- ベストアンサー
WEBサーバのセキュリティを確認しているのですが‥
貧弱WEBサーバを立てております。 また、管理者も貧弱なため、セキュリティ面で一体どこまでやれば十分なのかを お教え頂きたく、質問させて頂きます。 先日までは、セキュリティ会社やShields up!!などのサイトの ポートスキャンの結果がOKだったので、満足していたのですが、 ソフトでもポートスキャンが出来るものがあったので確認したところ、 ポートスキャンソフトの種類によって、使用していないポートが 開いていたり開いていなかったりしているのです。 また、並行して、 ノートンのインターネットセキュリティのログを確認したところ、 勝手に外部へ出るような仕様にしていないにも関わらず、ログ的には勝手に出ていたりします。 しかもそのログのURLを入力して見ても何も表示されなかったり、リファラー的なものしか表示されません。 えーっと、 WEBサーバのセキュリティ(150アクセス程度/日)は、どの程度でまぁ大丈夫レベルでしょうか。 サイトのポートスキャンの結果を信用しておいてよろしいのでしょうか。 本当ならTCP/IPを基礎から習得して、それを基に改善すればよいのでしょうが、 もし危険な状態であるなら、一刻も早くできるところから押さえていこうと思った次第です。 一応、仕様としては、 ・ルータ(5千円程度のコンシューマ用で、ステルス機能が付き、 ポートフォワーディングで不要なポートは全てステルスにするなど、 基本的なところは押さえていると思います。) ・ノートンインターネットセキュリティの導入 ・MSのアップデートは欠かしたことがありません。 ・ウィルス対応・定期チェックも万全だと思います。 ・OSは2000ですが、サーバソフトは最新パッチ導入の日本製のものです。 ・アタックなどは特に頻繁だということもありません。月並みだと思います。 こんなんでお分かり頂けるか不安ですが、 どうぞご教授のほど、宜しくお願いします。
- asign862
- お礼率62% (27/43)
- ネットワーク
- 回答数2
- ありがとう数0
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
OS が Windows 系、ということで、新米管理者の方には少々荷が重そうですね。Linux などの PC-Unix なら楽、というわけではないのですが、Windows 系の場合、『きっちり設定を詰める』というのが難しいのです。 仕事で正にインターネットサーバの構築・管理/運用をこの 4年以上やっているのですが、Linux などの PC-Unix 系よりも Windows 系の方が管理が難しいと感じています。便利な GUI のツールがあっても、それでは設定できないような箇所も詰めないといけないのは辛いです。 なお、セキュリティに「これで十分」はありません。日々情報収集と確認・設定変更他を行い続けても「まだまだなぁ」と思うことしばしば、です。
その他の回答 (1)
- bship
- ベストアンサー率51% (47/92)
この手の回答は気がひけるのですが、お困りの様なので。 勘違いしてはいけないのは(そして実務上多くの実例として)、セキュリティ上の設定で「つもり」っていうのが危ないのです。 セキュリティの設定をこうした->その結果こう検証してこのような結果であった->設定は正しい という確認が必要なのです。それでやっと、「つもり」でなくなり、次のステップへ進めます。専門家でもチェックリストに則って確認するという地道な確認を怠りません。数千万のセキュリティツールを導入しても、運用が全てです。 ですから、ルータがいくらかは関係ないですし、ノートンを入れてても設定が意図のとおりできていなければ(少なくとも文面からはそう読める)無意味です。 「ポートスキャンの結果がOK」という意味が判りません。 ポートスキャンはどのポートが開いているかを列挙するものなので、結果がOKとかNGというものではありません。 それは脆弱性スキャンの範疇です。 開いているポートが脆弱でなければいくらポートが開いてても大丈夫ですし、逆にたとえTCP/80ひとつだけだったとしても脆弱であればアウトです。 脆弱性スキャンをかけることが理想ですが、それなりに知識がいります。 セキュリティは闇雲にやってもダメですよ。 しかも、何をしてよいか判らない常態でありながらも既に接続済みであるようなので、もう遅いかもしれません。 (セキュリティを考慮しないで一瞬でも接続したホストは信用に値しません。それをHardeningするだけ時間の無駄です。侵害は秒単位です) 1.サーバの目的を明確化する 2.必要なサービス、アカウントを決定する 3.必要なサービスのみを立ち上げる 4.不要なソフトや不要なアカウントは削除 5.必要なサービスに脆弱性がないかを最新情報で確認する(本当は脆弱性スキャナを使えば便利) 6.Audit機能を有効にして適切な監査を行う と書くだけなら簡単ですが、3,4,5,6はそれぞれのOSやアプリケーションに依存するのでちゃんとやるには知識が要りますね。 もちろんその前に、 OSからクリーンインストール OS Service Pack等最新状態に保つ ノートン等のソフトウェアを適切に設定する というのが前提ですが。
関連するQ&A
- WEBサーバーのセキュリティーソフトの必要性
外部に公開しているWEBサーバーの話です。 業者からセキュリティーソフトの運用を勧められています。 弊社のサーバーはルーター側で80番ポートしか開放していないのですが、サーバー用のセキュリティーソフトなど必要でしょうか? 私は内部からの不正行為やスクリプトの問題がない限り、外部からデータ改ざんやウイルス混入など不可能と考えています。 サーバー用のセキュリティーソフトを利用するメリットはあるのでしょうか?
