HTTP80ポートとは?外部からの攻撃に注意が必要な理由とは
- ファイアーオールMCAFEEを使用して自サーバーでWindows・Apatchで試験的にHPを公開しています。しかし、外部からアクセスするとファイアーオールで警告が表示されます。そのため、ファイアーオールの設定を変更し、HTTPポート80を外部からのアクセスも許可しました。
- しかし、このままポートを開放しておくと外部からの攻撃を受ける可能性があります。ネットワーク系セキュリティに詳しくないため、どのような攻撃があるか教えてほしいです。
- セキュリティの観点から、外部からのアクセスを制限することで攻撃のリスクを低減できます。適切なセキュリティ対策を取ることが重要です。
- ベストアンサー
HTTP80ポートって?
ファイアーオールMCAFEEを使用しています。 自サーバーでWindows・Apatchで試験的にHP公開してみたんですが、外部からアクセスすると、ファイアーオールで(例)『IPアドレス210.153.84.237のコンピュータはシステムポート(TCP 80 ポート)の1つにアクセスしようとしました。』 という警告がでてきたんで、ファイアーオールの設定を変更し、Webサーバー(HTTP)ポート80を外部からのアクセスも許可するように変更しました。そうしたらHPを外部のWeb上から見る事ができました。このポートを開きぱなっしにしてると、外部からの攻撃とか受けますか?また受けるとしたらどんな攻撃にあうのか教えてもらえないでしょうか?ネットワーク系セキュリティがあまり詳しくないので宜しくお願いします。
- u-mesh12
- お礼率51% (145/281)
- ネットワーク
- 回答数3
- ありがとう数10
- みんなの回答 (3)
- 専門家の回答
質問者が選んだベストアンサー
Apacheのバージョンは最新ですか? 脆弱性情報を 常に参照し、最新のバージョンを使いましょう。 また、httpd.confの設定は大丈夫でしょうか。 たとえば、Apacheのバージョン情報などを不用意に外に もれる設定になっていると、外部の攻撃者に脆弱性を つかれるおそれがあります。 そのほか、c:\winnt, c:\windows などが 外部から見られるような設定になっていれば当然 危険性は増します 過度にびびる必要はありませんが、バージョンや httpd.confの設定はweb上でウォッチしておいた 方がいいと思います。
関連するQ&A
- 突然HTTP(80番ポート)が開かなくなった
【環境】 インターネットISP:Biglobe NTT光フレッツ FIREWALL:SMOOTHWALL3.0 ポート転送設定あり WEBサーバ:CENTOS 【現象をまとめると】 1.障害発生時にBiglobeのISPを利用したインターネットではHTTPつながりました。ほかのISPを利用したらHTTPつながりません。 何回も試しています。100%間違いありません。 障害発生時のHTTP(ポート80)の状況を簡単な図にすると、 クライアント(Biglobe)------------FW------------WEB (OK) クライアント(ほかのISP)xxxxxxxxxFW------------WEB (NG) 2.FirewallにSSHしてREDのNICからWEBサーバのHTTPに接続を確認した結果、つながりました。 FWのせいではないようです。 3.Firewallにポート転送チェック Source:ALL、ポート:88からDestination:192.168.1.10(WebサーバのローカルIP)、ポート:80 を設定し、接続時にポート88を指定してつながりました。 4.WebサーバにもうひとつのVhostをたてて、ポートを8080に設定しました。 Source:ALL、ポート:80からDestination:192.168.1.10(WebサーバのローカルIP)、ポート:8080 を設定し、接続時にポート80を指定してつながりませんでした。 5.障害発生時にFWの設定を変更しても効果ありませんでした。 DDos攻撃の防御でもはずしても効果なし、状況は改善されませんでした。 6.しばらく待つとHTTPへの接続状況が通常の状態に復旧しました。 例)障害発生開始時間:2009/07/29日 19:30時ごろ 復旧時間:2009/07/29日 23:00時ごろ ※障害発生してからFWの設定を確認しました。 IPブロックが設定されていません(OK)。 DDos攻撃の防御が無効になっています(OK、これは先回の障害で無効に設定しました)。 HTTP(ポート80)は開放されています(OK)。 HTTPS(ポート443)は開放されています(OK)。 DDoS攻撃の防御を有効にしてみました(復旧されません)。DDoS攻撃がありませんでした。 復旧時間にはFWの設定は元の状態になっています(DDos攻撃の防御が無効)。 【結論】 現象から考えると問題の原因はインターネットの接続になります。 おそらくISPに原因があると強く思っています。 BIGLOBEとNTTに問い合わせした結果、 BIGLOBEは断りました。 「BIGLOBEでは、ポートに関して特に制限などは設けていません。」 NTTもポートに関して制限はないと断りました。 しかし、「障害発生時はNTTに連絡すれば、 NTTからWEBサーバの80ポートを指定してアクセス試験をすることができます。といわれました。」 また問題発生時に電話したら80ポートを指定してくれませんでしたのに、試験に問題はないと言われました。 本当に困っています T.T
- 締切済み
- ネットワーク
- ポート開放が出来ません!!
