[運用]
これだけは押さえておきたいIIS FTPサーバ・セキュリティ(前編)

3.接続元IPアドレスや同時接続数を制限する

デジタルアドバンテージ 島田 広道
2010/04/28
Page1 Page2 Page3

対策その2: 匿名ユーザーによるアクセスを禁止する

効果の期待できる攻撃手法
辞書攻撃
脆弱性攻撃

 IISのFTPサーバはデフォルトで匿名(Anonymous)ユーザーによるアクセスを許可している。この場合、FTPクライアント側のユーザーは、アカウントやパスワードを指定しなくてもFTPサーバにログオンできる。つまり、匿名すなわち誰でもログオンできるので、コンテンツ更新用FTPサイトとしては危険極まりない。必ず匿名ユーザーによるログオンは禁止しよう。

 匿名ユーザーによるログオンを止めるには、IISマネージャの左ペインから対象のFTPサイトを右クリックし、コンテキスト・メニューから[プロパティ]を選び、[セキュリティ アカウント]タブで以下のように設定を変更する。

匿名ユーザーによるアクセスを禁止する
これを選ぶ。
チェックを外してオフにする。
の直後、このダイアログ・ボックスが表示される。パスワードがネットワークに平文で流れることを警告している。
これをクリックする。

 匿名ユーザーによるアクセスを禁止したら、代わりに特定のアカウント/パスワードで認証できるようにする必要がある。その手順は、後編の「対策その7: FTP専用アカウントだけにFTPサイトへのアクセスを許可する」で説明する。

対策その3: 接続元IPアドレスによってアクセスを制限する

効果の期待できる攻撃手法
サービス妨害(DoS)攻撃
辞書攻撃(侵入成功後)
脆弱性攻撃(侵入成功後)
アカウント/パスワード窃取→不正アクセス

 IISのFTPサイトは、デフォルトでどのIPアドレス(すなわち全世界)からのアクセスでも受け付けるように設定されている。もし正規のユーザーの接続元IPアドレスが固定(限定)されていて特定できるなら、それらからのアクセスだけを許可して、ほかのIPアドレスからのアクセスを拒否すれば、攻撃を受ける可能性を大幅に下げられる。攻撃するには、アクセスを許可された正規ユーザーのIPアドレス範囲に忍び込む必要があるからだ。

接続元IPアドレスの制限による効果と限界、副作用
正規のユーザーが持っているIPアドレス(上図ではaaa.bbb.ccc.ddd/29とeee.fff.ggg.hhh)からの接続だけ許可するようにすれば、大多数の攻撃者(上図ではqqq.rrr.sss.tttやvvv.xxx.yyy.zzz)をブロックできるため、効果は大きい。ただし、許可したIPアドレスの範囲に攻撃者が紛れ込んだ場合はブロックできない。また動的IPアドレスが正規ユーザーに割り当てられている場合、この対策は使えない。

 この対策の欠点は、正規ユーザーが動的に変わるIPアドレスからアクセスする場合には使えないことだ。むやみに設定すると、正規ユーザーのIPアドレスが変わったとき、誤って正規ユーザーからのアクセスがブロックされてしまう(IISのFTPサーバでは、DNSのドメイン名を使ってアクセス範囲を限定するといった機能は持っていない。IPアドレスで指定する必要がある)。とはいえ本対策の効果は大きいので、固定IPアドレスへの移行あるいは固定IPアドレスを持つFTPクライアントへリモート接続して運用、といった方策を検討していただきたいところだ。

 さて、接続元IPアドレスを制限するには、対象のFTPサイトのプロパティを開いて[ディレクトリ セキュリティ]タブを選び、許可するIPアドレスを指定する。単一のIPアドレスでもサブネット単位でも指定可能だ。

特定の接続元IPアドレスのみアクセスを許可する
対象のFTPサイトのプロパティを開いて[ディレクトリ セキュリティ]タブを選ぶと、この画面が表示される。
これを選ぶ。
これを選ぶことで、特定のIPアドレスのみ許可してほかはブロックできるようになる。
これをクリックする。
IPアドレスを単一で指定するには、これを選ぶ。
サブネット単位でIPアドレスを指定するには、これを選ぶ。
IPアドレスと、必要ならサブネット・マスクを記入する。

 上記の手順で必要なだけIPアドレスを登録し、[ディレクトリ セキュリティ]タブの[OK]ボタンをクリックすれば設定完了だ。あとは、許可していないIPアドレスから対象のFTPサイトへの接続を試し、ブロックされることを確認すること。

対策その4: 最大同時接続数を最小限にする

効果の期待できる攻撃手法
サービス妨害(DoS)攻撃
辞書攻撃(侵入成功後)

 IISのFTPサイトはデフォルトで同時に10万接続を許可する設定になっている。これだとDoS攻撃や辞書攻撃の際にはFTPサーバに過剰な数の接続がなされて負荷が増大し、Webサーバなど別のサービスの性能まで低下する恐れがある。

 コンテンツ更新用FTPサイトの同時接続数は、せいぜい数人、多くても十数人が上限だろう。そこで最大同時接続数を必要な人数分だけに減らしておく。これで攻撃による負荷増大を抑えられるが、攻撃中は正規ユーザーのアクセスも巻き込まれて拒否されてしまう危険性があることは覚えておきたい。

最大同時接続数を減らしたときの効果と影響
DoS攻撃や辞書攻撃で非常に多くの接続要求が行われても、最大同時接続数を下げておけば負荷の大幅な増大を防止できる。その一方で、こうした攻撃の際には正規のユーザーのアクセスも拒否される可能性はある。

 最大同時接続数を減らすには、対象のFTPサイトのプロパティを開いて[FTP サイト]タブを選び、[最大接続数]の値を変更する。

FTPサイトへの最大同時接続数を減らす
デフォルトでは100,000に設定されている。この値を、同時にコンテンツを更新する可能性のあるユーザー数程度まで減らす。

 以上、前編では、主にFTPサーバに対するアクセス制限の設定方法を説明した。後編では、主にIISのFTP(仮想)サイトのセキュリティ設定と、攻撃時に記録されるログについて説明する。 End of Article


 INDEX
  [運用]これだけは押さえておきたいIIS FTPサーバ・セキュリティ(前編)
    1.FTPサーバに対する攻撃とは?
    2.「既定の FTP サイト」は使わない
  3.接続元IPアドレスや同時接続数を制限する
   
  [運用]これだけは押さえておきたいIIS FTPサーバ・セキュリティ(後編)
    1.FTPサイトはWebサイトから分離して設置する
    2.FTPサイトへのアクセスはFTP専用アカウントのみ許す
    3.FTPサイトのログから攻撃の痕跡を探し出す

 運用


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間