[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[connect24h:1110] Re:ファイアウォールを越えてくるNimda原因判明しました
- To: connect24h@xxxxxxxxxx
- Subject: [connect24h:1110] Re:ファイアウォールを越えてくるNimda原因判明しました
- From: hama <hamamoto@xxxxxxxxxxx>
- Date: Sat, 17 Nov 2001 00:24:14 +0900
はまもとです。
> まなべです。
> AOLクライアントを起動している間にファイアウォールを越えてNimda
> が攻撃してくる問題ですが、その後いろいろ自分なりに調べてみて
> 原因がわかりましたのでご報告します。
すばらしいレポート、どうもありがとうございます。(_ _)
このレポート、stalkとmemoにも流したほうが良いんじゃないでしょうか?
これって、マジでやばくないですか?
他にもIM(インターネットメッセンジャー)系のツールやhttpプロトコル
でくるむタイプのサービスで同様の脆弱性が発生する可能性があります
よね。
> で、そもそもの原因ですが、AOLにサインオン中のユーザ同士の通信
> が筒抜けになっているようです。ですので誰かがNimdaに感染してい
> るマシンでAOLにサインオンするとそこから同じくサインオン中の他
> の一般ユーザのマシンに攻撃が行くと思われます。通常のTCP/IPでの
> 通信の中に全く別のIP間でのPPP通信が埋め込まれた形になっている
> ようですのでルータマシン上のファイアーウォールは全く役に立ちま
> せん。(ちなみにうちのipchainsのルールはIP masquerade HOWTOを
> 参考に強固な方のルールセットに手を加えたもので、特に問題ない
> ようです。)
げげげ。
> おそらくですが、AOLがこのような通信の仕方をしていることと、実
> 際にNimdaの攻撃が頻繁に来ていることを考えると、Windows版のAOL
> クライアントでも同じような問題が起こってるんじゃないかと思いま
> す。ですので、ファイアウォール立ててるし、80番ポートも塞いでる
> から大丈夫、だと思っていても、だれかがAOLクライアントを利用し、
> マシンが運悪くNimdaに感染しうる状態だったりすると、そこが感染し
> て最悪ファイアウォール内にNimdaが広がったりする可能性もあるの
> ではないかと思います。
つまり、AOLを通じると、Nimdaに限らず、Firewallの内側に対して80
番ポートを狙って直接クラック行為を仕掛けることができるわけですね。
ひどすぎ。
ちょっと前に、IMもメールと同じようにポリシーで規制する必要がある
という記事を見かけましたが、規制どころか禁止にしないとFirewallに
大穴開くことになりますよね。
> ちょっと長くなってしまいましたが以上です。
> 個人的には原因がわかって非常にすっきりしました。
本当にすばらしいレポート、どうもありがとうございます。
+---------------------------------------------------------------------
| はまもと
| ■常時接続の宴(インターネット常時接続ニュースサイト)
| http://cn24h.hawkeye.ac/
| ■24 時間常時接続メーリングリスト開催中
| http://cn24h.hawkeye.ac/connect24h.html
| ■セカンダリDNS互助会
| http://cn24h.hawkeye.ac/dns.html
+----------------------------------------------------------------------
--[PR]------------------------------------------------------------------
★★★ゲームクリエイターを目指すなら、養成歴No.1のパイオニアPCS★★★
世界に先駆けて1990年に開校され、最も伝統と実績のあるゲームスクール
であるPCSが来春の新入学生の願書を受付中だ。資料請求・毎月開催される
学校説明会の予約はホームページからできるので今すぐチェックしよう!
プロフェシオクリエイティブスクール http://www.ps-cs.com/
------------------------------------------------------------------[PR]--