第4回：NATサーバに必要なファイアウォール設定とデータベースサーバ、メールサーバ (2/3)

TOP＞サーバ構築・運用＞ Telnet接続について

改めて知っておきたいRed Hat Enterprise Linux 4 - ネットワークサービス編

第４回：NATサーバに必要なファイアウォール設定とデータベースサーバ、メールサーバ
著者：日本ヒューレットパッカード古賀政純 2006/12/27

前のページ 1 2 3 次のページ

Telnet接続について

Telnetは攻撃に利用される可能性が非常に高く、基本的にプライベートLAN内でのみ利用を許可します。このため、23番ポートはeth1から入ってくるパケットに関して通信を拒否するように設定します。

/sbin/iptables -A INPUT -i eth1 -p tcp --dport 23 -d $MYHOST -j REJECT

VNC接続について

VNCはリモートから画面を表示できるサービスのため、Telnetと同様にセキュリティホールとなる可能性があります。このため、VNCのデフォルトの5901番ポートについて、eth1から入ってくるパケットの通信を拒否します。

以下の設定ではプライベートIPアドレスのLANからの接続は許可になっています。NATルータのメンテナンス上VNCが必要かどうかを考慮し、もし必要ない場合には同様に通信を拒否しておくことをお勧めします。

/sbin/iptables -A INPUT -i eth1 -m tcp -p tcp --dport 5901 -d $MYHOST -j REJECT
/sbin/iptables -A INPUT -i eth0 -m tcp -p tcp --dport 5901 -d $MYLOCAL -j ACCEPT

SSH接続について

最近SSHのポートを狙った不正アクセスが急増しています。telnetやrsh、ftpなどがセキュアでなく、sshが比較的セキュアであるという意識を逆手に取って、ssh接続を何度も試みるクラッキングが発生しています。「sshだから安全である」という保証はまったくないといっても過言ではないでしょう。

次に示すのは、グローバルIPアドレスからの22番ポートへのアクセスを拒否する例です。プライベートIPアドレスからのアクセスは許可していますが、実際の利用時にはRed Hat Enterprise Linux 4のsshが対応しているtcp_wrapperを利用し、/etc/hosts.denyでホストベースのアクセス制限と組み合わせて利用しましょう。

/sbin/iptables -A INPUT -i eth1 -m tcp -p tcp --dport 22 -d $MYHOST -j REJECT
/sbin/iptables -A INPUT -i eth0 -m tcp -p tcp --dport 22 -d $MYLOCAL -j ACCEPT

なりすましパケットについて

なりすましパケットとは、あたかもプライベートIPアドレスのLAN上から送信されたパケットだというふりをして、サーバに対してクラックを行うために利用されるものです。これは、ファイアウォールの内側でプライベートIPアドレスが一般的に広く利用されていることを逆手にとった手法です。

インターネットのようなグローバルIPアドレスを持つネットワークでは、数多くのなりすましパケットが流れています。そこで、グローバルIPを持つネットワークから送信されたパケットであるにも関わらずプライベートIPアドレスのヘッダを持ったパケットは、拒否するように設定しておく必要があります。

/sbin/iptables -N spoofing
/sbin/iptables -A INPUT -i eth1 -d 127.0.0.0/8 -j spoof
/sbin/iptables -A INPUT -i eth1 -s 127.0.0.0/8 -j spoof
/sbin/iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j spoof
/sbin/iptables -A INPUT -i eth1 -s 172.16.0.0/16 -j spoof
/sbin/iptables -A INPUT -i eth1 -s 255.255.255.255 -j spoof
/sbin/iptables -A INPUT -i eth1 -s $MYHOST -j spoof
/sbin/iptables -A spoof -j LOG --log-prefix "IPTABLES SPOOFING:"
/sbin/iptables -A spoof -j DROP

iptablesとHP Virus Throttle、HP SIMを組み合わせてウイルスに似た活動を検出

   Red Hat Enterprise Linux 4のiptablesを使うことで、不正アクセスを行うパケットの侵入を低減することが可能です。さらにiptablesとHP Virus Throttle、Systems Insight Managerを組み合わせることで、Red Hat Enterprise Linux 4でウイルスに似た活動を検出できるようになります。

   HP Virus Throttleはネットワークの接続状況の常時監視を行い、ウイルスに似た挙動を検出します。ウイルスに似た挙動を検出した場合、そのサーバ上で稼動しているInsight Management Agentにより、Systems Insight Managerにウイルス活動の検出のアラートが通知されます。

   iptablesとHP Virus Throttle、SIMを組み合わせてウイルスに似た活動を検出する情報については、次のURLを参照してください。

hp-vt（Virus Throttle）／hp-pel（ProLiant Essentials Licensing）：
http://h50146.www5.hp.com/products/software/oe/linux/
mainstream/product/software/vt/index.html

前のページ 1 2 3 次のページ

著者プロフィール
日本ヒューレット・パッカード株式会社
古賀政純
2000年よりUNIXベースのHAクラスタシステム及び、科学技術計算システムのプリセールスに従事。並列計算プログラミング講習会などを実施。その後、大手製造業及び官公庁系の大規模Linuxクラスタの導入、システムインテグレーションを経験。現在は、大規模エンタープライズ環境向けのLinuxブレードサーバ及びHP Serviceguard for Linux（HAクラスタソフトウェア）のプリセールスサポート、システム検証を担当している。毎日、Linuxサーバと寝食を共に（？）しています。

INDEX
第4回：NATサーバに必要なファイアウォール設定とデータベースサーバ、メールサーバ
	NATサーバに必要なファイアウォール設定
	Telnet接続について
	データベースサーバについて

改めて知っておきたいRed Hat Enterprise Linux 4 - ネットワークサービス編
第1回	Webサーバの基本「Apache」
第2回	3つのファイルサーバ「NFS & FTP & Samba」
第3回	IPアドレスを管理する「DHCPサーバ」と通信の橋渡し「NATルータ」
第4回	NATサーバに必要なファイアウォール設定とデータベースサーバ、メールサーバ

改めて知っておきたいRed Hat Enterprise Linux 4 - 管理ツール編
第1回	現実路線のサーバ管理ソフトウェア
第2回	手軽なWeb管理ツールと強力な専用ツール

改めて知っておきたいRed Hat Enterprise Linux 4 - サーバ編
第1回	ブレードサーバとLinux
第2回	HAクラスタとバックアップ
第3回	データレプリケーションとWebサーバの構築の基本

改めて知っておきたいRed Hat Enterprise Linux 4 - インストール編
第1回	Red Hat Enterprise Linuxの概要
第2回	インストールの方法とサポート状況の確認
第3回	インストールとNICの設定
第4回	インストール後に行う設定

改めて知っておきたいRed Hat Enterprise Linux 4 管理編
第1回	外部ストレージの設定と運用について
第2回	RHEL4におけるユーザ管理
第3回	RHEL4におけるシステム管理とSIMについて
第4回	RHEL4におけるOSのチューニング

改めて知っておきたいRed Hat Enterprise Linux 4 - バックアップ編
第1回	オープンソースMondo Rescueによるバックアップ手法
第2回	NetVault for Linuxを使ったバックアップ

改めて知っておきたいRed Hat Enterprise Linux 4 - クラスタ編
第1回	LinuxでもHAクラスタ
第2回	Serviceguard for Linuxでクラスタ環境の管理