各種サービスの設定方法

画面01：該当ドメインのプロパティを開いて、ゾーン転送を設定

2) BINDの設定

  ゾーン転送先の制限は以下のように設定します（BIND-8.1.2以降）。

  たとえば、192.168.0.1というホストで稼動しているDNSサーバがあり、セカンダリとして172.16.0.1 を設定している場合、ゾーン転送は172.16.0.1だけに行います。

  named.confの設定

options { directory "/etc/namedb"; allow-transfer { 172.16.0.1; }; named-xfer

"/usr/libexec/named-xfer"; query-source address * port 53; };

  設定を行った後に、ndc restartを行うだけで設定は完了します。

  172.16.0.0/16のネットワーク全体に対してゾーン転送を許可する場合、以下のように記述します。

  named.confの設定

allow-transfer { 172.16.0.0/16; };

  ACL（アクセス制御リスト）を使用することもできます。

acl ipasec { 192.168.0.0/24; 172.16.0.0/16; 127.0.0.1; };

159

options { directory "/etc/namedb"; allow-transfer { ipasec; }; named-xfer

"/usr/libexec/named-xfer"; query-source address * port 53; };

  また、セカンダリDNSサーバなどのように、ゾーン転送を許可しない場合は以下のように指定しま す。

allow-transfer { none; };

3.5.2.   SMTP

  SMTPにおいて最も注意しなければならない点は、SPAMの踏み台とならないことです。

  また、SMTP のコマンドを使用してユーザ情報を得ることができるため、 関連するコマンドを使え ないように設定する必要があります。

  なお、SMTPを使用すると、メールの内容を盗聴される可能性があります。これは、経路を暗号化す ることによって対策可能ですが、この場合は設定した相手との間ででしか通信を行うことができません。

組織内での利用を除き、メールサーバは不特定多数のサイトから自分のサイトへメールを受信しなけれ ばならないため、盗聴対策はかなり難しいといえます。

  Windows のサーバで利用される「Exchange Server」と Linux のサーバでよく使用されている

「sendmail」の注意点を解説します。

1) Exchange Server 2000

  Exchange Server 2000でメールの不正中継によるSPAMメール転送を防止するためには、 以下の

項目について設定します。

・メール中継の制限

・メール中継の停止

  Exchange Server 2000のデフォルト設定は、 メール中継が停止された状態になっていますので、メ

ール中継の必要がない場合は、とくに設定は必要ありません。

  Exchange Server 2000のセキュリティ設定は、Exchangeシステムマネージャから行います。 タス

クバーの「スタート」ボタンをクリックし、 「プログラム」-「Exchange Server」-「システムマネー ジャ」を選択してください。

画面02：「Exchangeシステムマネージャ」の画面。プロパティを開いてメール中継の制限を設定

2) sendmail

  sendmailの最も注意しなければならない点は、不正中継とSPAMです。

  中継を許可したばかりにSPAMの踏み台となってしまっては、自サイトの影響だけでなく、多くのサ イトに迷惑をかけ無駄な資源を使用してしまうことになります。

  設定には以下の方法があります。

・「sendmail.cf」での記述

・不正中継しているところのデータベースを参照し禁止する

・特定のメールを拒否する設定（IPアドレス、ドメインなど）

  sendmail は取り扱いの難しいシステムであり、サーバ管理者にある程度のスキルを要求します。詳

しい設定方法はWebサイトなどで調べてください。

3.5.3.  POP3

  現在、多く使用されているPOP3サービスは、盗聴によってパスワードが知られる恐れがあります。

  「Exchange Server 2000」のPOP3、IMAP4の盗聴対策には、以下のような方法があります。

・サーバに接続可能なコンピュータを制限する

・通信を暗号化して、盗聴されてもログイン名、 パスワードが簡単に判明しないようにする

  Exchange Server 2000のセキュリティ設定は、Exchangeシステムマネージャから行います。

画面 03：「Exchange システムマネージャ」の画面。プロパティを開いて接続可能なコンピュータを制

限

3.5.4.   HTTP

  Webサーバの「HTTP」（Hyper Text Transfer Protocol）は、ユーザからの要求に応じて、サーバ内 に蓄積されているサイトコンテンツやプログラムを起動する役割を持ちます。

