不正アクセスに備えた安全性なサーバーについて

本ページでは、不正アクセスに備えた安全性の高いサーバーを構築するポイントをご案内します。

Titan FTP Server NextGen

本ページでは、不正アクセスに備えた安全性の高いサーバーを構築するポイントをご案内します。

サーバーの種類(プロトコル)

SFTPサーバーのご利用を強く推奨します。
SFTP は、安全性と高速性を両立させた優れたプロトコルです。SSH ホスト鍵による認証を利用することで、より安全な接続を可能にします。
SSL/TLS の脆弱性に関する問題が多い FTPS と比べて、安心してご利用いただけます。

IPアクセス制限を有効にする

特定の IPアドレスを指定して、特定アドレスだけの接続を許可することや、特定アドレスからの接続を拒否することができます。
注意点としては、クライアント側の IP が固定されている必要があります。

IPアドレスによるアクセス制限:https://titanftp.add-soft.jp/support/?p=4603

防御機能を有効にする

Titan FTP Server NextGen に搭載されている、「フラッド攻撃防御/Dos」機能を活用します。
【設定方法】 セキュリティ機能 を使用することで、不審なユーザーからのアクセスを自動的にブロックできます。

https://titanftp.add-soft.jp/support/wp-content/uploads/2022/11/flood-protection.jpg

公開鍵認証を使用

パスワード認証を無効化して、公開鍵認証のみを利用することで、安全性を向上できます。
パスワード認証の場合、情報が漏洩していない場合でも、パスワードに使用している文字列を特定されるリスクが存在します。
公開鍵認証は、秘密鍵と秘密鍵のパスワードが流出しない限り、第三者によるアクセスを拒否できるため、パスワードよりも安全です。

256 ビット以上の ECDSA 鍵を使用

SSHホストキーには、256 ビット以上 ECDSA の利用を強く推奨します。
クライアントが ECDSA をサポートしていない場合は、2048ビット以上の RSA を使用しましょう。

https://titanftp.add-soft.jp/support/wp-content/uploads/2022/07/07-HostkeyCreates.jpg

暗号化方式に ChaCha20-Poly1305 を使用

ChaCha20 は、安全性が高い新しい暗号化アルゴリズムとして注目されています。

Google のサーバーや 新しい MacBook などでも採用され、IPA でも推奨されています。

Titan FTP Server NextGen では、ChaCha20-Poly1305 に加えて、従来の AES もサポートしています。
安全性とパフォーマンスのバランスを要求される場合は ChaCha20-Poly1305@OPENSSH.COM を、これまでの実績や知名度を重視される場合は、AES256-GCM@OPENSSH.COM をご利用ください。

HMAC に HMAC-SHA2 以上を使用

HMAC のハッシュ関数には、SHA2 以上を強く推奨いたします。
SHA1 は、古いクライアントにも対応できるメリットがありますが、脆弱性が発見されているため推奨しておりません。

SHA の後についている数値は、AES と同じく鍵長となり、数字が大きいほど安全性が高く、速度が低下いたします。

SHA2-512 はサポートされているクライアントが少ないため、多くのクライアントでサポートされている、HMAC-SHA2-256 をご利用ください。
また、クライアントが対応していれば、ChaCha20-Poly1305 や HMAC-SHA2-256-ETM が利用できるよう、こちらも有効にしておきましょう。
Titan FTP Server では、複数の HAMC を選択して優先順位を指定できるため、HMAC-SHA2-256 が最後になるように並べ替えておくと良いでしょう。
[参考:サポートしている MAC アルゴリズム/a>]

鍵交換アルゴリズムに ECDH や curve25519 を採用

鍵交換アルゴリズムには 256ビット以上の ECDH が推奨されています。
SHA1 には脆弱性が確認されているため利用を推奨できません。
現在の業界標準である ecdh-sha2-nistp256 をご利用ください。
古いクライアントがある場合は、diffie-hellman-group14-sha256 と diffie-hellman-group-exchange-sha256 を有効にして、下段に移動しておくと良いでしょう。
curve25519-sha256@libssh.org も有効にして、並び順を最上段に移動しましょう。
[参考:
サポートしている鍵交換アルゴリズム]

使用しない項目の無効化

使用しない暗号化方式、HMAC、鍵交換アルゴリズムのチェックを外しておきましょう。
細かなことですが、不正アクセス対策として効果的です。


Titan FTP Server 2019

サーバーの種類(プロトコル)

SFTPサーバーのご利用を強く推奨します。
SFTP は、安全性と高速性を両立させた優れたプロトコルです。SSH ホスト鍵による認証を利用することで、より安全な接続を可能にします。
SSL/TLS の脆弱性に関する問題が多い FTPS と比べて、安心してご利用いただけます。

IPアクセス制限を有効にする

特定の IPアドレスを指定して、特定アドレスだけの接続を許可することや、特定アドレスからの接続を拒否することができます。
注意点としては、クライアント側の IP が固定されている必要があります。

プロテクション機能を有効にする

Titan FTP Server の セキュリティ機能 を使用することで、不審なユーザーからのアクセスを自動的にブロックできます。

暗号化方式に AES を使用

AES は安全性の高い世界標準の暗号化アルゴリズムです。
欧州の暗号規格 NESSIE や、日本の暗号規格 CRYPTREC でも採用されています。

AES には 128、192、256 と、鍵の長さを表す種類があります。
AES-256 が最も安全性が高い反面、処理速度が低下いたします。
安全性と速度とのバランスを要求される場合は、AES-192 を、安全性重視の場合には、AES-256 をご利用ください。

HMAC に HMAC-SHA2 以上を使用

HMAC のハッシュ関数には、SHA2 以上を強く推奨いたします。
SHA1 は、古いクライアントにも対応できるメリットがありますが、脆弱性が発見されているため推奨しておりません。

SHA の後についている数値は、AES と同じく鍵長となり、数字が大きいほど安全性が高く、速度が低下いたします。

SHA2-384 や SHA2-512 はサポートされているクライアントが少ないため、多くのクライアントでサポートされている、HMAC-SHA2-256 をご利用ください。
[参考:サポートしている HMAC]

なお、WebDrive などのように、HMAC-SHA3-256 をサポートしているクライアントの場合、SHA3-256 を推奨いたします。
対応クライアントが少ないため、第三者からの攻撃を受ける機会を減らすことができます。
Titan FTP Server では、複数の HAMC を選択可能で、優先順位を指定することができるため、SHA3-256 と SHA2-256 の両方を有効化いただくことをご提案します。

鍵交換アルゴリズムに SHA-256 を使用

SHA1 には脆弱性が確認されているため、diffie-hellman-group14-sha256 と diffie-hellman-group-exchange-sha256 をご利用ください。
group14-sha256 に対応していないクライアントも少なくありません。念のために両方とも有効にしておきましょう。
[参考:鍵交換アルゴリズム]

使用しない項目の無効化

使用しない暗号化方式、HMAC、鍵交換アルゴリズムのチェックを外しておきましょう。
細かなことですが、不正アクセス対策として効果的です。

ホストキー認証を利用

パスワード認証を無効化して、ホストキー認証のみを利用することで、安全性を向上できます。
パスワード認証の場合、情報が漏洩していない場合でも、パスワードに使用している文字列を特定されるリスクが存在します。
ホストキー認証は、ホストキーとホストキーをインポートするためのパスワードが流出しない限り、第三者によるアクセスを拒否できます。