【自宅サーバ】自宅サーバのセキュリティ事情

  • このエントリーをはてなブックマークに追加

概要

セキュリティは情報システムにおいて必要不可欠です。クラウドやVPSでシステムを構築した場合、セキュリティはサーバだけを考えればいいと思います。しかし、自宅サーバはサーバだけではありません、ルータからサーバからハードウェまでセキュリティを全部自分で考え設定しなければいけません。大変ですがそこも自分で色々チャレンジできる、これが自宅サーバの醍醐味だったりします。自宅サーバを外部の脅威からどうやって守るのか、今回は自宅サーバのセキュリティについて項目を洗い出してみました。個別の対応は別途記事にしたいと思います。

敵をしる

まず、どのように自宅サーバを守るのかを考える上で敵がどのように攻めてくるのかを考えなくてはいけません。敵を知り、己を知り、セキュリティ対策を実施します。

敵の行動

侵入→ 脆弱性をついた攻撃でシステム奪取、内部情報取得 → 情報改ざん、内部情報を外部に送信

我々の敵の行動はシンプルであります!

対策

敵の行動を知った今、実施すべきセキュリティ対策はざっくり下記3つです

  • 侵入対策
  • 内部対策
  • 出口対策

3つについてざっくり概要をまとめてみます

侵入対策

  • ファイアウォール(ルータ/OS)
    • 公開しているサーバに対してだけ正常な通信のみ許可
    • WANからはリクエストに対するレスポンスだけ許可
    • 各セグメント同士の通信不可 など
  • IPS/IDS
    • ファイアウォールだけでは判断がつかない正常な通信を監視。不正な攻撃を検知/防ぐ
  • WAF
     - アプリケーションに対しての攻撃を防ぐ

内部対策

脆弱性対策

  • OSパッケージ
    • 最新パッケージを使用。更新反映のためのOS、ホストの定期的な再起動。
  • 日々のソフトウエア脆弱性検知の仕組み
    • Vulsの導入
  • Webアプリケーション対策
    • 各アプリケーションの特徴に合ったWEBアプリケーションのセキュリティコードの実装
  • 侵入後、被害を最小限にする仕組み
    • SELinux
  • アンチウイルス
    • 定期的なウイルス対策ソフトウエアでのウイルス検知
  • 怪しい攻撃のログ検知
    • ログを検知して怪しい攻撃を発見、対策

ハードウェア

  • ルータ
    • ルータのファームウェアのアップデート

出口対策

  • ファイアウォール(ルータ/OS)
    • レスポンス以外は
  • IPS/IDS
    • 外部への通信の監視

まとめ

やることは沢山あります。ざっくりまとめたので随時アップデート予定です。

%d人のブロガーが「いいね」をつけました。