- - PR -
同一LANセグメント内のFW構築
| 投稿者 | 投稿内容 | ||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2006-08-25 02:49
複数セグメントのLAN環境で一部のセグメント上でFW構築を進めています。
FW構築の条件ですが、既存のクライアント/サーバ環境(クライアントはDHCPでサーバは固定IPアドレス)を保持した状態でクライアントはFW外でサーバ群をFW内に設置します。 クライアントですが複数セグメントに存在し、CISCO L3ルータを通じてサーバへアクセスしています。 サーバ群があるセグメントにもクライアントが存在しており、同一セグメント上にWindowsServer2003のNIC2枚構成でRRASのベーシックFW機能を利用して必要なデータ伝送のみを双方向でしたいと考えています。 現在検証をしていますがFW構築以前にFW内外の通信ができていない状況です。 ちなみにサーバのIPアドレスですが、セグメント上にバラバラになっています。 このような場合同一セグメントにFW構築をできないのでしょうか。 アドバイスお願いします。 [ メッセージ編集済み 編集者: 若葉マーク 編集日時 2006-08-25 02:50 ] [ メッセージ編集済み 編集者: 若葉マーク 編集日時 2006-08-25 02:50 ] | ||||||||||||||||
|
投稿日時: 2006-08-25 09:27
おはようございます.
自分の理解力が不足しているのでしょうけど, 環境が想像できません. server 群(client 含む) -- firewall -- Cisco router -- client 群(複数 network) ですか? それとも server 群 -- firewall -- Cisco router -- client 群(複数 network) |__ client 群(ただし server 群と同じ network address) ですか? なんとなく「透過な firewall を作りたい」ようにも読めますが... | ||||||||||||||||
|
投稿日時: 2006-08-25 09:36
こんにちは。
若葉マーク様も感じていらっしゃると思いますが、FW構築以前に既存LAN 環境の見直しが必要だと思います。
まずは、ここの部分の整備が必要です。 あと気になったのは、下記部分が矛盾しています。
ここと
ここです。 表題にも書かれていますが「同一LANセグメント内にFWを設置することはできない」 とお考え下さい。 → 同一ゼグメント内では通信できてしまうのが普通の状態です。
ここも整理できると良いのですが、DHCPサーバを兼務させたりしていると 難しいかも知れません。 漠然としたアドバイスで恐縮ですが、 まずLAN環境の見直し、整備を行う。 サーバ群とクライアント群がそれぞれ別セグメントにできたらFWの構築検討 できなかったら、代替案として認証VLANの構築検討 といった手順になるように思えます。 → 認証VLANに関しては検索かけると直ぐにhitします。 但し、導入に際してはSIベンダの支援が必要になると思われます。 | ||||||||||||||||
|
投稿日時: 2006-08-25 10:26
おはようございます。
素朴な疑問なのですが、RRASってブリッジ構成できましたっけ?(実装した事ないからわからん) # RRASを使うと、IP RoutingがONになるあたりから、ブリッジ構成はNGだと思いますが。 原則論としては、ブリッジ構成がとれないFirewallを使われる場合、BackDoor様指摘のように同一Seg上にFirewallを展開する事はできません。 ですので、ご質問の > このような場合同一セグメントにFW構築をできないのでしょうか。 の回答は、『機能要件にあったFirewallを選択すれば可能』です。 ブリッジ接続可能なFirewallとしては、CiscoのPIX Firewall(PIX-OS 7.0以降)やCisco ASA5500シリーズ、ジュニパーのNetScreenなどがありますが(L2 FirewallとかブリッジFirewallとか呼ばれているかと思います)、構成的には以下のようになります。 【Server群】--【L2 Switch】--【L2 Firewall】--【L2 Switch】--【Client群】 要は、Server群が収容されているL2 SwitchとClient群が収容されているL2 Switchの間に挟みこんでやる、という事です。 # Pointは全てのトラフィックが集約される経路にL2 Firewallを入れてあげる、という事。 L2 FirewallはNetwork Node的にはL2機器(ブリッジ)として動きますので、既存環境には影響を与えません。但し通過するトラフィックはL3レベル以上で評価しPermit/Denyを判定しますので、通常のL3 Firewallと同じように動きます。 L2 Firewallを実装すると、全てのトラフィックがL2 Firewallを通過しますので、パフォーマンスはもちろんの事、耐障害性などの運用フェーズでの考慮が必要ですので、設計はそれなりに大変だと思います。 以上、ご参考まで | ||||||||||||||||
|
投稿日時: 2006-08-25 22:42
