[運用]
|
|
|
対策その2: 匿名ユーザーによるアクセスを禁止する
効果の期待できる攻撃手法 |
辞書攻撃 |
脆弱性攻撃 |
IISのFTPサーバはデフォルトで匿名(Anonymous)ユーザーによるアクセスを許可している。この場合、FTPクライアント側のユーザーは、アカウントやパスワードを指定しなくてもFTPサーバにログオンできる。つまり、匿名すなわち誰でもログオンできるので、コンテンツ更新用FTPサイトとしては危険極まりない。必ず匿名ユーザーによるログオンは禁止しよう。
匿名ユーザーによるログオンを止めるには、IISマネージャの左ペインから対象のFTPサイトを右クリックし、コンテキスト・メニューから[プロパティ]を選び、[セキュリティ アカウント]タブで以下のように設定を変更する。
匿名ユーザーによるアクセスを禁止する | ||||||||||||
|
匿名ユーザーによるアクセスを禁止したら、代わりに特定のアカウント/パスワードで認証できるようにする必要がある。その手順は、後編の「対策その7: FTP専用アカウントだけにFTPサイトへのアクセスを許可する」で説明する。
対策その3: 接続元IPアドレスによってアクセスを制限する
効果の期待できる攻撃手法 |
サービス妨害(DoS)攻撃 |
辞書攻撃(侵入成功後) |
脆弱性攻撃(侵入成功後) |
アカウント/パスワード窃取→不正アクセス |
IISのFTPサイトは、デフォルトでどのIPアドレス(すなわち全世界)からのアクセスでも受け付けるように設定されている。もし正規のユーザーの接続元IPアドレスが固定(限定)されていて特定できるなら、それらからのアクセスだけを許可して、ほかのIPアドレスからのアクセスを拒否すれば、攻撃を受ける可能性を大幅に下げられる。攻撃するには、アクセスを許可された正規ユーザーのIPアドレス範囲に忍び込む必要があるからだ。
この対策の欠点は、正規ユーザーが動的に変わるIPアドレスからアクセスする場合には使えないことだ。むやみに設定すると、正規ユーザーのIPアドレスが変わったとき、誤って正規ユーザーからのアクセスがブロックされてしまう(IISのFTPサーバでは、DNSのドメイン名を使ってアクセス範囲を限定するといった機能は持っていない。IPアドレスで指定する必要がある)。とはいえ本対策の効果は大きいので、固定IPアドレスへの移行あるいは固定IPアドレスを持つFTPクライアントへリモート接続して運用、といった方策を検討していただきたいところだ。
さて、接続元IPアドレスを制限するには、対象のFTPサイトのプロパティを開いて[ディレクトリ セキュリティ]タブを選び、許可するIPアドレスを指定する。単一のIPアドレスでもサブネット単位でも指定可能だ。
特定の接続元IPアドレスのみアクセスを許可する | ||||||||||||||||||
対象のFTPサイトのプロパティを開いて[ディレクトリ セキュリティ]タブを選ぶと、この画面が表示される。 | ||||||||||||||||||
|
上記の手順で必要なだけIPアドレスを登録し、[ディレクトリ セキュリティ]タブの[OK]ボタンをクリックすれば設定完了だ。あとは、許可していないIPアドレスから対象のFTPサイトへの接続を試し、ブロックされることを確認すること。
対策その4: 最大同時接続数を最小限にする
効果の期待できる攻撃手法 |
サービス妨害(DoS)攻撃 |
辞書攻撃(侵入成功後) |
IISのFTPサイトはデフォルトで同時に10万接続を許可する設定になっている。これだとDoS攻撃や辞書攻撃の際にはFTPサーバに過剰な数の接続がなされて負荷が増大し、Webサーバなど別のサービスの性能まで低下する恐れがある。
コンテンツ更新用FTPサイトの同時接続数は、せいぜい数人、多くても十数人が上限だろう。そこで最大同時接続数を必要な人数分だけに減らしておく。これで攻撃による負荷増大を抑えられるが、攻撃中は正規ユーザーのアクセスも巻き込まれて拒否されてしまう危険性があることは覚えておきたい。
最大同時接続数を減らしたときの効果と影響 |
DoS攻撃や辞書攻撃で非常に多くの接続要求が行われても、最大同時接続数を下げておけば負荷の大幅な増大を防止できる。その一方で、こうした攻撃の際には正規のユーザーのアクセスも拒否される可能性はある。 |
最大同時接続数を減らすには、対象のFTPサイトのプロパティを開いて[FTP サイト]タブを選び、[最大接続数]の値を変更する。
FTPサイトへの最大同時接続数を減らす | |||
|
◆
以上、前編では、主にFTPサーバに対するアクセス制限の設定方法を説明した。後編では、主にIISのFTP(仮想)サイトのセキュリティ設定と、攻撃時に記録されるログについて説明する。
INDEX | ||
[運用]これだけは押さえておきたいIIS FTPサーバ・セキュリティ(前編) | ||
1.FTPサーバに対する攻撃とは? | ||
2.「既定の FTP サイト」は使わない | ||
3.接続元IPアドレスや同時接続数を制限する | ||
[運用]これだけは押さえておきたいIIS FTPサーバ・セキュリティ(後編) | ||
1.FTPサイトはWebサイトから分離して設置する | ||
2.FTPサイトへのアクセスはFTP専用アカウントのみ許す | ||
3.FTPサイトのログから攻撃の痕跡を探し出す | ||
運用 |
- Azure Web Appsの中を「コンソール」や「シェル」でのぞいてみる (2017/7/27)
AzureのWeb Appsはどのような仕組みで動いているのか、オンプレミスのWindows OSと何が違うのか、などをちょっと探訪してみよう - Azure Storage ExplorerでStorageを手軽に操作する (2017/7/24)
エクスプローラのような感覚でAzure Storageにアクセスできる無償ツール「Azure Storage Explorer」。いざというときに使えるよう、事前にセットアップしておこう - Win 10でキーボード配列が誤認識された場合の対処 (2017/7/21)
キーボード配列が異なる言語に誤認識された場合の対処方法を紹介。英語キーボードが日本語配列として認識された場合などは、正しいキー配列に設定し直そう - Azure Web AppsでWordPressをインストールしてみる (2017/7/20)
これまでのIaaSに続き、Azureの大きな特徴といえるPaaSサービス、Azure App Serviceを試してみた! まずはWordPressをインストールしてみる
|
|