Q&A
リバース Proxy は、DMZ にあるのですか? LDAP は、インターネット側から参照しているのでしょうか?
現在各種サーバーをリバースプロキシなどを設置してDMZからTrustに移行する計画を立てています。
WebサーバーについてはNginxでリバースプロキシを構築、経由してTrustに移行できる見通しは立ったのですが、Webサーバー以外について良い案が浮かびません。
[Trustに移行したいサーバー]
・LDAPサーバー(※メーラーのアドレス帳のみの利用用途)
・メールサーバー
まず確認したいのはNginx・Apacheなどのリバースプロキシ機能はWebサーバーのみを対象としているのでしょうか?HTTPおよびHTTPS以外のプロトコルについては対象外?
なにか別の方法があるのでしょうか?
方法を知っている方、実際に運用している方、ご教授をお願いします。
リバースプロキシはDMZ上にあります。LDAPの方は試験運用中で現在はTrust上に置いてますが、アドレス帳をインターネット側からも見れる必要があるため模索中です。
回答2件
0
ベストアンサー
Nginx は SMTP, POP3, IMAP プロキシの機能もあります。
DeleGate の方が実績はあると思いますが、商用利用の場合、ライセンスフリーではなかったと思います。
LDAP は OpenLDAP でプロキシできたと思います。
あるいは、DMZ に Read-Only のスレーブを置いて、Trust の LDAP とレプリケーションするとか。
でも、インターネットからアクセスするのであれば、DMZ のままでいいのではないでしょうか。
Trust に移行する目的は何でしょうか?
投稿2017/04/05 06:13
総合スコア12146
Nginxでメールのプロキシもできるんですね。勉強不足でした。ありがとうございます。
LDAPをTrustに置く理由ですが単純にデータを保存しているサーバーをDMZに置きたくないというものです。万一のっとられた場合にデータ書き換えが可能なのは防ぎたいかなと考えています。
Trust にサーバー以外のホストがないのであれば、意味があると思いますが、もし、Trust が(PC などが存在する)いわゆる社内ネットワークだと、逆にまずいのでは。
万が一、プロキシ経由で Trust のサーバーが乗っ取られると、Trust の他のホストにも攻撃が及ぶ可能性があります。
その場合は、DMZ にプロキシとサーバーを置いて、インターネットからはプロキシのみにアクセスさせるとか、サーバーを DMZ2 に置くとか。
仰る通り、Trustに他のホストがある状況です。。なるほど、あくまでDMZにLDAPを置いて、プロキシとの通信以外は遮断する、で解決できそうですね。DMZを多段にするというのも発想にはなかったです、勉強になります。ただ、ふつうWebサーバーと連動するDBサーバーなどはどういった配置設計をするものなのでしょう?他の参考サイトなどにはDMZにはプロキシを設置してほかのサーバーは内部ネットワークに集約するというような情報が散見される気がするのですが、もはやそういった設計は古いのでしょうか。
フロントのサーバーが乗っ取られた場合を想定して、ゾーンを分けることは意味があります。
ただし、プロキシの場合、クライアントから入力されるコマンド/リクエストがプロキシ経由でバックエンドのサーバーに届くので、プロキシである程度不正なコマンドは破棄されるにしても、バックエンドのサーバーが乗っ取られる可能性は想定しておいた方がいいと思います。
なので、サーバーと Trust を分けることが第1 で、可能であればプロキシとサーバーを分けることを検討するといいかと。
メールサーバーについては、プロキシを置く意味はあまりないような気がします。
LDAP については、回答にも書きましたが、DMZ に Read-Only のスレーブを置いて、RootDN でのログイン制限、anonymous での検索禁止にするなどした方が、プロキシよりは安全だと思います。
あなたの回答
tips
プレビュー