色々とアドバイスありがとうございます。
できれば費用をかけずにフリーソフトウェアでL2 Firewall構築ができれば言いのですが。。。 ブリッジソフトでEthernet Bridge 1.14という物がありました。 Personal Firewallを組み合わせることでL2 Firewall構築を実現できないでしょうか。 または、NATを利用しでサーバのIPアドレスをプライベートアドレスにしアドレス変換で同一&別セグメントのクライアント間で双方向データ伝送をすることはかのうでしょうか。 なにぶん初心者なので無理な事を言ってるかもしれませんがアドバイスお願いします。 [ メッセージ編集済み 編集者: 若葉マーク 編集日時 2006-08-25 23:23 ] | ||||||||||||||||
|
投稿日時: 2006-08-26 03:55
RRASというのは最近Windowsサーバを触っていなくてあまり正確ではありませんが、
PPTPとかいう、トンネリング接続をサポートするサービスですよね? 物理NICのポートはWindowsFirewall等で全て閉じておいて RRAS(PPTP)に使用するポートだけ空けておき、 各クライアントからはRRAS接続させて、仮想NICを使用して通信するのであれば、 それなりにセキュリティは保てます。 (パスワードが漏洩したり、そのRRAS自身にセキュリティホールがあれば別ですが) RRAS接続に限らず、ソフトイーサ(PacketiX VPN)のような、 仮想NIC作成ソフトでも可能です。 (この場合も接続に使用するポートへのアタックと、接続ソフト自体のセキュリティホールは脅威になり得ます) もちろん、クライアント側からは全てのマシンで RRAS接続とか、ソフトイーサ接続が必要です。 (ブリッジなんかは無しです) ちなみに、IPアドレスやMACアドレスというのは 私の知りうる限り全てのOSで自由に設定が出来るものなので、 それらを同一セグメント上からのファイアウォール材料として 使用するのはかなり無力です。 [ メッセージ編集済み 編集者: F/A 編集日時 2006-08-26 03:56 ] | ||||||||||||||||
|
投稿日時: 2006-08-28 13:26
こんにちは。
> できれば費用をかけずにフリーソフトウェアでL2 Firewall構築ができれば言いのですが Windows環境におけるL2 Firewallの実装例は聞いた事がありません。 自分が知らないだけかもしれませんので、他の識者の回答をお待ちください。 プラットフォームは問わない、というお話であればLinuxを利用したL2 Firewallの事は聞いた事があります。随分前にLinux使いから聞いただけなので、具体的なポインタは示せないのですが……。 # 『Linux Bridge Firewall』でググって見ると、結構でてきますね。 商用のブリッジ構成が組めるアプライアンスFirewallで、ベースにLinuxを使っているものもあるので『恐らく』構成可能かと。 NATに関してですが、NATってレイヤのいくつで実装してますか? それを考えれば、自ずと回答が出てくるかと。 # 本当にたまにでいいので、OSI7階層モデルの事も思い出してやってください。 閑話休題。 Firewallの構築を進められているとの事ですが、本当に『Firewallが必要』なんですか? また、フリーソフトで構築希望との事ですが、フリーソフトを使って『誰がセキュリティーを担保』するんですか? 真にセキュリティーの確保が至上命題で、企業としてMustであるという判断であれば、経営層はいくらでもお金を出してくれると思います(経営層が『本当に必要である』という判断をすれば)。そうなれば商用のソフトだろうが、H/Wだろうが買えるかと思います。 また、セキュリティーに関していえば、本当に大変なのは構築ではなく運用です。運用フェーズの事を考えないで構築すると、運用に入った瞬間に破綻します。その例は枚挙に厭わないかと。 これはFirewallだろうとVPNだろうと認証VLANだろうと、みんな一緒です。 もう一度セキュリティー要件とそれで担保できるリスク、受容するリスクを見直して、システムの再設計を行われた方が宜しいのでは?(もちろん並行して経営層の説得と予算の確保も)。 以上、余計なおせっかいではありますが参考まで。 # 誤字修正。ぼけた頭で長文書くと、ロクな事がないですなorz [ メッセージ編集済み 編集者: Wind 編集日時 2006-08-28 13:29 ] | ||||||||||||||||
|
投稿日時: 2006-08-28 19:54
こんばんわ.
以前同じことを考えて実験してみたことがあるのでできないわけではありませんけど, 実用的とはいえないと思います. さしあたり Windows server でも bridge 接続できますし.
Linux でも確かに手軽にできますが, 規模によっては NetScreen の小さいやつなんて手軽でわかりやすいと思いますよ. 価格も PC 買うのとそれほど違わなかったような. Wind 様のご指摘のように運用が難点ですから, いっそ appliance でやったほうがわかりやすくて良いと考えます. | ||||||||||||||||
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。