DMZの甘い罠

2010年12月11日IT・PC

最近(でもないけど)、自宅でサーバーを立てるのが簡単だよって説明しているサイトがあるんだけど、そりゃインターネットに接続していれば誰でも簡単にサーバーを公開できる。

その中でも怖いのが「DMZ(非武装地帯)にサーバーを置くだけでOK」なんて簡単に書いて終わっていて、DMZがどういったものであるか説明していないサイトが多い。

相当知識がない限りはNAT(ネットワーク・アドレス変換)等を使用した方がよほど安全なのに。

そもそもDMZは1IPの場合、外部からの通信に対しNAT等で使用されていない通信をDMZに割り当てたPC等に通信を渡す。例えばウェッブサーバーを公開する場合、80番ポート以外が空いているとそこにも通信が流れちゃうのです。

って事はですよ、DMZで公開しているサーバーがちゃんとセキュリティー的に知識がなく、穴が開いていると攻撃の対象になる可能性が高くなり、NATでサーバーを公開している場合も同様ですが、OSのセキュリティーパッチは当然の事、変な通信が無いかを逐次チェックし対策を行わなければならない。

じゃないと意図してない機能が機能してしまい不測の事態が起こる可能性が高まるって事です。

攻撃されるだけならまだいい方。その個人?の情報が漏れる程度で済むかもしれない。しかし、最悪なのは攻撃された結果、他のサーバーへの攻撃側になってしまう事です。その瞬間、被害者から加害者に変わるわけです。

基本的な事が分からない人は、安易にサーバーを公開しない方がいいです。どうしても公開したければ安価なレンタルサーバーを借りて公開するのが結局は安上がりになったりします。

確かに自宅で100%自由に設定して公開できる事は魅力的ですが、ちょっとした設定ミスが100%自分の責任として帰ってくることも事実です。

昔からそうだけど、なんでコンシュマー向けの安価なルーターにもDMZの設定が出来るようになっているのかな。裸で街の中を歩くようなものなのに。余程変なソフトじゃない限りNAT等で対応できるのに。売っているところがそういう情報を出せば問題は少なくなるだろうに。

こういう事がきちんと書かれているサイトさんの情報にたどり着いて、ちゃんと設定した状態で公開される方はいいけど、中途半端に解説しているサイトを参考にすると悲惨なことになる。

ルーターにファイアオール機能があるからと言って過信は禁物です。これはサーバーを公開するしないに関わらず、インターネットに接続する機器のセキュリティーには十分ご配慮あれ。

まあ、オヤジのボヤキとでも聞き流しておくれw

Posted by かふぇおれ