「ncatのアクセスコントロール」の版間の差分
(ページの作成:「<!-- vim: filetype=mediawiki --> listenモードのncat は、 --allow や --deny オプションを使用して、接続ホストのアクセスコントロール...」) |
(相違点なし)
|
2013年6月15日 (土) 18:32時点における版
listenモードのncat は、 --allow や --deny オプションを使用して、接続ホストのアクセスコントロールができます。オプションはそれぞれ、カンマでセパレートされたホストのリストを用います。シンタックスは、nmap のターゲットと同じです。
概要
listenモードのncat は、 --allow や --deny オプションを使用して、接続ホストのアクセスコントロールができます。オプションはそれぞれ、カンマでセパレートされたホストのリストを用います。シンタックスは、nmap のターゲットと同じです。
IPv4 と IPv6 アドレス、ホスト名、 IPv4 オクテットレンジ、CIDR ネットマスクを使用できます。 ncat (nmapではなく)では、CIDR ネットマスクは、IPv6 アドレスをサポートしています。
--allow を使うと、リストにあるマッチしたホストがアクセスを許可されます。定義されていないホストは、アクセスを許可されません。 --deny では、指定されているリストにマッチするホストがアクセスを拒否され、それ以外は、アクセスが許可されます。
--allowfile や --denyfile は、ホスト/ネットワークのリストを定義したファイルを使って、許可と拒否をすることができます。 nmap の -iL や --excludefile オプションで使うファイルを --allowfile や --denfile で使えます。
いくつかのアクセスコントロールの種類の例を挙げます。
1つのホストを許可し、それ以外を拒否します。
ncat -l --alow 192.168.0.123 ncat -l --alow fe80:ffff:::ee ncat -l --alow trusted.foo.com
1つのホストを拒否し、その他を許可します。
ncat -l --deny 192.168.0.234 ncat -l --deny fe80:ffff:::dd
ローカルネットワークのすべてのホストを許可し、それ以外を拒否します。
ncat -l --alow 192.168.0.0/24 ncat -l --alow 192.168.0.0-255 ncat -l --alow fe80:ffff::/32
ファイルで許可・拒否をする。
ncat -l --allowfile trusted-network.txt ncat -l --denyfile external-network.txt
ホストベースのアクセスコントロールは、スプーフィング攻撃やさまざまな障害の影響を受けやすいことに注意してください。これらのメカニズムは、完全なセキュリティとして頼れないことを忘れないでください。
アクセスコントロールのほかの方法として、 listen モードの ncat が accept する最大コネクション数を単純に制限することです。 --max-conns オプション (エイリアス -m) を使用します。デフォルトの最大接続数は、100 です。
ncat -l --max--conns 5