6. ネットワークセキュリティとは

セキュリティポリシー

なにはなくともセキュリティポリシーが必要

• 何を公開するのか?
• 何を守るのか?
• どこまで守るのか?
• どこまで便利にするのか?
• お金は?
• 手間は?

セキュリティ対策の方針

今回はOCNエコノミーを導入してサーバ構築という話なので、
公開するのはDNS, SMTP, HTTP, SSH のみ
他は一切公開しない

• ルータ
ポートフィルターで必要なポートだけ開く
デフォルトはすべて閉じる
• DNSのパケットフィルタリング
(外部とゾーン転送する場合)
内 (UDP) >1023 -> 53
外 (UDP) 53 -> >1023
内 (TCP) >1023 -> 53
外 (TCP) 53 -> >1023
外 (UDP) >1023 -> 53
内 (UDP) 53 -> >1023
外 (TCP) >1023 -> 53
内 (TCP) 53 -> >1023
内 (UDP) 53 -> 53
外 (UDP) 53 -> 53

• SMTPのパケットフィルタリング
内 (TCP) >1023 -> 25
外 (TCP) 25 -> >1023
外 (TCP) >1023 -> 25
内 (TCP) 25 -> >1023

• HTTPのパケットフィルタリング
内 (TCP) >1023 -> 80
外 (TCP) 80 -> >1023
外 (TCP) >1023 -> 80
内 (TCP) 80 -> >1023

• SSHのパケットフィルタリング
内 (TCP) >1023 -> 22
外 (TCP) 22 -> >1023
外 (TCP) >1023 -> 22
内 (TCP) 22 -> >1023



• マシン
ここまですればあとは、そのサービスのみを対策すればよい
それでも不要なサービスは止めるのが吉(要塞化)