN、BをLANとする
 [2]「IPフィルター」機能を使用し、相互通信をしたいプロトコルの「通過」許可をする
  ※その際、送信元も宛先も、すべてのIPアドレスに対し設定をする
   (Aにある数台のサーバに対し、Bの数十台のPCが通信するため)

構築に関しては、上記内容で実現可能ではないかと考えているのですが、その「セキュリティ」について不安を抱えております。
そもそも、今回このような構築を考えた目的は、BからAへの情報漏えいを防ぐためです。
(※現在、このAとBのネットワークは一つのネットワークで運用しております)
しかし、4つのプロトコルの通信を許可した場合、この構築自体が無意味で、物理的にネットワークを分けても情報漏えいの危険があるのではないかという不安があります。

そこで、次の質問がございます。

【質問内容】
 この構築をすれば、BからAへの情報漏えいの危険はなくなりますか?
 また、問題があるとすれば、どの点に問題があり、どのようにすれば解決しますか?


通信技術に関する知識が乏しく、ネットで情報を探しても、うまく見つけることができませんでした。
皆様のお知恵をお貸しください。
よろしくお願いいたします。

投稿日時 - 2015-02-04 15:43:09

QNo.8910954

すぐに回答ほしいです

質問者が選んだベストアンサー

なんの情報を守りたいのかわかりませんが、ネットワーク機器の設定だけで行うのは無理があると思います。
特に、DB接続、SMBをすべてのクライアントを通すのであれば、MySQL側、SMB(ファイル共有)の設定は必須だと思います。

MySQLであれば、GRANTでアカウント・ホスト・操作権限を設定
ファイル共有であれば、フォルダ毎のアクセス権

あわせて、安価なネットワーク機器でフィルターかけると、かなり速度が落ちる場合があります。

どの程度のトラフィックかわかりませんが、ネットワーク機器でフィルタリングするならば、L3スイッチを検討されたほうが良いと思います。

投稿日時 - 2015-02-04 16:28:25

お礼

お礼が遅くなり申し訳ございません。
いただいた情報を参考にさせていただきます。
今ある備品でと思ってはいたのですが、L3スイッチについても調べてみます。
ご回答ありがとうございました。

投稿日時 - 2015-02-20 11:33:37

ANo.1

このQ&Aは役に立ちましたか?

6人が「このQ&Aが役に立った」と投票しています

回答(5)

ANo.5

 お尋ねの件ですが、お持ちのBuffaloルーターでは出来ないかと考えます。
 Buffaloルーターにおきまして対応しますのは、静的フィルター機能のみで、B→Aの通信時にB側ルーターの方に動的フィルターが設定出来るタイプで有れば、out側の通信派生時に特定ポートを開ける設定が可能です。
 Buffaloルーターですと、「ポートトリガー」といった名称の機能になるかと存じますが、「VR-S1000」でしたら対応しております。
 情報漏洩に関しましては、A・B間の接続がどういった形になっているかは解りませんが、遠隔拠点間通信の場合には、通信自体の遮蔽通信も考慮する必要が有ります。
 お持ちのBuffaloルーターは、脆弱性を含んでいるPPTPサーバ機能のみですので、IPSEC-VPNでの暗号化遮蔽接続が必要になる点、双方でのセキュリティレベルと通信の信頼性・スループット等の安定性を考慮する必要が有ります。

 最低限の話ですが、A・B拠点に「VR-S1000」、VPNを利用されている状態でしたら、IPSEC-VPNでの接続移行、Bの接続端末等にセキュリティソフト等での認可・破棄等の規制が必要かと考えます。
 ※ Kaspersky スマートオフィス・セキュリティ・・http://www.kaspersky.co.jp/small-office-security#Feature1

 出来れば推奨として、Yamaha「FWX120」等のファイアーウォールルーターをA・B拠点での接続運用、ケースによって動的フィルタ等の設定が良いかと考えます。
 ※ 「http://jp.yamaha.com/products/network/firewalls/fwx120/」、「http://www.rtpro.yamaha.co.jp/RT/docs/firewall/index.html?_ga=1.129256140.1366611709.1422777954#section2

投稿日時 - 2015-02-08 09:07:58

お礼

お礼が遅くなり申し訳ございません。
せっかく詳しいご回答をいただきましたが、今回は遠隔拠点ではなく、一拠点内でのネットワーク分断を想定しておりました。
ご回答ありがとうございました。

投稿日時 - 2015-02-20 11:53:28

ANo.4

>この構築をすれば、BからAへの情報漏えいの危険はなくなりますか?

