NATサーバに必要なファイアウォール設定とデータベースサーバ、メールサーバ

2006年12月27日(水)
古賀 政純

Telnet接続について


   Telnetは攻撃に利用される可能性が非常に高く、基本的にプライベートLAN内でのみ利用を許可します。このため、23番ポートはeth1から入ってくるパケットに関して通信を拒否するように設定します。
/sbin/iptables -A INPUT -i eth1 -p tcp --dport 23 -d $MYHOST -j REJECT


VNC接続について


   VNCはリモートから画面を表示できるサービスのため、Telnetと同様にセキュリティホールとなる可能性があります。このため、VNCのデフォルトの5901番ポートについて、eth1から入ってくるパケットの通信を拒否します。

   以下の設定ではプライベートIPアドレスのLANからの接続は許可になっています。NATルータのメンテナンス上VNCが必要かどうかを考慮し、もし必要ない場合には同様に通信を拒否しておくことをお勧めします。

/sbin/iptables -A INPUT -i eth1 -m tcp -p tcp --dport 5901 -d $MYHOST -j REJECT
/sbin/iptables -A INPUT -i eth0 -m tcp -p tcp --dport 5901 -d $MYLOCAL -j ACCEPT


SSH接続について


   最近SSHのポートを狙った不正アクセスが急増しています。telnetやrsh、ftpなどがセキュアでなく、sshが比較的セキュアであるという意識を逆手に取って、ssh接続を何度も試みるクラッキングが発生しています。「sshだから安全である」という保証はまったくないといっても過言ではないでしょう。

   次に示すのは、グローバルIPアドレスからの22番ポートへのアクセスを拒否する例です。プライベートIPアドレスからのアクセスは許可していますが、実際の利用時にはRed Hat Enterprise Linux 4のsshが対応しているtcp_wrapperを利用し、/etc/hosts.denyでホストベースのアクセス制限と組み合わせて利用しましょう。

/sbin/iptables -A INPUT -i eth1 -m tcp -p tcp --dport 22 -d $MYHOST -j REJECT
/sbin/iptables -A INPUT -i eth0 -m tcp -p tcp --dport 22 -d $MYLOCAL -j ACCEPT


なりすましパケットについて


   なりすましパケットとは、あたかもプライベートIPアドレスのLAN上から送信されたパケットだというふりをして、サーバに対してクラックを行うために利用されるものです。これは、ファイアウォールの内側でプライベートIPアドレスが一般的に広く利用されていることを逆手にとった手法です。

   インターネットのようなグローバルIPアドレスを持つネットワークでは、数多くのなりすましパケットが流れています。そこで、グローバルIPを持つネットワークから送信されたパケットであるにも関わらずプライベートIPアドレスのヘッダを持ったパケットは、拒否するように設定しておく必要があります。

/sbin/iptables -N spoofing
/sbin/iptables -A INPUT -i eth1 -d 127.0.0.0/8 -j spoof
/sbin/iptables -A INPUT -i eth1 -s 127.0.0.0/8 -j spoof
/sbin/iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j spoof
/sbin/iptables -A INPUT -i eth1 -s 172.16.0.0/16 -j spoof
/sbin/iptables -A INPUT -i eth1 -s 255.255.255.255 -j spoof
/sbin/iptables -A INPUT -i eth1 -s $MYHOST -j spoof
/sbin/iptables -A spoof -j LOG --log-prefix "IPTABLES SPOOFING:"
/sbin/iptables -A spoof -j DROP


iptablesとHP Virus Throttle、HP SIMを組み合わせてウイルスに似た活動を検出


   Red Hat Enterprise Linux 4のiptablesを使うことで、不正アクセスを行うパケットの侵入を低減することが可能です。さらにiptablesとHP Virus Throttle、Systems Insight Managerを組み合わせることで、Red Hat Enterprise Linux 4でウイルスに似た活動を検出できるようになります。

   HP Virus Throttleはネットワークの接続状況の常時監視を行い、ウイルスに似た挙動を検出します。ウイルスに似た挙動を検出した場合、そのサーバ上で稼動しているInsight Management Agentにより、Systems Insight Managerにウイルス活動の検出のアラートが通知されます。

   iptablesとHP Virus Throttle、SIMを組み合わせてウイルスに似た活動を検出する情報については、次のURLを参照してください。

hp-vt(Virus Throttle)/hp-pel(ProLiant Essentials Licensing):
http://h50146.www5.hp.com/products/software/oe/linux/
mainstream/product/software/vt/index.html

日本ヒューレット・パッカード株式会社 プリセールス統括本部 ソリューションセンター OSS・Linux担当 シニアITスペシャリスト

兵庫県伊丹市出身。1996年頃からオープンソースに携わる。2000年よりUNIXサーバーのSE及びスーパーコンピューターの並列計算プログラミング講師を担当。科学技術計算サーバーのSI経験も持つ。2005年、大手製造業向けLinuxサーバー提案で日本HP社長賞受賞。2006年、米国HPからLinux技術の伝道師に与えられる「OpenSource and Linux Ambassador Hall of Fame」を2年連続受賞。日本HPプリセールスMVPを4度受賞。現在は、Linux、FreeBSD、Hadoop等のOSSを駆使したスケールアウト型サーバー基盤のプリセールスSE、技術検証、技術文書執筆を担当。日本HPのオープンソース・Linuxテクノロジーエバンジェリストとして講演活動も行っている。Red Hat Certified Engineer、Red Hat Certified Virtualization Administrator、Novell Certified Linux Professional、EXIN Cloud Computing Foundation Certificate、HP Accredited Systems Engineer Cloud Architect、Red Hat Certified System Administrator in Red Hat OpenStack、Cloudera Certified Administrator for Apache Hadoop認定技術者。HP公式ブログ執筆者。趣味はレーシングカートとビリヤード

連載バックナンバー

Think ITメルマガ会員登録受付中

Think ITでは、技術情報が詰まったメールマガジン「Think IT Weekly」の配信サービスを提供しています。メルマガ会員登録を済ませれば、メルマガだけでなく、さまざまな限定特典を入手できるようになります。

Think ITメルマガ会員のサービス内容を見る

他にもこの記事が読まれています