オンラインゲームのサーバー立ち上げや独自運営のWEBサイト公開など、インターネット回線とパソコンさえあれば様々なことに挑戦できますがインターネット越しに通信をする上で注意しなければならないのはセキュリティ面です。
安易なサーバー公開はパソコンの乗っ取りやハッキングの踏み台にされるリスクがあり、犯罪に巻き込まれる可能性が高くなります。身を守りながらインターネット上でサーバーを公開するなら適切なポート開放と安全性の確保が大切です。そこで今回はポート開放の注意点とDMZについてご紹介します。
ポート番号はあらゆる通信の通り道
ポート番号は通信するサービスごとに決められた物や不特定多数が自由に使える物まで幅広くあります。具体的は数字が小さいほど各サービス専用として決められていることが多く、1024番以降は比較的自由に利用可能です。仮にWEBサーバーを公開するならhttpが使用する80番、メールサーバーなら110番と25番をOSやソフトウェアが使用して通信します。
必要なポートのみインターネット側へ解放して不必要なポートは開放しない
通常外部との通信は遮断されており、必要な通信サービスに対応したポート番号だけを解放します。仮に全てのポート番号を外部公開するとハッキング被害などのリスクが高まります。
サーバーとしてインターネット上に公開すると不要なポート番号が解放されていないかポートスキャンされる対象となり、グローバルIPが変わったとしてもすぐに狙われます。
万が一のハッキング対策として公開元のサーバーをDMZに指定する
必要なポートだけを開放していてもOSの脆弱性などで侵入やボットとして踏み台にされる可能性はわずかにあります。そういう時にサーバーマシン以外のネットワークで繋がっている機器からブロックする機能がDMZです。
サーバーマシンのローカルIPをDMZとしてルーターに設定しておけばファイヤーウォールと一緒に守ってくれます。
安価なルーターでDMZに指定できるネットワークアドレスはひとつだけ
YAMAHAなど法人向けのルーターでは複数のIPをDMZに指定できますが、個人ユーザー向けルーターではひとつしか指定できません。
もし複数のサーバーマシンや目的の異なるネットサービスを公開するならルーターの入れ替えを検討すべきですが、導入コストが割高な点には要注意です。
まとめ
DMZは絶対的な安全を保証するものではありませんが、サーバー公開時にはほぼ必須の存在です。またポート番号もサーバーOSとルーターの両方で管理するものであるため、両方の設定内容チェックは欠かせません。
Linux系OSはサーバー用途で使うことを想定しており、標準で閉じているポートが多いのに対しサーバー向けでないエディションのWindowsはほとんどのポートが空いているため、サーバー導入時のOS選びもポート設定の手間を左右します。
いずれにしても可能な限り全ての安全対策を講じておくことはサーバー公開の基本であるため、手間やコストをじっくりかけて準備することをお勧めします。