|
システムのセキュリティへの取り組み
インターネットに接続したサーバマシンを運営するには、考慮しなければならない問題がたくさんあります。その問題とは、サーバの安定性と利便性が損なわれる危険が常にあるということです。サービス拒否攻撃(DoS攻撃)を受ける、ウィルスに攻撃される、サーバを乗っ取られてスパムメールの踏み台にされる、迷惑なメールを送りつけられるなど、不適切な使われ方や不測の事態からサーバを守るには、管理者側が警戒を怠らないようにする必要があります。
FirstClassのインターネットサービスには、このような脅威に対抗するために必要な機能が以前から備わっています。しかし、今バージョンでは、さらに強力な機能を搭載し、システムに強固なセキュリティを設定し、管理する作業を管理者がより簡単に行えるようになりました。インターネットサービスの設定の詳細を説明する前に、ご利用のインターネットサービスをより安全に守る手助けとなるよう、セキュリティへの一般的な取り組みについて説明したします。
サーバマシンの物理的な保護
システムが悪用されないようにする第一歩は、未登録のユーザがインターネットサービスのマシンに不正な変更を加えることができないようにすることです。このような悪用には、マシンを物理的に不能にすることや、マシンが攻撃を受けやすくなるようにソフトウェアを仕込んだり再設定したりすることが含まれます。
不正使用からのサーバマシンの保護
インターネットサービスのマシンを物理的に保護することができない場合は、サーバを不正使用されないようにする必要があります。これには、マシンで利用するパスワードを厳重にすることや、ユーザグループと会議室に権限を設定してユーザが利用できる機能を制限することが含まれます。
例えば、インターネットサービスをWindowsのサービスやUnixのデーモンとして実行することができます。こうすると、不正に操作される心配なしに、マシンをログイン状態にさせておくことができます。
ネットワーク攻撃からのサーバの保護
インターネットサービスが悪用されないようにする次の方策は、OSレベルで行います。OSの製造元が提供する最新のセキュリティパッチは必ず適用して、低レベルのネットワークからのサービス拒否攻撃(DoS攻撃)を受けないようにしてください。
また、インターネットサービスのマシンで使用しないネットワークプロトコルは無効にしてください。有効にしていると、ネットワーク接続を許可するソフトウェアがご利用のシステムへの侵入口となってしまう可能性があります。インターネットサービスは、利用するよう設定したネットワークポートしか実行中に使用しません。ファイル共有、ネットワークログイン、ネットワーク管理プロコトル、その他のWebサーバはすべて、マシンに侵入する足場として悪用されることがよくあります。
問題を起こす接続からのシステムの防御
特定のIPアドレスが自分のシステムのセキュリティをチェックしている(例えば、コードレッドウィルスに感染させようと試みたり、システムリソースを勝手に消費したりしている)ことがシステムのログで判明したら、そのIPアドレスをブロックする必要があります。そのIPアドレスが自身の活動のためにサーバを利用することを許可するより、そのIPアドレスからの接続を拒否する方が安全です。[インターネットモニタ(Internet Monitor)]フォームの[セキュリティ]タブには警告ランプがあり、IPアドレスとホスト名も表示されます。これにより、疑わしい活動を見つけ出し、攻撃を仕掛けているIPアドレスをブロックすることが簡単にできます。
IPアドレスをブロックする場合は、そのIPが安全なサイトのものでも、一時的に(例えば、インターネットサービスプロバイダのDHCPから)配布されたIPアドレスでもないことをよく確認してください。IPアドレスの所有者
を確認するために利用できるインターネットのサイトが数多くあります(www.samspade.org)など。
SMTPリレーの禁止
ご利用のマシンでSMTPリレーを行う必要がない場合は、無効にしてください。必要がある場合でも、できるだけ機能を限定するようにしてください。スパマー(スパム配信業者)は、オープンリレーを探して利用することを好みます。スパムメールをご利用のサーバから配信しているように見せかけることで、スパムメールを正常なメールと思わせることができるからです。これにより、スパマーがメールを大量配信するために、自分の帯域を利用されてしまいます。管理者としては、できる限り早くスパムメールを拒否して、正常なメールを本当にブロックしてしまわないようにしたいものです。
| ||
