バッファロー【BBR-4HG/4MG 統合スレッド】 その10
>>483
本来の意味でのDMZ(非武装地帯)と
家庭向けルータに実装されている似非DMZ機能は全く別物だよね。
スクリーンドサブネットの場合、
外側ルータと内側ルータの間の領域をDMZとして利用するんだっけ。
ルータによってはDMZ専用ポートを設けけているものもあるね。
DMZは本来、そこに設置したサーバが乗っ取られた場合に
内側ネットワークへの被害拡大を最小限に抑えるためのものなのに
似非DMZ機能では内側ネットワークから隔離されていないから
内側全てが非武装になってしまう。
公開サーバは乗っ取られる前提で設置するものだから
(内側用サーバと比較して)重要なものは置かないのが原則。
非武装地帯だからこそ設置するサーバは武装(要塞化)しておくべきだよね。
本来の意味でのDMZ(非武装地帯)と
家庭向けルータに実装されている似非DMZ機能は全く別物だよね。
スクリーンドサブネットの場合、
外側ルータと内側ルータの間の領域をDMZとして利用するんだっけ。
ルータによってはDMZ専用ポートを設けけているものもあるね。
DMZは本来、そこに設置したサーバが乗っ取られた場合に
内側ネットワークへの被害拡大を最小限に抑えるためのものなのに
似非DMZ機能では内側ネットワークから隔離されていないから
内側全てが非武装になってしまう。
公開サーバは乗っ取られる前提で設置するものだから
(内側用サーバと比較して)重要なものは置かないのが原則。
非武装地帯だからこそ設置するサーバは武装(要塞化)しておくべきだよね。
|
|
|
485 :不明なデバイスさん:2005/12/22(木) 02:33:40 ID:XGjQQ47R
DMZとして架空のIPアドレスを指定する件について
原則として「既に攻撃者に見つかり、詳細なスキャンがされている」
という前提でファイアウォールの設定を考える必要がある。
そのうえで、少しでも見つかり難いように無応答(ステルス)にする事には意味はあるが、
これをセキュリティのひとつとして捉えるのはどうかと思う。
人それぞれのセキュリティに対するポリシーの違いなんだろうけどさ。
この機能の場合、どんなパケットが来ても完全に無応答を決め込むかどうかは定かではない。
簡易的なチェックで「ステルス」という結果が出たからといって過信しない事が大事だね。
原則として「既に攻撃者に見つかり、詳細なスキャンがされている」
という前提でファイアウォールの設定を考える必要がある。
そのうえで、少しでも見つかり難いように無応答(ステルス)にする事には意味はあるが、
これをセキュリティのひとつとして捉えるのはどうかと思う。
人それぞれのセキュリティに対するポリシーの違いなんだろうけどさ。
この機能の場合、どんなパケットが来ても完全に無応答を決め込むかどうかは定かではない。
簡易的なチェックで「ステルス」という結果が出たからといって過信しない事が大事だね。