セキュリティ: ポート開きっぱなし？

1 ：名無しさん＠お腹いっぱい。 ：2001/03/06(火) 07:45

FreeBSD 4.1です。
netstat -aすると

Active Internet connections (including servers)
Proto Recv-Q Send-Q Local Address Foreign Address (state)
tcp4 0 0 localhost.http localhost.60015 FIN_WAIT_2
tcp4 0 0 localhost.60015 localhost.http CLOSE_WAIT
tcp4 0 0 localhost.http localhost.60014 FIN_WAIT_2
tcp4 0 0 localhost.60014 localhost.http CLOSE_WAIT
tcp4 0 0 *.60001 *.* LISTEN
tcp4 0 0 localhost.canna localhost.60000 ESTABLISHED
tcp4 0 0 localhost.60000 localhost.canna ESTABLISHED
tcp4 0 0 *.ftp *.* LISTEN
tcp4 0 0 *.http *.* LISTEN
...

こんな感じのが出てきます。
TCP、UDPポートともに60000から60500は無条件に許可するようにしています。
それ以外のポートは外に出ていくパケットのみ許可しています。

この状況から見ると、これってまずいですか？
まったくの外部から接続し放題になってないか気になっています。

2 ：名無しさん ：2001/03/06(火) 13:26

脊髄反射で考えたこと
・最後の "..." は？　まだ続きがあるですか？
・何故ftpが開いてるの？　一人ftp は意味ないよーな。
・60001 は何でしょ？
・tcp_wrappers や ip_filter でさらに防御してます？

3 ：1 ：2001/03/07(水) 11:28

>>2
> 最後の "..." は？　まだ続きがあるですか？
ありますがhttpやsshやsyslogです。
60000から65535への接続を許可してるのでそこが気になるのです。

> 何故ftpが開いてるの？　一人ftp は意味ないよーな。
時々、LAN内でのデータの受け渡しに使います。

> 60001 は何でしょ？
sockstatで見ると
XXX kinput2 XXX X tcp4 *.60001 *.*
のようになっていました。

> tcp_wrappers や ip_filter でさらに防御してます？
FreeBSDに備わっているipfw(8)しか使っていません。

4 ：名無しさん ：2001/03/07(水) 13:03

外からポートスキャンしてみる

5 ：名無しさん＠お腹いっぱい。 ：2001/03/07(水) 14:01

接続っつったってデーモン動いてなきゃかんけーなかろ？
ftp と http が LISTEN してるようだから、とりあえず ftp に気を
配っとけば？

6 ：名無しさん＠お腹いっぱい。 ：2001/03/07(水) 16:51

netstat -a | grep LISTEN してくれたほうが見やすいなー。

7 ：asm ：2001/03/07(水) 23:33

>>1
>TCP、UDPポートともに60000から60500は無条件に許可するようにしています。
>それ以外のポートは外に出ていくパケットのみ許可しています。
これが60000-60500以外のport宛てに来たTCPのSYNパケットやUDPのパケットを
無条件に叩き落すって意味なら、注意すべきプロセスは60000-60500番のportで
LISTENしてるものだけに絞ることができる。
だからftpとhttpについては大丈夫。

60001番でLISTENしてるkinput2についてはよく知らないけど、
外部からの接続が可能なのがちょっと気持ち悪い。
# 具体的にどんな問題があるかのは分からんが。

read.cgi ver5.26+ (01/10/21-)