[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[port139ml:02732] W2K/XPのIPSecフィルタリング回避

To: port139ml@xxxxxxxxxxxxx
Subject: [port139ml:02732] W2K/XPのIPSecフィルタリング回避
From: Makoto Shiotsuki <shio@xxxxxxxxxxxx>
Date: Mon, 17 Mar 2003 22:46:43 +0900

PktFilterのドキュメントに書かれていたのですが、
W2K/XPのIPSecフィルタリングって、source port 88のパケットを
無節操に通してしまうようですね。
つまりsource portを88にしてアクセスすると、IPSecのフィルタを
回避して接続できてしまいます。

なんだかフィルタの意味がないような...

私はちょっとばっかり驚愕しているのですが、ひょっとして
この話って有名?

ちなみにW2K SP1以降では、
HKLM\SYSTEM\CurrentControlSet\Services\IPSec\NoDefaultExempt
に1を設定すればちゃんとフィルタしてくれるみたい。

http://www.securityfocus.com/infocus/1528
http://support.microsoft.com/default.aspx?scid=kb;en-us;Q254728&sd=tech

...でport139mlのログを調べたところ、関連する伊原さんの独り言を発見。

In message "[port139:00267] IPsec 88/tcp",
Hideaki Ihara wrote...
>Date: Mon, 11 Jun 2001 22:16:36 +0900
>From: Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
>To: "port139@xxxxxxxxxxxxx" <port139@xxxxxxxxxxxxx>
>Subject: [port139:00267] IPsec 88/tcp
>
>Port139 伊原です。
>
>たんなる独り言です。
>
>Windows 2000 の IPsec のデフォルトでは Kerberos 認証による鍵交換
>を行う為に 88/tcp は IPsec で保護されないようになってます。
>
>[NT]IPSec により保護されるトラフィックと保護されないトラフィック
>http://www.microsoft.com/JAPAN/support/kb/articles/J054/0/59.htm
>
>この状態で、全てのトラフィックに IPsec を要求とやっても 88/tcp
>は保護されないので、nmap などポートスキャナには closed の状態で
>反応してしまいます。
>これを完全に閉じる為のレジストリ値が以下。
>
>[NT] ドメイン コントローラの IPSec サポート
>http://www.microsoft.com/JAPAN/support/kb/articles/JP254/9/49.HTM
>
>このレジストリを 1 に設定すると、88/tcp が nmap に反応しないよう
>になる。
>
>いじょ
>
>---

塩月

Follow-Ups:
- [port139ml:02733] Re: W2K/XPのIPSecフィルタリング回避
  - From: Kunio Miyamoto
- [port139ml:02753] Re: W2K/XPのIPSecフィルタリング回避
  - From: Hideaki Ihara

Prev by Date: [port139ml:02731] Re: Autopsy UTF8 パッチ
Next by Date: [port139ml:02733] Re: W2K/XPのIPSecフィルタリング回避
Previous by thread: [port139ml:02729] Re: Opera 7.03
Next by thread: [port139ml:02733] Re: W2K/XPのIPSecフィルタリング回避
Index(es):
- Date
- Thread