親子におすすめの新型プラネタリウムとは?

最近、FTPは危険だという話を聞きます。Gumblarと言うウィルス関連でよくそう言う話を聞きます。長年ホームページを運営してきたのですが、今までFTP接続をして、パスワードを盗まれたり、クラックされたり、何らかの手段でホームページを改ざんされたりした経験はないのですが、それでも危ないのでしょうか?初心者の頃、自分のパソコンがウィルスに感染したことは1~2回ぐらいありますが、最近は、ウィルスに気がつくようになったので、ウィルスに感染することもなくなりました。それでも危険でしょうか?そもそもFTP接続を盗聴している人なんているのでしょうか?使っているのは、ホームページビルダーのFTPツールです。今、特に心配になったのは、かなり重要なデータを有料レンタルで借りているウェブサーバーにアップロードしようと考えているからですが、どうなのでしょうか?一般の閲覧者が見ることができないように、ディレクトリーにIDとPWを設定して、アクセスを制限する予定ですが、それでも危ないでしょうか?ちょっと質問の幅が広くなってしまいますが、よろしくお願い致します。

このQ&Aに関連する最新のQ&A

A 回答 (2件)

はじめまして、セキュリティの研究開発にたずさわっているものです。



 まず、どれだけ危険なのかは運営されているサイトがインターネットからアクセス可能かによります。たぶんインターネットからアクセス可能ですよね? またFTPでのアクセスに対するIPアドレスの限定等の設定も行っていないと予想して、話を続けさせていただきます。
 危険性について「パスワードを盗まれたり、クラックされたり、何らかの手段でホームページを改ざんされたりした経験はない」と言われますが、昨今の犯罪者はサイト内の有益な情報を盗むことが目的であり、明確にわかるような改ざんなどは行いません。また文面からするとFTPのアクセスログの検査もしておられないようですから、被害がなかったとはとても言えない状況だと認識してください。
 次にFTPに対する攻撃手段ですが、まずFTPに対してIDとパスワードを可能性があると思われる文字列でログインできるか試す通信が日常的にあります。当然この方法では非効率的なので、GumblarはFTPのための管理用マシンからFTP用のID,パスワード等の情報を攻撃者に送信する手段が取られたわけです。

 従って、ドメイン登録がされていて、単純なID,パスワードを設定している場合には、すでの不正アクセスが行われたと考えるべきです。それほど攻撃は日常的で進化しているのです。

 このような状況における対策としては、「FTPでのアクセスを禁止する」「SSHでリモート管理を行う」「SSHでの認証は証明書による方式だけに設定する」といったところでしょう。もっとも、これらはリモート管理部分に対する対策であり、Webサーバ自身の脆弱性に対するセキュリティパッチが適用されていなければ、やっぱり乗っ取られてしまいますが。
    • good
    • 2

ftpは全ての情報(接続IDやパスワードも含む)を平文、つまり暗号化されない状態で送られます。


要するに「盗聴に対して全くのノーガード」な訳で、パスワードなど盗聴に対しては全く意味をなしません。
対応策として暗号化されたftpであるsftpやftpsというプロトコルが存在します。
まぁこれらはサーバ側で対応してなければ使えませんし、HPBにしても対応していたかどうかまではなんとも。

ただ、ついでに言わせてもらえば

> かなり重要なデータを有料レンタルで借りているウェブサーバーにアップロードしようと考えている

というのに、

> そもそもFTP接続を盗聴している人なんているのでしょうか?

