[samba-jp:19020] Re: [Q] domain setup over network

[Kensuke Nezu]

根津です。

NAKAJI Hiroyuki wrote:
>>>>>> In [samba-jp] 
>>>>>> 	oota ＠ mail.linux.bs1.fc.nec.co.jp wrote:
> 
>> というか、なんでPDCがWAN側にあるのかな。内部側にあってもいいような気が。
> 
> これは
> 
> 中治> かつて、ケーブルテレビ屋さんでインターネット接続していた頃は/28だった
> 中治> ものですから全部 segment A だったのですが、光のOCNに変更したら/29になっ
> 中治> てしまって、何とかしなきゃなぁというのが発端です。
> 
> ということで、かつての名残です。今回の話では PDC という役割を強調していま
> すが、PPPoEルータだったり、Web サーバだったり、DNSサーバなどもしています。

CATVだったときって、Segment A側にCATV側の根本でパケットファイアウォール
とかいなかったんでしょうか？多分、某かいたんだと思うんですが・・・。
で、OCN光だと今度は完全に透過になるので、Segment AにPDCを晒すというのは
世界中からの137/UDP,138/UDP,139/TCPのドメインログオンのチャレンジを受け
続けていることになるはずです。（というか、現実なっている状態のはずです）

セキュリティ的にはPDCのドメインログオンサービスをインターネットにわざ
わざ晒す理由はないので、Segment B側にのみ開ける形にしないとまずいんじゃ
ないでしょうか？

>> PDCが他のサービスをしている場合、取りあえずマルチホームにしてみるとか。
>> それでちゃんと動いたら、サーバ統合かと。
> 
> そうですね。あるいは、Win の台数が少ないので、全部 LAN 側に置くように作り
> 直すのが早いかもしれないと考えています。

最低限、マルチホームにしたら、pfでSegment Aからの137〜138/UDPと、
139/UDP,445/TCPを遮断するようにしないと危険だと思います。

-- 
------
根津 研介 日本Sambaユーザ会/NTTデータ先端技術（株）
Microsoft MVP for Windows Security(Apr 2005 - Mar 2007)
802.11セキュリティサイト：http://www.famm.jp/wireless
 ※「SELinuxシステム管理―セキュアOSの基礎と運用」
    http://www.oreilly.co.jp/books/4873112257/
 ※「実用SSH第２版−セキュアシェル徹底活用ガイド」
    http://www.oreilly.co.jp/books/4873112877/