*アクセス制御設定指針 [#c00dcb4e]
**原則 [#tb1a1a45]
システム構築段階から不要なサービスは全て停止させる。~
これにより不要なポートを閉じ、脆弱性等により想定外の経路から侵入を許す事態を抑制する。~
今は使用しないが、今後必要になるかもしれないサービスも、必要となるまで停止させること。~
NFS、SMB、RPCなどの不特定多数のポートを使用し、ポートの使用範囲制限が難しいプロトコルは極力使用しないこと。
**検査 [#c0017c81]
システム稼動前にnmap等のポートスキャナを使用して想定外のポートが開放されていないことを確認する。~
nmapを使用する上での注意事項~
-nampはデフォルトの実行方法ではTCPポートのみスキャンする(UDPはスキャンされない)~
-UDPポートのチェックを行うために-sUオプションをつける~
-pingの通らないホスト(FW内など)へのスキャンには-P0オプションをつける~
ポートスキャンによるチェックは~
-自サーバ -> 自サーバ~
-外部サーバ -> 自サーバ~
の二通りを行うこと。~
また、自サーバ -> 自サーバチェックを行った際に確認されたポートはどのサービスに使用されているものかを全て把握することが重要である。~
-TCPポートのスキャン例
# nmap localhost
Starting nmap 3.70 ( http://www.insecure.org/nmap/ ) at 2006-12-14 17:25 JST
Interesting ports on tribeck.jp (127.0.0.1):
Interesting ports on hogehoge.jp (127.0.0.1):
(The 1649 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
22/tcp open ssh
25/tcp open smtp
53/tcp open domain
80/tcp open http
110/tcp open pop3
143/tcp open imap
199/tcp open smux
443/tcp open https
995/tcp open pop3s
3306/tcp open mysql
8009/tcp open ajp13
Nmap run completed -- 1 IP address (1 host up) scanned in 0.216 seconds
-UDPポートのスキャン例
# nmap -sU localhost
Starting nmap 3.70 ( http://www.insecure.org/nmap/ ) at 2006-12-14 17:25 JST
Interesting ports on tribeck.jp (127.0.0.1):
Interesting ports on hogehoge.jp (127.0.0.1):
(The 1476 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
53/udp open|filtered domain
161/udp open|filtered snmp
Nmap run completed -- 1 IP address (1 host up) scanned in 1.345 seconds
-ping疎通のできないホストのスキャン例
# nmap -P0 xxx.xxx.xxx.xxx
Starting nmap 3.70 ( http://www.insecure.org/nmap/ ) at 2006-12-14 17:46 JST
Interesting ports on orixweb1 (222.230.141.137):
(The 1657 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
22/tcp open ssh
80/tcp open http
443/tcp open https
Nmap run completed -- 1 IP address (1 host up) scanned in 0.931 seconds
