Kozupon.com    
 
 フィルタリングのへそ!


セキュリティポリシーでもあるIPパケットフィルタのポリシーを紹介したいと思う。
IPパケットフィルタリングは、ゲートウェイサーバを構築する際など大変重要になる機能である。
セキュリティを考慮するには、各自セキュリティポリシーを計画してIPフィルタを設定すべきである。
早く言えば、”安全のために不要なポートは塞いで置くように心がけよう!”と言うことである。
しかし、あまり塞ぎすぎて気がつかないうちに”必要なサービスが動かない”なんていう事も有るので気をつけよう!
ここでは、そのセキュリティポリシーに乗っ取り一般的に危険とされているポートを紹介する。(あくまでも俺の所見的執筆なので参考までに・・・・)
ここで紹介するセキュリティポリシーは、PCをファイアーウォールとして構築するときに参考にしてほしい。ただし、外部(WAN側)→内部(LAN側)の遮断に関してのネタなので間違えないこと。


■ ブロードバンドルータのIPフィルタリング機能の勘違い!

よく間違えることは、ブロードバンドルータのIPフィルタ機能である。最近のブロードバンドルータは、WAN側からLAN側のポートは全て遮断してある。つまり、サーバを公開する場合はNAT機能(NATでも各メーカで固有の名前の場合もある)を用いて公開するポートを手動でオープンに設定するわけである。したがって、ルータにIPフィルタリングを設定しても内部→外部へのフィルタリングになってしまうので注意されたい。
調子に乗って必要なポートをふさいでしまうと、当然外に出れなくなる。
もっと気を付けてほしいのは、IPアドレスを指定してフィルタリングするルータである。このルータの場合は、やはり内部→外部、早い話がローカルのホストを制限するための機能と言って良い。ローカルドメイン内でWAN側へ出したくないホストが有る場合には設定を行うと効果的ではあるが、無意識に設定すると自ドメインのユーザからクレームが来るので気を付けなければならない。しかし、これらの機能もルータの内部→外部の不要なポートを遮断することで完全に内部通信状態を隠蔽することはできるのでまるっきり効果がないと言うことはない。それでは、以上に気をつけて以下を参考されたい。


■ セキュリティポリシーの実際(せめて、このぐらいは鍵をしめよう!)

以下は、遮断を推奨するポートを列記する。

番号
サービス
宛先(プロトコル)
コメント
11 systat 外部→内部(TCP/UDP) 自サーバのシステム情報を隠蔽するなら遮断
15 netstat 外部→内部(TCP) 同上
23 telnet 外部→内部(TCP/UDP) telnetサービスを使ってなければ遮断
67 bootps 外部→内部(TCP/UDP) 必要以上に情報を与えてしまうので遮断
68 bootpc 外部→内部(TCP/UDP) 同上
69 tftp 外部→内部(TCP/UDP) 結構危険なので遮断
70 gopher 外部→内部(TCP/UDP) gopherサービスを使ってなければ遮断
79 finger 外部→内部(TCP/UDP) fingerサービスを使っていなければ遮断
87 link 外部→内部(TCP/UDP) 結構危険なので遮断
95 supdup 外部→内部(TCP/UDP) 同上
111 sunrpc 外部→内部(TCP/UDP) 同上
135 DCE RPC 外部→内部(TCP/UDP) 同上(Blasterワームでの脆弱性発覚)
137〜
139
netbios 外部→内部(TCP/UDP) SAMBAを使うのであれば外部からは遮断
144 uma 外部→内部(TCP/UDP) 結構危険なので遮断
161 snmp 外部→内部(TCP/UDP) ネットワーク監視サービスなので外部からは遮断
162 snmp-trap 外部→内部(TCP/UDP) 同上
177 xdmcp 外部→内部(TCP/UDP) 結構危険なので遮断
220 imap3 外部→内部(TCP/UDP) imapサービスを使っていなければ遮断
512 exec 外部→内部(TCP) 結構危険なので遮断
512 bif 外部→内部(UDP) 同上
513 login 外部→内部(TCP) 同上
513 who 外部→内部(UDP) 同上
514 shell 外部→内部(TCP) 同上
514 syslog 外部→内部(UDP) syslogが攻撃されたら、logがめちゃくちゃになるので遮断
515 printer 外部→内部(TCP/UDP) 当たり前だが、外部にプリンタをオープンにする必要はない、遮断
517 talk 外部→内部(TCP/UDP) 使わないので遮断
518 ntalk 外部→内部(TCP/UDP) 使わないので遮断
520 router 外部→内部(UDP) ルーティングだが、外部にオープンする必要はない、遮断
540 uucp 外部→内部(TCP/UDP) 使わない上、結構危険なので遮断
1025 listener 外部→内部(TCP/UDP) 結構危険なので遮断
2000 openwin 外部→内部(TCP/UDP) 同上
2049 nfs 外部→内部(TCP/UDP) 同上
2766 listen 外部→内部(TCP) 同上

6000〜
6063

x11 外部→内部(TCP/UDP) 同上
6257 WinMx 外部→内部(UDP) WinMX(P2Pファイル共有)使っていなければ遮断
6665〜
6669
IRCU 外部→内部(TCP/UDP) IRCUを使っていなければ遮断
6699 napster 外部→内部
(TCP)
napster(P2Pファイル共有)使っていなければ遮断
7743 Winny 外部→内部
(TCP)
Winny(P2Pファイル共有)使っていなければ遮断
12345 Netbus 外部→内部
(TCP)
Netbus(トロイの木馬)のサービスポート
危険なので遮断

以上だが、IRCUを使っていなければ、6000〜6999迄一挙に遮断してもかまわない。

■ その他(是非遮断を検討してください)

番号
サービス
宛先(プロトコル)
コメント
1 tcpmux 外部→内部(TCP/UDP) マルチプレクサTCPポートは通常使わないので遮断を検討しても良いかも知れない
7 echo 外部→内部(TCP/UDP) エコー、悪いやつから姿を眩ますのには都合がよいので遮断を検討しても良いかも知れない
445 msds 外部→内部(TCP/UDP) マイクロソフト・ダイレクトホスティングSMBサービス、これは昨今大変危険なポートであるため是非遮断を検討するのが望ましい

以上


 
 
 



Copyright 2005 Kozupon.com.