というお気楽な発想こそが最大のセキュリティホールです。

この回答への補足

【訂正】調べたところ、ホームページビルダーのFTPツールですが、昨年秋発売のVersion 16からFTPS及びFTPESに対応していることがわかりました。お詫びし訂正します。そう言うわけで、ホームページビルダー16か次の17あたりを買おうと思います。

補足日時:2012/02/27 16:22
    • good
    • 1
この回答へのお礼

ついでに書いていただいた話が一番参考になりました。

ホームページビルダーのFTPツールは、SFTP・FTPS未対応です。ただ、内部でどういう処理をしているのか(例えば、FTP情報を暗号化して格納しているのかなど)は知りません。

ホームページビルダーが早くSFTPやFTPSに対応してくれれば、解決するのですが・・・。FTP非対応で、SFTPやFTPSのみのサーバーもあるので、早くしてほしいものです。WinSCPやFileZilla等を使うのが面倒で・・・っていうのはだめだってことですね。

お礼日時:2012/02/26 19:21

このQ&Aに関連する人気のQ&A

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!

このQ&Aを見た人が検索しているワード

このQ&Aと関連する良く見られている質問

QFTPの危険性について

いつも勉強させて頂いております。

現在FTPの危険性について調べているのですが、いまいちピンと来ません。
調べてた結果、私なりに次の様な理由で危険である、と理解したのですが、詳しい方がいらっしゃればご意見いただけますか?


インターネットにつながっているパソコンでは、セキュリティソフトやブラウザ、windows update等の様々なインターネットへ接続が必要なサービスが動作している。

それぞれは複数あるポートと呼ばれる入口をそれぞれ専用で使ってインターネットと接続している。このポートは通常ファイアーウォールで守られているため、外部からこのポート経由でPCへアクセスできないようになっている。(1)

FTPはポート20,21を使ってデータのやりとりを行っている。例えばサーバーにファイルをFTPで転送する場合は、転送の間、自分のPCのポート20,21がファイアーウォール対象外となり、データを転送するが、その間そこを狙われる可能性がある。(2)また、FTPは平文で通信するため、サーバーへ行くまでに経由するPC上でその通信を傍受される可能性がある。(3)


疑問なのが、(1)~(3)です。
(1)について
データを送ったりアクセスを試みるとき、IPアドレスを指定するものだと思っていました。これに加えて、ポートスキャンを利用してアクセスできるポートを調べた上で、ポート何番にアクセスしろ、ということができ、そこからアクセスされる可能性があるのでしょうか?

(2)について
FTPで通信をするときはファイルを送る方、受ける方、どちらもポート20,21を使っているのですか?
また、ファイアーウォールが動作していると、ポートにアクセスしようとしてもはじかれる、という理解でいいですか?ファイヤーウォールは中から出る物は許可するが、外から入る物は送り先を判断して許可するかどうか決めているのですか?FTPが危険というのはデータが経由地点で傍受されるのが危険なのか、それともFTPの際に使われるポート20,21からアクセスされるのが危険なのですか?

(3)について
よくパスワードが抜かれることがある、と言われますが、FTPでは一回の通信毎にデータ転送先のサーバーのFTPについてのパスワードを平文で送っているからパスワードが抜かれる、ということなのですか?SSHでは通信データは暗号化されているから安全である、という理解でよいでしょうか?また、FTPで真に危険なのは、パスワードを抜かれることでその抜いた人がサーバーにそのパスワードを利用してアクセスすること、という理解でいいですか?


質問だらけになってしまって情けないですが、詳しい方いらっしゃったら教えて下さい!
よろしくお願いします!

いつも勉強させて頂いております。

現在FTPの危険性について調べているのですが、いまいちピンと来ません。
調べてた結果、私なりに次の様な理由で危険である、と理解したのですが、詳しい方がいらっしゃればご意見いただけますか?


インターネットにつながっているパソコンでは、セキュリティソフトやブラウザ、windows update等の様々なインターネットへ接続が必要なサービスが動作している。

それぞれは複数あるポートと呼ばれる入口をそれぞれ専用で使ってインターネットと接続している。このポートは通常...続きを読む

Aベストアンサー

>ftpでのアクセスを禁止するというのはポート20,21という宛先をもったパケットを破棄すること、という理解で合っていますか?

