- PR -

Exchange2000Serverの構成U

«前のページへ 1|2
投稿者投稿内容
Uchikoshi
@ITエディタ
会議室デビュー日: 2001/07/27
投稿数: 197
投稿日時: 2002-06-05 04:07
引用:

okumuraさんの書き込み (2002-06-04 12:26) より:

以上を踏まえますと、次のような構成とIPマスカレードの設定になりますでしょうか。

eth2<->eth1:マスカレードなしでフィルタリングとフォワードのみ。
eth2<->eth0:IPマスカレード。
eth1<->eth0:IPマスカレード+SMTPポートフォワード。


 だいたい いいと思います。あといくつか付け加えるならば、

■eth2<->eth1
 ここを通るパケットはローカルのLAN同士に限られますから、それぞれのソースアドレスと宛先アドレスを限定し、さらに必要なポートだけを通すようにフィルタを設定。Exchangeマシンが乗っ取られたりした場合に、そこから内部に侵入されないようにするためです。もっとも、このようなフィルタは、以下のそれぞれでも設定することが望ましいです。とはいうものの、Linuxマシンが乗っ取られたりしたら最後ですので、eth0の入り口でもしっかりとフィルタリングを。

■eth2<->eth0
 ここは外部から入ってくるパケットはないはずですので、eth0側の入り口で、必要ないポートを完全にふさいでおきます。

■eth1<->eth0
 ここを通って入ってくるパケットも、SMTP着信以外はすべてブロック。

 本当は入り口のルータで不必要なポートをすべてブロックしておきたいところですが、それが不可能なら、Exchangeマシンに向かうSMTP以外はすべてブロックでしょうか。出る方向のパケットは、まぁそれなりにフィルタリングを。

引用:

また、理想的な構成としては次のような形で不備はございませんでしょうか。


 理想を求めるともっとすごい方法があるでしょうけど、欲を言えば、入り口にはルータじゃなくてファイアウォールを配置し、ログとかコンテンツフィルタリングも行いたいです。でもこのままでは1台のマシンにトラフィックが集中するし(WebのProxyサーバはどこに配置?)、このマシンが止まるとインターネット向けのサービスなどがすべて止まってしまうので、そのあたりも考えておく必要があるかもしれません。といって、各インターネット向けサーバのためだけにLinuxマシンなどを用意するのでは、上の案とセキュリティ的には大して変わらないかもしれませんが。
 ところでインターネット向けサーバのIPアドレスは211.x.x.3 だけですか?
McLaren
ぬし
会議室デビュー日: 2002/01/15
投稿数: 784
お住まい・勤務地: 東京
投稿日時: 2002-06-05 09:10
 いつもお世話になっております。
引用:

 理想を求めるともっとすごい方法があるでしょうけど、欲を言えば、入り口にはルータじゃなくてファイアウォールを配置し、ログとかコンテンツフィルタリングも行いたいです。でもこのままでは1台のマシンにトラフィックが集中するし(WebのProxyサーバはどこに配置?)、このマシンが止まるとインターネット向けのサービスなどがすべて止まってしまうので、そのあたりも考えておく必要があるかもしれません。といって、各インターネット向けサーバのためだけにLinuxマシンなどを用意するのでは、上の案とセキュリティ的には大して変わらないかもしれませんが。

 具体的にどのような構成にすべきでしょうか、WEB閲覧のためのファイヤーウォールマシンを別途用意するということでしょうか。私なりに予想した構成を描いてみますので、不備がございましたらご指摘願います。

===============================================================
eth2<->eth1:マスカレードなしでフィルタリングとフォワードのみ。
eth2<->eth0:IPマスカレード。
eth1<->eth0:IPマスカレード。IPマスカレード+SMTP,HTTP,FTP・・・ポートフォワード。

[インターネット]


[ルータ]211.x.x.1
|  |
|  +------[DNS Linux BIND9]211.x.x.2 (個別ファイヤーウォール)
|  |
|  |←(eth0)211.x.x.3
|  [GateWay&Firewall-1]
|  |  |←(eth1)10.1.1.1
|  |←(eth2)192.168.10.1
|  |  |
|  |  +------[Web Linux Apache]10.1.1.2
|  |  +------[Mail Linux qmail]10.1.1.3 (xxx@domain.jp)
|  |  +------[Exchange2000Server]10.1.1.4(xxx@local.domain.jp)
|  |
|←(|eth0)211.x.x.4
[Gat|eWay&Firewall-2 Proxy Linux Squid]
|←(|eth1)192.168.11.1
|  |
|  |
|  |←192.168.10.2
|←192.168.11.2
[   Layer3 スイッチ    ]
|||||
|||||
||||+----192.168.1.0/24
||||    +---Windows2000Server(DC DNS WINS)192.168.1.200
|||+------192.168.2.0/24(クライアント達)
||+--------192.168.3.0/24(クライアント達)
|+----------192.168.・・・(クライアント達)
+------------192.168.・・・(クライアント達)

===============================================================
引用:

 ところでインターネット向けサーバのIPアドレスは211.x.x.3 だけですか?

