[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[orca-users:02022] Re: アドバイスを、お願いします

To: <orca-users@xxxxxxxxxxxxxx>
Subject: [orca-users:02022] Re: アドバイスを、お願いします
From: "巽　憲一" <tatsucli@xxxxxxxxxxxxxx>
Date: Fri, 25 Oct 2002 13:13:18 +0900

ありがとうございます。　巽（＠伊丹市医師会）です。

ＯＲＣＡセットの医事専用機としての使用目的は
理解しているつもりですが、．．少し欲が．．
もう少し拡張して、現有システムとの関連を考慮した
活用法もあるのではと、思っております。

医師会システムのセキュリティは、ご指摘の通り
ルーターとハブの、パケットフィルタリングが主であり、
いささか心もとない点もある、と思っております。
（機器と、メンテナンス費用の面より、選択されました）

データサーバー（ＷＥＢサーバーも含め）のメンテナンスは
専用線を用いた、オンラインで外注にて行っております。
ＨＰの修正などもＬＡＮ端末しか、サーバーファイルには
アクセス権限が無い設定にはなっているのですが．．．

>   LINUX Server が、Firewall も兼ねていて更に完璧だという
> ことでしょうか。
ＬＩＮＵＸのＷｅｂサーバーで、Ｆｉｒｅｗａｌｌを形成していおり、
外部と、医師会イントラとは、切れてはいるはずですが．．さて？
構成図は、一部簡略化しており、申し訳ありません、さすがに丸裸は
ＯＲＣＡセットに、そこまで機能は求めませんが、出来れば最高ですね．
既存のシステムと、ＯＲＣＡセットを関連付ける方法が、
何か、存在しないか？？．．と考えております．．．

>   HUB 間に Routing Machine (LINUX Machine)がないのが、
> 少し引っかかります。
ご指摘の通りだと、思います。．．まだ、アタックは無いようです

> 日経バイトの特集では、
> ２００１年４月号の「パケットフィルタリングを極める。」
> ２００１年６月号の「日経バイトの予算をかけないファイアーウオール
> の作り方。」
>   を参考にすると、結論とすると、以下のように思います。
参考にさせて頂きますが、．．多分、内容の大半は意味不明だと．．（涙）

>   おそらくは、素人では、メンテナンス出来ない。
　　その様な．．神をも恐れぬ妄想は、露ほども抱いておりません．．

>   ６月号の 後者の Linux Machine による、要塞化が、一応は、
> ＲｏｕｔｉｎｇＭａｃｈｉｎｅによる簡易遮断よりも数段強いということの
> ようです。
>
>   これは、HUB を使って、遮断する予定のWAN/LAN トポロジ
> ーを、考えるときに、
>
>   HUBの前後を囲む形で、Linux FireWall で更にＨＵＢ自体を
> 隔離します。
>
> しかも、Linux Ｆｉｒｅｗａｌｌ Machine 自体が、Web server か、
> Mial server を兼ねていることも可能であることが、
>
>   強みで味噌のようです。
>
> 更に最強？？といわれる DMZ(非武装地帯)をどこに置くかは、
> 任意にどのように考えてもよいらしい。
>
>    DMZ だけで、パケットフィルタリングするのは、内部の密通者
> （情報漏れの、５０％は、内部です。）が、簡単に破ってしまうので、
> 困るという人には、Log 管理を２重にするというやり方が、あります。
>
>   ご提示のトポロジーは、 一見して、公開してある Web Server が、
> まったく無頓着にぶら下がっているだけで、（NIC 1枚差しのままで）、
> 危ないと思います。ネットワークカードを2枚差しで、イントラネット側と、
> WAN 側とで、NIC を使い分けるというやり方が、良いと思います。

> 1.公開サーバーは、 Linux で構成されているとすれば、
>   非武装地帯を作るために 2 台の Linux Machine で、挟ん
> で、その中に Web Server を隔離するか、
>
> 2.公開 Web Server を隔離するために、単純にイントラネット
> を分離し、２段の Linux Machine で作ったカスケードで
> 遮断分離したいですよ。

Ｗｅｂサーバーは、ＬＩＮＵＸですので、ご提案のＮＩＣ２枚刺を
検討させて頂きます。　既に、２枚刺の可能性もありますが．．
Ｌｉｎｘ　２段のカスケードですか．．医師会の予算が下りるかしら？？

>   そして、分離した、奥に 医師会イントラネットを配置します。
>
>   非武装地帯をつくっても、ブロード・キャストの IP address
> 要求で、結局は、危なさは、レベルが違う程度で、完璧では
> ないけど。
>
>   究極の LINUX NIC 3枚差しでの隔離とかあるようですけど、
> これは、途方もない苦労が、 RedHut Linux 6.x 迄は在った
> ようですよ。 7.x 、８からは、うまく出来るようです。
>
>   debian LINUX で、 NIC ３枚差し による DMZ(非武装地帯）
>  が直ぐにできるといいですねー。

素人ながらにも、その様に思います．．Ｄｅｂｉａｎで出来れば
現在の案では、ＯＲＣＡセット専用に、ＡＤＳＬ又はＦＴＴＨを
１回線導入する予定ですが、出来れば１本ですっきりと．．

早速、業者さんとの検討に入らせて頂きます。

ご指摘と、アドバイスありがとうございます。

_／_／_／_／_／_／_／_／_／_／

 〒　６６４−０８８１
  　　伊丹市昆陽６丁目６
 TEL・FAX ０７２７−８１−３４５６
 　　巽　　医院　　　　　巽　憲一
 E:mail  tatsucli@xxxxxxxxxxxxxx

_／_／_／_／_／_／_／_／_／_／

Follow-Ups:
- [orca-users:02041] Re: アドバイ⇒ひとつのアイデア
  - From: IC-TECH LTD

References:
- [orca-users:02021] Re: アドバイスを、お願いします
  - From: rmc51275_66

Prev by Date: [orca-users:02021] Re: アドバイスを、お願いします
Next by Date: [orca-users:02023] Re: アドバイスを、お願いします
Previous by thread: [orca-users:02021] Re: アドバイスを、お願いします
Next by thread: [orca-users:02041] Re: アドバイ⇒ひとつのアイデア
Index(es):
- Date
- Thread