- ベストアンサー
特定プロトコルの通信許可設定のセキュリティについて
- 特定プロトコルの通信許可設定のセキュリティについて質問します。通信条件や構築内容について説明し、情報漏えいの危険性や問題点について教えてください。
- 特定プロトコルの通信許可設定のセキュリティについて質問します。BからAへの一方通行の通信条件とプロトコルの相互通信許可について構築内容を説明し、情報漏えいの危険性や問題点について教えてください。
- 特定プロトコルの通信許可設定のセキュリティについて質問します。ネットワーク間通信設定の構築内容やAからBへの通信の制限条件について説明し、情報漏えいの危険性や問題点について教えてください。
- mariko_ashida
- お礼率58% (32/55)
- ネットワーク
- 回答数5
- ありがとう数11
- みんなの回答 (5)
- 専門家の回答
質問者が選んだベストアンサー
なんの情報を守りたいのかわかりませんが、ネットワーク機器の設定だけで行うのは無理があると思います。 特に、DB接続、SMBをすべてのクライアントを通すのであれば、MySQL側、SMB(ファイル共有)の設定は必須だと思います。 MySQLであれば、GRANTでアカウント・ホスト・操作権限を設定 ファイル共有であれば、フォルダ毎のアクセス権 あわせて、安価なネットワーク機器でフィルターかけると、かなり速度が落ちる場合があります。 どの程度のトラフィックかわかりませんが、ネットワーク機器でフィルタリングするならば、L3スイッチを検討されたほうが良いと思います。
その他の回答 (4)
- nnori7142
- ベストアンサー率60% (755/1249)
お尋ねの件ですが、お持ちのBuffaloルーターでは出来ないかと考えます。 Buffaloルーターにおきまして対応しますのは、静的フィルター機能のみで、B→Aの通信時にB側ルーターの方に動的フィルターが設定出来るタイプで有れば、out側の通信派生時に特定ポートを開ける設定が可能です。 Buffaloルーターですと、「ポートトリガー」といった名称の機能になるかと存じますが、「VR-S1000」でしたら対応しております。 情報漏洩に関しましては、A・B間の接続がどういった形になっているかは解りませんが、遠隔拠点間通信の場合には、通信自体の遮蔽通信も考慮する必要が有ります。 お持ちのBuffaloルーターは、脆弱性を含んでいるPPTPサーバ機能のみですので、IPSEC-VPNでの暗号化遮蔽接続が必要になる点、双方でのセキュリティレベルと通信の信頼性・スループット等の安定性を考慮する必要が有ります。 最低限の話ですが、A・B拠点に「VR-S1000」、VPNを利用されている状態でしたら、IPSEC-VPNでの接続移行、Bの接続端末等にセキュリティソフト等での認可・破棄等の規制が必要かと考えます。 ※ Kaspersky スマートオフィス・セキュリティ・・http://www.kaspersky.co.jp/small-office-security#Feature1 出来れば推奨として、Yamaha「FWX120」等のファイアーウォールルーターをA・B拠点での接続運用、ケースによって動的フィルタ等の設定が良いかと考えます。 ※ 「http://jp.yamaha.com/products/network/firewalls/fwx120/」、「http://www.rtpro.yamaha.co.jp/RT/docs/firewall/index.html?_ga=1.129256140.1366611709.1422777954#section2」
お礼
お礼が遅くなり申し訳ございません。 せっかく詳しいご回答をいただきましたが、今回は遠隔拠点ではなく、一拠点内でのネットワーク分断を想定しておりました。 ご回答ありがとうございました。
- maesen
- ベストアンサー率81% (646/790)
>この構築をすれば、BからAへの情報漏えいの危険はなくなりますか? いいえ。 >また、問題があるとすれば、どの点に問題があり、どのようにすれば解決しますか? 質問者さんが実施しようとしているのは情報漏えい全体と捉えた対策ではなく、 情報漏えいなどの原因の一つである不正アクセスの対応で、さらにその一つの対策に過ぎないからです。 そんなことはわかっていると言われるかもしれませんが情報漏えいの大半はヒューマンエラーです。 https://japan.norton.com/leakage-cause-1462 また、「危険はなくなりますか?」と問われていますが、情報漏えいをゼロにできる対策は現実的には無いと思います。 情報漏えいの対策は、情報漏えいのリスクをいかに少なくするかということになると思います。 対策は一つではなく複合的な対策になります。 情報漏えいを本格的に実施していきたいのならば、情報セキュリティについて学習してリスク分析から始めることをお勧めします。 他の回答者さんが書かれているように専門家に依頼するのも一つの方法です。 >しかし、4つのプロトコルの通信を許可した場合、この構築自体が無意味で、物理的にネットワークを分けても情報漏えいの危険があるのではないかという不安があります。 物理的にネットワークを分けても情報漏えいの危険は、上でも説明した通りもちろんあります。 しかし、質問者さんがやろうとしていることが無意味かといえばそうでは無いと思います。 多少なりとも情報漏えいのリスクを下げる効果はあると考えるからです。 ただ、セキュリティ対策に家庭用機器を使用するという発想は問題があると思います。
お礼
お礼が遅くなり申し訳ございません。 いろいろな観点でのセキュリティリスクのご指摘をいただきありがとうございます。 いただいた情報を参考にさせていただきます。 ご回答ありがとうございました。
とりあえずあまり知識がないということなので簡単に [1]通信はBからAへの一方通行のみ(※AからBへの通信はできない) NATを使えばそれらしくなります Bを家庭内(LAN) Aをインターネット側(WAN)として設定すればOKです [2]8080(http)、443(https)、3306(mysql)、445(smb)プロトコルの相互通信は許可する 【1】を設定していればhttp.httpsは確実に通ります たぶんsmbもとおるはず mysqlはやったことないので通るかもしれないし通らないかもしれません 家庭用ルーターだとフィルターなどの設定が殆どできないのであんまり良くはありませんがとりあえず分けたいレベルなら上記でいけると思います 上記でmysqlが通らないならば業務用ルーターを購入しフィルターでパケットの通過許可拒否設定が必要になります なんでもいいのならばYAMAHAの家庭向けルーターとか中古で購入すれば安いんじゃないでしょうか?
お礼
お礼が遅くなり申し訳ございません。 いただいた情報を参考にさせていただきます。 ご回答ありがとうございました。
- notnot
- ベストアンサー率47% (4900/10358)
>通信技術に関する知識が乏しく、ネットで情報を探しても、うまく見つけることができませんでした。 「プロトコル」や「ポート」という語の意味を理解されてない時点で、ネットワークセキュリティーを守るのは難しいと思います。 まずは、 ・ネットワークの基本知識を身につける ・専門家に任せる のどちらにするか決めた方が良いと思います。
お礼
ご回答ありがとうございました。
![その他([技術者向] コンピューター) イメージ](https://gazo.okwave.jp/okwave/spn/images/related_qa/c205_3_thumbnail_img_sm.png)
お礼
お礼が遅くなり申し訳ございません。 いただいた情報を参考にさせていただきます。 今ある備品でと思ってはいたのですが、L3スイッチについても調べてみます。 ご回答ありがとうございました。