[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[connect24h:00452] Re: secure system with win9X

はまもとです。

On Wed, 30 Aug 2000 11:09:58 +0900
office <office@xxxxxxxxxxx> wrote:

そろそろ出尽くしましたかね。
個人レベルのセキュリティですが、これらの点は私もまとめたいと思っていた
点です。ちょうどいい機会なので、殴り書きでつらつらかきます。

> 1. 貧乏な個人ユーザ
<<カット>>

> このような状況でできるだけセキュアな環境を整えるとしたら、どのような
> 手法があるでしょうか?どのようなことに気を付けるべきでしょうか?

<<カット>>

> もちろん(ケーブルモデム内臓)ルータを買えとか、中古マシンにLinuxをぶち込ん
> でファイヤーウォールを作れといった回答もある訳ですが、そういう投資をしよう
> とか、今まで使った事のないOS管理を覚えようというパワーはないのが一般ユーザ
> の姿と思われますので、その方法はできれば避けることとします。

同感です。

> #あるいはそういった新規投入を薦める場合なら、どの程度の投資・労力となるの
> #かできるだけ具体的に詳しく示してください。(でないと説得できませんよね)

1.常時接続でセキュリティを実現するための方法(Win9x編)
(1)NAT BOX
個人で出せる金額で言うと、NAT BOXで1万5千円くらいまででしょう。
そうなるとチップ原価が2〜3千円以下である必要がありますが、現実問題、
そんなチップはありませんから、NAT BOXを使う案は厳しいと思われます。
(2年程でそれくらいの値段になるとは思いますが)
今の情勢で言うと、NAT BOXが普及するのは無線LAN兼NAT BOXのような製品
がキラー製品として普及していくかも知れません。

(2)パーソナルファイアウォール
NAT BOXがダメとなるとソフトでという話になると思いますが、トレンドマイ
クロやシマンテックからコンピュータウィルス対策ソフト兼パーソナルファ
イアウォールがこの秋に出ますので、Win9x系の対外的なセキュリティとしては
これで十分ではないかと思います。

後は、以前、紹介した以下のようなソフトもよいと思います。
●BlackICE
http://www.toyo.co.jp/security/
6500円。

●Zone Labs
http://www.zonelabs.com/
個人向けでは無料。

●WinWrapper
http://www.tsc.ant.co.jp/products/download.htm
12800円。cookieクラッシャーなどの機能あり。

ただ、これらのソフトよりは受動的攻撃対策のためにもアンチウィルスソフトと
一体型のパーソナルファイアウォールが今後は定番化してくるのではないでしょ
うか。

(3)ルータ
 フィルタ設定なども例があると良いと思います。


> (a)MSのパッチ類でこれだけ気を付けられる。

# うぅ。項目を考えるのが面倒なので、項目化はやめます。

Win9x系のパッチで入れる必要があるのはDoS対策くらいでしょう。
それ以外はセキュリティの観点からは特に必要ないと思います。
個人レベルだと、SP化された段階で入れればよいでしょう。

Win9x系がセキュリティ的に良いところは、標準の状態でサービスが
一切立ち上がっていないことです。もちろん、物理的接触をされれば
何でもありなのは皆さんよくご存知でしょうが、リモートから何かし
ようとしたときにWin9x系のOSは結構セキュアです。

あとは自分の立ち上げたサービスだけを注意しておけばよいので、
LinuxやWinNT系のOSに比べて防御は楽です。そういう意味で、一般の
人が常時接続環境として使うOSとしてはWin9x系やMac系が適している
と思います。

もちろん、シングルユーザOSですし、DoSやウィルスにも弱いですので、
よりセキュリティを高めたいならWin2000やLinuxでFirewallを構築した
方が良いことは言うまでもありません。

> (b)フリーソフトだけでここまでセキュアになる。
> (c)低額なオンラインソフト類でもっとセキュアになる。
>   (ファイヤーウォール、IDS情報希望)

今日、私のホームページでも紹介しましたが、Officeさんも良くご存知の
武田@慶應さんが訳されたこちらのサイトが参考になると思います。
WinNT系、Win9x系、Macの基本的な防御方法も掲載されているので良いと
思います。

今回の話題では、

3.2Win95/Win98において、どのようにして侵入の検出や防止を行うことができますか?

が直接の参考になると思います。

●FAQ: Network Intrusion Detection Systems[日本語版]
http://www.sfc.keio.ac.jp/~keiji/ids/ids-faq-j.html
プリンタの共有がONになっている場合、リモートシステムからプリンタ・ドラ
イバ以外のWin95 passwordなどのファイルへのアクセスを可能となる事例など
が掲載されています。(他のWin95のバグを併用) 

> といったお答えが頂けると嬉しいです。
> #私は(c)でwingateとかwinrouteぐらいしかぱっと思い付かなかったのです。
> #ちょっと情けなかった。

Wingeteは恐ろしくunsecureです。お勧めできません。telnetをかけると、
telnetデーモンらしきものが立ち上がってきて踏めます。踏み台の定番
です。踏めるwingateを公開したwingateデータベースというものもあり
ます。インドの核実験データを盗んだクラッカーは、イスラエルあたり
のwingateを踏んで侵入したという話を聞いたことがあります。(ただ、
windows9x系のものは、結構、セキュアだという話です)

wingateは意地でも踏んでやろうとターゲットになることが多いソフトで
す。開発者さんもwingateをセキュアにしようと努力はしていますが、ク
ラッカーもunsecureにしてやろうと意地になっているので、使わないほ
うがよいでしょう。

> また、win9Xで走らせるサーバソフト類についてもセキュリティの観点から
> コメント頂けるとありがたいです。

初心者の方が見られるわけですから、日本語のものがよいでしょう。セキュ
リティ情報も日本語で読めますしね。
●Black Jumbo Dog
http://homepage2.nifty.com/spw/bjd/index.html
Winproxyが改名

後は、以下のサイトで不審なポートが立ち上がっていないかとか、Proxyポート
がオープンになっていないかチェックするといいと思います。

●Shields Up!
https://grc.com/x/ne.dll?bh0bkyd2

●Proxy Checker ver. 0.3
http://cache.jp.apan.net/proxy-checker/index-j.html

> あるいは、条件2のwin9Xマシンに代えて、win2Kだったらとかmacだったらとか
> Beだったらとかいったようなお答えも歓迎します。

MacはWin系と基本的に同じでしょう。
パーソナルファイアウォールを入れて、Mac shareの共有をOFFにするで良い
と思います。

Win2kは初心者には難しいですねぇ。まとめると結構なボリュームになりそ
うです。

それから、ICQ、IRC、Napsterも注意したほうがよいでしょうね。
いろいろとセキュリティホールの事例がいくつかあります。

うーんと、書きなぐった感じではこんなところです。


+---------------------------------------------------------------------
| はまもと
| ■常時接続の宴(インターネット常時接続ニュースサイト)
| http://www.hicat.ne.jp/home/hamamoto/
| ■24 時間常時接続メーリングリスト開催中
| http://www.hicat.ne.jp/home/hamamoto/ml/connect24h.html
+----------------------------------------------------------------------