- PR -

クライアントPCのネットワーク管理

«前のページへ 1|2
投稿者投稿内容
passol
常連さん
会議室デビュー日: 2008/12/12
投稿数: 20
投稿日時: 2008-12-17 17:09
こんにちは、passolです。

ここから結構いいかげん(自信もありません)な回答なので、話半分に聞いてください。

引用:

認証(RADIUS)サーバというのは内部サーバ、ファイアウォールサーバ、公開サーバの
どこに立てても動くものなのでしょうか?

動くと思いますよ。(信憑性51%、個人的主観では95%)
(ただ、ファイアーウォールの設定とか、どんどん煩雑になるような気が・・・)

引用:

例えば公開サーバに立てちゃうと、内部サーバには認証なしでアクセスできちゃうとか
あるんでしょうか?

ないと思います。(信憑性51%、個人的主観では95%)
(ただ、非武装エリアさんがおっしゃっているとおり、ieee802.1x認証に対応したSW-HUB等が必要で、それを通らずにLAN内に入れるなら認証なしで入ると思います。)

多分下のイメージのような感じだと思います。

イメージ図====================================

【認証しなきゃはいっちゃ駄目よゾーン】
    |
[あらら、ここにHUBがあっちゃった・・・]――――――――――認証なしで入れちゃうよPC
    |
[ieee802.1x認証に対応したSW-HUB等の、認証を聞きにいきますよ君]
    | ←ここを通らなきゃ駄目
認証しないと入れないよPC

=========================================

引用:

基本はやっぱり内部サーバに立てるものなのでしょうか?

内部(ieee802.1x認証に対応したSW-HUB等のなるべく近く)が一番実装が簡単そうです。
多分、ieee802.1x認証に対応したSW-HUB等から遠くなれば遠くなるほど認証に時間がかかるし、設定も大変になると思うので、内部に立てるのが一番いいと思います。(それも、ieee802.1x認証に対応したSW-HUB等に直接繋ぐとか、なるべく近いことをお勧めします。)

駄文、すいませんでした。
美那
ベテラン
会議室デビュー日: 2008/11/11
投稿数: 58
お住まい・勤務地: 東京都
投稿日時: 2008-12-17 17:45
こんにちわ〜。美那です。

passolさん、全然構いません。
"自分の想定"、"主観"であることを追記されていれば、情報はあっていいと思います。
passolさんの経験、知識を踏まえての情報となり、それは十分なデータに値します。


もちろん結果は後から分かるものと理解してますので大丈夫ですよ。(*^^)b


有難う御座います。
非武装エリア
大ベテラン
会議室デビュー日: 2004/03/03
投稿数: 202
お住まい・勤務地: 日本・たこ部屋
投稿日時: 2008-12-17 18:40
DMZ(非武装ゾーン)は、緩衝地帯として定義されるエリアで、クラッカーやウィルスによってセキュリティが破られた場合においても、直接内部のLANに侵入されないことを目的としたゾーンです。 ですから此処に配置するサーバ原則
 ・重要なデータは置かない
 ・パスワードに関係する情報は置かない
 ・侵入を許しても被害が拡大しない工夫をする
といった事を守るべきと考えられます。 ですからユーザ情報が記録されるRADIUSサーバをDMZに置くのは不適当という事が云えます。

次にファイヤーウォール(FW)を専用アプライアンスではなく、例えばLinuxなどで構成した場合、FWは外部から攻撃の最初の対象になるのでここは上記の原則プラス
 ・サーバとしての機能は最小限(FWが動作するだけに特化した状態)にする
ことが望ましく、極端な話、OS標準のコマンドすら動かない状態までにできると宜しいのですが、難しい場合にはFW専用のディストリビューションなどを使うと良いかもしれません。

という訳で、RADIUSは通常なら内部LAN環境に置くことをお勧めします。
また、RADIUSを1台だけで構成した場合、障害が発生した場合LAN環境すべてに影響が出るので、2台以上で構成すると良いでしょう。

