アクセス制御 - Knowlege Database

アクセス制御設定指針†

原則†

システム構築段階から不要なサービスは全て停止させる。
これにより不要なポートを閉じ、脆弱性等により想定外の経路から侵入を許す事態を抑制する。
今は使用しないが、今後必要になるかもしれないサービスも、必要となるまで停止させること。
NFS、SMB、RPCなどの不特定多数のポートを使用し、ポートの使用範囲制限が難しいプロトコルは極力使用しないこと。

↑

検査†

システム稼動前にnmap等のポートスキャナを使用して想定外のポートが開放されていないことを確認する。

nmapを使用する上での注意事項

nampはデフォルトの実行方法ではTCPポートのみスキャンする(UDPはスキャンされない)
UDPポートのチェックを行うために-sUオプションをつける
pingの通らないホスト(FW内など)へのスキャンには-P0オプションをつける

ポートスキャンによるチェックは

自サーバ -> 自サーバ
外部サーバ -> 自サーバ

の二通りを行うこと。

また、自サーバ -> 自サーバチェックを行った際に確認されたポートはどのサービスに使用されているものかを全て把握することが重要である。

TCPポートのスキャン例

# nmap localhost

Starting nmap 3.70 ( http://www.insecure.org/nmap/ ) at 2006-12-14 17:25 JST
Interesting ports on hogehoge.jp (127.0.0.1):
(The 1649 ports scanned but not shown below are in state: closed)
PORT     STATE SERVICE
22/tcp   open  ssh
25/tcp   open  smtp
53/tcp   open  domain
80/tcp   open  http
110/tcp  open  pop3
143/tcp  open  imap
199/tcp  open  smux
443/tcp  open  https
995/tcp  open  pop3s
3306/tcp open  mysql
8009/tcp open  ajp13

Nmap run completed -- 1 IP address (1 host up) scanned in 0.216 seconds

UDPポートのスキャン例

# nmap -sU localhost

Starting nmap 3.70 ( http://www.insecure.org/nmap/ ) at 2006-12-14 17:25 JST
Interesting ports on hogehoge.jp (127.0.0.1):
(The 1476 ports scanned but not shown below are in state: closed)
PORT    STATE         SERVICE
53/udp  open|filtered domain
161/udp open|filtered snmp

Nmap run completed -- 1 IP address (1 host up) scanned in 1.345 seconds

ping疎通のできないホストのスキャン例

# nmap -P0 xxx.xxx.xxx.xxx

Starting nmap 3.70 ( http://www.insecure.org/nmap/ ) at 2006-12-14 17:46 JST
Interesting ports on orixweb1 (222.230.141.137):
(The 1657 ports scanned but not shown below are in state: closed)
PORT    STATE SERVICE
22/tcp  open  ssh
80/tcp  open  http
443/tcp open  https

Nmap run completed -- 1 IP address (1 host up) scanned in 0.931 seconds