  このプログラムにもいくつかの脆弱性があり、設定に注意が必要です。

  Windows のサーバで利用される「IIS」とLinux のサーバでよく使用されている「Apache」の注意

点を解説します。

1) IIS

  IIS（Internet Information Server）では、以下の設定を行います。

・不要な仮想ディレクトリの削除

・不要なアプリケーションマッピングの削除とオプションの変更

・Webディレクトリのアクセス権の設定

・Web公開用の別フォルダの作成

  IISのセキュリティ設定は、「管理ツール」にある「インターネットサービスマネージャ」で行います。

画面04：「インターネットサービスマネジャー」で各種設定を行う

2) Apache

  Apache では、以下の項目でセキュリティ対策をすることにより、よりセキュアなサービスを提供で

きます。

・ドキュメントディレクトリのセキュリティ設定

・IPアドレスやドメイン名でのアクセス制限

・.htaccessの禁止

・SSIの無効

3.5.5.  SSH

  telnetを使用しリモートでサーバにログインした場合は、以下の問題があります。

・パスワードが平文で流れる

・データそのものも保護されていない

・r系コマンドは認証が甘い

  しかし、SSH（Secure Shell）を導入すると、これまで使用していたrlogin、rcp、rshといったコマ ンドは使用する必要がなくなります。

  その代わりに、SSHからはslogin、cp、sshといったコマンドが提供されます。これらのコマンドは r 系コマンドより厳しい認証を行います。パスワードの保護だけでなく、通信内容そのものもすべて保 護されます。これによって、上の3つの問題を解消することができるのです。

  SSHの種類は、大きく分けて3種類存在します。

・SSH1、SSH2

・OpenSSH

・LSH

  SSHは元々オープンソースのソフトウェアです。しかし、SSH2と呼ばれるバージョンで商業利用に 関してはライセンス費用が発生することになりました。

  オープンソースとして公開されているSSH1を元にしSSH2とほぼ同じ機能をもつソフトウェアを作 成したのがOpenSSHです。コストをかけずにSSHを導入するには、この「OpenSSH」がよいでしょ う。

3.5.6.  FTP

  FTPのサービスは、ファイル転送プロトコルという性質上、ユーザの管理や、思わぬセキュリティホ ールからユーザの情報が流れ出すことや、プログラムの実行などの問題が多く発生しています。

  また、自分のサイトへの直接的な攻撃ではなく、不当なファイルの交換に使われるなどの被害も発生 します。

  FTPのセキュリティは、権限の設定だけでなく、修正プログラムをインストールするなど必ず最新版 バージョンを使用するようにしてください。

  また、FTPクライアントとの通信では、パスワード情報が盗聴される可能性があります。これは、SSH のポートフォワーディング機能を使用するなどで対策するようにしてください。

  Windowsサーバに標準で添付されている「FTPサービス」とLinuxのサーバで多く使用されている

「WU-FTPD」について解説します。

1) FTPサービス

  Microsoft FTPサービスでは、以下の項目でセキュリティ対策をすることにより、よりセキュアなサ

ービスを提供できます。

・接続数の制限

・匿名アクセスのアカウント変更

・匿名接続のみを許可

・特定のIPアドレスからのみアクセスを許可

・IPSecによる暗号化を用いた接続

・FTP公開用のフォルダの作成

画面05：プロパティ画面で接続数を指定

2) WU-FTPD

  WU-FTPDでは以下の項目を設定します。

・ディレクトリの権限設定

・incomingディレクトリの削除

・tcp_wrapperの設定

・/etc/ftpaccessの設定

3.5.7.   SSL

  Webサイトにおいて、オンラインショップなどを行うサイトを構築した場合、個人情報や決済におい て盗聴されることを防がなければなりません。

  個人情報などの保護には、Webサーバとクライアント間の暗号化に使用する「SSL」（Secure Socket Layer）の導入をお勧めします。

  SSLの導入には、通常、公的CA（Certificate Authority＝電子署名認証局）を利用します。

  Apacheでは「OpenSSL」を使用したCAの設定が可能です。また、IISでも同様に独自のCAを設

定することができます。しかし、より信頼性の高い公的CAの利用をお勧めします。

■公的CAとは

  公的CAとは、証明書の発行を行う第三のCAのことをいいます。社会的な信頼が必要な場合や不特 定多数のユーザがアクセスするようなサイトの場合は、公的CAに証明書の発行を依頼したほうがよい でしょう。

  ただし、公的CAに依頼した場合、証明書の発行にある程度の費用と期間が必要となります。代表的 な公的CAとして、VeriSign社があります。

ドキュメント内 untitled (ページ 175-184)