Q&A
「ソフトに脆弱性があること」が問題なんですね。ためになります。
CentOS6.7に、とあるソフトウェアの導入を検討しています。
そのソフトウェアを利用するにあたり独自の仕様でサーバ間の通信ポートを多く開けなければいけません。
※1024番以降のポートを20個くらい。
そのネットワークの環境によるかとは思いますが、一般的にiptablesやFWでこれだけのポートを空けることは、セキュリティ上リスクとなり得るのでしょうか?
宜しくお願い致します。
回答3件
0
ベストアンサー
サーバーは基本的に必要以外のポートは閉じたほうが良いです。
なぜなら、開いているポートとそこを使用しているアプリケーションが増えるに従い、攻撃者が取れる手段が増えるという単純な原則があるからです。
対策としては、VPNで暗号化した中で情報のやり取りするのが望ましいですが、単にiptablesで送信先やら送信元やらのIPを指定するオプションを設定するだけでもだいぶ違うのかなと思います。
-d — 規則を満たすパケットの送信先ホスト名、IPアドレス、ネットワークのどれかを設定します。
-s — 送信先パラメータ(-d)と同じ構文を使用して、 特定のパケットの送信元を設定します。
引用元:http://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-rg-ja-4/s1-iptables-options.html
投稿2016/06/13 14:39
総合スコア1895
0
穴を空けること自体にリスクはありません。
そのポートで待ち受けているソフトに脆弱性があることで、リスクとなります。
極端な話、TCPポートが全部開いていても、接続を待ち受けるソフトが1つも動いていないのであれば、何のリスクもありません。
つまり、リスクはそのソフト次第です。1つのソフトでポートを1つだけ使う場合と、ポートを20使う場合とでリスクに差は無いと思います。
不特定多数の相手と通信するのでないのであれば、他の方の回答の通り、VPNでの接続も検討すべきかと思います。
投稿2016/06/13 12:36
総合スコア84499
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2016/06/19 02:01