[plamo:25670] Re: ssh dos

[Shun-ichi TAHARA (田原 俊一)]

From: 早間 <hayama@kmf.biglobe.ne.jp>
Message-Id: <20050614.142809.112625475.hayama@hayama.kmf.biglobe.ne.jp>

> > もちろん、全てのアタックに目を光らせて、日々対処することも選択肢の一つ
> > だとは思いますが、そんな管理コストをかけられる人や組織はそうそういない
> > はずです。
> 
> そう言う話題では無いと思っていましたが、皆さんはそのような問題で悩
> んでおいでなのでしょうか。

根っこは同じですよ。

ネットワーク管理では、きちんと動いて安全であることの他に、永続性、ひら
たく言えば、仮に早間さんがサーバ管理から外されても運用が回ること、を、
考慮にいれておく必要があります。

これを考えると、最小の管理コストで最大の効果が得られる方向で考えること
になります。ようするに、ノウハウは少ないほどいいんですよ。

この方向で考えると、

1) 上流のルータやファイアウォールでポートを絞る

2) 当該ホストでポートを閉める

3) 上流のルータやファイアウォールでパケットを絞る (機種による制約大)

4) 当該ホストのOSの設定でパケットを絞る (iptables 等)

5) 当該ホストのサービスアプリケーションの設定で防御する (sshd の設定)

の順になってきます。

ただ、iptables (上例では 4) は、OS やカーネルバージョンへの依存が大き
くなるので、あまり細かい設定をかけるのは、管理コスト大とみなします。
個人的に、個別のサーバで許容できるのは、RedHat のデフォルト設定程度ま
でだと思っています。

# もちろん、Linux Box をファイアウォールとして設置する場合は話が別です。

> しかし、別に plamo のコンセプトに
>  ・ディフォルトで使用してはいけません。
>  ・デフォルト値を信頼してはいけません。
> と言っているとは思っていませんし、パッケージでは利用者の便宜と安全
> への配慮がされていると思います。

もちろん、できるだけ安全側には振っていますが、かといってポートの開閉状
態をデフォルト値で放置していいわけではありません。

Plamo の場合、デフォルトで有効になっているサービスに関しては、現在アク
ティブな Linux ディストリビューション中でも、トップクラスの寛大さがあ
ると思っています :-)。

> 「iptables １行の効能」は「iptables １行の効能」です。
> この事実の表示には、plamo への感謝はありますが、批判も指示も含まれ
> ていません。皆さんの努力の結果を利用させて頂いているのですから、
> たまさか、自分の身に起こった事を解決した方法をご報告したまでです。

それはもちろん理解していますが、日々 iptables のせっていをどうこうして
悪戦苦闘されているようですので、ここはひとつ発想の転換をされてはどうだ
ろうか、という示唆を投げたまでです。

商用だと Netscreen や Firewall1/VPN、フリーでも FreeS/WAN や Zebedee,
SoftEther等、安全な認証付きリモートアクセス環境を提供してくれるソフト
ウェアはたくさんあります。

このあたりを利用して、入り口を固めてしまえば、防御のための運用コストを
ファイアウォールの1個所に集約できます。楽ですよ。
＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿
田原 俊一   jado@flowernet.gr.jp, shunichi_tahara@zenrin.co.jp
                                  http://flowernet.gr.jp/jado/
FingerPrint:  16 9E 70 3B 05 86 5D 08  B8 4C 47 3A E7 E9 8E D9
￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