NTのネットワークセキュリティを構築する

こんにちは、honiyonです。
　NTに GlobalIPを割り当てて、常時接続環境し、DNS,WWW,MAILの構築に挑戦しようかと考えています。
　そこでネットワークセキュリティについて質問させて下さい。
　UNIXではフリーで構築出来るようなセキュリティでも、NTでは有料で、別途購入が必要であるような事を以前耳にした事があるのですが、実際の所はどうなのでしょうか？　また、「十分」と言えるレベルまでセキュリティを高めるには、どれくらい時間がかかりますでしょうか？
　またお勧めの参考書もお教え頂ければ幸いです。

　宜しくお願い致します（．．

No.4 ベストアンサー 回答者： DrSumire 回答日時： 2001/05/15 13:23

基本は、利用しないポートは塞ぐや、ミドルウェアのセキュリティパッチは頻繁にチェックする等を行えば今横行している、スクリプトキディによるクラックは防げると思います。

ただ、貴方に対して悪意を持ったクラッカーからのアタックはそれだけでは防ぎきれないでしょう。
それが考えられる場合とっても高価なFireWall製品を導入するのが、もう一つ上のセキュリティをかけられますが、その効果は期待できないかもしれません。

ポートを塞ぐのは、ルータのフィルタ機能を使えば投資なしで可能ですが、NTに機能を任せる場合、無料では済まないかもしれません？？（リソースキットかオプションパックのどちらかにモジュールが在ったと思うのですが・・・）
＃Windows2000ではその機能を内蔵しています。
ルータでフィルタリングを行う場合、設定は自分以外絶対に設定が変更できないようにルータを設定してください、設定はシリアルからの接続のみでネットワークからの設定は一切不許可にしておくのが望ましいです。
それとちょっと不便ですがICMPパケットも一切応答しないようにしておくと良いでしょう。

WWWサービスの場合IISを利用したくなると思いますが、IISは最近頻繁にセキュリティーホールが発見され、多くのサイトが書き換えなどを受けていることを考えると利用しない方が良いのかもしれません、ただMSのASPを利用したい場合たに選択肢がないので、かなり頻繁にIISのセキュリティ情報をチェックする必要があると思います。
CGI程度が利用できれば良いのであれば、Apache for Win32とActivePerlを利用する方がセキュリティレベル的には高いような気もします。

DNSはMSのDNSより細かな設定の可能なBINDを利用するのが良いと思うのですが、BINDも良く大きなバグを出すアプリなのでセキュリティ情報は頻繁にチェックすると良いと思います。

MTAはNTで設定したことがないので、どれを使えば良いのか分かりませんが、不正中継を許可するような設定だけはきっちりやっておかないと何時の間にかスパムの踏み台に利用されていたりします。

internet上にはかなり多くのNTサーバが起ちあがっており、その多くがセキュリティが十分に施されていないものが多いらしく、クラッカーのターゲットになりやすく、さらにクラッカーが多い為にツール類が豊富にあり、それを利用するスクリプトキディの数も半端ではないので、クラックされる可能性は非常に高いと思ってください。
そのためNTをinternetServerにする場合はセキュリティ情報はかなり豆に行う必要があります。
ただ豆にチェックしてもIISなど日本語パッチが出るまでに結構時間がかかるので、その間にクラックされてしまうことも考えられますが・・・・

月刊誌(日経Windows2000)などを毎月読んでいるとそれなりに覚えられるのですが時間がかかるので？？？です、書籍の場合スキルによって適切な本はまったく違うので、実際に本屋さんで目を通してレベルの違う書籍を複数冊購入するのが良いと思います、一冊だけだと結構誤解してしまうこともあるので・・・

NTセキュリティリンク

http://www.port139.co.jp/
http://winsec.toranoana.ne.jp/

この回答へのお礼

こんにちは、honiyonです。
　詳細な説明ありがとうございます(^^)
　セキュリティを構築するにあたって、一番重要なのはバグ対策のようですね。
　ありがとうございました。

お礼日時：2001/05/15 14:16

No.3 回答者： mnabe 回答日時： 2001/05/15 13:16

NTでも、確実にセキュリティを高める事が出来ます。

しかし、最低でもリソースキットの入手が必要でしょう。

　あの書籍を読めばセキュリティを高める事が出来ます。

　後は、マイクロソフトのホームページをこまめにチェックするのと、JWNTUG等のメーリングリストで情報を収集する事で、安全な環境を構築出来るようになります(っと思います)。

　後、参考書なのですが、『日経BPソフトプレス Windows2000 テクニカルリファレンス セキュリティガイド』って書籍があります。なかなかの書籍ですので、一読をお薦めします

この回答へのお礼

こんにちは、honiyonです。
　参考文献＆URL情報ありがとうございました(^^)

お礼日時：2001/05/15 14:18

No.2 回答者： YoshiMu 回答日時： 2001/05/15 12:57

「十分」というレベルが問題かも。

以下の３つを徹底すれば、WWWやMailのセキュリティ設定だけでも、結構いけますよ。

1. サーバには盗まれて困るようなデータを置かない
2. 不要なサービスをすべて停止する
3. アクセスログはこまめにチェックする

もちろんCertなんかのセキュリティ勧告に従って、セキュリティホールを埋めることは必要ですね。
まずは、クラッキングを受けた場合にどの程度困るか、自己判定なされるといいと思いますよ。意外とサーバよりもクライアント機のほうが大切だったりしますしね。

この回答へのお礼

こんにちは、honiyonです。
　ご回答ありがとうございます(^^)
　

お礼日時：2001/05/15 14:20

No.1 回答者： selenity 回答日時： 2001/05/15 12:39

まず、MSが公開している「セキュリティパッチ」

はすべて当てましょう。
さらに、NetBIOSは必ず止めましょう。
そこに、TCP/IPのIPセキュリティの設定をするだけ
でもずいぶんと変わるでしょう。

セキュリティで「十分」なんて範囲はないでしょう。

基本的にはUNIXとNTで同種の設定を施すことに
なると思います。

この回答へのお礼

こんにちは、honiyonです。
　ご回答ありがとうございます。
　やはりあれこれセキュリティ対策品を導入する以前に、まずは基本をしっかりするのが当たり前で最重要なものですね。

お礼日時：2001/05/15 14:23