お知らせ

  • 利用規約を守って投稿してください。また、よくある質問および投稿の手引きも参照してください。
  • メッセージの投稿にはアカウントが必要です。未登録の方は、ユーザ登録ページからアカウントを作成することができます。

ページ: 1 2

 

#26 2008-09-23 16:02:45

zagan
メンバ
登録日: 2008-08-12

Re: [解決済み]listenしているポートについて

インターネットからルータのNATを介してubuntuPCへ接続している状態ですよね。

一般家庭のLanのセキュリティを考えるには、第一にルータのポート管理がなされないといけません。

Atermの外側からみたポートの状態は、こちらでは分かりませんので、
https://www.grc.com/x/ne.dll?bh0bkyd2
で「procceed」ボタンを押し、ページが切り替わったら「All Service Ports」を押して見てください。
すべてのポートの開放・閉鎖・隠蔽状態が分かります。多少、時間がかかりますが。
その上で、ルータのポート管理を変更したい場合、ルータメーカーのサポートを受けてください。

次に、ルータに接続している各PCのファイアーウォールの設定になります。

PPPoEブリッジですが、明確な目的があって設定するのであれば使わなければならないでしょう。
そうでないなら、つまり、サービスを受ける接続先が特に無いなら使用する必要がありませんし、使用することによる危険性(が現時点であるのかないのかは知りませんが)も無いと言うことになります。

オフライン

 

#27 2008-09-23 18:40:06

kk
メンバ
From: Hyogo
登録日: 2008-03-30

Re: [解決済み]listenしているポートについて

syosinnsya による投稿:

1、ポートスキャンをすると、現在も#10の結果がでるのですが、どうすればいいですか?
これは外部から見たら参照できないからセキュリティリスクではないのですか?

zaganさんが提示してくれたポートスキャンのサイトでルータのポートを確認してください。
外部からのポートスキャンの結果、Ubuntu側のポートと同じポートが空いていているならば
その内容を踏まえてセキュリティリスクのあり/なしを判断すべきでしょう。

syosinnsya による投稿:

2、現在、listenしているポート(Firefox起動中)
これに関しては特に問題はないと思うのですが、どうでしょう?

コード:

$ sudo netstat -A inet -npl

稼働中のインターネット接続 (サーバのみ)
Proto 受信-Q 送信-Q 内部アドレス            外部アドレス            状態       PID/Program name
tcp        0      0 0.0.0.0:901             0.0.0.0:*               LISTEN      11191/xinetd    
tcp        0      0 127.0.0.1:8823          0.0.0.0:*               LISTEN      12129/firefox   
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      10991/cupsd     
udp        0      0 0.0.0.0:68              0.0.0.0:*                           11640/dhclient3 
udp        0      0 0.0.0.0:68              0.0.0.0:*                           10156/dhclient3 
udp        0      0 0.0.0.0:48991           0.0.0.0:*                           10855/avahi-daemon:
udp        0      0 0.0.0.0:5353            0.0.0.0:*                           10855/avahi-daemon:

問題ないかと思いますが、結局ルータのポート状況では。

syosinnsya による投稿:

3、ルーターでPPPoEブリッジを使用しているのですが、これは使用しない方がセキュリティ的に良いのですか?

どの様な用途でPPPoEブリッジをルータにて利用していますか?

以下は、PPPoEが必要であるとの前提に基づきますが、PPPoEの終端という観点で考えると、
PPPoEがルータで終端する場合はルータ側でのフィルタリングがどの様に機能しているかがポイントになります。
PPPoEがUbuntu側で終端する場合はUbuntu側でのフィルタリングがどの様に機能しているかがポイントになります。

上記の観点で考えれば、後者の方はグローバルにUbuntu側のポートが公開されますので、
そう考えるとUbuntu側にFWをたてるという話に多少は合点がいきます。

結局は、syosinnsyaさんがどの様な形でネットワークを設計しているかがポイントになりますので、
どのような形でネットワークを構成し、これをベースとしてUbuntuにてFWの設定が必要かどうかを
問うべきではないでしょうか。

オフライン

 

#28 2008-09-23 18:55:30

syosinnsya
メンバ
登録日: 2008-06-20

Re: [解決済み]listenしているポートについて

ポートスキャンの結果ですが、ひとつ以外全てステルスでした。
その一つというのはPort 113でした(closed)
そのポートの詳細です。

Name:auth / ident
Purpose:Authentication Service / Identification Protocol

kk による投稿:

