「ncatのアクセスコントロール」の版間の差分

提供: セキュリティ
移動: 案内検索
(ページの作成:「<!-- vim: filetype=mediawiki --> listenモードのncat は、 --allow や --deny オプションを使用して、接続ホストのアクセスコントロール...」)
(相違点なし)

2013年6月15日 (土) 18:32時点における版

listenモードのncat は、 --allow や --deny オプションを使用して、接続ホストのアクセスコントロールができます。オプションはそれぞれ、カンマでセパレートされたホストのリストを用います。シンタックスは、nmap のターゲットと同じです。

概要

listenモードのncat は、 --allow や --deny オプションを使用して、接続ホストのアクセスコントロールができます。オプションはそれぞれ、カンマでセパレートされたホストのリストを用います。シンタックスは、nmap のターゲットと同じです。

IPv4IPv6 アドレス、ホスト名、 IPv4 オクテットレンジ、CIDR ネットマスクを使用できます。 ncat (nmapではなく)では、CIDR ネットマスクは、IPv6 アドレスをサポートしています。

--allow を使うと、リストにあるマッチしたホストがアクセスを許可されます。定義されていないホストは、アクセスを許可されません。 --deny では、指定されているリストにマッチするホストがアクセスを拒否され、それ以外は、アクセスが許可されます。

--allowfile や --denyfile は、ホスト/ネットワークのリストを定義したファイルを使って、許可と拒否をすることができます。 nmap の -iL や --excludefile オプションで使うファイルを --allowfile や --denfile で使えます。

いくつかのアクセスコントロールの種類の例を挙げます。

1つのホストを許可し、それ以外を拒否します。

ncat -l --alow 192.168.0.123
ncat -l --alow fe80:ffff:::ee
ncat -l --alow trusted.foo.com

1つのホストを拒否し、その他を許可します。

ncat -l --deny 192.168.0.234
ncat -l --deny fe80:ffff:::dd

ローカルネットワークのすべてのホストを許可し、それ以外を拒否します。

ncat -l --alow 192.168.0.0/24
ncat -l --alow 192.168.0.0-255
ncat -l --alow fe80:ffff::/32

ファイルで許可・拒否をする。

ncat -l --allowfile trusted-network.txt
ncat -l --denyfile external-network.txt

ホストベースのアクセスコントロールは、スプーフィング攻撃やさまざまな障害の影響を受けやすいことに注意してください。これらのメカニズムは、完全なセキュリティとして頼れないことを忘れないでください。

アクセスコントロールのほかの方法として、 listen モードの ncataccept する最大コネクション数を単純に制限することです。 --max-conns オプション (エイリアス -m) を使用します。デフォルトの最大接続数は、100 です。

ncat -l --max--conns 5

関連項目