このようなイメージで捉えていいと思います。

>例えば、これまでFTPで行っていたことをSFTPで行う場合は、暗号化されて通信を行うため、傍受される可能性が低くなる、そのため、IPアドレスをみて特定のIPアドレスのみアクセスを許可するということをやらなくてもよくなる、という理解で合っていますか?

傍受される可能性が低くなるというよりも、傍受されても内容が暗号化されたわからないのでデータとして意味をなさない、従って傍受されたデータを悪用されるリスクが極めて低くなるという解釈のほうがいいかと思います。

またこの場合でも、IPアドレスによる制限は可能な場合は実施するのがベストです。
FTPサーバソフトに脆弱性がある場合そこを攻撃者に付かれる場合もありますが、信頼される相手のIPアドレスのみに制限出来ればこのリスクもかなり低くなると言えます。
不特定の公開するサーバでは制限って難しいですけどね。

脆弱性に対して素早く対応するのはサーバを運営する側の大前提ですけどね。(パッチをあてるとかですね)

>ftpでのアクセスを禁止するというのはポート20,21という宛先をもったパケットを破棄すること、という理解で合っていますか?

このようなイメージで捉えていいと思います。

>例えば、これまでFTPで行っていたことをSFTPで行う場合は、暗号化されて通信を行うため、傍受される可能性が低くなる、そのため、IPアドレスをみて特定のIPアドレスのみアクセスを許可するということをやらなくてもよくなる、という理解で合っていますか?

傍受される可能性が低くなるというよりも、傍受されても内容が暗号化されたわ...続きを読む

Qpingでポートの指定

pingでIPアドレスを指定して、通信できるかどうかというのは
よく使いますが、pingでポートを指定して応答するかどうかは調べられるのでしょうか?

よろしくお願いします

Aベストアンサー

pingを含むICMPというプロトコルは、OSIの7レイヤで言うところのL2(同一セグメント内通信)とL3(IPルーティングされた通信)の両方にまたがる、ちょっと珍しいプロトコルです。

IPアドレスは指定できますが、別サブネットに属するIPアドレスに到達できればL3通信、できなければゲートウェイと呼ばれる同一サブネットに属する中継装置からの回答を得るという点でL2(MAC通信ではなく、同一セグメント内通信という意味)通信です。

ポート番号はL4で使用されるアドレスですから、L4機能の疎通確認はping(を含むICMP)ではできません。

FTPの疎通確認であれば、クライアントからサーバに対するTCP/21通信(FTP-CMD)が可能であること(サーバからクライアントへのTCP/21からの応答を含む)+サーバからクライアントに対するTCP/20通信(FTP-DATA)が可能であること(クライアントからサーバへのTCP/21からの応答を含む)が必要でしょう。

監視ソフトによるものであれば、
・クライアントからサーバへのログイン(TCP/21)
・クライアントからサーバへのlsの結果(TCP/20)
で確認すればよいでしょう。

pingを含むICMPというプロトコルは、OSIの7レイヤで言うところのL2(同一セグメント内通信)とL3(IPルーティングされた通信)の両方にまたがる、ちょっと珍しいプロトコルです。

IPアドレスは指定できますが、別サブネットに属するIPアドレスに到達できればL3通信、できなければゲートウェイと呼ばれる同一サブネットに属する中継装置からの回答を得るという点でL2(MAC通信ではなく、同一セグメント内通信という意味)通信です。

ポート番号はL4で使用されるアドレスですから、L4機能の疎通確認はping(を含む...続きを読む

QDirコマンドでフォルダ内ファイルの合計サイズをだすには?(コマンドプロンプトにて)

いろいろ調べましたが不明な点があり、質問します。

WindowsのDOSプロンプトでdirコマンドを打つとフォルダ・ファイルの一覧が表示されますが、その中にファイルサイズが表示されています。
このサイズを合計できるコマンドはありませんか?
DIRコマンドのオプションを調べましたがそれらしいものが見当たりません。
具体的には
C:\xxx\配下に50個程度のファイルがあります。
その50個の合計サイズを知りたいです。
xxxフォルダの親フォルダにはアクセス不可です。

