[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[connect24h:00402] Re: 話題提供 8/11
- To: connect24h@xxxxxxxxxxxxx
- Subject: [connect24h:00402] Re: 話題提供 8/11
- From: hamamoto <hamamoto@xxxxxxxxxxx>
- Date: Sun, 13 Aug 2000 18:21:30 +0900
はまもとです。
On Sun, 13 Aug 2000 17:14:49 +0900
tadashi nagao <tadashi@xxxxxxxxx> wrote:
> 長尾です。
>
> 常時接続になるとセキュリティ上の問題は
> いろいろでてきます。
ほんと、いろいろありますねぇ。
> その前提として、つなぎたいというリクエストは
> 何種類かあると思われます。
>
> 1.データをとりにゆきたいだけ
> 2.インターネット上でなんらかのサービスを提供
>
> 2 になるとめちゃくちゃやっかい。
> 多くの人は、1で十分ではないでしょうか?
そうですね。
> で、はまもとさん、分類にしたがうと
> > フレッツアイで考えた場合、ポイントはいくつかあると思います。
> > ・ルータのセキュリティ
> ルータ設定、
> (YAMAHA RT ,MN-128 カバーで十分でしょうか)
> やりたいサービスができる状態をつくるのがまず重要です。
> これだけでも結構めんどうです。
MN-128のNAT機能ですが、動的NATのはずが一部静的NATのような仕様にな
っているようです。
・具体的には内部LANのホスト一覧をキャッシュ。
・LAN側からのパケットを一部のportを除いてアドレス変換のみを行って
転送する。
といった仕様のようです。
これにより、WAN側から最後にアクセスしたLAN内のホストに対して
port scanなどを行った場合、内部ホストまで到達できてしまいます。
ですから、よくいわれる「NATにしているから内部アドレスには到達で
きない」ということが一概に言えない仕様のようです。
なぜ、このような仕様になっているかというと、最近のオンラインゲー
ムやICQなどの動的NATが効いているとうまく動かないインターネットア
プリケーションに簡単に対応するためのようです。こういう仕様にした
NTT-MEさんにしてみれば、このインターネットアプリとNATとの相性問題
はユーザサポートをする上で非常に厄介な点ですから、セキュリティと
利便性を秤にかけて、利便性のほうをとったんでしょうね。
なお、この機能は動的NAT(NAPT)機能の一部であり、単独で無効にする
ことはできず、セキュリティ的な対処をするためには「ip filter」
を設定する必要があるそうです。詳しくはNTT-MEのMN128サポートセン
ターにお尋ねください。 (Bagtraq-jpからの情報でした)
> > passwordの設定
> これはしないとまずいですね。昔、OCN のアドレス叩いて調べたら、
> あっさり設定していないのを見つけました。
某ルータのマニュアルに記載されているパスワード例をそのまま設定して
いた。という事例を知っています。
> > アクセスリスト(1024以下のポートのフィルタリング、アクセス制限)
> これも結構めんどう。
面倒ですね。
> > ・サーバのセキュリティ(Linux系、WinNT系、Win9x系それぞれに必要)
> Win98 もですか? だったら、Macintosh もありますね。
Win9x系をProxy Serverにしてインターネット共有しているパターンも
あると思うんですよ。(というか、結構、一般的かなと思いまして)
> > ファイアウォール
> とりあえず、Linux
他には、NAT Box、BSD系、Win系のFirewall、FD Firewallなどですかね。
> > 侵入検知システム
> これはいろいろあります。
御意。
> > 各アプリのセキュリティ対策(メール、WEB、ftpなど)
> メールは、スパム対策もあるので非常に大変
そうですね。スパムって、受け取るときは、即、ごみ箱すればいいので、
特にうっとおしさを感じませんが、サーバの踏み台をやられたときは、
むちゃくちゃ腹たちますよね。
> > これらを実装するのが面倒な場合は ぷらっとホーム とかのNAT Box
> > を買ってきて使うのも一つの手ですね。
> オールインワンは、使っている内に足かせになりかねません。
まぁ、適材適所ということで。柔軟性を考えたら、LinuxでFirewallのほうが
いいかもしれません。
> ハードディスククラッシュに対する、バックアップ体制とかあります。
> また、システムバージョンアップ方法でできるだけ簡単に行う方法とか
> いろいろあります。(ハードディスのまるごとコピーとか)
Win9x系のバックアップ方法は、近日公開します。
・ファイル単位でバックアップ(VFAT対応)
・ディスクダンプでパーティションごとにバックアップ
すべてフリーウェアで行っています。
> ぼちぼち、リンク集は、作成中です。
> http://www.blink.co.jp/members/tnagao
おぉ。期待してます。
> 問題は、最初にものべましたが、つかいたいサービスがあってそれを
> つかえるようになること+セキュリティ対策がからむところです。
> 実際に設定する立場からすると設定に必要なことになるので、非常に
> 広範囲に渡りいろいろやることがあります。
まったくです。
+---------------------------------------------------------------------
| はまもと
| ■常時接続の宴
| http://www.hicat.ne.jp/home/hamamoto/
| インターネット常時接続の経験とノウハウを気楽に話し合うための場所です
| ■24 時間常時接続メーリングリスト開催中
| http://www.hicat.ne.jp/home/hamamoto/ml/connect24h.html
+----------------------------------------------------------------------