HOME»応用情報技術者試験掲示板»ネットワーク構築の初歩的な質問
投稿する
試験問題文にもありますが
「aでは,インターネットとDMZ間及び内部LANとDMZ間で業務に必要な通信だけを許可し,通信ログ及び遮断ログを取得する。」
は許可されていない通信はすべて遮断と解釈していいので
PC(内部NW)→FW→外部NW
の道は通れない。
そのために、DMZのプロキシ経由で外部に迂回する形となってます。
ネットワーク構築の初歩的な質問 [4028]
八王子さん(No.1)
初歩的な質問で申し訳ないのですが、下記問題のネットワーク図について質問があります。
図では下記のようになっていますが、
ネットワーク
│
PC-FW-プロキシ
私の中ではPCからプロキシを介してNWに繋ぐイメージだったので
PC-FW-プロキシ-NW
もしくは
PC-プロキシ-FW-NW
のように一直線に繋がっている構成になるのかと思っていました。
これはネットワーク構築によるのでしょうか。それとも私の認識が根本的に間違っているのでしょうか。
https://www.ap-siken.com/s/kakomon/04_aki/pm01.html
図では下記のようになっていますが、
ネットワーク
│
PC-FW-プロキシ
私の中ではPCからプロキシを介してNWに繋ぐイメージだったので
PC-FW-プロキシ-NW
もしくは
PC-プロキシ-FW-NW
のように一直線に繋がっている構成になるのかと思っていました。
これはネットワーク構築によるのでしょうか。それとも私の認識が根本的に間違っているのでしょうか。
https://www.ap-siken.com/s/kakomon/04_aki/pm01.html
2023.03.09 23:42
takajaroさん(No.2)
ネットワークと言っているのはインターネットの事ですよね?
「なぜDMZが必要か?」という所がポイントになる質問かと思いました。
インターネットと通信が必要なサーバ(Web、mail、DNS)などは攻撃のターゲットになりやすく、
またDBなどは機密情報の漏洩など被害も大きいですし、そもそも一般的にDBは直接公開する必要はありません。
仮に上記サーバ全てが同じ領域に配置されていた場合、FWを突破されてWebサーバなどが乗っ取りなどの被害にあった場合、領域内全てのサーバが被害を受ける危険性が高まります。
そこで緩衝地帯を設け、外部への公開が必要なサーバ(Webなど)のみを配置し、
緩衝地帯→内部サーバへの通信はもう一度FWを経由するようにします。FWのポリシーもそれぞれ別となっており
①インターネット → 緩衝地帯のポリシー(例えば、any→Web)
②緩衝地帯 → 内部のポリシー(例えば、Web→DB *DBにはWebからのみアクセスを許可)
とすることで、より強固になります。
この緩衝地帯がDMZになります。
つまり、
「外部と通信が必要なサーバはインターネットとの通信を可能にしつつも、万が一の際に保護されるべき内部サーバへの被害を抑える」役割を果たすのがDMZになります。
例えば質問に記載されているような一直線の構成になっていた場合、
1つ目の構成ではプロキシがFWによって守られません。
2つ目の構成の場合、プロキシが攻撃にあった場合に内部のPCまで被害が及ぶ危険性が高まります。
「なぜDMZが必要か?」という所がポイントになる質問かと思いました。
インターネットと通信が必要なサーバ(Web、mail、DNS)などは攻撃のターゲットになりやすく、
またDBなどは機密情報の漏洩など被害も大きいですし、そもそも一般的にDBは直接公開する必要はありません。
仮に上記サーバ全てが同じ領域に配置されていた場合、FWを突破されてWebサーバなどが乗っ取りなどの被害にあった場合、領域内全てのサーバが被害を受ける危険性が高まります。
そこで緩衝地帯を設け、外部への公開が必要なサーバ(Webなど)のみを配置し、
緩衝地帯→内部サーバへの通信はもう一度FWを経由するようにします。FWのポリシーもそれぞれ別となっており
①インターネット → 緩衝地帯のポリシー(例えば、any→Web)
②緩衝地帯 → 内部のポリシー(例えば、Web→DB *DBにはWebからのみアクセスを許可)
とすることで、より強固になります。
この緩衝地帯がDMZになります。
つまり、
「外部と通信が必要なサーバはインターネットとの通信を可能にしつつも、万が一の際に保護されるべき内部サーバへの被害を抑える」役割を果たすのがDMZになります。
例えば質問に記載されているような一直線の構成になっていた場合、
1つ目の構成ではプロキシがFWによって守られません。
2つ目の構成の場合、プロキシが攻撃にあった場合に内部のPCまで被害が及ぶ危険性が高まります。
2023.03.10 10:30
八王子さん(No.3)
なるほど。DMZについては理解できました。ありがとうございます。1つ目のものもプロキシがFWに守られていないから間違いという点も理解できました。
ただ、やはりPCからプロキシを介して通信するというイメージが強く、「なら内部LANのL2SWやL3SW、FWの間にプロキシを置けばよくない?いくらFWで通信の制限をしているからと言ってもPC→FW→インターネットの道があるより、経路途中にプロキシを置き、強制的に介す方がいいのでは?」と思ってしまいます。
サーバー系はFWを挟んで全て同じNWに属させるのが理想…みたいな感じなのでしょうか?