とあるwebサーバーを立てているのですが、この度アクセス増加に伴いルーターをバッファローのBHR-4RVに買い換えることになりました。 そして初期設定は済ませてネットに繋がるようにはなったのですが、ポート開放がどうしてもうまくいきません。 アドバンスト-ネットワーク設定-アドレス変換-アドレス変換テーブルで次のようにしたのですが、 ブロードステーションのWAN側IPアドレス HTTP(TCPポート:80) <--> 192.168.1.21 HTTP(TCPポート:80) 192.168.1.21はwebサーバーのIPで、ルーターLAN側のIPは192.168.1.1に変更しています。 グローバルIPで接続してみると"HTTP 400 - 正しくない要求"とエラーページが表示されwebサーバーに繋がりません!! FTPなど他のポートでも試してみましたがどれもNGでした。 アクセスランプ等から確認するとBHR-4RVがwebに中継することなくエラーを返しているようです。 どうして繋がらないのでしょうか? アドレス変換は"使用する"で、IPsecパススルー機能は"使用しない"になってますが後者は関係ないですよね? 前まではコレガ製のルーターを使っていたのですが、コレガのように転送先のサーバーを事前に登録する必要があるのでしょうか? アドバイスよろしくお願いします。
- 締切済み
- その他([技術者向] コンピューター)
- HTTPサーバの80番以外のポートなど
HTTPサーバの80番以外のポートなど ネットワーク関係の本を読んでいたところ、「よく使われるプロトコルには『ウェルノウンポート』という番号があらかじめ割り当てられている。有名なところでは、メールの送受信に使われるSMTPが25番、Webに使われるHTTPが80番といった具合である」 と書かれていました。 では、HTTPサーバの80番以外のポートやSMTPサーバの25番以外のポートは普段何をしているのでしょうか?? 他のポートを殆ど使わないなら、わざわざHTTPサーバに80個もポートを準備する必要はないんじゃないか?と素人的には思うのですが・・・ よろしくお願いします。
- ベストアンサー
- その他(インターネット接続・通信)
- 【ポート転送】 80番ポート
ローカルにおいたWEBサーバへ外部からアクセスできず困っています。 環境は下の通りです。 【インターネット】-【モデム(Trio3-G-Plus)】-【WEBサーバ】 モデムのWAN側にグローバルアドレス(x.x.x.x)、そしてWEBサーバにローカルのアドレス(192.168.3.3)をふっています。 モデムの設定画面よりポート転送の設定を下の様に行いました。 WANポート LANポート 転送先IPアドレス TCP/UDP 80 - 80 80 - 80 192.168.3.3 LANからhttp://192.168.3.3/index.html は当然できますが、 WANからhttp://x.x.x.x/index.html ができません。 ログも記録されないことからポート転送がうまくできていないと思われます。 下のサイトより外部から開放されているポートを調べましたがはやり80番ポートは開いていないようです。 http://www.genie.x0.com/gtl/help/port_scan.php その他にWEBサーバでフィルタリングがかかっていないことも確認しています。 問題解決の方法がお分かりの方いらっしゃればよろしくおねがいします。
- ベストアンサー
- ADSL
- PostgreSQLとポート5432
ファイヤーウォールのログをみていたらルータ側のポート5432から自分のPCへアクセスが何回かあり、5432について調べてみると PostgreSQLで使用するポートのようですが、簡単にいうと PostgreSQLとは何でしょうか?(インターネットで調べてみましたが今ひとつよくわかりません) サーバとか立ち上げていなくて普通にサイトを閲覧するだけでも関係するものなのでしょうか? 07/02/192.168.0.1 192.168.0.2 TCP 5432 49159 AF
- ベストアンサー
- PostgreSQL
- Webサービスを提供するポートについて