結局は、syosinnsyaさんがどの様な形でネットワークを設計しているかがポイントになりますので、
どのような形でネットワークを構成し、これをベースとしてUbuntuにてFWの設定が必要かどうかを
問うべきではないでしょうか。

サーバーなどを立てる予定もなく、今の環境で普通にブラウジングができればそれで結構です。
PPPoEブリッジに関しては特に何も考えずに、セキュリティ的にどうなのかと思って聞いてみました。
ネットワーク構成など全く考えていませんでした。

オフライン

 

#29 2008-09-23 19:44:52

zagan
メンバ
登録日: 2008-08-12

Re: [解決済み]listenしているポートについて

syosinnsyaさん による投稿:

ポートスキャンの結果ですが、ひとつ以外全てステルスでした。
その一つというのはPort 113でした(closed)

動的IPアドレスのBフレッツであれば、セキュリティ的には問題ないと思いますよ。
Lan内の各PCのファイアーウォールは、スキルに合わせて設定してください。
といっても、Win系だとアプリケーション制御なものがほとんどだから、あまり手を入れるところはないかも。

しかし・・・ネットにつながって10年以上経ちますが、その間にウィルスやワームが混入してきたことって、一度もないのです・・・。セキュリティソフトが警告メッセージを出したのを見たのは、以前勤めていた会社で一度あったっきり。Code Redだっけか・・・
なので、Lan内のPCのファイアーウォールは、ユルユルだったりします=D

オフライン

 

#30 2008-09-23 21:33:13

kk
メンバ
From: Hyogo
登録日: 2008-03-30

Re: [解決済み]listenしているポートについて

syosinnsya による投稿:

ポートスキャンの結果ですが、ひとつ以外全てステルスでした。
その一つというのはPort 113でした(closed)
そのポートの詳細です。

Name:auth / ident
Purpose:Authentication Service / Identification Protocol

auth/identですね。以下の理由で利用される場合があります。
一般的にはルータ側でRejectしていると思います。
http://unixluser.org/techmemo/ident/

それ以外は開いていないとにことですので、Ubuntu側で開いているポートと
一致していないことから、まず外部からUbuntuで開いているポートにアクセスすることはないでしょう。

syosinnsya による投稿:

サーバーなどを立てる予定もなく、今の環境で普通にブラウジングができればそれで結構です。
PPPoEブリッジに関しては特に何も考えずに、セキュリティ的にどうなのかと思って聞いてみました。
ネットワーク構成など全く考えていませんでした。

別投稿のsyosinnsyaさんの投稿からネットワークの構成を見つけましたので転載しますね。

コード:

VDSL装置→ルーター→(有線)→ubuntu8.04 amd64
                      ↓
        →(無線)→ノートパソコン(Windows XP HomeEdition)

現在、上記の構成でルータにPPPoEの終端を任せているようですね。
となると、外部からの脅威にさらされるのはルータであり、ルータ側は自身が持つ
フィルタリング(FWのようななものです)機能かFW機能で不要なパケットは落としていると考えます。

私の結論としては、上記の設定ままであればubuntu側でのFWの導入は不要かと考えます。
あとは、syosinnsyaさんがいままでの内容を踏まえて、FWを設定するかどうかを判断すべきかと考えます。

オフライン

 

#31 2008-09-23 22:56:43

syosinnsya
メンバ
登録日: 2008-06-20

Re: [解決済み]listenしているポートについて

zagan による投稿:

動的IPアドレスのBフレッツであれば、セキュリティ的には問題ないと思いますよ。

動的にIPアドレスを割り当てているので、安心です。
今まで解答どうもありがとうございました。

kk による投稿:

あとは、syosinnsyaさんがいままでの内容を踏まえて、FWを設定するかどうかを判断すべきかと考えます。

現状の私のレベルでFWを導入しても、質問の嵐になるのは目に見えているし、今のセキュリティレベルで安心したのでFWの導入はしないと思います。今まで解答どうもありがとうございました。

これにて解決とさせていただきます。みなさん解答ありがとうございました。

オフライン

 

 

ページ: 1 2

Board footer

Powered by FluxBB