投稿日:2002年02月05日 作成鷹の巣

No.1373 お邪魔にきました。



お邪魔にきました。

No.1373 投稿時間:2002年02月05日(Tue) 14:39 投稿者名:OKa URL:http://www.huonpine.net

鷹巣さん、こんにちは。

来るたびに、感心させられてしまいます。私の処は、中々進みなせん。
Comstarzルータの設定方法、追加しましたので、お手すきの折り
ご覧になってください。

ついに、私の所へもクラッカーがやってきました。
Mailサーバを中継に利用しようとしたみたいですが、
Status(550)Usr not Localで不発に終わったようです。
確りと、落花生さんメールアドレスを残してくれました。
合っているかは不明ですが、爆弾の準備をしなくては(笑)


ルータの設定方法をご公開して頂きましてありがとうございました。

No.1380 投稿時間:2002年02月06日(Wed) 00:06 投稿者名:鷹の巣 URL:http://sakaguch.com

> Comstarzルータの設定方法、追加しましたので、お手すきの折り
> ご覧になってください。


こちら
http://sakaguch.com/Router.html#RouterSample
より、早速、直リンクさせて頂きました。ご公開して頂きましてありがとうございました。
お礼にスポンサーサイトへ行ってきました。


> ついに、私の所へもクラッカーがやってきました。
> Mailサーバを中継に利用しようとしたみたいですが、
> Status(550)Usr not Localで不発に終わったようです。
> 確りと、落花生さんメールアドレスを残してくれました。
> 合っているかは不明ですが、爆弾の準備をしなくては(笑)


かわいいクラッカーですね。実際に、ルータのパケットフィルタリングやファイアウォールが2段あってもかいくぐって来るクラッカーもいますからね。
(思わず「ハッカー」と間違って言いそうになるようなクラッカーもいますから、油断は大敵です。)
こちら
http://nikkeibyte.com/securitystadium/2001/download.htm
にも、セキュリティに関するが色々あるみたいですよ。


ArGoSoftのことで。

No.1412 投稿時間:2002年02月08日(Fri) 00:25 投稿者名:OKa URL:http://www.huonpine.net

鷹の巣さん、こんばんは。

早速、登録ありがとうございます。
先程、メールサーバを見てきました。その中で、気になる個所を申しあげます。
Option tab(SMTP Authentication)の項目で認証を必要としないアドレスに
local ip address(127.0.0.1)を入れていますが、開通試験を終えたら他の
アドレスに変更する事をお奨めした方がいいと思います。

理由は、メールサーバをクラッカーに乗っ取られた時、格好の標的になります。
私の処で、昨日も侵入してきましたが、このアドレスが異なっていたため
未遂に終わりました。


試験終了後に空欄にする旨、追記致します。

No.1416 投稿時間:2002年02月08日(Fri) 21:46 投稿者名:鷹の巣 URL:http://sakaguch.com/

> 先程、メールサーバを見てきました。その中で、気になる個所を申しあげます。
> Option tab(SMTP Authentication)の項目で認証を必要としないアドレスに
> local ip address(127.0.0.1)を入れていますが、開通試験を終えたら他の
> アドレスに変更する事をお奨めした方がいいと思います。


はい、分かりました。
Do Not Authenticate Following IP Address欄は、試験終了後に空欄にする旨、追記致します。


> 理由は、メールサーバをクラッカーに乗っ取られた時、格好の標的になります。


メールサーバを乗っ取られるというのは、どのようなことになるのでしょうか。管理者権限を取られるということでしょうか。
私は、セキュリティ方面をあまり知らないので、教えて頂けますか。


> 私の処で、昨日も侵入してきましたが、このアドレスが異なっていたため
> 未遂に終わりました。


「侵入してきました」という意味は、「メール中継を利用しようとしてきた」という意味でしょうか。
OKaさんのWebページを拝見致しました。Do Not Authenticate Following IP Address欄の「127.0.0.1」が「192.168.*.*」になっていました。
このようにすると、ip spoofing攻撃(Source Address Spoofing)が仮にルータのパケットフィルタリングを通過してきたとして、
プライベートアドレス(192.168.*.*)の方が自己診断用のIPアドレス(127.0.0.1)よりアドレス番号が類推しにくいという意味でしょうか。

もう少し、具体的にご教示して頂くと嬉しいです。


メールの中継を試みたという意味です。

No.1418 投稿時間:2002年02月09日(Sat) 00:24 投稿者名:OKa URL:http://www.huonpine.net

鷹の巣さん、こんばんは。

少し、舌足らずでした。申し訳ありません。

>メールサーバを乗っ取られるというのは、どのようなことになるのでしょうか。管理者権限を取られるということでしょうか
ログ(Argosoft)に残った手口ですが、初めはグローバルアドレスで普通に入って来ています。その後、内部でRSTコマンドを発行し
あたかも管理者であるかのように振舞っています。
この時、グローバルアドレスがRSTにより127.0.0.1に変わってしまったのか変えたのか不明ですが、
(ログを見る限り、変わってしまったと考えた方がいいのかもしれません)
127.0.0.1でSPAMの発行を試した経緯が残っています。そのような訳で127.0.0.1は避けた方が良いと思いました。


