[bjlug-ml] Re: mail

[Masami Kobayashi <masami@tncc.suginami.tokyo.jp>]

>>>>> On Sat, 2 Jun 2001 19:44:23 -0400, Ryuichiro Hara <rhara@mediaone.net> said:

    > そう、僕も今ある程度安定して運用しているシステムをあんまりいじる気にも
    > なれないのですが。


そうなんですよね。

だけど最近 Packet Filter でログを取るようにしてるのですが、以前
小泉さんが書いていたように、毎日々々ポートスキャンがいっぱい来て
るのがとっても実感できるようになって。

(で、IPアドレス追いかけて port 80 見たら "Kill Japanese!!" って
書いてあったり^^;)

もうちょっとなんとかすべきだなぁ、と思ってはいるわけです。


さて、私はルータを持ってないので、その動作についてはよく知らない
のですけれど、

    > でも一つだけ教えてください。僕の使っているルーターはDMZに対応していま
    > す。これを使って、上のようなポート設定の窮屈さを改善できるのでしょうか？
    > もっと沢山のサービスを利用できるようにできるのでしょうか？

DMZという言葉に惑わされてないでしょうか。

「"DMZ" はココらへんのことをひとことであらわす便利だけど曖昧な言
葉」らしいです。手元のUnix Magazine 8月号(2000年)によると、「具
体的にどこにあるネットワークがDMZなのかは曖昧で、人によって定義
が違ったりする混乱を招きやすい用語」と書いてあります。(46ページ)

なので、DMZのことは忘れて、どういうことをしたいか(どういうセキュ
リティポリシーにするか)をまず考えて、それができそうなネットワー
クをいくつか図に書いてみて、それぞれの図のネットワークで、自分が
やりたいことができるかどうか検討するのがいいと思うのですが。(ま
さに今私がやってる作業なんですけれど)

で、思うのですが、たぶんルータの機能だけに頼らずに、Linuxだった
ら IPFWADM というのが使えるらしいので、それを組み合わせるのが良
いのではないかと思うのですけれど。

Unix Magazine に1年くらいの間連載されていた「個人の常時接続を考
える」というシリーズでは、

   - 外向けのサービスと内向けのサービスは必ず分離する
   - 外向けにサービスをするネットワークから内部ネットワークへの
     アクセスは、絶対に許可してはいけない。

となってます。もちろんこれは、外からの攻撃に対して守るべきものは
内部のネットワーク、というのが前提なのですが。

-- 
Masami Kobayashi / Brookline, MA
masami@tncc.suginami.tokyo.jp
masami@tncc.jp (試験中)