 はい、現在のところ211.x.x.3のみです。ProxyはGateWay&Firewallのマシンにインストールしておりまして、クライアントはWEBブラウザのプロキシの設定に
211.x.x.3 ポート:3128
と設定しております。


[ メッセージ編集済み 編集者: okumura 編集日時 2002-06-05 09:13 ]
Uchikoshi
@ITエディタ
会議室デビュー日: 2001/07/27
投稿数: 197
投稿日時: 2002-06-06 10:12
引用:

okumuraさんの書き込み (2002-06-05 09:10) より:
 具体的にどのような構成にすべきでしょうか、WEB閲覧のためのファイヤーウォールマシンを別途用意するということでしょうか。私なりに予想した構成を描いてみますので、不備がございましたらご指摘願います。

 なんか、ぱっと見て、複雑だなぁ、と感じました。もっとシンプルに、
http://www.atmarkit.co.jp/aig/02security/dmz.html
の上の方の構成みたいにすればいいのではないでしょうか? 真ん中のDMZが10.x.x.x.になります。でも、これは面倒なので、便宜上、下側の図のようになることも多い、というわけです。

 上側の構成だと、社内LANに入るまでに、2台のファイアウォールを通過する必要がありますが、この点が重要です。1台突破されたしても、そこから、さらにもう1台ファイアウォールがあって、安全性がちょっと高くなります。でも1台しかないと、そこを突破されると、すぐに内部LANですから、安全性がちょっと低いです。

 そして、3つのLANセグメント間でのルーティングやフィルタリングは、
http://www.atmarkit.co.jp/aig/02security/firewall.html
みたいに設定しておきます。1ステップで外部から内部へ入れるような設定にはしない、という点が重要です。

 と色々書きましたが、このような話は、よくいわれている一般論です。が、現実のケースとそう大きく違っているわけでもないです。

引用:

 はい、現在のところ211.x.x.3のみです。ProxyはGateWay&Firewallのマシンにインストールしておりまして、クライアントはWEBブラウザのプロキシの設定に
211.x.x.3 ポート:3128
と設定しております。


 これはつまり、インターネット側のIPでProxyがListenしているということですか? まさか、インターネット側から自由にアクセスできるようになっていたりはしないですよね? 普通、こういうポートは内部LAN側にしておくべきだと思います。それに、インターネットへのアクセス回線が変わると(昨今の通信事情では、1〜2年でどんどん変わるでしょうから)、IPが変わってしまって、面倒だと思うのですが。

 まぁいずれにしろ、負荷分散や冗長性を考えると、Proxyやインターネットアクセス用のマシンは別になっているほうがいいかと思います。が、このあたりは組織ごとの事情があるでしょうから、ご自由に、というところでしょうか。
McLaren
ぬし
会議室デビュー日: 2002/01/15
投稿数: 784
お住まい・勤務地: 東京
投稿日時: 2002-06-06 11:38
 すいません。。間違えておりました。

クライアントはWEBブラウザのプロキシの設定に
192.168.10.1 ポート:3128
と設定しております。

 ファイヤーウォールのマシン(192.168.10.1)以外にプロキシを置くとすれば、下記の位置で大丈夫でしょうか。。
===============================================================
[インターネット]


[ルータ]211.x.x.1

|------[DNS Linux BIND9]211.x.x.2 (個別ファイヤーウォール)
|------[Web Linux Apache]211.x.x.4 (個別ファイヤーウォール)
|------[Mail Linux qmail]211.x.x.5 (個別ファイヤーウォール)xxx@domain.jp

|(eth0)211.x.x.3
[GateWay&Firewall](eth1)10.1.1.1---[Exchange2000Server]10.1.1.2(xxx@local.domain.jp)
|(eth2)192.168.10.1

|192.168.10.2
[   Layer3 スイッチ    ]
|||||
|||||
||||+----192.168.1.0/24
||||    +---[Windows2000Server(DC DNS WINS)]192.168.1.200
||||    +---[Proxy Linux squid]192.168.1.201
|||+------192.168.2.0/24(クライアント達)
||+--------192.168.3.0/24(クライアント達)
|+----------192.168.・・・(クライアント達)
+------------192.168.・・・(クライアント達)

===============================================================
«前のページへ 1|2

スキルアップ/キャリアアップ(JOB@IT)