ずーっと悩んでいます。よろしくお願いします。

なお、OSはWindowsNTか2000で使用予定です。

Aベストアンサー

カレントドライブ、カレントフォルダを
C:\xxx\
にした状態で、

dir /s /a-d

/sパラメータででサブディレクトリすべてを検索
/a-dパラメータでディレクトリ以外のファイル(つまり属性に関係なくすべてのファイル

これを実行すると最後にファイルの個数とファイルサイズの合計を表示します。

もし、隠し属性のファイルは合計しないのであれば、

dir /s

だけで良いと思われます。

Qポートの80と443

こちらのサービス(https://secure.logmein.com/)を利用すると、インターネットを見られるサーバーのポートの80と443が空いていればルータやファイアウォールに特段の設定なく外部からサーバーを操作できるそうですが、逆にサーバーのポートの80や443を空けることには何か危険性があるのでしょうか。

Aベストアンサー

ポート80は一般的なHTTP、ポート443はHTTPSです。
この2つのポートがあいていなければインターネット接続(WEBブラウジング)は出来ません。
ですから、ほとんどのファイアウォールでこのポートは開いています。(インターネット接続を制限している社内LANでは当然閉じていますが)

ちなみに、よく使うポートとしてはFTPで20、21、SMTP(送信メール)で25、受信メールPOP3で110あたりです。セキュリティポリシー上、この辺は制限される事も多いですが、HTTP 80、HTTPS(暗号化用)443は通常閉じません。


危険性?
WEBプロトコルを使ってFTP的なファイル転送(WebDAV)やVPN等も出来るようになっています。当然そこにはある種の危険はつきものですが、WEBブラウジングに伴う危険と大きく変わりません。ウィルス等に感染していればこの2つのポートだけでも相当危険でしょうね。

参考まで。

Q「いずれか」と「いづれか」どっちが正しい!?

教えて下さいっ!
”どちらか”と言う意味の「いずれか」のかな表記として
「いずれか」と「いづれか」のどちらが正しいのでしょう???

私は「いずれか」だと思うんですが、辞書に「いずれか・いづ--。」と書いてあり、???になってしまいました。
どちらでもいいってことでしょうか?

Aベストアンサー

「いずれか」が正しいです.
「いづれ」は「いずれ」の歴史的かな遣いですので,昔は「いづれ」が使われていましたが,現代では「いずれ」で統一することになっていますので,「いずれ」が正しいです.

QIP-VPNとインターネットVPNの違い

就職活動をしている大学生です。
セキュリティとネットワークに興味があり、そこから自分が何をやりたいのか突き詰めて行った結果VPNを提供している企業が浮かび上がって来ました、業界研究をしている際に疑問が出てきました。

IP-VPNとインターネットVPNの違いの違いがいまいちわかりません。

インターネットVPNはインターネット上を介したVPN、IPは事業者のネットワーク内のVPNって解釈でよいのですかね??

そうなるとプライベート回線を引くのとIP-VPNの違いは???

提供している事業者の違い、VPNに関すること、VPNの今後&求められるもの等、教えてください。

よろしくお願いします。

Aベストアンサー

こんちは。hirasakuです。

簡単に言うと
インターネットVPNはその名の通り、インターネット網を利用した拠点間をあたかもLANのように使うためのWAN構築です。
基本的にVPN接続するためのルータの設定(トンネリングや暗号化・認証など)はユーザーが設定し、運用管理もユーザーが行います。
インターネット網なので通信に対する保障がありませんので、VPNに通すデータを検討しなければならない場合もあります。
一番安価に構築できランニングコストが抑えられます。

