- 締切済み
MicrosoftUpdate/Liveupdate以外のインターネット接続を禁止するには?
現在、WindowsXP Pro.で10台程のLAN環境があります。 インターネットはルータを介してNAT(IPマスカレード)で接続しています。 業務で顧客情報を扱うため、セキュリティ強化として、インターネットの接続禁止を迫られています。 ですが、外部と記憶メディアの受け渡しが発生するため、LAN内のセキュリティ強化として Microsoft Update(Windows Update)と SymantecのLiveUpdateのみ、インターネットへの接続が必要となってしまい、これ以外のサイトへのアクセスを禁止したいのです。 WSUS や NAV Corporate Edition/Client Security の導入は、コストと運用の問題でNGを食らってしまいました。 DNSサーバの参照を止め、Microsoft UpdateやLiveUpdateがアクセスするサイトのみhostsファイルに登録することを考えましたが、Microsoft UpdateやLiveUpdateが不特定のIPにアクセス/リダイレクトされているようでhostsファイルに書くべきサイトの特定が難しく、またIP直打ちに対応できないという決定的な穴も発覚して、正直手詰まりの状態です。 みなさんのお知恵を拝借願います。
- みんなの回答 (4)
- 専門家の回答
みんなの回答
- Toshi0230
- ベストアンサー率51% (836/1635)
No.2 です。 ちょっと誤解があるようなので補足。 > DNSだけではhostsファイルでの対応と同様にIP直打ちに対応できないのはの同じですね。 DNSサーバプログラムであるBINDのver9 (bind9)や、Windows Server 2003付属のDNSでは、特定のゾーン(≒ドメイン)について、名前解決をフォワードできる(つまり外部のDNSに名前解決を依頼する)機能が付いていますので、別にサーバのIPを調べる必要はありません。 この機能、特定のドメインに対してだけ名前解決を依頼するDNSサーバを選択する事ができるので、使い勝手良くて重宝してます。
- ikiss
- ベストアンサー率43% (34/79)
>恐れ入りますが、この機能を実現する機器をご存知でしたら、教えていただけると幸いです。 さすがにインターネットでは細かい設定部分までは見れないし、 各機器のマニュアルなんて読んでられないのでわかりませんが、 ルータを発売している主なメーカーに電話をして(法人窓口など) 聞いてみたほうが早いと思います。
- Toshi0230
- ベストアンサー率51% (836/1635)
いずれも自前のサーバがあることが前提になってしまいますが、 ・プロキシサーバを利用して、特定のサイト以外はアクセスできないようにする ・DNSサーバで、Microsoft UpdateやLive Updateのサイト以外は名前解決しないようにしてしまう といったあたりが思いつきますね。ただ、コスト的にちょっと厳しいかも(^^; あとはNo.1さんと同じです。 個人的には、Windowsの更新についてはWSUSの導入を推したいところです。(^^;
お礼
ご回答ありがとうございます。 独自Proxy/DNSサーバの導入・運用は、Linux等の利用でイニシャルコストはかからないものの、初期設定や運用で手間がかかりそうです。 DNSだけではhostsファイルでの対応と同様にIP直打ちに対応できないのはの同じですね。 DNSサーバ一箇所での管理となるのは魅力的ですけど。 WSUS/Proxyも含めて、SBSの導入も検討しているのですが、運用ポリシーの決定,初期設定コスト等でなかなか前に進めません。 導入が決まっても、素人のサーバ管理は運用に振り回されそうで‥(^^;
- ikiss
- ベストアンサー率43% (34/79)
URLフィルタリング機能があるルータを使用し、特定URLのみ通過許可という 設定は駄目ですか? コスト的にもOKでしょう。
お礼
ご回答ありがとうございます。 最低でもMicrosoft UpdateとLiveUpdateがアクセスするURLは(リダイレクト先を含めて)把握しておかないとですね。 hostsファイルではなくルータで管理できれば、アドレス,URLの追加・修正も楽になりそうです。 ところで、ルータのURLフィルタリング機能を調査してみたのですが、特定のURLを「除外」する機能は見つかるものの、特定のURL「のみを通過」させる機能のものがなかなか見つかりません。 恐れ入りますが、この機能を実現する機器をご存知でしたら、教えていただけると幸いです。
お礼
そういえば、bindにはforwarder設定で特定ゾーンを外部参照することができました。 WU/LU時にDNSのログを取り、引くゾーンを特定して、そのゾーンはforwarderすれば運用できそうです。 この際、(めったにないでしょうが)DNSを引かない外部アクセスは目をつぶって、WU/LUが使うドメインのみDNSを外部参照するのがベターかもしれません。 ローカルDNSの運用が必要なので、検討してみます。 ありがとうございました。