質問編集履歴
4
わかりづらい言葉の修正
test
CHANGED
File without changes
|
test
CHANGED
@@ -26,7 +26,7 @@
|
|
26
26
|
|
27
27
|
|
28
28
|
|
29
|
-
自宅ネットワーク-router2-リモート用セグメント-router1-wan
|
29
|
+
自宅ネットワーク(network 2)-router2-リモート用セグメント(network 1)-router1-wan
|
30
30
|
|
31
31
|
|
32
32
|
|
@@ -38,7 +38,7 @@
|
|
38
38
|
|
39
39
|
|
40
40
|
|
41
|
-
特に、企業などの重要度が高い要件では、このよう
|
41
|
+
特に、企業などの重要度が高い要件では、このように外部からアクセスをしたくて、ルーターやファイヤーウォールに穴を開けた場合は、どう対策をしているのでしょうか?
|
42
42
|
|
43
43
|
|
44
44
|
|
@@ -56,7 +56,7 @@
|
|
56
56
|
|
57
57
|
```
|
58
58
|
|
59
|
-
(自宅ネットワーク)--router2-(リモートセグメント)-router1-wan
|
59
|
+
(自宅ネットワーク network 2)--router2-(リモートセグメント network 1)-router1-wan
|
60
60
|
|
61
61
|
| |
|
62
62
|
|
@@ -114,7 +114,7 @@
|
|
114
114
|
|
115
115
|
メリット
|
116
116
|
|
117
|
-
・短期間であれば、NASデータの
|
117
|
+
・短期間であれば、NASデータの存在するセグメントにアクセスされないため、NASデータを平文状態で設置できる。
|
118
118
|
|
119
119
|
|
120
120
|
|
@@ -142,16 +142,6 @@
|
|
142
142
|
|
143
143
|
|
144
144
|
|
145
|
-
|
146
|
-
|
147
|
-
|
148
|
-
|
149
|
-
|
150
|
-
|
151
|
-
|
152
|
-
|
153
|
-
|
154
|
-
|
155
145
|
### 補足情報(FW/ツールのバージョンなど)
|
156
146
|
|
157
147
|
|
3
使用する機器についての具体的な説明
test
CHANGED
File without changes
|
test
CHANGED
@@ -128,6 +128,13 @@
|
|
128
128
|
|
129
129
|
|
130
130
|
|
131
|
+
ps:
|
132
|
+
|
133
|
+
ポートフォワーディングとかも使えるかな?
|
134
|
+
|
135
|
+
webサーバの公開を一度もやったことがなく、
|
136
|
+
|
137
|
+
サーバ公開自体が今回が初めて。
|
131
138
|
|
132
139
|
|
133
140
|
|
@@ -145,55 +152,8 @@
|
|
145
152
|
|
146
153
|
|
147
154
|
|
148
|
-
|
149
|
-
|
150
|
-
|
151
|
-
|
152
|
-
|
153
|
-
|
154
|
-
|
155
|
-
ここに質問の内容を詳しく書いてください。
|
156
|
-
|
157
|
-
(例)PHP(CakePHP)で●●なシステムを作っています。
|
158
|
-
|
159
|
-
■■な機能を実装中に以下のエラーメッセージが発生しました。
|
160
|
-
|
161
|
-
|
162
|
-
|
163
|
-
### 発生している問題・エラーメッセージ
|
164
|
-
|
165
|
-
|
166
|
-
|
167
|
-
```
|
168
|
-
|
169
|
-
エラーメッセージ
|
170
|
-
|
171
|
-
```
|
172
|
-
|
173
|
-
|
174
|
-
|
175
|
-
### 該当のソースコード
|
176
|
-
|
177
|
-
|
178
|
-
|
179
|
-
```ここに言語名を入力
|
180
|
-
|
181
|
-
ソースコード
|
182
|
-
|
183
|
-
```
|
184
|
-
|
185
|
-
|
186
|
-
|
187
|
-
### 試したこと
|
188
|
-
|
189
|
-
|
190
|
-
|
191
|
-
ここに問題に対して試したことを記載してください。
|
192
|
-
|
193
|
-
|
194
|
-
|
195
155
|