IP-VPNは通信事業者の閉域IPネットワーク網を通信経路として用い、自社専用ネットワークであるかのようなWANを構築できるサービスのことです。
通信事業者側で用意している網は品質を保証してあり、ユーザー側はIP-VPN網に接続するだけで、セキュアな通信ができ、インターネットVPN同様LANのように使えます。

プライベート回線とは専用線やフレームリレー網などのことを言っているのですかね?
専用線は料金が距離に比例し、拠点間の距離が離れるほどコストが大きくなり、セルリレー/フレームリレーは、フルメッシュ型接続ですけど、柔軟なネットワーク構築が難しいという問題があります。専用線・フレームリレーなどは回線帯域の割にはコストが高いので、インターネットVPNやIP-VPNでコストを安くしてネットワークを構築するようになってきてます。

インターネットVPNやIP-VPNはプロトコルにIPを使わなくてはならないので、データはIPに乗せる必要があります。
そこで、広域イーサネットというサービスを各通信事業者が行っています。広域イーサネットはプロトコルをIP以外(IPXやSNAなど)を通すことができ、またイーサなので、WAN側に接続するのに極端な話、スイッチでつなげられますので、今までのようにルータの設定などいらなくなります。(VLAN構成にするならスイッチの設定が必要ですけけど)また、QoSなどデータの優先制御や帯域制御などもできますので、VoIPなどにも使えますね。
ということで、簡単に拠点間のLAN構築が可能になります。

提供しているサービスの違いは、どこも似たり寄ったりかなって思いますけど。
サービス提供エリアや、構築にあったオプションサービスなどで選べばいいのでは。

こんちは。hirasakuです。

簡単に言うと
インターネットVPNはその名の通り、インターネット網を利用した拠点間をあたかもLANのように使うためのWAN構築です。
基本的にVPN接続するためのルータの設定(トンネリングや暗号化・認証など)はユーザーが設定し、運用管理もユーザーが行います。
インターネット網なので通信に対する保障がありませんので、VPNに通すデータを検討しなければならない場合もあります。
一番安価に構築できランニングコストが抑えられます。

IP-VPNは通信事業者の閉域IPネットワ...続きを読む

QFTPコマンドでディレクトリごとファイル移動できるコマンドはありますか?

タイトルどおりなのですが、FTPでファイルを転送する際に、サブフォルダを含むディレクトリごとファイル転送するコマンドはありますでしょうか。
ディレクトリの中にあるすべてのファイルを移動したいのですが、サブフォルダがたくさんあるので、わざわざディレクトリの場所へ移動してmputを繰り返すのはめんどうで仕方ありません。
よろしくお願いします。

Aベストアンサー

ご使用になるOS環境が書いてないのですが、Linux,BSD等ならncftpで、get -R dir。
Windowsならffftpを使えば良いと思います。

QFTPの送信結果を検知したい

WindowsでFTPをバッチファイルから呼び出すことを考えています。FTPで送信エラーが発生した場合に、FTPのエラーとして検知したいのですが、その方法をご存じのかたおりましたら教えて下さい。(Windows-NTで標準で提供されるFTPを使用しています)直接私が確認したわけではありませんが、FTP送信でエラーが発生してもFTPの終了コードが0になってしまうらしく、FTPのエラーを検知できないそうです。WindowsであればWindows-NT以外の環境でもかまいませんので、ご存じのかたおりましたら教えて下さい。

Aベストアンサー

標準のツールでやるなら、ftpコマンドの出力をファイルにリダイレクトして、find か findstr コマンドで適当な文字列の有無で判断するしかないですね。

>FTPで転送後に転送先のホスト内のある処理が自動的に動き
とのことですが、転送先ホストで単純にデータファイルの有無で先に進むと、転送途中のファイルを読んだり、転送エラーで途中で終わったファイルを読んだりする可能性があるので、普通は、転送元でデータファイルの正常転送を確認後に目印ファイル(中身は空でよい)を送り、転送先では目印ファイルがあることでデータファイルが正しく受信できたことを判断して目印ファイルを消して先に進む(データファイルを処理する)のが良く使われる手法です。

QFTPのログイン履歴を取得するには?