RADIUS自体はCPUへの負荷はそれ程無いので、他のサーバソフト(例えばSAMBAやDNS)などと同じサーバに立てても構いませんが、それら別のソフトの入れ替えや再起動が必要になった場合にRADIUSも一緒に引きずられてしまう可能性があります。
ですから可能であればメインのRADIUSサーバは(マシンスペックはそこそこで構わないので)単独のサーバで立てた方が良いかも知れません。
ハードウェア障害時のことを目をつぶれば、高性能なPC上でVMWareやXEN(ゼン)といった仮想環境上にそれぞれDNSやRADIUS専用の仮想環境を作成して独立環境で動かすという手もあったりします。 この場合、作成した仮想環境のファイルをバックアップしておけば、短時間で同一環境の復元ができるといった運用面でのメリットもあったします。

RADIUSとieee802.1x認証SW-HUBの位置関係ですが、SW-HUBから直接パケットが届く場所にRADIUSサーバがある事が望ましいです。が、途中に別のSW-HUBとかが配置されるような場合にはそれらはEAP(ieee802.1x認証)パケットをパススルーするHUBである必要があります。

(参考の配置例)
Internet
|
[FW]---DMZ---[Web]---[DNS]---[Mail]
|
+--[SAMBA]
+---[RADIUS]
+---[内部DNS]
+---[内部Mail]
|
[IEEE802.1xパススルーSW-HUB]
|
[IEEE802.1x 認証SW-HUB]
|
[PC]

※実際には更に上記の配置とともに、各種のセキュリティゲート(ウィルスチェッカーやIDS、SPAM排除、内部ファイヤーウォール)などを必要に応じて最適な場所に配置したりします。
美那
ベテラン
会議室デビュー日: 2008/11/11
投稿数: 58
お住まい・勤務地: 東京都
投稿日時: 2008-12-18 10:55
おはようございます。美那です。
非武装エリアさん、お返事有難う御座います。

引用:

非武装エリアさんの書き込み (2008-12-17 18:40) より:
DMZ(非武装ゾーン)は、緩衝地帯として定義されるエリアで、クラッカーやウィルスによってセキュリティが破られた場合においても、直接内部のLANに侵入されないことを目的としたゾーンです。 ですから此処に配置するサーバ原則
 ・重要なデータは置かない
 ・パスワードに関係する情報は置かない
 ・侵入を許しても被害が拡大しない工夫をする
といった事を守るべきと考えられます。 ですからユーザ情報が記録されるRADIUSサーバをDMZに置くのは不適当という事が云えます。

次にファイヤーウォール(FW)を専用アプライアンスではなく、例えばLinuxなどで構成した場合、FWは外部から攻撃の最初の対象になるのでここは上記の原則プラス
 ・サーバとしての機能は最小限(FWが動作するだけに特化した状態)にする
ことが望ましく、極端な話、OS標準のコマンドすら動かない状態までにできると宜しいのですが、難しい場合にはFW専用のディストリビューションなどを使うと良いかもしれません。

という訳で、RADIUSは通常なら内部LAN環境に置くことをお勧めします。
また、RADIUSを1台だけで構成した場合、障害が発生した場合LAN環境すべてに影響が出るので、2台以上で構成すると良いでしょう。

RADIUS自体はCPUへの負荷はそれ程無いので、他のサーバソフト(例えばSAMBAやDNS)などと同じサーバに立てても構いませんが、それら別のソフトの入れ替えや再起動が必要になった場合にRADIUSも一緒に引きずられてしまう可能性があります。
ですから可能であればメインのRADIUSサーバは(マシンスペックはそこそこで構わないので)単独のサーバで立てた方が良いかも知れません。
ハードウェア障害時のことを目をつぶれば、高性能なPC上でVMWareやXEN(ゼン)といった仮想環境上にそれぞれDNSやRADIUS専用の仮想環境を作成して独立環境で動かすという手もあったりします。 この場合、作成した仮想環境のファイルをバックアップしておけば、短時間で同一環境の復元ができるといった運用面でのメリットもあったします。

RADIUSとieee802.1x認証SW-HUBの位置関係ですが、SW-HUBから直接パケットが届く場所にRADIUSサーバがある事が望ましいです。が、途中に別のSW-HUBとかが配置されるような場合にはそれらはEAP(ieee802.1x認証)パケットをパススルーするHUBである必要があります。

(参考の配置例)
Internet
|
[FW]---DMZ---[Web]---[DNS]---[Mail]
|
+--[SAMBA]
+---[RADIUS]
+---[内部DNS]
+---[内部Mail]
|
[IEEE802.1xパススルーSW-HUB]
|
[IEEE802.1x 認証SW-HUB]
|
[PC]