### 補足情報(FW/ツールのバージョンなど)
|
196
156
|
|
197
157
|
|
198
158
|
|
199
|
-
|
159
|
+
まだ、セキュリティ的に怖くて始めていませんが、犠牲になるVPNなどのリモート認証機能をもたせる機器は、RPIでやるつもりですが、フィルタやウィルスチェックを考えると、余力のある普通のPCの方がよいかもしれません。
|
2
補足
test
CHANGED
File without changes
|
test
CHANGED
@@ -46,7 +46,7 @@
|
|
46
46
|
|
47
47
|
|
48
48
|
|
49
|
-
1つめは、暗号化NAS
|
49
|
+
1つめは、暗号化データをNASに入れる用いる方法です。
|
50
50
|
|
51
51
|
自宅ネットワーク内に存在する平文状態のNASデータに対し、
|
52
52
|
|
@@ -58,9 +58,9 @@
|
|
58
58
|
|
59
59
|
(自宅ネットワーク)--router2-(リモートセグメント)-router1-wan
|
60
60
|
|
61
|
-
| |
|
61
|
+
| |
|
62
62
|
|
63
|
-
|--(平文のNASデータ) (暗号化データのNAS)
|
63
|
+
|--(平文のNASデータ) (暗号化データのNAS)
|
64
64
|
|
65
65
|
|
|
66
66
|
|
@@ -98,7 +98,7 @@
|
|
98
98
|
|
99
99
|
・NASの総容量やファイル数が多いと、暗号化・同期処理が重くなる。
|
100
100
|
|
101
|
-
・もし、暗号化後のNASデータを同期処理するのに、SMBを使用している場合は、router2の外向きファイル共有ポートを開ける必要があり、平文状態のNASが
|
101
|
+
・もし、暗号化後のNASデータを同期処理するのに、SMBを使用している場合は、router2の外向きファイル共有ポートを開ける必要があり、平文状態のNASデータが漏洩する危険性が現れ、出口対策が無効化される。(ポートを変更すればいいだけ!?)
|
102
102
|
|
103
103
|
|
104
104
|
|
@@ -106,11 +106,9 @@
|
|
106
106
|
|
107
107
|
|
108
108
|
|
109
|
-
リモート接続機器が攻撃されても、
|
109
|
+
最も外側のリモート接続機器が攻撃されても、NASまでのアクセスがリモートソフトで多重化されていれば、より内部に近いリモートソフトからは総当たりやその他の不審なアクセスのログが残り、長時間の放置ではない限り、リモートセグメントにアクセスされる可能性は低いです。
|
110
110
|
|
111
|
-
|
111
|
+
特に、多重化するリモートソフトは、異なるソフト、かつ、異なるホストだと、悪用された脆弱性で連続的に侵入される事はない。
|
112
|
-
|
113
|
-
長時間の放置ではない限り、リモートセグメントにアクセスされる可能性は低いです。
|
114
112
|
|
115
113
|
|
116
114
|
|
@@ -122,13 +120,7 @@
|
|
122
120
|
|
123
121
|
デメリット
|
124
122
|
|
125
|
-
・
|
123
|
+
・異なるホストを用意する手間。これが物理的に異なるホストではなく、仮想ネットワーク内の仮想ホストで多重化しても、セキュリティ的に問題にならないなら、コストカットできる。
|
126
|
-
|
127
|
-
|
128
|
-
|
129
|
-
|
130
|
-
|
131
|
-
|
132
124
|
|
133
125
|
|
134
126
|
|
1
誤字
test
CHANGED
File without changes
|
test
CHANGED
@@ -22,7 +22,7 @@
|
|
22
22
|
|
23
23
|
1.VPSなどの踏み台サーバーは利用せず、通信は外部の自分の端末と、自宅ネットワークで完結するものとします。
|
24
24
|
|
25
|
-
2.リモート接続の認証が破られたときのためにNASなどのリモート対象機器のセグメントはDMZ的にする。つまり、
|
25
|
+
2.リモート接続の認証が破られたときのためにNASなどのリモート対象機器のセグメントはDMZ的にする。つまり、
|
26
26
|
|
27
27
|
|
28
28
|
|
@@ -30,7 +30,7 @@
|
|
30
30
|
|
31
31
|
|
32
32
|
|
33
|
-
のようにし、自宅ネットワークへの侵入はさせない。
|
33
|
+
のような構成にし、自宅ネットワークへの侵入はさせない。
|
34
34
|
|
35
35
|
|
36
36
|
|