FTPのログイン履歴を取得するには?

環境
CentOS 5.4
vsftpd

サーバ管理の勉強で,空き資源の一部をユーザに貸し出しているのですが,各ユーザのFTPログイン履歴を管理したいと思っています.
考えている方法はいくつかあるのですが,どれも一長一短あるので,こうすれば短所は解決するとか,他に良い方法などがありましたらご教授いただけると幸いです.

方法1
/var/log/vsftpd.logを監視し,認証ログを抽出してデータベースへ格納
短所
cronで定期的に回しても,リアルタイム性が確保されない
ログの量が多く,cronで毎回ログファイル全体を読み込み・抽出するのはムダすぎる.

方法2
FTPログイン時にシェルスクリプトを自動実行し,データベースへ格納する.
短所
そもそもFTPログイン時にシェルスクリプトを自動実行できるのか不明.
(できなくはないけど,vsftpdのサービスを変更する必要があるらしい…?<http://webcache.googleusercontent.com/search?q=cache:5hVVfbGjizsJ:www.ginnokagi.com/2010/02/vsftpd_1.html+vsftpd+%E6%8E%A5%E7%B6%9A%E6%99%82+%E3%83%A1%E3%83%BC%E3%83%AB&cd=1&hl=ja&ct=clnk&lr=lang_ja>)

方法3
lastやlastlogコマンドで,ftpのログイン履歴も記録対象とする.
記録対象とする設定方法が不明.
短所
lastコマンドはftpにも対応しているはずではあるが,実際にコマンドを発行してみると,ftpのログイン情報が記録されていない.

vsftpdのログは,認証ログと,ファイル転送などの動作ログが分かれていないので,ログイン履歴を取得しにくいのです.
何か良い方法がありましたら,アドバイスいただけると幸いです.
よろしくお願い致します.

FTPのログイン履歴を取得するには?

環境
CentOS 5.4
vsftpd

サーバ管理の勉強で,空き資源の一部をユーザに貸し出しているのですが,各ユーザのFTPログイン履歴を管理したいと思っています.
考えている方法はいくつかあるのですが,どれも一長一短あるので,こうすれば短所は解決するとか,他に良い方法などがありましたらご教授いただけると幸いです.

方法1
/var/log/vsftpd.logを監視し,認証ログを抽出してデータベースへ格納
短所
cronで定期的に回しても,リアルタイム性が確保されない
ログの量が多く...続きを読む

Aベストアンサー

ログのリアルタイム監視は swatch が定番です。

参考 URL に解説があるので試してみてはいかがでしょうか。

参考URL:http://www.atmarkit.co.jp/flinux/rensai/root04/root04b.html

Q起動しているサービスを確認するコマンド

初歩的な質問で恐縮ですが、ご教示いただけますと幸いです。

起動しているサービスを確認するために以下の2つのコマンドを打ってみるのですが、結果(出て来るサービス名)が違います。
このコマンドの違いについてご教示いただけますでしょうか。

(1)service --status-all
(2)chkconfig --list

Aベストアンサー

(1)service --status-all

サービスの現在のステータスを調べるコマンド

(2)chkconfig --list

OSのブート時に自動起動するサービスを調べるコマンド

違いが出るのは、
・ブート後に手動あるいは他のコマンドから起動したサービス
・ブート後に手動あるいは他のコマンドから、あるいはエラーで停止したサービス
・ブート後に実行はされるがすぐに停止して常駐しないサービス (ntpdate とか)

あるいは、(1)ではサービス名が表示されない物もあるので、どのサービスがどんなステータス出力をするのか知っておく必要もありますね。(service network statusとか)


このQ&Aを見た人がよく見るQ&A

人気Q&Aランキング