- ベストアンサー
- ネットワーク
- セキュリティの確保
AN HTTPDサーバーを用いて web公開していますが、 セキュリティの面が心配です。 どうしたら「セキュリティの確保」できますか? Norton Internet Securityのソフトはありますが、 導入はしていません。
- ベストアンサー
- Windows XP
- Webサーバー公開時のセキュリティー
サーバー管理初心者です。 Windows2000Serverを外部に公開(IIS,ASPを使ったWebサーバー)する予定です。 セキュリティ対策として最低限なにをやればいいのでしょうか? 対策として考えいるのは次の点です。(本の基本的なことです。) 当面当初はWebサーバーのみに使用予定。 1.OSの最新パッチをあてる。 2.ルーターのスタティック・ルーティング・テーブルでポート80しかサーバーに通さない。 これ以外にあればご教授願います。 また、便利な管理やセキュリティソフトがあれば教えてください。
- 締切済み
- その他(インターネット接続・通信)
- LINUXのサーバーセキュリティについて
LINUXのサーバーセキュリティについての質問です。 「ポートスキャンされている」というのは、マズイというのはなんとなくわかるのですが 「ポートスキャンされている」というのを確認するのはどういうコマンドを打ちますか? ちなみにメールで自分に知らせる事は可能でしょうか?
- ベストアンサー
- ハードウェア・サーバー
- imap・smtpサーバで使用するポートが解放されない
SuSE Linux9.3でメールサーバを構築しようとしているのですが、 タイトルの通りポートが解放できず困っています。 Shields Up!でポートスキャンをしたのですが、 imap(143)はステルス smtp(25)はクローズ になっています。 どちらもブロードバンドルータのローカルサーバ機能で サーバマシンのIPを指定して解放しています。 ※Webサーバ・FTPサーバで使用しているポートは 正常にオープンになっているので、ルータの設定ミスはないと思います。 SUSEのGUI管理ツールであるYaSTから/etc/sysconfigエディタを使ってWebサーバ・FTPサーバの時と同じ要領でやってみたのですが、どうもできません。。 ここがこうなってるからじゃないの? ここのこの部分を確認してみてよ。 このコマンドで確認してみてよ。 等ありましたらご教授お願いできませんでしょうか? お願いします。 ※GUIでの操作にこだわっているわけではないので、 CUIからの確認方法等も是非ご教授お願いします。
- 締切済み
- Linux系OS
- サーバーのセキュリティ対策
自宅でメールサーバーを立てようとしてるんですが、みなさんはどの程度セキュリティに気を使ってるのでしょうか?現在の僕の環境では、 vinelinux3.2アップデート済み ルーターで25番ポートのみ開放 メールウイルス対策にアンチウイルスソフトClamAVを入れています 不要のサービスの停止 Rootkit Hunter、snort導入 logwatch導入してまめにログチェック メール不正中継テスト これではサーバー公開するには不十分ですか?詳しい方 ご指導お願いします
- ベストアンサー
- セキュリティ対策
- WEBサーバーをたてるにあたって
今度WindowsXPで小規模なwebサーバーをたてようと 思っています。LinuxではPCにアプリケーションをインストールすることでアクセスログをとることができますが、windowsにおいて、同様のことをできるのでしょうか。(CGI等使ってwebアクセスのみのログは×) PC自体にアクセスがきたら全部のログをとりたいのです。 異常にアクセスが多かったりしたら、セキュリティの面から遮断したいからです。 ご指導よろしくお願いします。
- ベストアンサー