※実際には更に上記の配置とともに、各種のセキュリティゲート(ウィルスチェッカーやIDS、SPAM排除、内部ファイヤーウォール)などを必要に応じて最適な場所に配置したりします。



「なるほど〜、うんうん。」って言うくらい納得できました。
有難う御座いました。


ここからは少し話しが逸れて気になったので、質問させて頂きます。
今現状の私の作業にすぐに影響のある質問内容ではないので、もしお時間ありましたら
ご回答願えたらと思います。

回答頂いた参考となる[ネットワーク構成図]なんですが、非武装地帯を使用する場合は
内部向け/外部向けのDNSとMailサーバを分けて立てるものなんですか?
私はDNSサーバは公開サーバとして、MailサーバはSMTPサーバは公開サーバ、POPサーバは
内部サーバとして立てるつもりでした。

Mailサーバはそういう意味で2つ必要であるとして…
DNSサーバです。
WAN⇔LANでの名前解決はDMZに置かれるであろうDNSサーバが役割を果たすものだと思ってます。
ですが、LAN内のDNSサーバは何の名前解決をするものなのでしょうか?

※※※
これは、私がDNSに対する知識が足りないのも原因であり、それを前提に質問しているのも
承知です。はい。


とりあえずこのスレッドの問題点はクリアになりました。
長文を読むのも大変だったかと思います。
その割に薄っぺらい内容でしたし…

有難う御座いました。
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2008-12-18 17:59
こんばんは.
引用:

美那さんの書き込み (2008-12-18 10:55) より:

回答頂いた参考となる[ネットワーク構成図]なんですが、非武装地帯を使用する場合は
内部向け/外部向けのDNSとMailサーバを分けて立てるものなんですか?

DNS server の場合は,DNS service を
提供する software によって違うかもしれません.
bind の場合には機能として
・内部(として把握できている範囲)から参照する場合はこの zone 情報
・それ以外から参照する場合はこの zone 情報
というように交通整理してくれる機能があるので,
単一の DNS Server で外部公開用/内部参照用を構成できます.
Microsoft DNS(Windows Server に組み込まれているもの)は,
内部と外部という区別ができないので,それぞれに必要になると思います.
その場合,内部用の DNS Server は外部公開用 DNS Server に forward することで
事実上 internet 上の DNS Server を参照することができるようになります.

e_mail server の場合,smtp と pop は同一の server に構成すると思います.
dmz には smtp relay だけを構成して,3rd party relay を filter したりします.
内部に e_mail server を設けて,そこで
・relay server からの内部向けの smtp service
・client から外部向け(smtp relay 経由)の smtp service
・client から取りに来る pop3/imap4 service
を提供するのことが自分的にはお奨めだと思います.
なので,
引用:

Mailサーバはそういう意味で2つ必要であるとして…

厳密には e_mail server は dmz にあればひとつで事足りますが,
secure にする意味で
・dmz には relay 機能のみ
・internal には spool と外向け relay
と2つ構成するのがよろしいかと.
引用:

DNSサーバです。
WAN⇔LANでの名前解決はDMZに置かれるであろうDNSサーバが役割を果たすものだと思ってます。
ですが、LAN内のDNSサーバは何の名前解決をするものなのでしょうか?

内部は local IP address,外部へは global IP address を返す場合,
その DNS server で bind の view option のような機能があれば1つで事足ります.
しかし,Windows の DNS service はそのような機能がないので2つ必要になります.
※ちなみに,公開するべき server が無ければ,
※外部公開用 DNS server は必要ありません.

一般的な話として,Windows Server の DNS Server は Active Directory 用に用いて,
それを内部 DNS service としても利用することが多いと思います.
その上で dmz に外部公開用 DNS Server を置いて,
内部の Active Directory 用 DNS Server から外部公開用 DNS Server へ
forward させて internet 上の DNS による名前解決を実現します.

以上,ご参考までに.
q
ベテラン
会議室デビュー日: 2009/01/06
投稿数: 54
投稿日時: 2009-01-06 15:32
(利用規約違反のため削除いたしました。@ITクラブメンバーシップセンター)
q
ベテラン
会議室デビュー日: 2009/01/06
投稿数: 54
投稿日時: 2009-01-10 10:42
(利用規約違反のため削除いたしました。@ITクラブメンバーシップセンター)
«前のページへ 1|2

スキルアップ/キャリアアップ(JOB@IT)