バックナンバー
■
その116「DLNAの仕組み」
[2007/03/26]
■
その115「ドメインとActive Directory」
[2007/03/19]
■
その114「ワークグループができること」
[2007/03/12]
■
その113「WPSの仕組み」
[2007/03/05]
■
その112「Gopherの生い立ちと現在」
[2007/02/26]
■
その111「Wikiの使われ方」
[2007/02/19]
■
その110「文字コードとは」
[2007/02/05]
■
その109「IISの生い立ち」
[2007/01/29]
■
その108「NASの登場と一般への普及」
[2007/01/22]
■
その107「HomePNAのいろいろ」
[2007/01/15]
■
その106「Ogg Vorbisの成り立ち」
[2006/12/25]
■
その105「MIDIの原理とSMFの構造」
[2006/12/18]
■
その104「AIFFの構造」
[2006/12/11]
■
その103「WAVの構造と現状」
[2006/12/04]
■
その102「WMAの歴史」
[2006/11/27]
■
その101「AACの特徴」
[2006/11/20]
■
その100「MP3/MPEG Audioの仕組み」
[2006/11/13]
■
その99「HSDPAの仕組み」
[2006/11/06]
■
その98「H.264・MPEG-4 AVCの特徴」
[2006/10/30]
■
その97「IEEE 802.16e(モバイルWiMAX)の特徴」
[2006/10/23]
■
その96「TIFFの特徴」
[2006/10/16]
■
その95「PNGの現状と今後」
[2006/10/02]
■
その94「GIFの構造」
[2006/09/25]
■
その93「10GBASEの種類(2)」
[2006/09/11]
■
その92「10GBASEの種類」
[2006/09/04]
■
その91「GbEのいろいろ」
[2006/08/28]
■
その90「JPEGの特徴」
[2006/08/21]
■
その89「DivXの広がり」
[2006/08/07]
■
その88「MPEGの仕組み」
[2006/07/31]
■
その87「WMVのこれまで」
[2006/07/24]
■
その86「AVIの生い立ちとそのコーデック」
[2006/07/10]
■
その85「QuickTimeの変遷」
[2006/07/03]
■
その84「Realのこれまでと今後」
[2006/06/26]
■
その83「ShareとWinny」
[2006/06/19]
■
その82「DOCSISの仕組み」
[2006/06/12]
■
その81「SQLインジェクションの流れ」
[2006/06/05]
■
その80「RSSの動作」
[2006/05/29]
■
その79「Skypeの仕組み」
[2006/05/22]
■
その78「BitTorrentの特徴と今後」
[2006/05/15]
■
その77「Winnyの仕組みと現状」
[2006/05/08]
■
その76「WinMXの特徴」
[2006/04/24]
■
その75「Gnutellaの歴史と構造」
[2006/04/17]
■
その74「Napsterの歴史」
[2006/04/10]
■
その73「P2Pのいろいろ」
[2006/04/03]
■
その72「IEEE 802.11nの動向」
[2006/03/27]
■
その71「ActiveX Scriptingの動作」
[2006/03/20]
■
その70「Ajaxの仕組み」
[2006/03/13]
■
その69「DHTMLの動作」
[2006/03/06]
■
その68「Scriptの定義」
[2006/02/27]
■
その67「JavaScriptの仕組み」
[2006/02/20]
■
その66「Javaの動作」
[2006/02/13]
■
その65「RFCのプロセス」
[2006/02/06]
■
その64「ActiveX DocumentとActiveX Controlの違いと共通点」
[2006/01/30]
■
その63「ActiveX Controlの機能」
[2006/01/23]
■
その62「ActiveXを構成するもの」
[2006/01/16]
■
その61「Cookieの仕組みと用途」
[2005/12/26]
■
その60「malwareとその分類」
[2005/12/19]
■
その59「rootkitの動作」
[2005/12/12]
■
その58「CSSの役割」
[2005/12/05]
■
その57「HTMLの変遷」
[2005/11/28]
■
その56「PONとその種類」
[2005/11/21]
■
その55「FWAの仕組み」
[2005/11/14]
■
その54「DoSとDDoS」
[2005/11/07]
■
その53「SNMPとMIBの動作」
[2005/10/03]
■
その52「Jumbo Frameとフレームサイズ」
