C# と VB.NET の質問掲示板

ASP.NET、C++/CLI、Java 何でもどうぞ

C# と VB.NET の入門サイト

Re[3]: ClickOnce配布アプリのFW例外設定について


(過去ログ 54 を表示中)

[トピック内 4 記事 (1 - 4 表示)]  << 0 >>

■30688 / inTopicNo.1)  ClickOnce配布アプリのFW例外設定について
  
□投稿者/ SCP太郎 (1回)-(2009/01/03(Sat) 00:10:00)

分類:[.NET 全般] 

はじめまして。いつも参考にさせて頂いております。

開発中のC/Sアプリのクライアントのファイアウォール設定に関しまして
私なりに調査したのですが解決できない点があります。
皆様のお力を貸して頂きたいと思います。

 1.VB2005+SQLServer2008でC/Sアプリを作成
 2.DBへの接続・トランザクションはTableAdapter+TransactionScope
 3.ClickOnceを用いてアプリを配布

上記条件で開発を行っています。分散トランザクションコーディネータは
RPC(TCP:135)と(TCP:1024〜65534のランダムなポート番号)のポートを
使用するようなのですがこのアプリを配布・使用する際にFWに関して以下の
問題が発生します。 

 @使用するポートが不定なのでポート番号を指定してFW例外設定ができない
 AClickOnceで配布を考えているのでアプリを指定してFW例外設定ができない
  (プログラムの物理パスが不定?)

通常このようなアプリの場合、各クライアントのFWはどのように設定
すべきなのでしょうか?
ランダムなポート番号部はレジストリを変更して範囲指定させることも
可能なようですが、範囲指定したポートをすべてのクライアント
端末で例外設定するのも現実的でない気がしますし…
行き詰ってしまっています。

ご助言頂ければ非常に嬉しいです。
引用返信 編集キー/
■30689 / inTopicNo.2)  Re[1]: ClickOnce配布アプリのFW例外設定について
□投稿者/ ちゃっぴ (193回)-(2009/01/03(Sat) 00:25:26)
ちゃっぴ さんの Web サイト
No30688 (SCP太郎 さん) に返信
> 上記条件で開発を行っています。分散トランザクションコーディネータは
> RPC(TCP:135)と(TCP:1024〜65534のランダムなポート番号)のポートを
> 使用するようなのですがこのアプリを配布・使用する際にFWに関して以下の
> 問題が発生します。

これ server 側の port ですね。
Client の source port はそもそも任意の high port 利用するので FTP と同様 static な設定は無理でしょう。

> 通常このようなアプリの場合、各クライアントのFWはどのように設定
> すべきなのでしょうか?

個人的には、AP server 用意してそちらからのみ DB server への操作を許可した方が楽なんで、そっちにするかなぁ。
引用返信 編集キー/
■30698 / inTopicNo.3)  Re[2]: ClickOnce配布アプリのFW例外設定について
□投稿者/ れい (823回)-(2009/01/03(Sat) 08:45:38)
No30689 (ちゃっぴ さん) に返信
> これ server 側の port ですね。
> Client の source port はそもそも任意の high port 利用するので FTP と同様 static な設定は無理でしょう。

これは…

No30688 (SCP太郎 さん) に返信
>  @使用するポートが不定なのでポート番号を指定してFW例外設定ができない

とあるので、
クライアント側の発信ポートも、サーバー側の着信ポートも動的なので、例外設定できないという話かと思います。
(片方が固定なら例外設定できるfirewallを使っているのでしょう。きっと。)

No30688 (SCP太郎 さん) に返信
> 通常このようなアプリの場合、各クライアントのFWはどのように設定
> すべきなのでしょうか?

この手のセキュリティ関連の話は、環境だとか状況だとか時代によって変わるので、「通常」という概念が殆ど意味を持ちません。
SCP太郎 さんの状況を私の常識で勝手に補うなら、私は以下のように判断します。

まず、普通はCよりもSの方が重要度が高いので、当然Sの方が厳しいセキュリティにおかれるべきです。
当然Sが侵される確率はCより低いはずですので、「CをSから守る」必要性は殆どありません。

Cは恐らく不特定多数へアクセスできる状況(≒the internetが見える)になってるでしょうから、
「Cを外部(=不特定多数)から守る」必要性はあります。

なので、Cのファイアーウォールは
・外部からのアクセスは厳しくフィルタ
・サーバーからのアクセスは許可
とするのが自然です。
「特定IPからのInbound通信を許可」できればいいわけです。

VistaのWindows Firewallはこれを行うことが出来ます。
XPのFirewallは無理だったと思いますが、
他社製のfirewallなら、殆どの物が可能であろうと思います。

Cが5〜6台を超えるようなC/Sシステムの場合、
今時のfirewallのコスト・セキュリティ意識を考えると、
XPなクライアントには他社製firewallを導入します。
Cがそれ以下なら適当に誤魔化します。

DTCのポート指定は意味ないのでやらないほうがいいでしょう。
引用返信 編集キー/
■30702 / inTopicNo.4)  Re[3]: ClickOnce配布アプリのFW例外設定について
□投稿者/ SCP太郎 (2回)-(2009/01/03(Sat) 10:56:46)
ちゃっぴ 様
れい 様

丁寧な意見ありがとうございます。
私の認識が浅い部分もあり色々と補完していただきありがとうございます。

No30689 (ちゃっぴ さん) に返信
>個人的には、AP server 用意してそちらからのみ DB server への操作を許可した方が楽なんで、そっちにするかなぁ。

No30698 (れい さん) に返信
> DTCのポート指定は意味ないのでやらないほうがいいでしょう。

>「特定IPからのInbound通信を許可」できればいいわけです。


DTCのポートを指定することを中心に考えていたのですが、
ちゃっぴ様のご意見のようにAP serverを介してDBアクセスを行う、
または、れい様のご意見のように他社性FWを導入して
特定IPからの通信を許可する方法の検討を行いたいと思います。


お正月から貴重なご意見ありがとうございました!

解決済み
引用返信 編集キー/


トピック内ページ移動 / << 0 >>

このトピックに書きこむ

過去ログには書き込み不可

管理者用

- Child Tree -