連載第34回
2014年3月31日
iptables をどうにかしたいよホントにもう(4)

 鉢猫は今日も絶望していました(便宜上、ひとまず「ばちねこ」と呼んでいます)。生きろ!とはよく聞くが、生きるとはかくも厳しくツライ事なのかと。そしてこの猫はまた植木鉢の中で絶望するのです。ちなみに他の人はこれを見て、

「寝ている」

と言います。
 さて、どうして世の中はこうも生きづらいのか、数ある要因の一つには、人の持つ悪意が挙げられるのではないでしょうか。昨年の10月から半年近くかけて連載しているこの「サーバーお引っ越しメモ」。そもそも単なるブログ日記のためにサーバーをレンタルするのなら、セキュリティ対策など然程難しく考える必要も無いと思うのだけれど、しかしServersMan@VPSは「セキュリティ対策、各自ちゃんとしてね!」と言うのです。

ちまちま(なんちゃって)セキュリティ対策してる理由

 僕としては、たかが「日記」が他者によって荒らされたり、改竄されたりしても、すぐ諦めが付くというか(もちろん多少はムカツくでしょうが)、何せ世界に名だたる有名企業のサイトが次々と攻撃されデータを引っこ抜かれている事件が頻発しているのを見ると、僕のような初心者がにわか知識で対策を施したところでどうなるワケでもありません。まあ、ただの日記だけにデータを盗む価値など微塵も無いのですけどね。

 ま、自分のテキストや画像等は無断使用されなければどうでもよろしい。しかし一番心が辛く感じるのは、自分が何も知らないところで他人に迷惑をかけている状況になった場合です。自分がレンタルしているサーバーが「踏み台」にされ、そこから他のコンピューターが悪意の標的になっているとしたら、これほど辛く情けないことはない。実は昨年末、ServersMan@VPSの方からユーザー各位にメールがありました。

現在、ServersMan@VPS サービスをご利用されているお客様の中で、稼働中の複数のDNSサーバーが、悪質な第三者によりDDos攻撃の踏み台として利用されておりますことを弊社にて確認いたしました。

 やはりこういう事があるのですね。その時点では全くセキュリティ対策などしておらず、心配になってすぐ問い合わせしたのですが、VPS内でDNSサーバーを運営している一部のユーザーが狙われたようで、僕のように端からDNSなど使っていない人は無関係だったようです。とにもかくにも「知らないうちに踏み台にされている気持ちの悪さは極力避けたい」というのは、全くこの方面に疎い僕をそれなりに苦労させる十分な理由になりました。

ステートフル・パケットインスペクション?

 とまあ、初めての事だらけで苦労しているのは本当だけれど、それがちゃんと効果のある対策になっているのかどうかは怪しいところです。例えば前回はiptablesのINPUTチェインにおけるフィルター設定を試してみましたが(まだDROPしてないので意味無いけど)、本気のヤツが相手だとまるで歯が立ちそうもありません。というか、何されてもこっちはまるで気が付かないに違いない。

 そんなわけで、もう少し参考記事を読み進めて行くと、前回までの設定は「静的」なもので、単純にパケットの種類で条件判定しているタイプ。でもそれだと偽装されてすぐ侵入されてしまうのだとか。そこでさらにパケットの「動的な、前後を踏まえたその時の状態」を識別して判定する手段があるのだとか。それを「ステートフル・パケットインスペクション」と呼ぶそうなんだけれど…次回につづく!