NATサーバに必要なファイアウォール設定とデータベースサーバ、メールサーバ
2006年12月27日(水)
Telnet接続について
Telnetは攻撃に利用される可能性が非常に高く、基本的にプライベートLAN内でのみ利用を許可します。このため、23番ポートはeth1から入ってくるパケットに関して通信を拒否するように設定します。
/sbin/iptables -A INPUT -i eth1 -p tcp --dport 23 -d $MYHOST -j REJECT
VNC接続について
VNCはリモートから画面を表示できるサービスのため、Telnetと同様にセキュリティホールとなる可能性があります。このため、VNCのデフォルトの5901番ポートについて、eth1から入ってくるパケットの通信を拒否します。
以下の設定ではプライベートIPアドレスのLANからの接続は許可になっています。NATルータのメンテナンス上VNCが必要かどうかを考慮し、もし必要ない場合には同様に通信を拒否しておくことをお勧めします。
/sbin/iptables -A INPUT -i eth1 -m tcp -p tcp --dport 5901 -d $MYHOST -j REJECT
/sbin/iptables -A INPUT -i eth0 -m tcp -p tcp --dport 5901 -d $MYLOCAL -j ACCEPT
SSH接続について
最近SSHのポートを狙った不正アクセスが急増しています。telnetやrsh、ftpなどがセキュアでなく、sshが比較的セキュアであるという意識を逆手に取って、ssh接続を何度も試みるクラッキングが発生しています。「sshだから安全である」という保証はまったくないといっても過言ではないでしょう。
次に示すのは、グローバルIPアドレスからの22番ポートへのアクセスを拒否する例です。プライベートIPアドレスからのアクセスは許可していますが、実際の利用時にはRed Hat Enterprise Linux 4のsshが対応しているtcp_wrapperを利用し、/etc/hosts.denyでホストベースのアクセス制限と組み合わせて利用しましょう。
/sbin/iptables -A INPUT -i eth1 -m tcp -p tcp --dport 22 -d $MYHOST -j REJECT
/sbin/iptables -A INPUT -i eth0 -m tcp -p tcp --dport 22 -d $MYLOCAL -j ACCEPT
なりすましパケットについて
なりすましパケットとは、あたかもプライベートIPアドレスのLAN上から送信されたパケットだというふりをして、サーバに対してクラックを行うために利用されるものです。これは、ファイアウォールの内側でプライベートIPアドレスが一般的に広く利用されていることを逆手にとった手法です。
インターネットのようなグローバルIPアドレスを持つネットワークでは、数多くのなりすましパケットが流れています。そこで、グローバルIPを持つネットワークから送信されたパケットであるにも関わらずプライベートIPアドレスのヘッダを持ったパケットは、拒否するように設定しておく必要があります。
/sbin/iptables -N spoofing
/sbin/iptables -A INPUT -i eth1 -d 127.0.0.0/8 -j spoof
/sbin/iptables -A INPUT -i eth1 -s 127.0.0.0/8 -j spoof
/sbin/iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j spoof
/sbin/iptables -A INPUT -i eth1 -s 172.16.0.0/16 -j spoof
/sbin/iptables -A INPUT -i eth1 -s 255.255.255.255 -j spoof
/sbin/iptables -A INPUT -i eth1 -s $MYHOST -j spoof
/sbin/iptables -A spoof -j LOG --log-prefix "IPTABLES SPOOFING:"
/sbin/iptables -A spoof -j DROP
iptablesとHP Virus Throttle、HP SIMを組み合わせてウイルスに似た活動を検出
Red Hat Enterprise Linux 4のiptablesを使うことで、不正アクセスを行うパケットの侵入を低減することが可能です。さらにiptablesとHP Virus Throttle、Systems Insight Managerを組み合わせることで、Red Hat Enterprise Linux 4でウイルスに似た活動を検出できるようになります。
HP Virus Throttleはネットワークの接続状況の常時監視を行い、ウイルスに似た挙動を検出します。ウイルスに似た挙動を検出した場合、そのサーバ上で稼動しているInsight Management Agentにより、Systems Insight Managerにウイルス活動の検出のアラートが通知されます。
iptablesとHP Virus Throttle、SIMを組み合わせてウイルスに似た活動を検出する情報については、次のURLを参照してください。
hp-vt(Virus Throttle)/hp-pel(ProLiant Essentials Licensing):
http://h50146.www5.hp.com/products/software/oe/linux/
mainstream/product/software/vt/index.html
http://h50146.www5.hp.com/products/software/oe/linux/
mainstream/product/software/vt/index.html
連載バックナンバー
Think ITメルマガ会員登録受付中
Think ITでは、技術情報が詰まったメールマガジン「Think IT Weekly」の配信サービスを提供しています。メルマガ会員登録を済ませれば、メルマガだけでなく、さまざまな限定特典を入手できるようになります。