Top過去ログ目次掲示板

作成日:2003年05月23日 作成:おやじ
掲示板で過去に質問された内容です。

No.914 セキュリティスキャンについて


No.914 投稿時間:2003年05月23日(Fri) 14:56 投稿者名:ぽじ URL:
タイトル:セキュリティスキャンについて

はじめまして、ぽじと申します。いつも参考にさせていただいています。

セキュリティスキャンについてすこし質問させてください。

まず私の環境ですが、ほぼおやじさんの環境と同じで、BBルータはBAR8000Proで
その下にWindows機2つと、サーバ1つ(Redhat9)がぶら下がっている状態です。
(おやじさんのようにVLAN機能は使っていません。これって危険ですか?)

また固定IPはないので、ダイナミックDNSサービスを使用して、独自ドメインを
運用しています(今のところWWWサーバのみ)。一応Apacheはうまく動いているよ
うです。

本題の質問ですが、Sygate Online ServicesやPC Flankのサイトでセキュリティ
スキャンをすると(HTTP以外の)ポートがBlockやStealthではなくなぜかCloseに
なってしまいます。

BAR8000Proの静的フィルタリングはこのサイトのセキュリティ強化対策ルータ編
とほぼ同じ設定をし、iptabelsも設定したのですがBlockやStealthになりません。

BlockやStealthにするにはどうすればよいのでしょうか?
それともCloseの状態でも大丈夫なのでしょうか?

よろしくお願いします。


No.915 投稿時間:2003年05月23日(Fri) 19:27 投稿者名:おやじ URL:http://www.aconus.com/~oyaji/
タイトル:ステルスモードを有効にしてください。

こんばんは。

> まず私の環境ですが、ほぼおやじさんの環境と同じで、BBルータはBAR8000Proで
> その下にWindows機2つと、サーバ1つ(Redhat9)がぶら下がっている状態です。
> (おやじさんのようにVLAN機能は使っていません。これって危険ですか?)

 これが、ごく一般的な環境ではないでしょうか。VLAN化は、おやじがBA8000の機能を確認したかったのと、万が一サーバが乗っ取られたとき、クライアントゾーン側へのアクセスをある程度遮断できるで、いくらか安全というぐらいですので、あまり気にしなくてもいいのでは。

> 本題の質問ですが、Sygate Online ServicesやPC Flankのサイトでセキュリティ
> スキャンをすると(HTTP以外の)ポートがBlockやStealthではなくなぜかCloseに
> なってしまいます。
>
> BAR8000Proの静的フィルタリングはこのサイトのセキュリティ強化対策ルータ編
> とほぼ同じ設定をし、iptabelsも設定したのですがBlockやStealthになりません。
>
> BlockやStealthにするにはどうすればよいのでしょうか?
> それともCloseの状態でも大丈夫なのでしょうか?

 Sygateの例では、Block(Stealth)は、外部からのScanに対して無反応な状態で、ネットワーク上存在していないのと同じ状態(ブラックホール)であり、CloseはScan側に拒絶の応答パケットを返しているので、存在は知られてしまうという違いがあります。何もサーバを建てていなければ、Blockの意味はありますが、80番が開いていれば存在は知られているわけで、あまり神経質になる必要はないのではないでしょうか?
 おやじは、サーバ公開しているものは当然Openですが、それ以外はUPnP以外(ルータが拒否)はBlockになっていますね。基本的には、ルータでポートフォワードしていなければ、ルータの内側には入って来ないので、ルータが拒否していると思います。
 ルータの「セキュリティ」の「セキュリティの詳細」の一番下の項目の「ステルスモード」が無効になっていませんか。もしそうなら、有効にすればBlockになるはずです。


No.916 投稿時間:2003年05月23日(Fri) 22:36 投稿者名:ぽじ URL:
タイトル:Re: ステルスモードを有効にしてください。

おやじさん、こんばんは。ぽじです。

>  これが、ごく一般的な環境ではないでしょうか。VLAN化は、おやじがBA8000の機能を確認したかったのと、万が一サーバが乗っ取られたとき、クライアントゾーン側へのアクセスをある程度遮断できるで、いくらか安全というぐらいですので、あまり気にしなくてもいいのでは。

わかりました、とりあえず今の状態で運用しようと思います。


>  ルータの「セキュリティ」の「セキュリティの詳細」の一番下の項目の「ステルスモード」が無効になっていませんか。もしそうなら、有効にすればBlockになるはずです。

なるほど、BA8000Proにはそんな機能があったんですね。
早速試してみたいと思います。

早速のアドバイスありがとうございました。



掲示板▲頁先頭