ネットワークの保護
この時点で、役割を引き受けることができるユーザーが作成され、役割が作成されている場合があります。
次のネットワークタスクから、サイトの要件に従って追加のセキュリティーを提供するタスクを実行します。これらのネットワークタスクは、IP、ARP、および TCP プロトコルを強化します。
表 3 ネットワークの構成のタスクマップ
| | |
|---|
ネットワークルーティングデーモンを無効にします。
| 不審なネットワーク侵入者によるシステムへのアクセスを制限します。
|
|
ネットワークトポロジに関する情報の流布を回避します。
| パケットのブロードキャストを回避します。
|
|
ブロードキャストエコー要求およびマルチキャストエコー要求への応答を回避します。
|
|
他のドメインへのゲートウェイであるシステム (ファイアウォールや VPN ノードなど) では、厳格な転送元および転送先のマルチホーミングをオンにします。
| ヘッダーにゲートウェイのアドレスが指定されていないパケットがゲートウェイ外に移動することを回避します。
|
|
不完全なシステム接続の数を制御することによって、サービスの拒否 (DoS) 攻撃を回避します。
| TCP リスナーに対する不完全な TCP 接続の許容数を制限します。
|
|
許可される受信接続の数を制御することによって、DoS 攻撃を回避します。
| TCP リスナーに対する中断中の TCP 接続のデフォルト最大数を指定します。
|
|
ネットワークパラメータをセキュリティー保護されたデフォルト値に戻します。
| 管理操作によって削減されたセキュリティーを強化します。
|
|
アプリケーションを適切なユーザーに制限するために、TCP ラッパーをネットワークサービスに追加します。
| ネットワークサービス (FTP など) へのアクセスが許可されるシステムを指定します。
|
|
|
|
パケットフィルタまたは IP フィルタ機能を使用してファイアウォールを提供します。
|
|
暗号化され認証されたネットワーク接続を構成します。
|
IPsec と IKE を使用すると、IPsec と IKE が一緒に構成されたノードおよびネットワーク間での転送が保護されます。
|
|
|
TCP ラッパーの使用方法
次の手順は、Oracle Solaris で TCP ラッパーを使用する 3 つの方法を示しています。
始める前に
TCP ラッパーを使用するようにプログラムを変更するには、root 役割を想定する必要があります。
-
TCP ラッパーで sendmail アプリケーションを保護する必要はありません。これはデフォルトで保護されます。
-
すべての inetd サービスで TCP ラッパーを有効にするには、Oracle Solaris 11.3 での TCP/IP ネットワーク、IPMP、および IP トンネルの管理 の TCP ラッパーを使って TCP サービスのアクセスを制御する方法を参照してください。
-
TCP ラッパーで FTP ネットワークサービスを保護します。
-
/usr/share/doc/proftpd/modules/mod_wrap.html モジュールの説明に従います。
このモジュールは動的であるため、FTP で TCP ラッパーを使用するためにロードする必要があります。
-
次の命令を proftpd.conf ファイルに追加して、モジュールをロードします。
# pfedit /etc/proftpd.conf
<IfModule mod_dso.c>
LoadModule mod_wrap.c
</IfModule>
-
FTP サービスを再起動します。
# svcadm restart svc:/network/ftp