セキュリティポリシーでもあるIPパケットフィルタのポリシーを紹介したいと思う。
IPパケットフィルタリングは、ゲートウェイサーバを構築する際など大変重要になる機能である。
セキュリティを考慮するには、各自セキュリティポリシーを計画してIPフィルタを設定すべきである。
早く言えば、”安全のために不要なポートは塞いで置くように心がけよう!”と言うことである。
しかし、あまり塞ぎすぎて気がつかないうちに”必要なサービスが動かない”なんていう事も有るので気をつけよう!
ここでは、そのセキュリティポリシーに乗っ取り一般的に危険とされているポートを紹介する。(あくまでも俺の所見的執筆なので参考までに・・・・)
ここで紹介するセキュリティポリシーは、PCをファイアーウォールとして構築するときに参考にしてほしい。ただし、外部(WAN側)→内部(LAN側)の遮断に関してのネタなので間違えないこと。
■ ブロードバンドルータのIPフィルタリング機能の勘違い!
よく間違えることは、ブロードバンドルータのIPフィルタ機能である。最近のブロードバンドルータは、WAN側からLAN側のポートは全て遮断してある。つまり、サーバを公開する場合はNAT機能(NATでも各メーカで固有の名前の場合もある)を用いて公開するポートを手動でオープンに設定するわけである。したがって、ルータにIPフィルタリングを設定しても内部→外部へのフィルタリングになってしまうので注意されたい。
調子に乗って必要なポートをふさいでしまうと、当然外に出れなくなる。
もっと気を付けてほしいのは、IPアドレスを指定してフィルタリングするルータである。このルータの場合は、やはり内部→外部、早い話がローカルのホストを制限するための機能と言って良い。ローカルドメイン内でWAN側へ出したくないホストが有る場合には設定を行うと効果的ではあるが、無意識に設定すると自ドメインのユーザからクレームが来るので気を付けなければならない。しかし、これらの機能もルータの内部→外部の不要なポートを遮断することで完全に内部通信状態を隠蔽することはできるのでまるっきり効果がないと言うことはない。それでは、以上に気をつけて以下を参考されたい。
■ セキュリティポリシーの実際(せめて、このぐらいは鍵をしめよう!)
以下は、遮断を推奨するポートを列記する。
番号 | サービス | 宛先(プロトコル) | コメント |
11 | systat | 外部→内部(TCP/UDP) | 自サーバのシステム情報を隠蔽するなら遮断 |
15 | netstat | 外部→内部(TCP) | 同上 |
23 | telnet | 外部→内部(TCP/UDP) | telnetサービスを使ってなければ遮断 |
67 | bootps | 外部→内部(TCP/UDP) | 必要以上に情報を与えてしまうので遮断 |
68 | bootpc | 外部→内部(TCP/UDP) | 同上 |
69 | tftp | 外部→内部(TCP/UDP) | 結構危険なので遮断 |
70 | gopher | 外部→内部(TCP/UDP) | gopherサービスを使ってなければ遮断 |
79 | finger | 外部→内部(TCP/UDP) | fingerサービスを使っていなければ遮断 |
87 | link | 外部→内部(TCP/UDP) | 結構危険なので遮断 |
95 | supdup | 外部→内部(TCP/UDP) | 同上 |
111 | sunrpc | 外部→内部(TCP/UDP) | 同上 |
135 | DCE RPC | 外部→内部(TCP/UDP) | 同上(Blasterワームでの脆弱性発覚) |
137~ 139 | netbios | 外部→内部(TCP/UDP) | SAMBAを使うのであれば外部からは遮断 |
144 | uma | 外部→内部(TCP/UDP) | 結構危険なので遮断 |
161 | snmp | 外部→内部(TCP/UDP) | ネットワーク監視サービスなので外部からは遮断 |
162 | snmp-trap | 外部→内部(TCP/UDP) | 同上 |
177 | xdmcp | 外部→内部(TCP/UDP) | 結構危険なので遮断 |
220 | imap3 | 外部→内部(TCP/UDP) | imapサービスを使っていなければ遮断 |
512 | exec | 外部→内部(TCP) | 結構危険なので遮断 |
512 | bif | 外部→内部(UDP) | 同上 |
513 | login | 外部→内部(TCP) | 同上 |
513 | who | 外部→内部(UDP) | 同上 |
514 | shell | 外部→内部(TCP) | 同上 |
514 | syslog | 外部→内部(UDP) | syslogが攻撃されたら、logがめちゃくちゃになるので遮断 |
515 | printer | 外部→内部(TCP/UDP) | 当たり前だが、外部にプリンタをオープンにする必要はない、遮断 |
517 | talk | 外部→内部(TCP/UDP) | 使わないので遮断 |
518 | ntalk | 外部→内部(TCP/UDP) | 使わないので遮断 |
520 | router | 外部→内部(UDP) | ルーティングだが、外部にオープンする必要はない、遮断 |
540 | uucp | 外部→内部(TCP/UDP) | 使わない上、結構危険なので遮断 |
1025 | listener | 外部→内部(TCP/UDP) | 結構危険なので遮断 |
2000 | openwin | 外部→内部(TCP/UDP) | 同上 |
2049 | nfs | 外部→内部(TCP/UDP) | 同上 |
2766 | listen | 外部→内部(TCP) | 同上 |
6000~ 6063 | x11 | 外部→内部(TCP/UDP) | 同上 |
6257 | WinMx | 外部→内部(UDP) | WinMX(P2Pファイル共有)使っていなければ遮断 |
6665~ 6669 | IRCU | 外部→内部(TCP/UDP) | IRCUを使っていなければ遮断 |
6699 | napster | 外部→内部 (TCP) | napster(P2Pファイル共有)使っていなければ遮断 |
7743 | Winny | 外部→内部 (TCP) | Winny(P2Pファイル共有)使っていなければ遮断 |
12345 | Netbus | 外部→内部 (TCP) | Netbus(トロイの木馬)のサービスポート 危険なので遮断 |
以上だが、IRCUを使っていなければ、6000~6999迄一挙に遮断してもかまわない。
■ その他(是非遮断を検討してください)
番号 | サービス | 宛先(プロトコル) | コメント |
1 | tcpmux | 外部→内部(TCP/UDP) | マルチプレクサTCPポートは通常使わないので遮断を検討しても良いかも知れない |
7 | echo | 外部→内部(TCP/UDP) | エコー、悪いやつから姿を眩ますのには都合がよいので遮断を検討しても良いかも知れない |
445 | msds | 外部→内部(TCP/UDP) | マイクロソフト・ダイレクトホスティングSMBサービス、これは昨今大変危険なポートであるため是非遮断を検討するのが望ましい |
以上
コメント