vine-users ML アーカイブ



[vine-users:064942] Re: iptables の設定をしてみました。 (建設的なお話)

  • From: SAKAI Hisanobu <saki@xxxxxxxxxxxxx>
  • Subject: [vine-users:064942] Re: iptables の設定をしてみました。 (建設的なお話)
  • Date: Sun, 07 Mar 2004 23:08:48 +0900
酒井と申します。

先のメールでは、苦言のみを書きました。このままでは
文句だけなら何とでも言えると突っ込まれそうなので、
何をすべきか考えて見ましょう。

まず、ファイアウォールって実際には何をするかイメージが湧いていますか?
日本語に直せば、「防火壁」ですが、要するに壁なわけです。ある場所とある
場所を隔てるための壁なわけです。

つまり、インターネットと、自分の影響力が及ぶ範囲のネットワーク(以下、
ローカルネット)とを分け隔てるための壁がファイアーウォールということ
です。

ファイアウォールをまともに入れてしまうと、インターネットと、ローカルネッ
トととの間の通信はまったく出来なくなるので、何らかの約束事(ファイア
ウォール・ルール)によって通信が出来るようにする必要があります。

それが、NATやNAPT、プロキシなど(他にも多数)に相当します。

では、中園様の場合何が必要かと言いますと、既にML上に流れた情報から
推定すると、TCPの80番ポートが、ファイアウォールの外側から内側に
通信できるように、ファイアウォール・ルールを作成することで解決できる
と思います。

そして、JPCERT/CCなどのセキュリティ情報のアドバイザーからの情報収集し、
ファイアウォールを実現しているソフトウェアや、OSカーネルそして、TCP80で
サービスを行なっているサーバーアプリケーションに関するセキュリティ情報
が流れればすぐに必要な対処をすることです。

多くのセキュリティインシデントは、セキュリティ情報を蔑ろにした結果起きる
ものであり、言わば全て事前の対処が可能なことばかりです。

たとえば、先週辺りに出たFreeBSDの大穴は、きっと1年たっても対処されてい
ないシステムが実際に存在することでしょう。そういったホストが狙い打ちに
逢うのです。

繰り返しますが、セキュリティ情報を収集する努力を怠らず、情報を得たならば
速やかに対処することで、比較的安全な状態を保つことが出来るのです。

#はぁ・・・ 先週のFreeBSDの大穴、FreeBSDだけで閉じてくれるのでろうか・
明日から、パッチ当て頑張らなきゃ・・・憂鬱だ・・ (;_;)

-- 
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
 酒井久伸/龍野自宅 <saki@xxxxxxxxxxxxxx>
 My Site : http://www.asroc.mydns.jp 
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-