ServersCheck 構成のセキュリティ設定

From ServersCheck Wiki

ServersCheckのモニタリングソフトウェアは、システム管理者がアクセスし、管理するように設計されており、エンドユーザーによる低レベルのアクセスを対象としていません。ServersCheckを展開する上で、より高度なセキュリティ保護を達成する方法について、以下にヒントを記載します。注意深くお読みください。

ここでは、次の内容を説明します。公開IPアドレスを持つServersCheckまたはインターネットから使用可能なServersCheck。ServersCheckポートの変更。システム管理者だけがアクセス可能。モニタリングサービスだけを継続的に実行し、構成サーバーは継続的に実行しない。ServersCheckをHTTPS (SSL)モードで実行。

最初のルール: ServersCheckを、公開IPアドレスを通してインターネットに接続しない

ServersCheckは、システム管理者向けのソフトウェアであり、システム管理者だけがアクセスすべきものです。ServersCheckソフトウェア(特にモニタリングソリューション)がインターネットに露出すると、ServersCheckソフトウェアが動作するホストのIPアドレスが外部からの攻撃目標となるため、好ましい方法ではありません。

ServersCheckに公開IPアドレスを指定しないよう、またインターネットから使用可能にしないようにお勧めします。インターネットを通して使用したい場合には、特定の外部IPだけがServersCheckホストにアクセスできるように、ファイアウォールにルールを定義するか、またはVPNトンネルを作成します。

2番目のルール: ServersCheckのデフォルトポートを変更

デフォルトでは、ServersCheckはポート1272で動作します。Enterprise Editionのユーザーは、port.confファイルを変更することにより、別のポートに変更できます。この変更を行うよう、強くお勧めします。ハッカーは、一般に、ポートに対して攻撃を開始することで、アプリケーションを攻撃します。たとえば、IISに脆弱性が見つかった場合、ポート80で動作するIISシステムに対して攻撃を開始します。最初にポートスキャンを実行し、次に攻撃を開始するのは、手順として非常に低速です。ポートスキャンは、一般に、特定範囲の既知のポートに対してのみ行います。

3番目のルール: ServersCheckアプリケーションは、管理者に対してのみ使用可能にする

ServersCheckモニタリングソフトウェアのWebアプリケーション部分は、ネットワーク管理者またシステム管理者、および非管理者だけからアクセスすべきものです。デフォルトでは、ServersCheckは、自動的に更新されるステータスレポートをHTMLで作成します。インターネットユーザーに対してWebアプリケーションを使用可能することでシステムの状態を利用できるようにするのではなく、エンドユーザーに対しては、これらの静的なHTMLレポートを公開してください。

4番目のルール: 構成サーバーは、必要な場合にのみ実行する

ServersCheckは、構成サーバー(組み込みのWebサーバー)とモニタリングサービスという、2つの主要コンポーネントで構成されるアプリケーションです。監視活動は、モニタリングサービスを実行するだけで行うことができます。ServersCheckモニタリングアプリケーションの設定/更新/変更が不要な場合には、構成サーバーをシャットダウンし、HTMLレポートを通して検査の状態を表示するようお勧めします。(モニタリングサービスのように)コンピュータ上でインターフェイスを持たずに動作するサービスは、最も優れた保護を行っていることになります。システムは、(Webまたは従来型の)インターフェイスを持った場合、またはデータパケットの入力を受け付けた場合に、しばしば悪用されることになります。構成サーバーが動作する場合で、内部以外のユーザーから使用可能にした場合、攻撃目標となる場合があります。