ポート開放とクラッキング

????????????????????¨????°???¨??§????????°???????¨??????￢???????????°?????±??????????????§??????

ポート開放とクラッキング

????????? 2006/08/16 01:21
????????? house

環境：ｆｃ５ポート開放、メールサーバー、WWWサーバー、VOIP FTP,TELNETは利用出来ない SSHは内部のみ皆さまお久しぶりです。ヤマハルーターの件ではいろいろありがとうございます。現在まだ手をつけられていない状態です。結果が出たら報告させて頂きます。さて、ちょっと教えていただきたいのですが、ポート開放とクラッキングのことです。例えば、VOIPを構築しようとなんかして 5060とか4569とか10000-10009とかのポートを空けたとしますよね。そうすると、ポートを空けた、ということでポートスキャンとかされて OPEN、ということが分かりますよね。この場合って、 80とか25なんかもそうなんですが、この開いたポートから不正に進入されることって無いんでしょうか？特に心配なのが、パスワードの設定していないユーザー（uucpとかnewsとかで不正アクセスされ管理権限を取られるのではないかと不安です）（現在、uucpやnews等のユーザーは削除しています）根本的な質問で説明が面倒くさいかもしれませんが、ヒントだけでも頂ければ幸いです。よろしくお願い申し上げます。

■ コンテンツ関連情報

Re: ポート開放とクラッキング ( No.1 )

????????? 2006/08/16 10:34
????????? house

ちょっと補足です。私の場合、IPTABLESでもって、１秒間に４回のアタックがあった場合、接続を遮断するようにしています。しかし、ここ数日に及んで ICMPでもって１から２００００以上までアタックされているデータが SNORTに残っていす。で、現在も続いている。おかしいなと、じっくり見るとなんと、５分で１００アタック。つまり、３００秒で１００アタックですから、３秒に一度のアタックなんです。どうりで遮断できないはずです。そこで、１秒に４回どころではなく、数十秒で何回のアタックがあったら、という風に変更しました。これでどうなることやら。

Re: ポート開放とクラッキング ( No.2 )

????????? 2006/08/17 00:35
????????? house

今までにクラッキング対策として追加で行ったことを記載させて頂きます。特にメール対策を考えました。１．uucpの機能は、リレーだかなんだかで不正利用されることが多いようなので、 uucpユーザーの削除。uucpのストップ２．他のいらないユーザーの削除（news等）３．めんどくさいので、ポートは２５と８０しか空けない４４３はしばらく使わない４．ICMPのスキャンが異様に多い（スロースキャン）ので、 ICMPに反応させない（pingに応答しない）５．iptablesで数十秒ので数回のping of death を遮断及び２４時間アクセス拒否６．良く分からないですが、GUIやXのアンインストールこの際余計なものは全て削除７．kudzu、印刷、CUIでのマウス使用など徹底的に必要なさそうなデーモン停止といろいろやってみました。ただ、これでも、SnortSnarfにicmpのアタックが新しく追加されています。なぜなんだろう？アタックを試みたけれども、はねられた、という意味なんですかね？もうちょっと私も iptablesの文章や /var/log/snort/alertの意味合いを勉強したいと思いますが。

Re: ポート開放とクラッキング ( No.3 )

????????? 2006/09/02 10:17
????????? two
?????§??? http://www.two-wonderland.net/

　お世話になっております、twoです。セキュリティはサーバを運用していると敏感になりますよね～(笑) > ６．良く分からないですが、GUIやXのアンインストール > この際余計なものは全て削除　私も不要なパッケージは削除しています。サーバなので、特にGUIを使用しないので、総合デスクトップ環境関連のパッケージは削除しています。他にもtelnet や FTPのパッケージも削除しています。 telnetは、通信が平文でやりとりされてしまうため、セキュリティ面を考慮し、SSHを使用しています。 > 例えば、VOIPを構築しようとなんかして　VoIPですかぁ～。凄い懐かしいです。昔、仕事でSIPサーバを構築してVoIPの検証をやってました。パケットのやりとりがHTTPを基にしているから、非常にとっつき易かったのを覚えています。以上、宜しくお願い致します。

■ その他

ページ先頭へ

Re: ポート開放とクラッキング ( No.1 )
????????? 2006/08/16 10:34 ????????? house ちょっと補足です。私の場合、IPTABLESでもって、１秒間に４回のアタックがあった場合、接続を遮断するようにしています。しかし、ここ数日に及んで ICMPでもって１から２００００以上までアタックされているデータが SNORTに残っていす。で、現在も続いている。おかしいなと、じっくり見るとなんと、５分で１００アタック。つまり、３００秒で１００アタックですから、３秒に一度のアタックなんです。どうりで遮断できないはずです。そこで、１秒に４回どころではなく、数十秒で何回のアタックがあったら、という風に変更しました。これでどうなることやら。
Re: ポート開放とクラッキング ( No.2 )
????????? 2006/08/17 00:35 ????????? house 今までにクラッキング対策として追加で行ったことを記載させて頂きます。特にメール対策を考えました。１．uucpの機能は、リレーだかなんだかで不正利用されることが多いようなので、 uucpユーザーの削除。uucpのストップ２．他のいらないユーザーの削除（news等）３．めんどくさいので、ポートは２５と８０しか空けない４４３はしばらく使わない４．ICMPのスキャンが異様に多い（スロースキャン）ので、 ICMPに反応させない（pingに応答しない）５．iptablesで数十秒ので数回のping of death を遮断及び２４時間アクセス拒否６．良く分からないですが、GUIやXのアンインストールこの際余計なものは全て削除７．kudzu、印刷、CUIでのマウス使用など徹底的に必要なさそうなデーモン停止といろいろやってみました。ただ、これでも、SnortSnarfにicmpのアタックが新しく追加されています。なぜなんだろう？アタックを試みたけれども、はねられた、という意味なんですかね？もうちょっと私も iptablesの文章や /var/log/snort/alertの意味合いを勉強したいと思いますが。
Re: ポート開放とクラッキング ( No.3 )
????????? 2006/09/02 10:17 ????????? two ?????§??? http://www.two-wonderland.net/ 　お世話になっております、twoです。セキュリティはサーバを運用していると敏感になりますよね～(笑) > ６．良く分からないですが、GUIやXのアンインストール > この際余計なものは全て削除　私も不要なパッケージは削除しています。サーバなので、特にGUIを使用しないので、総合デスクトップ環境関連のパッケージは削除しています。他にもtelnet や FTPのパッケージも削除しています。 telnetは、通信が平文でやりとりされてしまうため、セキュリティ面を考慮し、SSHを使用しています。 > 例えば、VOIPを構築しようとなんかして　VoIPですかぁ～。凄い懐かしいです。昔、仕事でSIPサーバを構築してVoIPの検証をやってました。パケットのやりとりがHTTPを基にしているから、非常にとっつき易かったのを覚えています。以上、宜しくお願い致します。