実践で学ぶ、一歩進んだサーバ構築・運用術

前回紹介した TCP/IP の基礎知識 を踏まえて, セキュアなサーバーを構築するための具体的な方法を解説します。 Linux カーネルに実装されているパケット・フィルタリングの条件を適切に設定して, 外部の攻撃から内部 LAN を防御しましょう。

第 8 回 ファイアウォール (後編)

前回までで会社設立の話が済んでしまったので, 今回は趣向を変えて*1 , 会社の 1 日について書きましょう。

私は典型的な夜型です。 低血圧なためか寝起きが極めて悪く, 8:30 ごろに起きると午前中はもうろうとしています。 たまに朝イチに社外の人との打ち合わせが入ってしまったりするのですが, 目を開けているのが精一杯で, 頭がまるで回らないので困ったものです。

普段は午前 9:00 過ぎに起きます。 前の日遅かったりすると 10:00 ごろになることもあります。 勤務時間は 10:00 〜 18:00 ですが, フレックスタイム制なので遅刻にはなりません。 これだけ遅いと, 首都圏で有数の混雑路線と言われる東急田園都市線でさえも 新聞が読めるほどすいています。

銀座線に乗り継いでトータルで会社まで 1 時間近くかかるので, 日によっては昼食を済ませてから出勤することもあります。

午後は打ち合わせが入ることも多いので, じっくり研究開発に取り組むのは夕食後ということもしばしばです。 で,調子に乗ると一気に深夜 0:00 になってしまいます。 0:15 までに会社を出ないと終電に乗れないので, 続きは帰宅してから*2 ということになります。 こういうとき自宅が常時接続だと便利です。 編集中のファイルを閉じることなく*3 退社して, 帰宅してから会社へログインして編集を継続できます。

パケット・フィルタリング

パケット・フィルタリングとは, 特定の条件を満たすパケットを捨てることです。 インターネットと内部 LAN をつなぐルーターにおいてフィルタリングを行えば, パケットはルーターを通過できず, 内部LAN を守ることができます。

「フィルタリング」と言うと, ルーターや NIC *4 を 2 枚以上差したマシンで行うものと思い込んでいる方も多いのですが, NIC を 1 枚しか持っていないマシンにおいてもフィルタリングは行うべきです。 防御は何段階にもわたって行うべきで, フィルタリングは「最初のとりで」*5 なのですから。

サーバー・マシンでは不必要なサービスを立ち上げてはいけない, とはよく言われることですが, 立ち上げないだけでは不十分で, 使用しないポートはフィルタリングでふさぐべきです。 そうすれば何かのはずみ*6 でサーバー・プログラムが動き出したとしても, 外部から接続されずに済みます。

*1
本業については,ここに書いてしまっては大変です。
*2
こんな夜更かししてるから次の日起きられなくなるのですけど。
*3
もちろんトラブルに備えてファイルの保存はしますが, 編集・参照中のファイルそれぞれのカーソル位置などの状態に至るまで, そのまま自宅で継続できます。
*4
ネットワーク・インタフェース・カードの略です。 イーサネット・アダプタなど, マシンをネットワークにつなぐための周辺機器です。
*5
1999 年11 月号特集 2 「Linux サーバーのセキュリティーを高める」の pp.103 〜110 「フリーの定番ソフトを利用した4 段階Linux サーバー防御法 --- 4 つのとりででクラッカーを撃退せよ---」を参照。 「第 2 のとりで」はサーバー・プログラムの認証, 「第 3 のとりで」は被害の限定, 「最後のとりで」は侵入の検知です。
*6
ユーザーが不用意に実行したトロイの木馬プログラムが, バックドアを提供するサーバー・プログラムだった, というのはよくある話です。

TCP パケットのフィルタリング

UDP パケットのフィルタリング

(仙石浩明)

ライターから


連載 第 9 回「ssh (前編)

連載 第 7 回「ファイアウォール (前編)


本稿は日経Linux 2000 年 11 月号に掲載された、 実践で学ぶ、一歩進んだサーバ構築・運用術, 第 8 回「ファイアウォール (後編)」を日経BP 社の許可を得て転載したものです。

Copyright(C)2000 by 仙石浩明 <sengoku@gcd.org>
無断転載を禁じます

| home | up |

sengoku@gcd.org