アクセス制御設定指針 †
原則 †
システム構築段階から不要なサービスは全て停止させる。
これにより不要なポートを閉じ、脆弱性等により想定外の経路から侵入を許す事態を抑制する。
今は使用しないが、今後必要になるかもしれないサービスも、必要となるまで停止させること。
NFS、SMB、RPCなどの不特定多数のポートを使用し、ポートの使用範囲制限が難しいプロトコルは極力使用しないこと。
検査 †
システム稼動前にnmap等のポートスキャナを使用して想定外のポートが開放されていないことを確認する。
nmapを使用する上での注意事項
- nampはデフォルトの実行方法ではTCPポートのみスキャンする(UDPはスキャンされない)
- UDPポートのチェックを行うために-sUオプションをつける
- pingの通らないホスト(FW内など)へのスキャンには-P0オプションをつける
ポートスキャンによるチェックは
- 自サーバ -> 自サーバ
- 外部サーバ -> 自サーバ
の二通りを行うこと。
また、自サーバ -> 自サーバチェックを行った際に確認されたポートはどのサービスに使用されているものかを全て把握することが重要である。
- TCPポートのスキャン例
# nmap localhost Starting nmap 3.70 ( http://www.insecure.org/nmap/ ) at 2006-12-14 17:25 JST Interesting ports on hogehoge.jp (127.0.0.1): (The 1649 ports scanned but not shown below are in state: closed) PORT STATE SERVICE 22/tcp open ssh 25/tcp open smtp 53/tcp open domain 80/tcp open http 110/tcp open pop3 143/tcp open imap 199/tcp open smux 443/tcp open https 995/tcp open pop3s 3306/tcp open mysql 8009/tcp open ajp13 Nmap run completed -- 1 IP address (1 host up) scanned in 0.216 seconds
- UDPポートのスキャン例
# nmap -sU localhost Starting nmap 3.70 ( http://www.insecure.org/nmap/ ) at 2006-12-14 17:25 JST Interesting ports on hogehoge.jp (127.0.0.1): (The 1476 ports scanned but not shown below are in state: closed) PORT STATE SERVICE 53/udp open|filtered domain 161/udp open|filtered snmp Nmap run completed -- 1 IP address (1 host up) scanned in 1.345 seconds
- ping疎通のできないホストのスキャン例
# nmap -P0 xxx.xxx.xxx.xxx Starting nmap 3.70 ( http://www.insecure.org/nmap/ ) at 2006-12-14 17:46 JST Interesting ports on orixweb1 (222.230.141.137): (The 1657 ports scanned but not shown below are in state: closed) PORT STATE SERVICE 22/tcp open ssh 80/tcp open http 443/tcp open https Nmap run completed -- 1 IP address (1 host up) scanned in 0.931 seconds
Last-modified: 2008-01-08 (火) 23:55:21 (6247d)