質問編集履歴
4
わかりづらい言葉の修正
title
CHANGED
|
File without changes
|
body
CHANGED
|
@@ -12,13 +12,13 @@
|
|
|
12
12
|
1.VPSなどの踏み台サーバーは利用せず、通信は外部の自分の端末と、自宅ネットワークで完結するものとします。
|
|
13
13
|
2.リモート接続の認証が破られたときのためにNASなどのリモート対象機器のセグメントはDMZ的にする。つまり、
|
|
14
14
|
|
|
15
|
-
自宅ネットワーク-router2-リモート用セグメント-router1-wan
|
|
15
|
+
自宅ネットワーク(network 2)-router2-リモート用セグメント(network 1)-router1-wan
|
|
16
16
|
|
|
17
17
|
のような構成にし、自宅ネットワークへの侵入はさせない。
|
|
18
18
|
|
|
19
19
|
以上の要件を解決する、ネットワーク構成もしくはNASの設定はあるのでしょうか?
|
|
20
20
|
|
|
21
|
-
特に、企業などの重要度が高い要件では、このよう
|
|
21
|
+
特に、企業などの重要度が高い要件では、このように外部からアクセスをしたくて、ルーターやファイヤーウォールに穴を開けた場合は、どう対策をしているのでしょうか?
|
|
22
22
|
|
|
23
23
|
自分の考えた方法は以下の2つです。
|
|
24
24
|
|
|
@@ -27,7 +27,7 @@
|
|
|
27
27
|
それを同一ネットワーク内の機器により、暗号化&リモートセグメントへのアップロード・同期処理する機器を用いて、リモートセグメントに設置したいNASへ、データをコピーする方法です。
|
|
28
28
|
|
|
29
29
|
```
|
|
30
|
-
(自宅ネットワーク)--router2-(リモートセグメント)-router1-wan
|
|
30
|
+
(自宅ネットワーク network 2)--router2-(リモートセグメント network 1)-router1-wan
|
|
31
31
|
| |
|
|
32
32
|
|--(平文のNASデータ) (暗号化データのNAS)
|
|
33
33
|
|
|
|
@@ -56,7 +56,7 @@
|
|
|
56
56
|
特に、多重化するリモートソフトは、異なるソフト、かつ、異なるホストだと、悪用された脆弱性で連続的に侵入される事はない。
|
|
57
57
|
|
|
58
58
|
メリット
|
|
59
|
-
・短期間であれば、NASデータの
|
|
59
|
+
・短期間であれば、NASデータの存在するセグメントにアクセスされないため、NASデータを平文状態で設置できる。
|
|
60
60
|
|
|
61
61
|
デメリット
|
|
62
62
|
・異なるホストを用意する手間。これが物理的に異なるホストではなく、仮想ネットワーク内の仮想ホストで多重化しても、セキュリティ的に問題にならないなら、コストカットできる。
|
|
@@ -70,11 +70,6 @@
|
|
|
70
70
|
|
|
71
71
|
|
|
72
72
|
|
|
73
|
-
|
|
74
|
-
|
|
75
|
-
|
|
76
|
-
|
|
77
|
-
|
|
78
73
|
### 補足情報(FW/ツールのバージョンなど)
|
|
79
74
|
|
|
80
75
|
まだ、セキュリティ的に怖くて始めていませんが、犠牲になるVPNなどのリモート認証機能をもたせる機器は、RPIでやるつもりですが、フィルタやウィルスチェックを考えると、余力のある普通のPCの方がよいかもしれません。
|
3
使用する機器についての具体的な説明
title
CHANGED
|
File without changes
|
body
CHANGED
|
@@ -63,6 +63,10 @@
|
|
|
63
63
|
|
|
64
64
|
以上の方法を考えましたが、何か良い案がありましたら教えてください。
|
|
65
65
|
|
|
66
|
+
ps:
|
|
67
|
+
ポートフォワーディングとかも使えるかな?
