セキュリティポリシーとファイアウォール

サーバをインターネットに公開するということは、インターネット上からアクセスされるということで、アクセスに制限をかけないとウィルスの温床やスパムメールの踏み台にされて世界中から大顰蹙になってしまう。これらの迷惑行為の片棒を担がされないために、サーバに制限をかけて特定のアクセスしか通さないようにしておく。
インターネットでの危機管理に関係する用語の中にはセキュリティポリシーとファイアウォールってのがあり、これらは大雑把には次のように定義できる。

  • セキュリティポリシー
    (その組織で)組織内からインターネットへの、またはインターネットから組織内へのアクセスの可否とアクセスするときの制限事項
  • ファイアウォール
    セキュリティポリシーを実現するための具体的な方法や手段

家サーバでは、セキュリティポリシーをインターネットから家サーバへのアクセス制限の定義とすることにする。

どんな迷惑行為があるか(とその対策)

インターネットを使った迷惑行為はいろいろあり、今後も新しいものが出てくるであろう。

スパムメールと踏み台

スパムメールとは、受信者の希望の有無に関わらず送られてくる、DMや無意味な内容のメールのことである。
送信者はメールを大量にしかも無差別に送りたいため、送信時のメールサーバの負荷が大きくなる。そこで、他のサーバに送信を肩代わりさせるのである。この肩代わりさせるサーバを踏み台と呼んでいる。
また、無意味なメールを送るとき送信者を特定されたくないため、踏み台サーバから送信することで発信者の特定を困難にさせることが出来る。

迷惑!!

スパムメールがなぜ迷惑なのか??
メール受信者にとって、不要なメールが増えるとメールボックスの許容を超えて大事なメールを受け取れないといったことが起こりうる。また、受信後のそれらの整理に時間がかかったりして余計な手間がかかる。
またインターネットという視点で見ると、非生産的(建設的)なことで通信量が増えるのはよろしくない。

なぜ、踏み台が使えるのか?(というよりなぜ使えたか)

これは郵便を出すときに似ている。家の近くのポストに出しても職場の近くのポストに出してもちゃんとあて先に届く。
普段使っているメーラを見てみよう。この中に送信(SMTP)サーバという項目があり、これがポストに相当する。これの指定は送信サーバとして機能しているものであれば何でもよい。

踏み台にされないためにはどうする?

踏み台にされないためには、そのサーバの正当な使用者かどうかを判断(認証)し無断で使おうとしたらその送信データを送信者へ突き返してやるか、何もしないでほっとけばよい。

正当な使用者かどうかの判断は?

今出回っているメールサーバはスパムメールの対策がなされているので、素直にメールサーバの認証機能を使う。

ウィルス

ウィルスとは、悪さをするプログラムである。Code RedやNimda等、悪名高いものは一度は聞いたことがあるだろう。
なぜウィルスと言われるようになったか…多分こんな理由であろう。

発病

この悪さをするプログラムは、他のプログラムやデータのファイルを破壊したり、コンピュータに異常な動作をさせるのである。

潜伏

発病するための条件を決めておき、その条件が満たされるまで発病しない。条件とは、特定の日時、一定時間おき、処理回数等がある。(クリスマスやハロウィンに発病するものが多いらしい)

伝染、感染

このプログラムは自身にコピーする機能を持たせるかシステムの機能を利用して、他のファイルや他のシステム内のファイルに自分自身をコピーさせる。ただし、コピー先のシステムは必ずしも発病するとは限らない。(これは一つの考え方であるが)たとえば、Windowsでファイルを壊すように作られたウィルスは、Windows以外のシステムに感染してもファイルの管理方法が違うためファイルは壊されない(つまり、発病しない)。

これらの、感染してから潜伏期間を経て発病する、また条件によっては発病しないこともあるという動きは、生物学や医学で言うウィルスと同じである。
ウィルス自体はパソコン通信の全盛期からあったように記憶している。しかし誰もがお気軽にインターネットを使えるようになったため、短時間で広範囲に伝染するようになった。しかも、企業内で使うPCも(直接ではないにしても)インターネットに繋がってるのでウィルスが入り込む危険性があるのだ。

どうやって感染を防ぐか

インターネットに繋げることの出来るPCのウィルス対策は2つのことを行う。

  1. ウィルスの侵入を防ぐ
  2. PC内のファイルを検査してウィルスに感染していればそれを取り除く

1.のウィルスの侵入を防いでいれば2.のファイルの検査は要らないと思われるかもしれないが、新種のウィルスが出てきたとき、それがウィルスと判断できないため侵入されてしまう。

