ネットワーク構成の決定

NW型SiteShellは、「リバースプロキシ方式」、「ルータ方式」、「ブリッジ方式」の3種類の

ネットワーク構成のいずれかで利用できます。

またポートミラーリング付きのハブを使用することで、「スニッフィング方式」というネット ワークやサーバの構成を変更せず、脆弱性対策定義による攻撃検出の検証を目的とした導入も行 えます。

導入にあたり、初めに利用するネットワーク構成を決定します。

以下に、各ネットワーク構成での変更点を説明します。

3.8.1.1 リバースプロキシ方式

リバースプロキシ方式は、DNSサーバの設定を変更し、既存のホスト名をSiteShellサーバの仮想 IPに割り当てる方式です。

これにより、ブラウザからのリクエストを一旦SiteShellサーバが処理し、問題のないリクエスト のみ既存Webサイトへ転送します。

ネットワーク構成の変更点

ネットワークリソース 変更

要否 変更内容

物理的ネットワーク接続 － 変更不要です。

ルータ(ルーティング) － 変更不要です。

DNS ○ 既存Webサイトのホスト名にSiteShellサーバの仮想IP を割り当てます。

既存Webサイト

△

セキュリティ上、SiteShellサーバ以外のhttp接続を拒否 するようファイアウォールを設定することをお勧めしま す。

SiteShellサーバ 転送先Webサイトに対して1対1の仮想IPを設定し、

ネットワークに接続します。接続するネットワークは、

WebSite1 (IP=10.1.1.1)

Internet

WebSite2 (IP=10.1.1.2) SiteShellサーバ

WebSite1=10.1.1.101 WebSite2=10.1.1.102

DNSサーバ

既存Webサイト

仮想WebSite2

仮想

IP=10.1.1.102 (→10.1.1.2へ転送)

仮想WebSite1

仮想

IP=10.1.1.101 (→10.1.1.1へ転送) 管理ノードIP=10.1.1.100

http://WebSite1/

134

3.8.1.2 ルータ方式

ルータ方式は、ルータの設定を変更し、既存のWebサイト宛のパケットをSiteShellサーバの仮 想IPにルーティングする方式です。

これにより、ブラウザからのリクエストを一旦SiteShellサーバが処理し、問題のないリクエスト のみ既存Webサイトへ転送します。

ネットワーク構成の変更点

ネットワークリソース 変更

要否 変更内容

物理的ネットワーク接続 － 変更不要です。

ルータ(ルーティング)

○

既存のWebサイト宛のパケットをSiteShellサーバの仮 想IPにルーティングするよう、ルーティング設定を変更 します。

DNS － 変更不要です。

既存Webサイト － 変更不要です。

SiteShellサーバ

○

転送先Webサイトに対して1対1の仮想IPを設定し、

ネットワークに接続します。接続するネットワークは、

既存のWebサイトと同じサブネットとします。

WebSite1 (IP=10.1.1.1)

Internet

WebSite2 (IP=10.1.1.2) ルータ

既存Webサイト SiteShellサーバ

管理ノードIP=10.1.1.100

HUB

10.1.1.1→10.1.1.101 10.1.1.2→10.1.1.102

仮想WebSite2

仮想

IP=10.1.1.102 (→10.1.1.2へ転送)

仮想WebSite1

仮想

IP=10.1.1.101 (→10.1.1.1へ転送)

http://WebSite1/

3.8.1.3 ブリッジ方式

ブリッジ方式は、SiteShellサーバに2枚のNIC(Network Interface Card)を装着し、ブリッジ接続 で既存のWebサイトへ中継する方式です。

SiteShellサーバの一方のNICをネットワークに接続し、他方のNICを既存のWebサイトに接続

します。

これにより、ブラウザからのリクエストを一旦SiteShellサーバが処理し、問題のないリクエスト のみ既存Webサイトへ転送します。

ネットワーク構成の変更点

ネットワークリソース 変更

要否 変更内容

物理的ネットワーク接続 ○ 既存のWebサイトをSiteShellの片方のNICに接続しま す。

ルータ(ルーティング) － 変更不要です。

DNS － 変更不要です。

既存Webサイト － 変更不要です。

SiteShellサーバ

○

転送先Webサイトに対して1対1の仮想IPを設定し、

ネットワークに接続します。接続するネットワークは、既 存のWebサイトと同じサブネットとします。

WebSite1 (IP=10.1.1.1)

Internet

WebSite2 (IP=10.1.1.2) 既存Webサイト

HUB SiteShellサーバ

管理ノードIP=10.1.1.100

NIC1 NIC2

仮想WebSite2

仮想IP=10.1.1.102 (→10.1.1.2へ転送)

仮想WebSite1

仮想IP=10.1.1.101 (→10.1.1.1へ転送)

http://WebSite1/

136 ネットワーク構成の変更点

ネットワークリソース 変更

要否 変更内容

物理的ネットワーク接続

○ HTTP通信のポートミラーリング先としてSiteShellサー バを指定します。

ルータ(ルーティング) － 変更不要です。

DNS － 変更不要です。

既存Webサイト － 変更不要です。

SiteShellサーバ

○

HTTP通信をスニッフィングするようSiteShellのパケッ トリレー機能を有効にします。これによりSiteShellサー バのNICはプロミスキャスモードで動作します。

WebSite1

Internet

WebSite2 SiteShellサーバ

既存Webサイト

疑似 WebSite

管理ノードIP=10.1.1.100

NIC1

HUB

NW型SiteShell

ﾎﾟｰﾄﾐﾗｰﾘﾝｸﾞ ｽﾆｯﾌｨﾝｸﾞ

http://WebSite1/