AN HTTPD のセキュリティ対策

　インターネットで行われる不正行為として、

1. 破壊
2. 踏み台
3. なりすまし
4. 改竄(かいざん)
5. 盗聴、情報窃盗
6. ウイルス

などがよく話題になる。

　セキュリティに関する一般的な情報はインターネットで検索すれば沢山見つかるが、例えば下記などを参考にしてください。
　・コンピュータ不正アクセス被害防止対策集（IPA）
　・TechNet セキュリティ センター（マイクロソフト）
　・セキュリティ・ゲートウェイ機能の基礎知識（YAMAHA）

　Webサーバを常時接続によってインターネットに公開すると、これらの危険が待ち受けています。不正アクセスについて十分に理解し、自分が被害者にならないだけでなく、踏み台にされると加害者の立場になってしまうことに留意しなければなりません。

　以下、AN HTTPDを使う上で知っておくべきことをまとめます。

1. セキュリティホール
   　セキュリティホールはプログラムの欠陥による安全性の問題です。作者が修正版プログラムを提供することによって対応がとられます。AN HTTPDのセキュリティホールについては AN HTTP Server Security のページで確認してください。基本的には、最新バージョンを使用することによって解決されます。
   
   [追記]
   　以下のページも参考に。
   　　http://secunia.com/product/543/
   
   
   
2. AN HTTPD設定上の注意事項
   
   ［一般タブ］
   
   • ドキュメントルートを各ドライブのルートディレクトリには設定せずに、ドキュメント用のフォルダを作成する(例えば C:\www)。起動ドライブのルート(C:\など)は厳禁。
     　悪意のある使い方をすると C:\command.com や C:\windows\command\ の下のコマンドが実行されてしまう危険性があります。
     
     
   • Perlをドキュメントルートの下にインストールしない(例えばドキュメントルートが C:\www のとき、C:\www\perl は禁物)。デフォルトの C:\Perl あるいは、D:\Perlなどがよい。
     　これは上記同様、perl.exeを実行される危険性を回避するためです。
     
     
   • SSIを使用しないなら、「SSIを許可する」にはチェックしない。「SSIを許可する」にチェックする場合でも、/inex.html、*.shtml、*.html の必要最小限にチェックする。
     　掲示板にSSIコマンドを書き込まれ、それを実行されてしまうことがないか要注意である。
     
     
   • CGIの実行プログラムで「般(一般パスでも実行する)」にはチェックしない。実行するCGIファイルは実行パスに、ダウンロードするCGIファイルは一般パスに置くように使い分ける。これは .cgi、.pl、,exe、.bat のCGIファイルに共通である。
     　ファイルのダウンロードのつもりが、サーバで実行されてしまったということなどのないように注意する。
     
     ［表示/インデックスタブ］
     
   • 「インデックスリスト(ディレクトリリスト)を表示」にはチェックしない。もしインデックスリストを表示したいときは、「.www_browsableがあるディレクトリのみ表示」を必ずチェックする。
     　インデックスリストの表示は便利に使えることもあるが、不用意に使うとリンクしていない非公開のつもりのファイルまで閲覧されてしまうことがある。
     
     ［プロクシタブ他］
     
   • プロクシ、ゲートウェイ(SMTP、POP3、FTP、TELNET)、SOCKSなどは、使わないなら必ずチェックを外す。また、プロクシのサーバIPアドレスはLAN内からの使用のみの場合はグローバルアドレスにはしない。
     　プロクシのサーバIPアドレスをプライベートアドレスにしておくとインターネットからのアクセスにはアクセス制限がかかる。
     
     
   • プロクシサーバをインターネットで使用するためにどうしてもサーバIPアドレスをグローバルアドレスにする場合は、不特定多数に使用されないようにアクセス制限も併用する。また、ポート番号を8080以外に設定するとプロクシの存在を知られないために多少の効果はある。ただし過信は禁物である。
     
     ［SOCKSタブ］
     
   • 不用意にSOCKSサーバを使用されないためには、ユーザ名/パスワードを「*」とせずに具体的な名称に設定する、また、使用可能なIPアドレスも設定するとアクセス制限が可能である。
     
     ［ログ］
     
   • ログファイルをドキュメントルート下に置かない。例えば KENT WEB の説明通りにインストールすると、ドキュメントルート直下にログが作成され、http://サーバアドレス/httpd.log にアクセスされるとアクセスログを盗み見が出来てしまうので要注意である。
     
     
   • サーバがアタックされた形跡がないかの確認や、万一不正にアクセスされたときに備えて次のログは必ず残すようにする。
     　httpd.log, proxy.log, gateway.log, socks.log
     　定期的にログファイルを眺め、問題なアクセスがないかどうかチェックする。
     
     ［アクセス制御］
     
   • 自宅サーバを公開しているのでなければ、ダイヤルアップ中はAN HTTPD を起動しない方がよい。誰かがHTTPサーバにアクセスしてくる可能性はゼロではないからである。もし動作させる場合でも、オプション/一般のアクセス制御をオンにし、許可IPを127.0.0.1, 192.168.*.* などプライベートアドレスだけにしておくとインターネットからのアクセスは拒否されるので安心できる。
     
   
   
   
3. ルータ設定
   　ルータのマニュアルやメーカーが提供するセキュリティページのパケットフィルタリングなどの説明を参考に必要な対策をとります。「不要なパケットは一切通さない」が大原則です。また、ルータのログを採り、定期的に確認することも重要です。
   　- YAMAHA RT セキュリティ・ゲートウェイ機能とIPsec
   　- MN128 セキュリティ講座
   　- NetVehicle FAQ(セキュリティについて編)
   
   
   
4. ISP情報
   　CATV、ADSL接続などでは ISPによって異なる部分があるかもしれません。契約しているISPのホームページなどでセキュリティ情報を必ず確認します。例えば OCN や @Nifty では以下のページにセキュリティ情報が掲載されています。
   　 OCN Tech Web セキュリティ
   　 Security@nifty セキュリティ対策
   
   
   
5. ファイアウォールソフト
   　個人向けのセキュリティソフトもいろいろと出て来ており、クラッキングの防御に効果がある。ZoneAlarm は個人使用ではフリーというありがたいソフトである。ZoneAlarm を紹介したWebページも多く、例えば 竜の情報館 ネットセキュリティ の解説ページからリンクをたどれば日本語パッチも含めてソフトをダウンロードできる。
   
   　(注) 最新バージョンの ZoneAlarm 日本語版(フリーソフト)の配布は中止になりました(そもそも日本語版の作成自体が不可能なプログラム構造に変更になったのが理由だそうです)。英語版を使用するか、どうしても日本語ということなら旧版を使うか有償の Pro版を使ってください。
   
   　一方、市販ソフトでは以下のような製品がある。体験版をダウンロードして試すこともできる。
   
   

   製品名	販売元	体験版ダウンロードURL	サイズ	価格
   ウイルスバスター 2005インターネット セキュリティ	トレンドマイクロ	http://www.trendmicro.com	60.6MB	\8,925
   ばり2インターネット	メディアヴィジョン	http://www.mvi.co.jp	ダウンロード サービスなし	\3,980
   Norton Internet Security 2005	シマンテック	http://www.symantec.co.jp	44.2MB	\5,775
   BlackICE Defender	act2	http://www.blackice.jp/	4.0MB	\9,800
   WinWrapper	ANT	http://www.ant.co.jp	1.9MB	\5,800

   
   
   
6. 過去ログ
   　セキュリティ関連記事