トップ技術ナレッジのアーカイブ ボンズカジノ>ルーレット ルーレット(2)~UFW「Uncomplicated Firewall」編

2022.03.03

ルーレット ルーレット(2)ルーレット ルーレット「Uncomplicated Firewall」編

#メール #サイバーセキュリティ #フィッシング #スパイウェア #Saas #マルウェア

ルーレット ルーレット

ルーレット ルーレット「Uncomplicated Firewall」

Firewallの設定について解説します。このFireWall 「Uncomplルーレット ルーレットated Firewall」はUbuntuにデフォルトで導入されているため導入が比較的簡単だと思われます。
この章ではルーレット ルーレットのブラックリスト登録・ホワイトリスト登録の方法について説明していきたいと思います。

ブラックリスト登録・ルーレット ルーレット登録の方法

まずFW(ルーレット ルーレット)は先述した通りデフォルトで導入されているためinstallする必要はありません。
ルーレット ルーレットのホワイトリスト・ブラックリスト登録の設定の前に起動方法や状態の確認方法について記述します。

ルーレット ルーレットの有効化

  1. #sudo ルーレット ルーレット enable

ルーレット ルーレットの状態を確認するコマンド

  1. #sudo ルーレット ルーレット status verbose

ルーレット ルーレットの無効化

  1. #sudo ルーレット ルーレット disable

上述の「ルーレット ルーレットの状態を確認するコマンド」を実行し、
ルーレット ルーレットの場合には
default:deny
と表示されていれば問題ありません。
ブラックリストの場合には
default:allow
と表示されていれば問題ありません。

次にルーレット ルーレット、ブラックリストについてです。
ルーレット ルーレット・ブラックリストの設定方法の前にこの二つの違いについて説明したいと思います。

ルーレット ルーレットとは

あらかじめ「安全な対象」をリストへ定義して、対象外となるIPアドレスからのアクセスを受け付けないことでサイバー攻撃を防ぐ手法のことを言います。
定義した安全な対象からのみからしかアクセスを受け付けないため、未知の脆弱性にも担保されますが不特定多数とのやり取りが必要なサービスではリスト載っていない対象はアクセスできないため利便性が欠けるためクローズドなサービスで使用することに長けています。

ブラックリストとは

ルーレット ルーレットとは反対であらかじめ「危険な対象」をリストへ定義して危険な対象以外からのIPを受け付けることでサイバー攻撃を防ぐ手法のことを言います。
不特定の多数とのアクセスが必要なサービスにおいて決められた相手としか通信ができないルーレット ルーレット方式よりも利便性が高いです ただしブラックリスト方式はは既知の脆弱性には対応できますが、発見された未知の脆弱性には使用しているセキュリティ製品の未知の脆弱性に対応したブラックリストを更新するまで対応できないという弱点があります。

アクセスを許可するコマンド「ルーレット ルーレット」の設定

続いてルーレット ルーレットの設定です。
ルーレット ルーレットはデフォルトでは全てのIPからのアクセスをブロックしています。
そのためルーレット ルーレット方式を使用する場合には許可したいIPアドレスやポート番号を設定することで完了します。

注意点:ルールの順番について

ルーレット ルーレットではルールを追加する順番がとても大事です。
ルーレット ルーレットではデフォルトですべてのリクエストをブロックした後で追加で許可するIPやポート番号を指定します。

1.IPアドレスによるルーレット ルーレットの登録方法

  1. #sudo allow from <IPアドレス>

2.サブネットによるルーレット ルーレットの登録方法

  1. #sudo allow from <IPアドレス/サブネット>

3.IPアドレスとポートによるルーレット ルーレットの登録方法

  1. #sudo allow from <IPアドレス> to any port <ポート>

4.IPアドレスとポートとプロトコルによるルーレット ルーレットの登録方法

  1. #sudo allow from <IPアドレス> to any port <ポート> proto <TCP/UDP>

特定のIPからのアクセスを禁止する「ブラックリスト」の設定

ブラックリストの設定は上記で上げた通り最初全てのIPからのアクセスがブロックされているためすべてのIPのアクセスを許可した後にアクセスをブロックする特定のIPを設定する必要が有ります。
ですので、まずは以下のコマンドで全てのIPを許可します。

  1. #ルーレット ルーレット default allow

1.IPアドレスによるブラックリストの登録方法

特定のIPからのアクセスをブロックします。

  1. #sudo deny from <IPアドレス>

2.IPアドレスとポートによるブラックリストの登録方法

特定のIPとポートへのアクセスをブロックします。

  1. #sudo deny from <IPアドレス> to any port <ポート>

3.ルーレット ルーレットルールを表示するコマンド

ルーレット ルーレットが動いているかを確認します。

  1. #sudo ルーレット ルーレット status numbered

4.ルーレット ルーレットルールを削除するコマンド

ブラックリストに追加したIPやポートの設定を削除して通信が行える状態にします。

  1. #sudo ルーレット ルーレット delete <ルール番号>

ルーレット ルーレットMPレスポンスを無効にするコマンド

ルーレット ルーレットmp(ping)を無効化することでホストとして発見されなくなるため、攻撃者によるPortScanを防ぐ効果があります。
まずはルーレット ルーレットmpの設定ファイルを開きます。開くと以下のような記述になっています。

次に以下のような記述がされいる部分を書き換えることでpルーレット ルーレットgをブロックすることができます。


変更前

  1. # ok ルーレット ルーレットmp codes for INPUT
  2. -A ルーレット ルーレット-before-input -p icmp --icmp-type destination-unreachable -j ACCEPT
  3. -A ルーレット ルーレット-before-input -p icmp --icmp-type time-exceeded -j ACCEPT
  4. -A ルーレット ルーレット-before-input -p icmp --icmp-type parameter-problem -j ACCEPT
  5. -A ルーレット ルーレット-before-input -p icmp --icmp-type echo-request -j ACCEPT

変更後

  1. # ok ルーレット ルーレットmp codes for INPUT
  2. -A ルーレット ルーレット-before-input -p icmp --icmp-type destination-unreachable -j DROP
  3. -A ルーレット ルーレット-before-input -p icmp --icmp-type time-exceeded -j DROP
  4. -A ルーレット ルーレット-before-input -p icmp --icmp-type parameter-problem -j DROP
  5. -A ルーレット ルーレット-before-input -p icmp --icmp-type echo-request -j DROP

ログについて

ネットワークに何か攻撃を受けた際はFirewallのログを確認する必要があります。ログは以下のディレクトリに保存されます。
ログは他のアクセスロガーにインポートできます。
/etc/ルーレット ルーレット.log

  1. Feb 4 23:33:37 hostname kernel: [ 3529.289825] [ルーレット ルーレット BLOCK] IN=eth0 OUT= MAC=00:11:22:33:44:55:66:77:88:99:aa:bb:cc:dd SRC=444.333.222.111 DST=111.222.333.444 LEN=103 TOS=0x00 PREC=0x00 TTL=52 ID=0 DF PROTO=UDP SPT=53 DPT=36427 LEN=83

このログは他のアクセスロガーにインポートできます。

閉じる