ただ、やはりPCからプロキシを介して通信するというイメージが強く、「なら内部LANのL2SWやL3SW、FWの間にプロキシを置けばよくない?いくらFWで通信の制限をしているからと言ってもPC→FW→インターネットの道があるより、経路途中にプロキシを置き、強制的に介す方がいいのでは?」と思ってしまいます。
サーバー系はFWを挟んで全て同じNWに属させるのが理想…みたいな感じなのでしょうか?
2023.03.10 10:49
電タックさん(No.4)
>いくらFWで通信の制限をしているからと言ってもPC→FW→インターネットの道があるより
試験問題文にもありますが
「aでは,インターネットとDMZ間及び内部LANとDMZ間で業務に必要な通信だけを許可し,通信ログ及び遮断ログを取得する。」
は許可されていない通信はすべて遮断と解釈していいので
PC(内部NW)→FW→外部NW
の道は通れない。
そのために、DMZのプロキシ経由で外部に迂回する形となってます。
2023.03.10 11:00
takajaroさん(No.5)
プロキシもWebやDNSと同様、インターネットと通信が必要なサーバ(=攻撃の被害に合いやすいサーバ)になりますので、内部LANに置いてしまいますと他のサーバやPCへの被害の可能性が高まります。(この図だと顧客サーバなどは機密性の高い情報が格納されてそうです)
問題文の〔セキュリティ対策の現状〕にも書かれてあるように、実際は下記のポリシーとなっており、
①プロキシ → インターネットへの通信許可
②内部PC → プロキシへの通信許可
※内部PC → インターネットへの直接の通信は許可されていない、という点がポイント
物理的には一見すると、PC→FW→インターネットの道があるように見えるかもしれませんが、
論理的には、PC→FW→プロキシ→FW→インターネット(戻りは逆)の道しかありません。
一般的に下記の2か所をFWで(論理的に)分けるべき、とされています。
・インターネットと公開サーバ領域の境界に1つ目のFW
・公開サーバ領域と内部領域の境界に2つ目のFW
サーバ全てを同じNWに属させるのではなく、この図のサーバを1つ1つ見ていくと分かるのですが、
・外部DNS、メール中継、代理店サーバ(代理店との通信が必要)、プロキシは、
いずれもインターネットとの直接の通信が必要なためDMZで隔離されています。
一方、
・内部DNS、社内メール、顧客サーバ(従業員向け)、配布サーバ(PCのパッチ適用)は、
いずれも社内専用のため内部LANに配置されています。
問題文の〔セキュリティ対策の現状〕にも書かれてあるように、実際は下記のポリシーとなっており、
①プロキシ → インターネットへの通信許可
②内部PC → プロキシへの通信許可
※内部PC → インターネットへの直接の通信は許可されていない、という点がポイント
物理的には一見すると、PC→FW→インターネットの道があるように見えるかもしれませんが、
論理的には、PC→FW→プロキシ→FW→インターネット(戻りは逆)の道しかありません。
一般的に下記の2か所をFWで(論理的に)分けるべき、とされています。
・インターネットと公開サーバ領域の境界に1つ目のFW
・公開サーバ領域と内部領域の境界に2つ目のFW
サーバ全てを同じNWに属させるのではなく、この図のサーバを1つ1つ見ていくと分かるのですが、
・外部DNS、メール中継、代理店サーバ(代理店との通信が必要)、プロキシは、
いずれもインターネットとの直接の通信が必要なためDMZで隔離されています。
一方、
・内部DNS、社内メール、顧客サーバ(従業員向け)、配布サーバ(PCのパッチ適用)は、
いずれも社内専用のため内部LANに配置されています。
2023.03.10 11:22
八王子さん(No.6)
電タックさん、ありがとうございます!
FW設定からプロキシを通るしか道はないのですね。見た目に惑わされていました。
Takajaroさん、ありがとうございます。
そもそもプロキシは内部LANには置かない方がいいのですね。盲点でした。
またサーバ系は同じNWに入れれば良いという訳でもない点も理解できました。
ありがとうございました!
FW設定からプロキシを通るしか道はないのですね。見た目に惑わされていました。
Takajaroさん、ありがとうございます。
そもそもプロキシは内部LANには置かない方がいいのですね。盲点でした。
またサーバ系は同じNWに入れれば良いという訳でもない点も理解できました。
ありがとうございました!
2023.03.10 15:26