はじめまして、ぽじと申します。いつも参考にさせていただいています。
セキュリティスキャンについてすこし質問させてください。
まず私の環境ですが、ほぼおやじさんの環境と同じで、BBルータはBAR8000Proで
その下にWindows機2つと、サーバ1つ(Redhat9)がぶら下がっている状態です。
(おやじさんのようにVLAN機能は使っていません。これって危険ですか?)
また固定IPはないので、ダイナミックDNSサービスを使用して、独自ドメインを
運用しています(今のところWWWサーバのみ)。一応Apacheはうまく動いているよ
うです。
本題の質問ですが、Sygate Online ServicesやPC Flankのサイトでセキュリティ
スキャンをすると(HTTP以外の)ポートがBlockやStealthではなくなぜかCloseに
なってしまいます。
BAR8000Proの静的フィルタリングはこのサイトのセキュリティ強化対策ルータ編
とほぼ同じ設定をし、iptabelsも設定したのですがBlockやStealthになりません。
BlockやStealthにするにはどうすればよいのでしょうか?
それともCloseの状態でも大丈夫なのでしょうか?
よろしくお願いします。
こんばんは。
> まず私の環境ですが、ほぼおやじさんの環境と同じで、BBルータはBAR8000Proで
> その下にWindows機2つと、サーバ1つ(Redhat9)がぶら下がっている状態です。
> (おやじさんのようにVLAN機能は使っていません。これって危険ですか?)
これが、ごく一般的な環境ではないでしょうか。VLAN化は、おやじがBA8000の機能を確認したかったのと、万が一サーバが乗っ取られたとき、クライアントゾーン側へのアクセスをある程度遮断できるで、いくらか安全というぐらいですので、あまり気にしなくてもいいのでは。
> 本題の質問ですが、Sygate Online ServicesやPC Flankのサイトでセキュリティ
> スキャンをすると(HTTP以外の)ポートがBlockやStealthではなくなぜかCloseに
> なってしまいます。
>
> BAR8000Proの静的フィルタリングはこのサイトのセキュリティ強化対策ルータ編
> とほぼ同じ設定をし、iptabelsも設定したのですがBlockやStealthになりません。
>
> BlockやStealthにするにはどうすればよいのでしょうか?
> それともCloseの状態でも大丈夫なのでしょうか?
Sygateの例では、Block(Stealth)は、外部からのScanに対して無反応な状態で、ネットワーク上存在していないのと同じ状態(ブラックホール)であり、CloseはScan側に拒絶の応答パケットを返しているので、存在は知られてしまうという違いがあります。何もサーバを建てていなければ、Blockの意味はありますが、80番が開いていれば存在は知られているわけで、あまり神経質になる必要はないのではないでしょうか?
おやじは、サーバ公開しているものは当然Openですが、それ以外はUPnP以外(ルータが拒否)はBlockになっていますね。基本的には、ルータでポートフォワードしていなければ、ルータの内側には入って来ないので、ルータが拒否していると思います。
ルータの「セキュリティ」の「セキュリティの詳細」の一番下の項目の「ステルスモード」が無効になっていませんか。もしそうなら、有効にすればBlockになるはずです。
おやじさん、こんばんは。ぽじです。
> これが、ごく一般的な環境ではないでしょうか。VLAN化は、おやじがBA8000の機能を確認したかったのと、万が一サーバが乗っ取られたとき、クライアントゾーン側へのアクセスをある程度遮断できるで、いくらか安全というぐらいですので、あまり気にしなくてもいいのでは。
わかりました、とりあえず今の状態で運用しようと思います。
> ルータの「セキュリティ」の「セキュリティの詳細」の一番下の項目の「ステルスモード」が無効になっていませんか。もしそうなら、有効にすればBlockになるはずです。
なるほど、BA8000Proにはそんな機能があったんですね。
早速試してみたいと思います。
早速のアドバイスありがとうございました。