SUSE Linux VPN 接続で tcpdump で外部との通信を確認/遮断する

ある日試してみたら、VPN 用の pptpd サーバーが外部から SSH 接続できてしまう事に気が付いてしまいました。幸い HeartBleed のバージョンではなかったので良かったのですが、あまりにも不用心なので、SSH は内部からのみ、外部からは利用できないようにしました。

SUSE Linux で外部ネットワークとのSSH接続を拒否します。

sles11:/etc # cat hosts.allow

# ローカルネットワークを許可(追加)
sshd : 192.168.1.0/24

sles11:/etc # cat hosts.deny

# 他のネットワークからの接続は拒否(追加)

#http-rman : ALL EXCEPT LOCAL
sshd : all

これで、一応外部からの SSH 接続はできず、VPN で内部のホストに接続しない限り VPN サーバには接続できなくなりました。 hosts.allow と hosts.deny は設定するとサービスを再起動しなくても即時適応されるそうです。

SSHでのホスト制限
http://hiro7216.dyndns.org/blognplus/index.php?e=116

なお SUSE の場合 http-rman というのがありますがウェブブラウザから man ページにアクセスするインターフェースです。通常不要なので削除しても構いません。
rman RosettaMan - Filter for Manpages
http://www.novell.com/products/linuxpackages/opensuse/rman.html


-確認方法-

このサーバーが外部と通信しているかを確認するには tcpdump コマンドで内部ネットワーク(192.168.1.1-254)以外のパケットをキャプチャして、外部とどのような通信をしているかを確認します。

vpn:~/ # tcpdump \(src net not 192.168.1.0/24\) and \(dst net 192.168.1.0/24\)
tcpdumpの使い方
http://d.hatena.ne.jp/chipa34/20080210/1202650183

-ついでに-

ntpd にも脆弱性があることが分かったので、塞いでおきます。

ntps:/etc # cat ntp.conf
: 中略
disable monitor

増幅攻撃はDNSだけではない――NTPサーバーの脆弱性に注意喚起
http://www.atmarkit.co.jp/ait/articles/1401/15/news126.html

対策は、脆弱性を修正したntpd 4.2.7p26(開発版)にバージョンアップすることだ。もし開発版の適用が難しい場合は、ntpdの設定ファイル「ntp.conf」に「disable monitor」という一行を追加し、monlist機能を無効化することで回避可能という。


その他の情報は
islandcenter.jp

-KeyWord-

SUSE Linux Enterprise Server NTPD 脆弱性 SSHを外部ネットワークから拒否 SSH接続元を限定する tcpdump 外部ネットワークとの通信確認
by islandcenter | 2014-12-15 09:18 | SUSE | Comments(0)