[2005/09/12]
■
その51「WPA2の仕組み」
[2005/09/05]
■
その50「WPAとWPA-PSKの違い」
[2005/08/29]
■
その49「WPAの仕組み」
[2005/08/22]
■
その48「WebDAVの動作」
[2005/08/08]
■
その47「OFDMAの仕組みとOFDMとの違い」
[2005/08/01]
■
その46「OFDMの仕組み」
[2005/07/25]
■
その45「WiMAXの特徴」
[2005/07/11]
■
その44「Wi-Fiの役割」
[2005/07/04]
■
その43「FTPの目的と動作」
[2005/06/27]
■
その42「UPnPの動作」
[2005/06/20]
■
その41「ネットマスクの仕組み」
[2005/06/13]
■
その40「ARPの機能」
[2005/06/06]
■
その39「DNSの原理」
[2005/05/30]
■
その38「デフォルトゲートウェイの役割」
[2005/05/23]
■
その37「MACアドレスの仕組み」
[2005/05/16]
■
その36「スイッチとその進化」
[2005/05/09]
■
その35「ルータによるメリット」
[2005/04/25]
■
その34「ブリッジの原理」
[2005/04/18]
■
その33「リピータの機能」
[2005/04/11]
■
その32「IPアドレスのクラス」
[2005/04/04]
■
その31「ブロードキャスト/マルチキャスト/ユニキャスト」
[2005/03/28]
■
その30「SMTP AUTHと認証の種類」
[2005/03/14]
■
その29「Submissionポートとスパムメール対策」
[2005/03/07]
■
その28「Outbound Port25 Blockingとは」
[2005/02/28]
■
その27「PGPの仕組み」
[2005/02/21]
■
その26「PKIと認証局」
[2005/02/14]
■
その25「公開鍵暗号方式とは」
[2005/02/07]
■
その24「共通鍵暗号とは」
[2005/01/31]
■
その23「SSHの仕組みと応用」
[2005/01/24]
■
その22「SSLの役割」
[2005/01/17]
■
その21「POP3とIMAP4の違い」
[2004/12/27]
■
その20「POP3の役割と機能」
[2004/12/20]
■
その19「SMTPの機能と問題点」
[2004/12/13]
■
その18「SPIとパケットフィルタリング」
[2004/12/06]
■
その17「LANの概念とその広がり」
[2004/11/29]
■
その16「SIPの役割」
[2004/11/15]
■
その15「プロキシの利用」
[2004/11/08]
■
その14「VoIPの仕組み」
[2004/11/01]
■
その13「イーサネットとは」
[2004/10/25]
■
その12「IP/TCP/UDP/ICMPとは」
[2004/10/18]
■
その11「DHCPの役割」
[2004/10/04]
■
その10「MIMOとは」
[2004/09/27]
■
その9「DMZとその効果」
[2004/09/13]
■
その8「ファイアウォールとは」
[2004/09/06]
■
その7「NATとNAPTの違いとIPマスカレード」
[2004/08/30]
■
その6「VPNとVPNパススルーの仕組み」
[2004/08/23]
■
その5「無線LANの問題とWEP」
[2004/08/09]
■
その4「IEEE 802.11a/b/gって何を意味しているの?」
[2004/08/02]
■
その3「ダイナミックDNSって?」
[2004/07/26]
■
その2「グローバルIPアドレスとプライベートIPアドレス」
[2004/07/12]
■
その1「PPPoEって何だろう?」
[2004/07/05]
その9「DMZとその効果」
■
DMZとは
DMZ(DeMilitarized Zone)とは、直訳すると「非武装地帯」となります。「非武装」と言っても安全とか平和とかそういった話ではなく、例えば今はなきベルリンの壁などがこの非武装地帯にあたります。つまり、お互いがにらみあって均衡状態を保っている場所のことで、ある意味安全ではありますが、実際には平和な場所ではありません(笑)。
ネットワークの世界におけるDMZとは、グローバルネットワークとプライベートネットワークの間の場所となります。両方のネットワークからアクセスされるために、いつ攻撃されても大丈夫な状態を保っているネットワーク、と考えるのが一番近いところでしょう。
■
DMZの必然性
図1:ファイアウォールの効果
もしあなたが、外部にサーバーを公開する必要がないのであれば、DMZを設ける必然性は皆無と言って良いでしょう。ファイアウォールさえ設置していれば、普通に利用する分には何の問題もありません(図1)。