- Windows XP
- webサーバの公開
Webサーバを公開したいと思い、 考えられることをすべてやったのですが、 できません。 サーバとCTUは、直接つなげており、間に何もありません。 CTU(光プレミアム)のフォームウェアは最新のもので、 プロバイダから固定IPを1つ割り当てられています。 CTUのファイアーウォールを 詳細設定ですべての通信を通過させるか、無効にしています。 DHCP機能を有効にし、 LAN内のPCのMACアドレスに対して 固定IP(プライベート)を割り当て、 接続先からのHTTP(80番ポート)を 固定IPへ送るように設定しています。 PPPOE接続も試し、グローバルIPを割り当てられ、 ネットの閲覧はできたのですが、 外部(ケータイ)からはHPを閲覧できません。 Fedora8とApache2.0.61を使用しています。 SELinuxは、無効にしています。 外部からポートスキャンをすると、80番ポートも すべてステルス状態になっています。
- 締切済み
- FTTH・光回線
- PCのセキュリティについて、質問します。
PCに一応、(無料)セキュリティソフトを導入し、 更新をしたり、たまにはスキャンしてみたりしますが、 最近、認証のログインがやたら遅かったり、 サーバにアクセスできない事があり、 セキュリティが気になっております。 ためになるサイトともしくは、アプリ、 windowsのログの見方など、確認方法などがありましたら、 是非紹介してほしいです。 侵入されていたら、突き止められますか? よろしくお願いします。
- 締切済み
- ネットワーク
補足
非常にご丁寧な回答、ありがとうございます。 なかなかお厳しいアドバイス頂いてしまったようですね‥。 まず、正直に申しまして、パソコンがちょっと詳しいだけで、 まだまだ勉強途中にも関わらずシステム管理者にされてしまった者にとって、 セキュリティほど概念が掴み辛いものはないと思います。 レースなら順位、営業なら成績で自分のレベルが推し量ることができますが、 セキュリティにはそれがなく、これでいいかな、と思っていたら 全く違っていたり、まだまだレベルが足りなかったりすることが多く、 実際目に見えてセキュリティを破られないと脆弱かどうか判断できなかったりします。 それならどうして基礎からきっちり固めてこなかったと言われそうですね。。 しかしながら、言い訳ではないのですが、自宅サーバを立ててみよう!みたいな記事群に魅せられて 気軽な感じでここまで来て、本に載っているレベルぐらいのセキュリティレベルには 十分達したと思っていた矢先にこういった結果に遭遇してしまっている訳です。 自分に同情する気などさらさらありませんが、同じような境遇の方は結構いるはずです。 ‥すみません、ちょっと取り乱してしまいました。 >セキュリティ上の設定で「つもり」っていうのが危ないのです。 おっしゃる通りです。しかしながら、先にも書かせて頂いた通り、 これ以上どうすればいいのか、今の現状では改善策が思い当たらないのです。 >「ポートスキャンの結果がOK」という意味が判りません。 スキルの高い方からご覧になると、鼻で笑っちゃうぐらいのことかも知れませんね。 しかしながら先述のように、雑誌等でも「君のサーバは安全か?ここでチェックして確認してみよう!」 なんてのほほんと書かれているのを実践したのですよ(;;) >セキュリティは闇雲にやってもダメですよ。 確かにそうです。だからこそ急を要するために、ここでピンポイントに お知恵をお借りしたいと思ったのです。 具体的に言えば、このサイトとこのサイトは参考になるから、ここを押さえて、 こういうソフトがあるからここでチェックしやがれこの虚けめ! というご鞭撻を頂けたらと思った次第です。 しかしながらbship様のおっしゃることは全くの正論であり、今後の指針と させて頂きたいと思います。 ありがとうございました。