QA@IT

イントラネット内で、IPsecのグローバルIPの位置づけは?

4076 PV

今度、マイナンバーを処理するサーバー・クライアントソフトの多重防護を企図し、
 
  A:マイナンバークライアントPC - B:ルータ - C:マイナンバーサーバー
 
を(すでにルータに囲われた)イントラネット内に配置し、AとBの間をIPsecトネリング
にしようとしています。
 
Aは普通のWin7Proで、BはとりあえずARの400番台でやろうとしています。Cは普通の
Windowsサーバーで、インストールとUpdate以外しない前提です。
 
さて、すべてイントラネットなのですが、IPsecの記事をインターネットで見ると、
 
IPsecには必ずグローバルIPが必要。この場合AとBの間のトンネルの外側をグローバル
 IPにしないといけないとの由。
 
と(前提無しに)書いてある記事が有り、そうは言われても、とてもグローバルIP
(無条件に使うなら月数万)など手が出ません。
 
質問ですが、
・IPsecのトンネルの外側のグローバルIPとは、本当に“もう無償では手に入らず、かなり
 の金額が必要な”アドレスをあがなうべきでしょうか?
・192.168以外で、漏らさない事を前提にグローバルIPのアドレスを使ってしまって良いので
 しょうか?
注意すれば後者で良いようにも思いますが、いかがでしょうか?
 
よろしくお願いいたします。

回答

グローバルIPでなくともDDNSを設定すれば可能です。(外からみることが出来ればよいので)
もちろんルータなどIPSecの設定をする機器が対応していることが条件です。

---

192.168以外で、漏らさない事を前提にグローバルIPのアドレスを使ってしまって良いので
 しょうか?

漏らすとかの問題ではなく、IPアドレスが衝突することが問題なのです。

編集 履歴 (0)
  • でもDDNSでも、固定IPが半固定IPになるだけで、お金は必要 or 賃貸しサーバやプロバイダの契約をしないと半固定IPはもらえない、で、お金はさらに必要、なのには変わりないと思います。 -
  • 無料のDDNSで会社のサーバー利用可能を謳っているところもあります(少し調べたかんじではmydnsなど)。
    質問も"かなりの金額"がネックであるようにも見えるので、完全無料で使いたかったのであれば 1円もかけたくない旨書いた方が良いと思います(高い安い関係なくプロバイダ料金含めて無料で固定IPがもらえるサービスはないかと思います)。
    -
  • いやぁ、そもそも「(すでにルータに囲われた)イントラネット内」と言った通り、DDNSもSoftEtherも全部通らない場所での話です。ですので、「漏らさない事を前提にグローバルIPのアドレスを使」うことも考えているのです。でも違反では有り、話が通りにくいだろうなので、困っているのです。 -
  • グローバルIPの領域でないのならプライベートIPを付けるべきですし、IPsecも構築は出来るかと思います。 -
  • 有難う御座います。それか知りたかったのでした。 -

こんにちは

タイトルの質問に関する回答ではありませんが、なぜ、それを行ないたいのか
何となくわかった気がしましたので、「それであれば・・・」と、何となく
思った事を書きます。少しでも参考になれば幸いです。

サーバーを守る意味での実施であれば、端末とサーバー間の通信を守る構成よりも
先に着目すべき点は、端末側から見て、ルーター、ファイアウォール、IPSと言う
感じにファイアウォールやIPSの導入を行なった方がイイのではないでしょうか?

いま考えていらっしゃる構成ですと、「接続できた端末に何か不正アクセスを行なう
物が仕掛けられている」または「悪意を持って端末を通常とは違う使い方をする」と
言ったケースでは、ブロックされずにサーバーまで到達できてしまう気がします。
通常接続可能な端末も不正アクセスを行なう端末になりえると言う点を忘れていないで
しょうか?

私なら、下記のような構成を考え、端末は踏み台端末にしか通信できず、その通信も
画面と画面操作のみをやり取りするだけに制限します。そして、踏み台端末からしか
サーバーに接続できない用に構築します。この時、踏み台端末はネットカフェの端末
と言うか、Windowsで言うゲストユーザーと言うか、ログアウトすると初期状態に
戻される端末にしておきます。このように構築することで、接続する端末からの
攻撃を可能な限り減らせますし、踏み台端末に前回の処理内容が残りませんし、
踏み台端末を常に初期状態で使用できるため、よいのでは・・・

端末

ルーター

FW

IPS

L3 → 踏み台端末
   ←

サーバー

以上です。 質問の回答ではなく、すみません。

編集 履歴 (0)
  • ご回答ありがとうございました。でも、どうも承服出来ない点も有ります。3つ有り、細切れで(コメント欄の文字制限で)、質問に質問を返すみたいな形になりますが、存念を言います。 -
  • 1つめですが、いわゆる「エッジルータ」(今回はそれ(24-365インターネットに対して公開される為のルータ)を想定していました。)にはFWは付きものなので、それは付けるつもりでした。 -
  • 2つめですが、確認ですが、IPSというとパケットの頭数十バイト程度を検査し、メールなどはワクチンソフトを適用するアプライアンスという事ですよね。そうしますと、「接続できた端末に何か不正アクセスを行なう物が仕掛けられている」または「悪意を持って端末を通常とは違う使い方をする」事に対抗するのは無理かと思います。 -
  • 2つめの続きですが、IPSでなくWAFならパケットのすべてを検査するので、より良いのかも知れませんが、WAFはあくまでセキュアプログラミングのセキュア部分の外出しと(私は)認識しており、パッケージソフトの末端の利用者が設定出来る代物では無いと認識しております。 -
  • 3つめですが、踏み台端末となりますと、“操作をすべてスクリプトで実行可能”とすべきだとなると思います。しかし、メール送信やマイナ操作など押印にも匹敵する作業の場合、“人間が1つクリックすると(比較的)単純な処理を(必ず)1つのみ行う”様、制限する事がセキュアの第一歩だと思います。ブラウザなどそうなっていると思います。 -
  • 3つめの続きですが、ですので踏み台端末がかえってセキュリティーを悪化させる様に思えてなりません。 -
  • いかがでしょうか? -
  • すみません、本業に集中する日々でレスチェックがおろそかになっておりました。
    踏み台と言うのはRDPやXenAppのような物の導入と思って頂ければ・・・
    RDPもXenAppもそうですが、セキュリティポリシーでできる事の制限を行いう必要があります。
    踏み台端末は、あくまでその端末に悪さする物を仕掛けられるのを防ぐために使用するものです。
    -
  • 踏み台端末へのアクセスを横取りされたり、のぞかれたりする行為を防ぐには、暗号化されたVPN接続などが必要になります。
    通信チェックは、IPSかWAFかと言われると、WAFはWeb Application Firewallですので、踏み台端末へのアクセス方法しだいかなと・・・
    まー最近のWAFはWebに限らずチェックしてくれる物もあるので、機器選定しだいでは、たしかにWAFかと・・・
    -
ウォッチ

この質問への回答やコメントをメールでお知らせします。