2006年9月20日

[users 6823] Re: ハッキングされてしまったのですが

もりと申します。

> port の変更って、いかほど効果が あるのでしょうか?

現在開いているポートを狙って攻撃していることを仮定したのですが、少な
くとも同じ攻撃をしようとした場合、ポートスキャンをする必要が出てくると
思います。
ポートスキャンをした場合、ファイアウォールでポートスキャンをしてきた

マシンからの接続を排除できますし、IPアドレスの特定もできますので、攻撃
してきたマシンの特定にも役立つと思います。
ただ、最終的には進入経路の特定とそれに対する対策が必要ですので、ポー
ト変更等は攻撃を遅らせる暫定措置にしかならないとは思いますが、サーバー
を停止させたままにできない場合は、攻撃の可能性を減らして、原因究明の時
間稼ぎをする必要がありますので、私の場合、ポート変更も時間稼ぎのひとつ
として考慮する思います。
アプリケーションによっては、ポート変更の影響が大きすぎて運用に支障を
きたすことがあるかもしれませんので、あくまで可能な場合だけの措置ですが。
特定アプリケーションやポートを経由して進入したのではなくトロイの木馬
等、別の方法で攻撃してきている場合はポート変更は役に立たないかもしれま
せんが、進入の可能性を低くする対策は、できるだけ取っておいた方が良いと
思います。
それと、ネットワーク構成が分からないため、DMZに置いてあることを前提
で言ってしまってますので、社内に置いてあったりネットワークの接続状況が
違うと意味がないかもしれません。
また、IPスプーフィングされていたり、攻撃マシンが複数にわたっていると
一部のマシンを特定できても別マシンから継続的にポートスキャンをかけられ
る危険性はあると思います。

> >・DMZに置いてある場合、ファイアウォール(新サーバーのiptablesではなく
> > DMZを構成しているファイアウォール)の設定を変更する
> > ・新サーバーへのicmpその他を一切通さなくする
>
> icmp (の全て)を遮ってしまうようですが、ホントに そんなことを
> しているのですか?

外部からDMZに対してのicmpを全部遮るというつもりで書いたのですが、上
記の書き方だと社内からも遮るようにとれてしまいますね。失礼しました。


--------------------------------------
[10th Anniversary] special auction campaign now!
http://pr.mail.yahoo.co.jp/auction/
_______________________________________________
users mailing list
投稿先アドレス: mailto:users@xxxxx
総合案内: http://fedora.jp/mailman/listinfo/users
過去の投稿の検索: http://fedora.jp/kabayaki/

投稿者 xml-rpc : 2006年9月20日 04:21
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/46207
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。