TOPサーバ構築・運用> Telnet接続について
改めて知っておきたいRed Hat Enterprise Linux 4 - ネットワークサービス編
改めて知っておきたいRed Hat Enterprise Linux 4 - ネットワークサービス編

第4回:NATサーバに必要なファイアウォール設定とデータベースサーバ、メールサーバ
著者:日本ヒューレットパッカード  古賀 政純   2006/12/27
前のページ  1  2   3  次のページ
Telnet接続について

   Telnetは攻撃に利用される可能性が非常に高く、基本的にプライベートLAN内でのみ利用を許可します。このため、23番ポートはeth1から入ってくるパケットに関して通信を拒否するように設定します。
/sbin/iptables -A INPUT -i eth1 -p tcp --dport 23 -d $MYHOST -j REJECT


VNC接続について

   VNCはリモートから画面を表示できるサービスのため、Telnetと同様にセキュリティホールとなる可能性があります。このため、VNCのデフォルトの5901番ポートについて、eth1から入ってくるパケットの通信を拒否します。

   以下の設定ではプライベートIPアドレスのLANからの接続は許可になっています。NATルータのメンテナンス上VNCが必要かどうかを考慮し、もし必要ない場合には同様に通信を拒否しておくことをお勧めします。

/sbin/iptables -A INPUT -i eth1 -m tcp -p tcp --dport 5901 -d $MYHOST -j REJECT
/sbin/iptables -A INPUT -i eth0 -m tcp -p tcp --dport 5901 -d $MYLOCAL -j ACCEPT


SSH接続について

   最近SSHのポートを狙った不正アクセスが急増しています。telnetやrsh、ftpなどがセキュアでなく、sshが比較的セキュアであるという意識を逆手に取って、ssh接続を何度も試みるクラッキングが発生しています。「sshだから安全である」という保証はまったくないといっても過言ではないでしょう。

   次に示すのは、グローバルIPアドレスからの22番ポートへのアクセスを拒否する例です。プライベートIPアドレスからのアクセスは許可していますが、実際の利用時にはRed Hat Enterprise Linux 4のsshが対応しているtcp_wrapperを利用し、/etc/hosts.denyでホストベースのアクセス制限と組み合わせて利用しましょう。

/sbin/iptables -A INPUT -i eth1 -m tcp -p tcp --dport 22 -d $MYHOST -j REJECT
/sbin/iptables -A INPUT -i eth0 -m tcp -p tcp --dport 22 -d $MYLOCAL -j ACCEPT


なりすましパケットについて

   なりすましパケットとは、あたかもプライベートIPアドレスのLAN上から送信されたパケットだというふりをして、サーバに対してクラックを行うために利用されるものです。これは、ファイアウォールの内側でプライベートIPアドレスが一般的に広く利用されていることを逆手にとった手法です。

   インターネットのようなグローバルIPアドレスを持つネットワークでは、数多くのなりすましパケットが流れています。そこで、グローバルIPを持つネットワークから送信されたパケットであるにも関わらずプライベートIPアドレスのヘッダを持ったパケットは、拒否するように設定しておく必要があります。

/sbin/iptables -N spoofing
/sbin/iptables -A INPUT -i eth1 -d 127.0.0.0/8 -j spoof
/sbin/iptables -A INPUT -i eth1 -s 127.0.0.0/8 -j spoof
/sbin/iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j spoof
/sbin/iptables -A INPUT -i eth1 -s 172.16.0.0/16 -j spoof
/sbin/iptables -A INPUT -i eth1 -s 255.255.255.255 -j spoof
/sbin/iptables -A INPUT -i eth1 -s $MYHOST -j spoof
/sbin/iptables -A spoof -j LOG --log-prefix "IPTABLES SPOOFING:"
/sbin/iptables -A spoof -j DROP


iptablesとHP Virus Throttle、HP SIMを組み合わせてウイルスに似た活動を検出

   Red Hat Enterprise Linux 4のiptablesを使うことで、不正アクセスを行うパケットの侵入を低減することが可能です。さらにiptablesとHP Virus Throttle、Systems Insight Managerを組み合わせることで、Red Hat Enterprise Linux 4でウイルスに似た活動を検出できるようになります。

   HP Virus Throttleはネットワークの接続状況の常時監視を行い、ウイルスに似た挙動を検出します。ウイルスに似た挙動を検出した場合、そのサーバ上で稼動しているInsight Management Agentにより、Systems Insight Managerにウイルス活動の検出のアラートが通知されます。

   iptablesとHP Virus Throttle、SIMを組み合わせてウイルスに似た活動を検出する情報については、次のURLを参照してください。

hp-vt(Virus Throttle)/hp-pel(ProLiant Essentials Licensing):
http://h50146.www5.hp.com/products/software/oe/linux/
mainstream/product/software/vt/index.html

前のページ  1  2   3  次のページ

日本ヒューレット・パッカード株式会社 古賀 政純
 著者プロフィール
日本ヒューレット・パッカード株式会社
古賀 政純
2000年よりUNIXベースのHAクラスタシステム及び、科学技術計算システムのプリセールスに従事。並列計算プログラミング講習会などを実施。その後、大手製造業及び官公庁系の大規模Linuxクラスタの導入、システムインテグレーションを経験。現在は、大規模エンタープライズ環境向けのLinuxブレードサーバ及びHP Serviceguard for Linux(HAクラスタソフトウェア)のプリセールスサポート、システム検証を担当している。毎日、Linuxサーバと寝食を共に(?)しています。
INDEX
第4回:NATサーバに必要なファイアウォール設定とデータベースサーバ、メールサーバ
  NATサーバに必要なファイアウォール設定
Telnet接続について
  データベースサーバについて