いいえ。

>また、問題があるとすれば、どの点に問題があり、どのようにすれば解決しますか?

質問者さんが実施しようとしているのは情報漏えい全体と捉えた対策ではなく、
情報漏えいなどの原因の一つである不正アクセスの対応で、さらにその一つの対策に過ぎないからです。

そんなことはわかっていると言われるかもしれませんが情報漏えいの大半はヒューマンエラーです。
https://japan.norton.com/leakage-cause-1462

また、「危険はなくなりますか?」と問われていますが、情報漏えいをゼロにできる対策は現実的には無いと思います。
情報漏えいの対策は、情報漏えいのリスクをいかに少なくするかということになると思います。
対策は一つではなく複合的な対策になります。

情報漏えいを本格的に実施していきたいのならば、情報セキュリティについて学習してリスク分析から始めることをお勧めします。
他の回答者さんが書かれているように専門家に依頼するのも一つの方法です。

>しかし、4つのプロトコルの通信を許可した場合、この構築自体が無意味で、物理的にネットワークを分けても情報漏えいの危険があるのではないかという不安があります。

物理的にネットワークを分けても情報漏えいの危険は、上でも説明した通りもちろんあります。

しかし、質問者さんがやろうとしていることが無意味かといえばそうでは無いと思います。
多少なりとも情報漏えいのリスクを下げる効果はあると考えるからです。

ただ、セキュリティ対策に家庭用機器を使用するという発想は問題があると思います。

投稿日時 - 2015-02-05 09:40:04

お礼

お礼が遅くなり申し訳ございません。
いろいろな観点でのセキュリティリスクのご指摘をいただきありがとうございます。
いただいた情報を参考にさせていただきます。
ご回答ありがとうございました。

投稿日時 - 2015-02-20 11:47:54

とりあえずあまり知識がないということなので簡単に

[1]通信はBからAへの一方通行のみ(※AからBへの通信はできない)
NATを使えばそれらしくなります
Bを家庭内(LAN) Aをインターネット側(WAN)として設定すればOKです

[2]8080(http)、443(https)、3306(mysql)、445(smb)プロトコルの相互通信は許可する
【1】を設定していればhttp.httpsは確実に通ります
たぶんsmbもとおるはず
mysqlはやったことないので通るかもしれないし通らないかもしれません

家庭用ルーターだとフィルターなどの設定が殆どできないのであんまり良くはありませんがとりあえず分けたいレベルなら上記でいけると思います

上記でmysqlが通らないならば業務用ルーターを購入しフィルターでパケットの通過許可拒否設定が必要になります
なんでもいいのならばYAMAHAの家庭向けルーターとか中古で購入すれば安いんじゃないでしょうか?

投稿日時 - 2015-02-05 09:23:34

お礼

お礼が遅くなり申し訳ございません。
いただいた情報を参考にさせていただきます。
ご回答ありがとうございました。

投稿日時 - 2015-02-20 11:57:35

ANo.2

>通信技術に関する知識が乏しく、ネットで情報を探しても、うまく見つけることができませんでした。

「プロトコル」や「ポート」という語の意味を理解されてない時点で、ネットワークセキュリティーを守るのは難しいと思います。
まずは、

・ネットワークの基本知識を身につける
・専門家に任せる

のどちらにするか決めた方が良いと思います。

投稿日時 - 2015-02-04 21:49:27

お礼

ご回答ありがとうございました。

投稿日時 - 2015-02-20 11:55:32

あなたにオススメの質問