「ncatのアクセスコントロール」の版間の差分

提供: セキュリティ
移動: 案内検索
(ページの作成:「<!-- vim: filetype=mediawiki --> listenモードのncat は、 --allow や --deny オプションを使用して、接続ホストのアクセスコントロール...」)
 
 
(同じ利用者による、間の1版が非表示)
行1: 行1:
<!--
 
vim: filetype=mediawiki
 
-->
 
 
listenモードの[[ncat]] は、 --allow や --deny オプションを使用して、接続ホストのアクセスコントロールができます。オプションはそれぞれ、カンマでセパレートされたホストのリストを用います。シンタックスは、[[nmap]] のターゲットと同じです。
 
listenモードの[[ncat]] は、 --allow や --deny オプションを使用して、接続ホストのアクセスコントロールができます。オプションはそれぞれ、カンマでセパレートされたホストのリストを用います。シンタックスは、[[nmap]] のターゲットと同じです。
  
 +
'''読み方'''
 +
;[[ncat]]:えぬ きゃっと
 
__TOC__
 
__TOC__
  
 
== 概要 ==
 
== 概要 ==
 
 
listenモードの[[ncat]] は、 --allow や --deny オプションを使用して、接続ホストのアクセスコントロールができます。オプションはそれぞれ、カンマでセパレートされたホストのリストを用います。シンタックスは、[[nmap]] のターゲットと同じです。
 
listenモードの[[ncat]] は、 --allow や --deny オプションを使用して、接続ホストのアクセスコントロールができます。オプションはそれぞれ、カンマでセパレートされたホストのリストを用います。シンタックスは、[[nmap]] のターゲットと同じです。
  
[[IPv4]] と [[IPv6]] アドレス、ホスト名、 IPv4 オクテットレンジ、[[CIDR]] ネットマスクを使用できます。 [[ncat]] ([[nmap]]ではなく)では、[[CIDR]] ネットマスクは、[[IPv6]] アドレスをサポートしています。
+
[[IPv4]] と [[IPv6]] アドレス、ホスト名、 IPv4 オクテットレンジ、'''CIDR''' ネットマスクを使用できます。 [[ncat]] ([[nmap]]ではなく)では、'''CIDR''' ネットマスクは、[[IPv6]] アドレスをサポートしています。
  
 
--allow を使うと、リストにあるマッチしたホストがアクセスを許可されます。定義されていないホストは、アクセスを許可されません。 --deny では、指定されているリストにマッチするホストがアクセスを拒否され、それ以外は、アクセスが許可されます。
 
--allow を使うと、リストにあるマッチしたホストがアクセスを許可されます。定義されていないホストは、アクセスを許可されません。 --deny では、指定されているリストにマッチするホストがアクセスを拒否され、それ以外は、アクセスが許可されます。
行49: 行47:
 
ホストベースのアクセスコントロールは、[[IPスプーフィング|スプーフィング攻撃]]やさまざまな障害の影響を受けやすいことに注意してください。これらのメカニズムは、完全なセキュリティとして頼れないことを忘れないでください。
 
ホストベースのアクセスコントロールは、[[IPスプーフィング|スプーフィング攻撃]]やさまざまな障害の影響を受けやすいことに注意してください。これらのメカニズムは、完全なセキュリティとして頼れないことを忘れないでください。
  
アクセスコントロールのほかの方法として、 listen モードの [[ncat]] が [[accept]] する最大コネクション数を単純に制限することです。
+
アクセスコントロールのほかの方法として、 listen モードの [[ncat]] が accept する最大コネクション数を単純に制限することです。
 
--max-conns オプション (エイリアス -m) を使用します。デフォルトの最大接続数は、100 です。
 
--max-conns オプション (エイリアス -m) を使用します。デフォルトの最大接続数は、100 です。
 
 
<syntaxhighlight lang="bash">
 
<syntaxhighlight lang="bash">
 
ncat -l --max--conns 5
 
ncat -l --max--conns 5
 
</syntaxhighlight>
 
</syntaxhighlight>
 
 
== 関連項目 ==
 
== 関連項目 ==
 
 
* [[ncat]]
 
* [[ncat]]
 
* [[netcat]]
 
* [[netcat]]
 +
<!-- vim: filetype=mediawiki
 +
-->

2015年9月23日 (水) 15:42時点における最新版

listenモードのncat は、 --allow や --deny オプションを使用して、接続ホストのアクセスコントロールができます。オプションはそれぞれ、カンマでセパレートされたホストのリストを用います。シンタックスは、nmap のターゲットと同じです。

読み方

ncat
えぬ きゃっと

概要

listenモードのncat は、 --allow や --deny オプションを使用して、接続ホストのアクセスコントロールができます。オプションはそれぞれ、カンマでセパレートされたホストのリストを用います。シンタックスは、nmap のターゲットと同じです。

IPv4IPv6 アドレス、ホスト名、 IPv4 オクテットレンジ、CIDR ネットマスクを使用できます。 ncat (nmapではなく)では、CIDR ネットマスクは、IPv6 アドレスをサポートしています。

--allow を使うと、リストにあるマッチしたホストがアクセスを許可されます。定義されていないホストは、アクセスを許可されません。 --deny では、指定されているリストにマッチするホストがアクセスを拒否され、それ以外は、アクセスが許可されます。

--allowfile や --denyfile は、ホスト/ネットワークのリストを定義したファイルを使って、許可と拒否をすることができます。 nmap の -iL や --excludefile オプションで使うファイルを --allowfile や --denfile で使えます。

いくつかのアクセスコントロールの種類の例を挙げます。

1つのホストを許可し、それ以外を拒否します。

ncat -l --alow 192.168.0.123
ncat -l --alow fe80:ffff:::ee
ncat -l --alow trusted.foo.com

1つのホストを拒否し、その他を許可します。

ncat -l --deny 192.168.0.234
ncat -l --deny fe80:ffff:::dd

ローカルネットワークのすべてのホストを許可し、それ以外を拒否します。

ncat -l --alow 192.168.0.0/24
ncat -l --alow 192.168.0.0-255
ncat -l --alow fe80:ffff::/32

ファイルで許可・拒否をする。

ncat -l --allowfile trusted-network.txt
ncat -l --denyfile external-network.txt

ホストベースのアクセスコントロールは、スプーフィング攻撃やさまざまな障害の影響を受けやすいことに注意してください。これらのメカニズムは、完全なセキュリティとして頼れないことを忘れないでください。

アクセスコントロールのほかの方法として、 listen モードの ncat が accept する最大コネクション数を単純に制限することです。 --max-conns オプション (エイリアス -m) を使用します。デフォルトの最大接続数は、100 です。

ncat -l --max--conns 5

関連項目