No.8 セキュリティを考えてみよう
  (セキュリティはこれでいいんかなぁ?)
2001,6/3 作製
2001,6/24 追加
2001,7/1 追加
2001,7/15 追加

お断り
ここに書いてあるセキュリティに関する項目は、私自身の中でこなれておらず、
間違っている内容も多々あると思います。
ですので、もし自分でサーバーを立ち上げる時にはここに書いてある内容は鵜呑みにせず
ご自分で色々調べてからセキュリティ対策を組むようにして下さい。

                    ↑
※ 緊急警報!(2001,7/15追加)
  このNo.8の内容ではセキュリティは不充分でした。AN HTTPDの設定含めちゃんと見なおさないと
  すっごいやばい事も有り得ます。
  少しでもセキュリティをアップするためのヒントはNo.12をご覧下さい。


とういうことで、一通りwwwサーバーが出来あがると、次に気になるのがセキュリティです。
参考文献のところにも載せましたが何冊かの本を読んでみても何をどうやったら安全になるのか
いまいちピンときません。
まず、No.1のここの”よい例”にような構成にするのがいいんでしょうがパソコンの設置場所の
関係でそうもいかない中、今のところ以下の4つの対策を取っています。

1.NAT(Network Address Translation)による対策
サーバーを立ち上げるときにコムスターズルーターのNATe機能を使って、
外部から見えるのはwwwサーバーの80Hポートだけにしました。
これも一つのセキュリティ対策で結構効果があるような気がします。


2.フィルターの設定による設定(ルーター)
セキュリティ本に必ず書いてあるのがこれです。
このフィルターもハードウェアでやる方法とソフトウェアでやる方法があるようで、
ここではコムスターズルーターを使いハード的にフィルターをかけました。

フィルターをかける意味は以下の通りです。(ルーターのメニュー画面に書いてある内容)
「IPパケットのフィルタ設定を行います。特定条件を満たすパケットだけを通過させたり、
通過を阻止することができます。外部からの進入を阻止するといったセキュリティの確保や、
内部から不要な発呼を防ぐ等の設定を行うことが可能となります。」
なるほど〜。 (^_^;)

では、具体的にどうフィルターかければいいのか、不安をいだきながら
このように設定しました。


接続先 LAN側に対して設定するか、プロバイダ側に対して設定するかを決める。
今回、プロバイダ側(DN)に対して行いました。
方向 プロバイダ側からルーターに対して、入力方向(イン)をフィルタするのか
出力方向(アウト)をフィルタするのかを設定します。
外部から入ってくる不要なパケットをシャットアウトしたいので”イン”
に設定します。
プロトコル TCP="6",UDP="17"と設定します。
送信元アドレス
元ポート
外部から入ってくるパケットをすべてフィルタするので特に指定しません。
(=全アドレスが対象となります。)
送信先アドレス
送信先マスク
家庭内LANにつながっているどのパソコンを対象とするかを決めます。
今回、送信元アドレスを”192.168.1.0”、送信先マスクを”255.255.255.0”
としたのでルーターで使える”192.168.1.0 - 192.168.1.24”(=全パソコン)
に入ってくるパケットが対象となります。
送信先ポート 家庭内LAN側パソコンのどのポートに入ってくるパケットを通すかを指定
します。
DNS=53、Web=80と443(セキュア)、SMTP=25、POP3=110、ident=113 *1
その他、ICMP(ping)、TCP、UDPは1024番以降 *2。
(いずれも”ゼロからはじめるネットワーク”から。)

*1 identって何でしょう??
*2 1024番以降ってそれより大きいポート全部ってこと?
  ほんとにええんかなぁ?

※ 追加項目(2001,6/24)
  wwwサーバーだけだとこの設定でよかったんですが、FTPサーバーを立ち上げるときには
  ポート20と21をフィルタリングしなければなりません。
  ということでこのように設定を変えました



余談ですが、頻繁に出てくる”ポート”の事を、ネットワークカードの中にあるハード的な
I/Oポートの事
かと思ってました。
しかし、TCP/IPの説明をよーく読んでみるとソフト的なポートであることが判明。
大きな勘違いをしていることに気が付いたのでした。 (^_^;)
ついでに、ここを読むとIPアドレスとポートを組み合わせる事により、ひとつのグローバル
IPアドレスでも複数のサーバーが立ち上げられる
事がわかります。
(すげーーー!)


3.パーソナルファイアウォールによる対策
最近のアンチウィルスソフトには、パーソナルファイアウォールというありがたい機能がくっついてきます。
Norton Personal Firewall(ノートン・パーソナルファイアウォール)ウィルスバスター2001(今はウィルスバスター2003
 2003,1/3追記)が有名どころで、BlackICE Defenderもいい感じみたいです。
BlackICE Defenderはかなり高機能かつ解析機能が面白そうで触手が動くのですが、今回は予算的に
ウィルススキャン機能も備えている(というかそれが本業 (^_^;) ウィルスバスター2001
使う事にしました。

まず、ウィルスバスター2001のパーソナルファイアウォールの画面はこれです。



で、これが設定メニュー。
なんでも通常のファイアウォールとしての機能は標準で設定されているそうな。(詳細調べず・・・)


んで、自分でも細かくパケットのフィルタリングを設定する事ができます。


と、ここまで書いていていまさらですが、このパーソナルファイアウォールとやらは、
”2.”で設定したルーターによるパケットフィルタリングをパソコン上でソフトで実現した
だけでやっている事は同じじゃなかろうか?ということに気が付きました。
今のところ大きな問題は発生していませんが、ひょっとして無駄なことをやっている
んでしょうか????
ま、二重にプロテクトしているということで気にしないことにします。 (^_^;)

それにしても、パケットフィルタリング、ファイアウォール、プロキシ
サーバーとかの用語がぐるぐると頭を駆け巡ってちっとも整理できません。
なんとかしてくれーー!


※ 2001,7/1 追加
  と、ウィルスバスターを使っておるわけですが、ウィルスに関してはともかく、
  パーソナルファィアーウォールに関してはいまいちのようでして、
  (Firewallと森で遊ぼうのここ参照のこと( (T_T) )。教えてくれた あほいぬさんありがとうございます。 )
  これじゃいかんと がくさん、oguさん、あまのっち☆さんおすすめのZoneAlarmを使う事にしました。
  詳細はNo.11を参照して下さい。


4.パソコンの共有設定にパスワードを設定する
最近に当たり前と言えば当たり前ですが、家庭内LANにつながっているパソコンの
ハードディスクを共有するときはパスワードを設定しています。

ということで今のところこんなようなセキュリティ対策をとっているのですが、
これで十分なんですかね?
この項目は引き続き日々勉強、で強化していくつもりです。
このページ読まれた方でおかしなとこを指摘してあげよう、という奇特な方は
ここまでメール下さい。

※ 緊急警報!(2001,7/15追加)
  と、ここではサーバーとその他のパソコン上で共有を行う事にしていましたが、No.12で
  Microsoftネットワーク共有サービスを外してしまいました。
  使い勝手は悪くなりますがセキュリティを少しでも上げるためです。
  ということで上記”4.”の設定は今ではなくなりましたとさ。


←戻る  進む→
ホームに戻る