今日の日記
2003年10月3日http://www.amazon.co.jp/exec/obidos/ASIN/4774116335/ref=sr_aps_b_/250-3904688-3290669
この本を借りて、セキュリティ関連のスクリプトを
書いている。webプログラミングとUNIXサーバに
関係するセキュリティの要点がうまく
まとまっているので、買いたくなってきた。
非武装地帯(DMZ[De-Militarized Zone])という
のは昨今のブロードバンドルータなら
当たり前についている機能。
例えばネットゲームをすると、
エフェメラルポート(Ephemeral Port)と呼ばれる
数字の桁が大きいポートを使用することになる。
ちなみにエフェメラルとは「儚い」という
意味がある。
反対に、皆が普段ブラウザのURLに入力
しているhttpdプロトコルを扱う80番ポートは
ウェルノーンポート(Well-known port)
と呼ばれている。
ネットゲームをするだけなのに、
LANにエフェメラルポートの穴を開けるのは
リスクが大きいため、ネットゲームで使用する
PCのLAN内のプライベートIPアドレスを
DMZに置くように設定する。
(たいがいのルータは1台だけ設定できる。)
これでDMZに置かれたPCはポート全開の
極低セキュリティ状態となってしまう。
これがゲーム用なら問題ないのだけど、
ネットワークの知識のない人が
自宅にサーバを建てると、簡単だからということ
を理由にDMZに建ててしまう。
これでは、クラッカーの踏み台を
提供してしまったということになってしまい、
無自覚にもネット全体の迷惑の種となってしまう。
上記の本ではDMZは大規模システムで
用いると書いてあったけど、
それは、上で述べたようなルータのDMZ機能の
DMZということではなく、(ややこしいかな)
WAN(ネット)→ルータ1(例えば80番を
WAN→DMZへ開放)→webサーバ(ここがDMZ)
→ルータ2(ポート全閉じ)→LAN(普段
使っているPC)
っていうネットワーク構成のことを言っている
のだろうと思う。
これってDMZどころか超ミリタライズド…。
ルータ2個でパケットフィルタリングする
構成です。
あと、入力制限のスクリプトを
書いたら作ったサイトを本公開して
またwebプログラマー(ネットワークやサーバ
管理もかな?)としての職に就きます。
この本を借りて、セキュリティ関連のスクリプトを
書いている。webプログラミングとUNIXサーバに
関係するセキュリティの要点がうまく
まとまっているので、買いたくなってきた。
非武装地帯(DMZ[De-Militarized Zone])という
のは昨今のブロードバンドルータなら
当たり前についている機能。
例えばネットゲームをすると、
エフェメラルポート(Ephemeral Port)と呼ばれる
数字の桁が大きいポートを使用することになる。
ちなみにエフェメラルとは「儚い」という
意味がある。
反対に、皆が普段ブラウザのURLに入力
しているhttpdプロトコルを扱う80番ポートは
ウェルノーンポート(Well-known port)
と呼ばれている。
ネットゲームをするだけなのに、
LANにエフェメラルポートの穴を開けるのは
リスクが大きいため、ネットゲームで使用する
PCのLAN内のプライベートIPアドレスを
DMZに置くように設定する。
(たいがいのルータは1台だけ設定できる。)
これでDMZに置かれたPCはポート全開の
極低セキュリティ状態となってしまう。
これがゲーム用なら問題ないのだけど、
ネットワークの知識のない人が
自宅にサーバを建てると、簡単だからということ
を理由にDMZに建ててしまう。
これでは、クラッカーの踏み台を
提供してしまったということになってしまい、
無自覚にもネット全体の迷惑の種となってしまう。
上記の本ではDMZは大規模システムで
用いると書いてあったけど、
それは、上で述べたようなルータのDMZ機能の
DMZということではなく、(ややこしいかな)
WAN(ネット)→ルータ1(例えば80番を
WAN→DMZへ開放)→webサーバ(ここがDMZ)
→ルータ2(ポート全閉じ)→LAN(普段
使っているPC)
っていうネットワーク構成のことを言っている
のだろうと思う。
これってDMZどころか超ミリタライズド…。
ルータ2個でパケットフィルタリングする
構成です。
あと、入力制限のスクリプトを
書いたら作ったサイトを本公開して
またwebプログラマー(ネットワークやサーバ
管理もかな?)としての職に就きます。
コメント