|
|
68
|
+
webサーバの公開を一度もやったことがなく、
|
|
69
|
+
サーバ公開自体が今回が初めて。
|
|
66
70
|
|
|
67
71
|
|
|
68
72
|
|
|
@@ -71,30 +75,6 @@
|
|
|
71
75
|
|
|
72
76
|
|
|
73
77
|
|
|
74
|
-
|
|
75
|
-
|
|
76
|
-
|
|
77
|
-
|
|
78
|
-
ここに質問の内容を詳しく書いてください。
|
|
79
|
-
(例)PHP(CakePHP)で●●なシステムを作っています。
|
|
80
|
-
■■な機能を実装中に以下のエラーメッセージが発生しました。
|
|
81
|
-
|
|
82
|
-
### 発生している問題・エラーメッセージ
|
|
83
|
-
|
|
84
|
-
```
|
|
85
|
-
エラーメッセージ
|
|
86
|
-
```
|
|
87
|
-
|
|
88
|
-
### 該当のソースコード
|
|
89
|
-
|
|
90
|
-
```ここに言語名を入力
|
|
91
|
-
ソースコード
|
|
92
|
-
```
|
|
93
|
-
|
|
94
|
-
### 試したこと
|
|
95
|
-
|
|
96
|
-
ここに問題に対して試したことを記載してください。
|
|
97
|
-
|
|
98
78
|
### 補足情報(FW/ツールのバージョンなど)
|
|
99
79
|
|
|
100
|
-
|
|
80
|
+
まだ、セキュリティ的に怖くて始めていませんが、犠牲になるVPNなどのリモート認証機能をもたせる機器は、RPIでやるつもりですが、フィルタやウィルスチェックを考えると、余力のある普通のPCの方がよいかもしれません。
|
2
補足
title
CHANGED
|
File without changes
|
body
CHANGED
|
@@ -22,14 +22,14 @@
|
|
|
22
22
|
|
|
23
23
|
自分の考えた方法は以下の2つです。
|
|
24
24
|
|
|
25
|
-
1つめは、暗号化
|
|
25
|
+
1つめは、暗号化データをNASに入れる用いる方法です。
|
|
26
26
|
自宅ネットワーク内に存在する平文状態のNASデータに対し、
|
|
27
27
|
それを同一ネットワーク内の機器により、暗号化&リモートセグメントへのアップロード・同期処理する機器を用いて、リモートセグメントに設置したいNASへ、データをコピーする方法です。
|
|
28
28
|
|
|
29
29
|
```
|
|
30
30
|
(自宅ネットワーク)--router2-(リモートセグメント)-router1-wan
|
|
31
|
-
|
|
|
31
|
+
| |
|
|
32
|
-
|--(平文のNASデータ)
|
|
32
|
+
|--(平文のNASデータ) (暗号化データのNAS)
|
|
33
33
|
|
|
|
34
34
|
|--(NASデータを暗号化・同期処理する機器)
|
|
35
35
|
|
|
|
@@ -48,23 +48,19 @@
|
|
|
48
48
|
|
|
49
49
|
デメリット
|
|
50
50
|
・NASの総容量やファイル数が多いと、暗号化・同期処理が重くなる。
|
|
51
|
-
・もし、暗号化後のNASデータを同期処理するのに、SMBを使用している場合は、router2の外向きファイル共有ポートを開ける必要があり、平文状態のNASが
|
|
51
|
+
・もし、暗号化後のNASデータを同期処理するのに、SMBを使用している場合は、router2の外向きファイル共有ポートを開ける必要があり、平文状態のNASデータが漏洩する危険性が現れ、出口対策が無効化される。(ポートを変更すればいいだけ!?)
|
|
52
52
|
|
|
53
53
|
2つめは、二重リモートする方法です。
|
|
54
54
|
|
|
55
|
+
最も外側のリモート接続機器が攻撃されても、NASまでのアクセスがリモートソフトで多重化されていれば、より内部に近いリモートソフトからは総当たりやその他の不審なアクセスのログが残り、長時間の放置ではない限り、リモートセグメントにアクセスされる可能性は低いです。
|
|
55
|
-
リモート
|
|
56
|
+
特に、多重化するリモートソフトは、異なるソフト、かつ、異なるホストだと、悪用された脆弱性で連続的に侵入される事はない。
|
|
56
|
-
より内部に近いリモートソフトからは総当たりやその他の不審なアクセスのログが残り、
|
|
57
|
-
長時間の放置ではない限り、リモートセグメントにアクセスされる可能性は低いです。
|
|
58
57
|
|
|
59
58
|
メリット
|
|
60
59
|
・短期間であれば、NASデータのあるセグメントにアクセスされないため、NASデータを平文状態で設置できる。
|
|
61
60
|
|
|
62
61
|
デメリット
|
|
63
|
-
・
|
|
62
|
+
・異なるホストを用意する手間。これが物理的に異なるホストではなく、仮想ネットワーク内の仮想ホストで多重化しても、セキュリティ的に問題にならないなら、コストカットできる。
|
|
64
63
|
|
|
65
|
-
|
|
66
|
-
|
|
67
|
-
|
|
68
64
|
以上の方法を考えましたが、何か良い案がありましたら教えてください。
|
|
69
65
|
|
|
70
66
|
|
1
誤字
title
CHANGED
|
File without changes
|
body
CHANGED
|
@@ -10,11 +10,11 @@
|
|
|
10
10
|
|
|
11
11
|
条件:
|
|
12
12
|
1.VPSなどの踏み台サーバーは利用せず、通信は外部の自分の端末と、自宅ネットワークで完結するものとします。
|
|
13
|
-
2.リモート接続の認証が破られたときのためにNASなどのリモート対象機器のセグメントはDMZ的にする。つまり、
|
|
13
|
+
2.リモート接続の認証が破られたときのためにNASなどのリモート対象機器のセグメントはDMZ的にする。つまり、
|
|
14
14
|
|
|
15
15
|
自宅ネットワーク-router2-リモート用セグメント-router1-wan
|
|
16
16
|
|
|
17
|
-
のようにし、自宅ネットワークへの侵入はさせない。
|
|
17
|
+
のような構成にし、自宅ネットワークへの侵入はさせない。
|
|
18
18
|
|
|
19
19
|
以上の要件を解決する、ネットワーク構成もしくはNASの設定はあるのでしょうか?
|
|
20
20
|
|