質問

2015年02月02日 17時54分
  • DMZ配下においたRedmineと連携するSubversionサーバのセキュリティについて

情シスのオープンナレッジ『Syszo』サービス終了のお知らせ

質問

現在、社外からのアクセスが可能なDMZ内に配置されたRedmineサーバ(公開Redmine)と、社内LAN内に配置されたRedmineサーバ(社内Redmine)を運用しております。
この度、社内Redmineを公開Redmineにデータ移行を行いたいと考えています。
データの移行そのものについては、社内Redmineのバックアップを投入することで実現できると考えているのですが、社内Redmineは社内LAN上に配置されたファイルサーバにあるSubversionと連携しており、この連携部分もあわせて移行することによる脅威についてご教示いただきたいです。

<やりたいこと>
・公開Redmineに社内Redmineのデータを移行する(解決済み)
・公開Rednmineから社内LAN上のSubversionと連携したい

2.において、社内LAN上のSubversionには開発におけるソースコードなどの情報が保持されており、これに対する不正なアクセスは許すことはできません。以下、想定した構成を記載します。

<想定した構成>
1.公開Redmineに2つあるLANポート(ポートI)のうち一方を社内LANに接続する。もう一方のポート(ポートO)はWLAN側に接続
2.公開Redmineからの社内LAN上のSubversionに対するアクセスは、ポート番号やIPアドレスなどでポートIに流れるようにアクセスを制御する

上記構成において、DMZ内においたサーバを社内LANにも接続することで、Subversionに対する不正アクセスされる可能性、その方法にはどのようなものがあるでしょうか?
また、そのアクセスを遮断するためにとり得る対策にはどのようなものが有るでしょうか?

ご回答お待ちしております。

2件の回答があります

回答

ご検討されている構成ではインターネットからの直接のアクセスはできませんので、公開Redmineが踏み台にされるケースをセキュリティ上のリスクとして想定するかどうかだと思います。

私個人の感覚でいえば実害はないのではないかと思いますが、
セキュリティの厳しい会社ですと、嫌がられるかもしれません。

可能性の話をするときりがないのですが、Redmineに脆弱性が存在したりすると非常にまずいことになります。
先日発生したShellshockのようなパターンでは修正が遅れると危なかったかもしれません。

公開したRedmineがソースコードにアクセスできるということを念頭に、セキュリティパッチの更新を教科書どおりに行うことが対策でしょうか。

現状で開発作業の利便性を落とさずにセキュリティを向上させるための案としては公開RedmineサーバにアクセスできるIPアドレスをファイアーウォールで絞るというものがあります。

この方法には外部の開発業者のIPアドレスを予め調べて登録する必要があるため、少々手間がかかるということと、開発進捗をスマートフォンで確認するなどの利便性が失われるというデメリットがあります。

ご参考になれば。

2015年02月08日 17時28分
csp

回答

公開Rednmineから社内LAN上のSubversionと連携したい
公開と社内LANの間にフォーテーゲートなどのアプライアンス製品を入れると安全だと思います。 トラフィックが少なければ価格の安いタイプで対応できると思います。
入口におくのが効果的ですがトラフィックが多い時はそれなりに高い機種になりDNZポートもついてます(ルーター機能がありルーターがはずせます)

2015年03月21日 20時37分
hat

あなたもコメントしましょう!