問題はサーバーを公開したい場合で、公開したいサーバーを(ネットワーク的に)どこに置くかという問題が出てきます。もちろん、ファイアウォールの外側に置けば(図2)、サーバーに何があってもプライベートネットワークに影響はないわけですが、サーバー自体は「自由に蹂躙してください」と置いてあるようなもので、あまり賢いアイデアとは言えません。
図2:サーバーをどこに置くか(その1)
従って、やはりサーバーもファイアウォールの内側に置いておき、必要なポート(例えば、Webサーバーなら80番)だけを開けておくという方法(図3)が一般的です。ところがこの方法だと、仮にサーバーの脆弱性を利用して侵入された場合、そこからプライベートネットワークに侵入し放題ということになってしまいます。このこと自体は、ファイアウォールでは防げません。仮にこれがWebサーバーだとしたら、80番ポートを閉じてしまうとサーバーの公開自体ができなくなってしまうからです。
根本的な対処には、サーバー側で脆弱性を防ぐ必要があるわけですが、こうした脆弱性は発見されてから対応パッチがリリースされるまで多少時間がかかりますし、場合によってはそれをすぐ適用できるとは限らないわけで(例えばあるパッチを当てると、ほかの問題が生じてしまうことがわかっていると、ちょっと対処に時間がかかるでしょう)、何らかの手当てができるまでの間はプライベートネットワークが極めて危険な状況に置かれてしまうわけです。
図3:サーバーをどこに置くか(その2)
■
DMZの構成
図4:DMZの利用
これに対する対策が、DMZという方法です。図4に示すような構造ですが、ここでDMZはファイアウォールとだけ繋がっており、プライベートネットワークからは切り離されています。このため、仮に脆弱性を利用してサーバーに侵入されても、そこからプライベートネットワークに侵入されることがないために、被害がサーバーだけで済むというものです。
ただし、これを実現するためにはWAN/LANとは別にDMZ専用ポートを持ったファイアウォールが必要です。最近では、専用ポートを持つ機種も次第に増えてきましたが、どうしても高価格帯の製品に集中しており、安価な製品にはこうした配慮がないものが少なくありません。
そんな場合でもDMZを構築できるのが図5の方式です。つまり、2つのファイアウォールの間をDMZとして利用するという構成です。この構成ならば、仮にサーバーに侵入されても、そこからプライベートネットワークの間にはもう1つファイアウォールがあるため、そこで被害を防ぐことができるというわけです。
この方式は、ファイアウォール機能を搭載する安価なルータでも確実にDMZを構築できるという点で、比較的お勧めしやすい方法です。実際、筆者の仕事場では図5の構成で外部サーバーを運用しています。
図5:DMZの別パターン
■
「なんちゃってDMZ」の危険性
ところで、安価なルータの中には「DMZホスト機能」などと呼ばれる機能を持っているものもあります。こうしたものを使えば、図4のような構成が簡単にできるかというと、実はそうではなかったりします。というのも、DMZホスト機能を使うと、図3のような構成になってしまうケースが少なくありません。しかも、下手をすると一般の不法な侵入すら阻止されず、全部がDMZホスト機能で指定されたサーバーに転送されることになってしまい、かえって危険度は増してしまう場合もあります。
筆者はこれを「なんちゃってDMZ」と呼んでいますが、こうした「なんちゃってDMZ」を有効にするのはファイアウォールを自分からブチ壊しているようなものになりかねず、結果としてファイアウォール自体を使っている意味がなくなってしまいます。まともなDMZ機能が使える製品の場合は、物理的にDMZ用のポートがほかのLAN側ポートと分離されていたり(
参考画像1
)、LANポートと共有ながら「DMZ用ポートはこれのみ」といった指定されている製品(
参考画像2
)が一般的です。
したがって、それ以外の製品は「なんちゃってDMZ」の危険性が高いことを覚悟しておかなければなりません。もしこうした製品をお使いで、しかも外部向けにサーバーを立てたいという場合には、筆者としてはもう1台ルータを購入して図5の構成にするのが一番無難であることを最後に強調しておきたいと思います。
びび
(右):
ブロードバンド用語を習得すべく、日々学習中の小学生。何とか自力 で学ぼうとはしているが、結局はワーズに助け船をだしてもらっている。
ワーズ
(左):
言葉がキツくなるときもあるが、基本的には面倒見の良いお姉さんタイプ。びびとは家も近いこともあり、昔から何かと世話を焼いている。びびからは「ワーズさん」と呼ばれ、慕われている。
2004/09/13 11:05
槻ノ木 隆
国内某メーカーのネットワーク関係「エンジニア」から「元エンジニア」に限りなく近いところに流れてきてしまった。ここ2年ほどは、企画とか教育、営業に近いことばかりやっており、まもなく肩書きは「退役エンジニア」になると思われる。(イラスト:Mikebow)
Broadband Watch ホームページ
Copyright (c) 2004 Impress Corporation All rights reserved.