で、感染を防ぐ具体な方法であるが……ウィルス対策プログラムを入れるのが少しのコストでかなり確実かつ簡単な方法である。ウィルスはいつ新しいものが出てくるか判らない。その種類も新種のものもあれば、亜種と呼ばれる既存のウィルスを(突然変異のように)少し変化させたものも出てくる。ウィルス対策プログラムのメーカは既存のウィルスプログラムがどんな動作をするか等の情報を持っているので新しいものが出てきても速く対応できるのだ。

乗っ取り

乗っ取りとは、意図しない第3者がそのシステムを自由に使えてしまえる状態と言える。ここで言うシステムとは

  1. サーバOS
  2. webサーバやメールサーバ等そのシステムの一機能

の2つの意味がある。さて、その意図しない第三者が乗っ取ったサーバで何をするかと言うと、他のサーバを攻撃するのである。サーバを攻撃された側は元のサーバが乗っ取られたなんてこと知るわけもなく、お前のところのサーバ何やってんだ!!と怒られる。で、具体的にこんなことをしているらしい。

port scan

サーバの開いているポートを調べるもので、クラッカーはこれらの情報を基にクラッキングツールを仕掛けるらしい。

DoS攻撃

対象のサーバへ過剰な通信をさせてアクセス不能な状態にしてしまう。

乗っ取られないようにするには

さて、乗っ取られないようにするにはどうすればよいか??

使わない機能は入れない

例えばメールサーバとしてのみ使うのであれば、webサーバは入れないようにする。また、使わなくなった機能はアンインストールなどで取り除く。

必要な機能は、特定の場所からのみ使えるようにする

サーバの設定などは、そのサーバかそのサーバを含むLAN上のPCからのみ行えられるようにアクセスに制限をかける。


– 広告 –

 

セキュリティポリシー(何をアクセス可とするか、不可とするか、それらをどのように決めるか)

インターネットサーバの機能のアクセスの可否を決める。

アクセス可にするもの

  • webサーバ
    使用ポート:80
    インターネットサーバにするんだからこれはほしい。
  • メールサーバ
    使用ポート:25,110
    友人や取引先に、自前のドメイン名のメールアドレスがあるんだぞと自慢したいとき、メールをやり取りできるようにしておく。

アクセス不可にするもの

  • telnetサーバ
    使用ポート:23
    telnetとftpはサーバのメンテナンスに使う。メンテナンスを行うのはサーバ本体かLAN上の他のPCのみにする。インターネット上の任意の場所(たとえば仕事場)からのメンテナンスも一応出来るが、クラッカーの格好のおもちゃにならないように、家サーバでは出来ないようにしておく。
  • ftpサーバ
    使用ポート:20,21
  • ntpサーバ
    使用ポート:123
    時刻同期システムは、LAN上のPCのみで使うようにする。

ファイアウォール(アクセス可否の手段)

アクセスの可否が決まったら、どんな方法でそれを実現するかを決めていく。

ポートフォワード

ADSLモデムやブロードバンドルータにはポートフォワード(Port Forward)と呼ばれる機能があるものがある。この機能自体はファイアウォールではないけれど、結果的にアクセスを制限することになるのでここに入れておく。

ポートフォワードとは、特定のポートに来たアクセスを、指定されたサーバ機に送ってやるのである。簡単に言ってしまうとデータの素通しである。例えば、モデムやルータにポート番号80番としてされたアクセスは、webサーバとして動いているサーバ機へ素通しさせてやればよい。どこに送るかはIPアドレスを指定する。そのため、サーバ機のIPアドレスは固定値にしておかないといけない。

これがなぜ結果的にアクセスの制限になるかというと、標準状態ではポートフォワードは指定されていないためアクセスは破棄され、ポートフォワードの指定をしたもののみがアクセス可となる。

OSの機能

UNIXにはipchainとかiptableと呼ばれるものがある。これも条件を指定してアクセスを制限する手段である。

指定できる要素はネットワークカードや相手先のIPアドレス等、通信に関連するものはたいがい指定できる。そのため指定方法を間違えると全くアクセスできなくなることもある。

RedHat Linux 9の場合、OSのインストール時にネットワークカードと、web、メール、telnet、ftpなどのサーバのうち、どれに対するアクセス可とするかの指定が出来る。

設定ファイル

各種設定ファイルにどこからアクセスを可とするか、またはどこからのアクセスを不可とするかを指定できるのであれば、それを指定しておく。

コメント

タイトルとURLをコピーしました