このページは福井県立大学の田中求之が2006年1月まで運用していた Mac のサーバ運用に関する会議室 「Web Scripter's Meeting」の記録です。情報が古くなっている可能性がありますのでご注意ください。

セキュリティの解決法を教えて下さい

発言者:奥田
( Date Friday, February 25, 2000 20:17:26 )


新米サーバー管理者です。

省庁のHP改ざん事件で,サーバーのセキュリティチェックをすること
になりました。
Nessusによるセキュリティチェックをしていただきました。

私のサーバーはQuickDNS2.2.1とASIP6.2で1台のG3で以下のサーバーを
動かしています。

123.45.6.1 ns.xx.xxxx.xx.jp (DNS)
123.45.6.2 mail.xx.xxxx.xx.jp (Mail)
123.45.6.3 www.xx.xxxx.xx.jp (WEB)
123.45.6.4 www2.xx.xxxx.xx.jp (WEB2)


全てのサーバーに
Vulnerability found on port general/tcp
       The TCP sequence numbers of the remote host are
       always incremented by 64000, so they can be
       guessed rather easily. A cracker may use
       this flaw to spoof TCP connections easily.

       Solution : contact your vendor for a patch
       Risk factor : High
との指摘を受けました。そんなこと言ったって・・・時々incrementの
数を変えるかappleに相談するしかない。これは仕方がないかもしれま
せん。検討中です。


123.45.6.2 と123.45.6.4だけに

Vulnerability found on port domain (53/tcp)
       The remote BIND server, according to its
       version number, is vulnerable to several
       attacks that can allow an attacker to gain
       root on this system.

       Solution : upgrade to bind 8.2.2-P3
       Risk factor : High
とのエラーを検出しました。
他の2つはBIND 8.2.2-P3だそうです。

同じアプリケーションで動かしているのに,versionが違うとは何故?
BIND serverは何をしているのでしょう?

そして,どのように対処したら良いのでしょうか?
お知恵を拝借願えませんでしょうか。

今井真人 さんからのコメント
( Friday, February 25, 2000 21:38:06 )

 BINDはUnixのネームサーバです。検査ソフトがなんか勘違いしているようです。

今井真人 さんからのコメント
( Monday, February 28, 2000 07:29:56 )

>The TCP sequence numbers of the remote host are
>              always incremented by 64000

 ここなんですが、80のWWWポートなどを64000足して64080にしなさ
いと書いているのかな?よくわかりません。

今井真人 さんからのコメント
( Monday, February 28, 2000 11:41:10 )

>Nessusによるセキュリティチェック

 これは何者なんでしょう。詳しい資料はインターネットのどこにありますか?

奥田 さんからのコメント
( Monday, February 28, 2000 15:55:03 )

皆さん,ありがとうございます。

BIND serverはUnixでは普通なのかもしれませんが,Macで動いているの?
疑問です。勘違いなら良いのですが。

Nessusは以下のアドレスにあるのですが,残念ながらMacでは動かないようです。
TCP sequence numberがいつも64000ずつ増えているので,次の番号が簡単に
読めてしまいますよ,ということだと思います。では,どうやって設定するの?
ASIPを眺めてみましたが,該当しそうな項目がありません。

ついでにASIPのメールサーバーで,サーバー宛のメールの管理はどうやって
すればよいのでしょう?IMAPでport xxxを使えば,メール管理者は全て見る
ことが出来るようですが,IMAP対応でポート指定できるメールソフトは?
私はEudora 4.21Jを使っていますが,IMAPはサポートされたようですが,
使い方が・・・・。

使っておられる方,お知恵を貸して下さい。



→  Nessusのページ

今井真人 さんからのコメント
( Monday, February 28, 2000 16:49:36 )

>BIND serverはUnixでは普通なのかもしれませんが,Macで動いているの?

 マックじゃ動いてません。

石津@RJC さんからのコメント
( Tuesday, March 28, 2000 18:01:26 )

気になったので確認してみました。
期末でややヒマになったので調査する時間ができました(^^)。

------------------------------------------------------
全てのサーバーに
Vulnerability found on port general/tcp
       The TCP sequence numbers of the remote host are
       always incremented by 64000, so they can be
       guessed rather easily. A cracker may use
       this flaw to spoof TCP connections easily.

       Solution : contact your vendor for a patch
       Risk factor : High
との指摘を受けました。そんなこと言ったって・・・時々incrementの
数を変えるかappleに相談するしかない。これは仕方がないかもしれま
せん。検討中です。
------------------------------------------------------

これはOpenTransport2.5以上にバージョンアップすることで解決できます。
それ以前はTCP sequence numberが64Kづつ増加するため、偽装しやすいと
いうセキュリティリスクがありましたが、2.5からはrandamになったため
非常にセキュリティが高く、nmapで-Oオプション付きチェックしたところ、
Solaris2.6よりも高いセキュリティレベルであると評価され、OSタイプは
HP-UX11と誤認されました。確認したのはOT2.5.2とOT2.6です。

------------------------------------------------------
123.45.6.2 と123.45.6.4だけに

Vulnerability found on port domain (53/tcp)
       The remote BIND server, according to its
       version number, is vulnerable to several
       attacks that can allow an attacker to gain
       root on this system.

       Solution : upgrade to bind 8.2.2-P3
       Risk factor : High
とのエラーを検出しました。
他の2つはBIND 8.2.2-P3だそうです。
------------------------------------------------------

これはQDNSがBINDをシュミレートしていることによるものでしょう。
反応が半分しか返ってきていないのはMac側のパフォーマンスの問題
かと思います。おそらくZone転送などの互換性をとるためにBINDであ
るという名前を返すようになっているのでしょうが、実際Zone転送の
制限がQDNSではできないので、NetBarierなどで対策する必要はある
かもしれません。(DNS spoofing防止のため)

遅くなりましたがチェックできたので書き込みしておきます。

石津@RJC さんからのコメント
( Tuesday, March 28, 2000 18:08:28 )

ちなみにOT2.5よりも前のものはDifficultyが1で最低評価でした。
NT4.0よりも評価は低かったです。
しかしながらOT2.6ではDifficultyが130000の値を記録することも
ありました。Solaris2.6のDifficultyが40000-70000くらいである
ことからも、かなり堅固なものになっていると言えます。

*Difficultyとは TCP sequence numberを予測する難易度です

Macでサーバを運用している場合、この観点からは必須アップグ
レードだと言えそうですね。<OT2.6

たまちゃん さんからのコメント
( Thursday, March 30, 2000 09:51:13 )

ニュースソースは MacInTouch ですが,DoS Attacks を防ぐ方法について解説
されたページがあります。


→  Help Defeat Denial of Service Attacks: Step-by-Step

奥田 さんからのコメント
( Thursday, March 30, 2000 19:25:10 )

皆さん,たいへん参考になりました。
本当に,ありがとうございます。
早速OTをアップデートします。
Spoofingの対策は,早速勉強してみたいと思います。
今後とも,宜しくお願いいたします。