Webサービスを提供するポートについて質問です。 セキュリティに関係する事項ですので、こちらで質問させていただきます。 ルータのNAPT機能を用いて、LAN内にあるWebサーバに外部からのアクセスを通し、外部→内部方向について、ルータは80番ポートのみを開放し、他のポートはすべて遮断します。 ここで、 (1)Webサービスを80番ポートで提供する。(ルータは外部から80番へ来たアクセスをWebサーバの80番ポートへ転送) (2)Webサービスを80番ポート以外(例えば8080番)で提供する。(ルータは外部から80番へ来たアクセスをWebサーバの8080番ポートへ転送) 両者におけるセキュリティ面での具体的な違いを知りたいと思います。ご教授下さい。
- 締切済み
- ネットワーク
- PCのポート開放がうまくできません
UltraVNCを使用したくPCのポート開放をしたいのですが、 うまく開放できません。 環境は下記となります。 ルータ:NEC PA-WG1400HP PC OS:Windows8.1 Pro また、このネットワーク内に以前からWebカメラ(192.168.10.201)を無線接続し、 ルータでポート開放(ポート:12026)して外部(スマートフォン等)からアクセスは できています。 この環境のPC(192.168.10.5)にUltraVNCサーバをインストールしました。 UltraVNCで使用するポートは5900です。 ルータ設定では、ポートマッピングで以下の設定としました。 192.168.10.201 TCP 12026 1(優先度) ←Webカメラ用設定(以前から) 192.168.10.5 TCP 5900 2(優先度) ←VNC使用PC用設定(今回追加) この段階でルータのUPnP利用リストにWebカメラのみだったので PCで次の作業を行いました。 コントロールパネルからネットワーク検索の設定を「ネットワーク探索を有効する」に変更。 フリーソフト「開放くん」により、ポート5900を開放。 ルータのUPnP利用中リストにPC(ポート5900)も表示されました。 この状態で、Webにてルータのグローバルアドレスを調べて、 外部からのPort開放確認のサイトを見つけたのでチェック実行してみました。 結果、対象のグローバルアドレス+Webカメラのポート(12026)へは接続されますが、同じグローバルアドレス+対象PC(ポート5900)へは到達できません。 このポートへ外部から到達できればVNCが可能になるかと思います。 どうしたらポートがうまく開放されるでしょうか。 宜しくお願い致します。
- ベストアンサー
- その他(インターネット接続・通信)
- ファイアウオールの設定について
ファイアウオールの設定について質問が御座います. 外向きのWebサーバを立てております. Webサーバは,apacheを使用しております. ■この時,外からのアクセスに対するファイアウオールの設定は, どのポート番号を開けばいいのでしょうか? WebサーバにはHTTPでアクセスします. 1.よって,ポート番号は,80番だけあければいいのでしょうか? 2.それとも,apacheを使用しているので,8080番を 開ければいいのでしょうか? 3.もしくは,80番も8080番も開けなくてはいけないのでしょか? apacheとWebの使用の関係などがよくわからないので 教えて頂けないでしょうか?
- ベストアンサー
- ネットワーク
- オラクルの為に空けるポートは?
kaituyoと申します。 今度FW(SonicWALL)を設置して、DMZにWebサーバを設置します。それで、ユーザーに対してサービスを提供するのですが、DMZ側のWebサーバとLAN側のDB(オラクル)を連動させる必要があります。そのとき、FWはどのポートを空ける必要があるのでしょうか? 調べた範囲では、 Web → DB 1521ポート (TCP) DB → Web anyポート (TCP) ではないのか?と思うのですが自信がありません。実際に導入した事例や、情報がのっているHPを教えてください。 よろしくお願いします。
- ベストアンサー
- ネットワーク
- ポートの解放について
ポートの解放について Windows2008server(32bit)でのポート解放についての ご質問なのですが、 あるポート番号を、「netstat -an」コマンドで、tcp 0.0.0.0 LISTNG の状態にするには、どのようにするればよろしいのでしょうか? Windowsファイヤーオールの例外に作成して見たのですが、 「netstat -an」コマンド」で表示されませんでした。 解決策をご存じの方があられましたら、ご教授をお願い致します。 よろしくお願い致します。
- 締切済み
- Windows系OS
お礼
参考URLみました。早速Apache等の設定を変更して、セキュリティの向上に努めたいと思います。アドバイスありがとうございました。