>「侵入してきました」という意味は、「メール中継を利用しようとしてきた」という意味でしょうか。
メールの中継に利用しようと試みたという意味です。

> OKaさんのWebページを拝見致しました。Do Not Authenticate Following IP Address欄の「127.0.0.1」が「192.168.*.*」になっていました。
>このようにすると、ip spoofing攻撃(Source Address Spoofing)が仮にルータのパケットフィルタリングを通過してきたとして、
>プライベートアドレス(192.168.*.*)の方が自己診断用のIPアドレス(127.0.0.1)よりアドレス番号が類推しにくいという意味でしょうか。

この部分も後日、加筆修正の対象になると思いますが・・・・。
私の処では、windows2000のインターネット共有機能(ICS:LANの2枚刺し)を使い、その配下のクライアントからメールの発行や読込み、インターネットの接続を行っています。その為、HPの説明では192.168.0.*になっています。ICSを使う事で、192.168.0.*は、Pingされても
分からんだろうと考えてのアドレスになっています。
鷹の巣さんの言われるようにルータを通過されたら、どのようなアドレスにしても駄目な訳でして・・・。


もう少し詳しく、教えて下さい。

No.1421 投稿時間:2002年02月09日(Sat) 08:01 投稿者名:鷹の巣 URL:http://sakaguch.com/

> ログ(Argosoft)に残った手口ですが、初めはグローバルアドレスで普通に入って来ています。その後、内部でRSTコマンドを発行し
> あたかも管理者であるかのように振舞っています。


「内部でRSTコマンドを発行」というのは、「要求側クライアントからの接続同期(TCP SYN)25番パケットがメールサーバーに来て、
「パケットの内容が不正」か「サーバの処理が1スレッドだけ」で、接続を受け入れられない。
従って、「サーバが TCP RST で応答する」ということではないんでしょうか。もう少し詳しく、教えて下さい。

お書きになっている文章をまともに読みますと、管理者権限は、取られていないものの進入されてしまって、コマンドプロンプト画面(DOS窓)
で何かコマンド操作が出来てしまっているようにも考えたりしています。
このサイト
http://www.tetras.co.jp/yada/j_ileg_r.htm
の1.(4)の「パスワード無しで侵入する手口」の様なことが、ArGosoft Mail server で、起きているということでは、ないですよね。


> >「侵入してきました」という意味は、「メール中継を利用しようとしてきた」という意味でしょうか。
> メールの中継に利用しようと試みたという意味です。
>
> > OKaさんのWebページを拝見致しました。Do Not Authenticate Following IP Address欄の「127.0.0.1」が「192.168.*.*」になっていました。
> >このようにすると、ip spoofing攻撃(Source Address Spoofing)が仮にルータのパケットフィルタリングを通過してきたとして、
> >プライベートアドレス(192.168.*.*)の方が自己診断用のIPアドレス(127.0.0.1)よりアドレス番号が類推しにくいという意味でしょうか。
>

> この部分も後日、加筆修正の対象になると思いますが・・・・。
> 私の処では、windows2000のインターネット共有機能(ICS:LANの2枚刺し)を使い、その配下のクライアントからメールの発行や読込み、インターネットの接続を行っています。その為、HPの説明では192.168.0.*になっています。ICSを使う事で、192.168.0.*は、Pingされても
> 分からんだろうと考えてのアドレスになっています。


LAN内にもう一つ島(ネットワークセグメント)が存在し、セグメント超えのパケットが存在するから、LAN内もinternetな訳ですね。
セキュリティ上、firewallを増やすことは、クラックする側にしてみれば、手間がかかりますから、時間稼ぎという見方からすると有効ですね。
PCルータのルーティングテーブルがしっかりしていれば、クライアントを守ることが出来るかも知れませんね。


> 鷹の巣さんの言われるようにルータを通過されたら、どのようなアドレスにしても駄目な訳でして・・・。


すみません。「Source Address が private Address であるパケットは、ルータを通過しない」という前提で、お話を進めて下さい。
宜しく、お願い致します。


ログを付けまので参考にして下さい。

No.1423 投稿時間:2002年02月09日(Sat) 15:48 投稿者名:OKa URL:http://www.huonpine.net

鷹の巣さん、こんにちは

以下に、ログを付けまので参考にして下さい。メールアドレス/グローバルアドレスは伏字にしました。
また、私はyahooのメールはもっていません。

*********************************************************
2002/02/03 0:19:05 - ( 470) 220 ArGoSoft Mail Server Freeware, Version 1.70 (1.7.0.3)
2002/02/03 0:19:05 - ( 470) EHLO mx1.mail.yahoo.com
2002/02/03 0:19:06 - ( 470) 250-Welcome [208.11.*.*], pleased to meet you <-1
2002/02/03 0:19:06 - ( 470) 250-AUTH=LOGIN
2002/02/03 0:19:06 - ( 470) 250-SIZE 5242880
2002/02/03 0:19:06 - ( 470) 250 HELP
2002/02/03 0:19:06 - ( 470) MAIL From: <***48249@yahoo.com>
2002/02/03 0:19:06 - ( 470) 250 Sender "***48249@yahoo.com" OK...
2002/02/03 0:19:06 - ( 470) RCPT To:<**080658@yahoo.com>
2002/02/03 0:19:06 - ( 470) 550 User not local. Authentication required for relay <-2
2002/02/03 0:19:06 - ( 470) RSET <-3
2002/02/03 0:19:07 - ( 470) 250 Reset state
2002/02/03 0:19:07 - ( 470) MAIL From: <***48249@yahoo.com>
2002/02/03 0:19:07 - ( 470) 250 Sender "***48249@yahoo.com" OK...
2002/02/03 0:19:07 - ( 470) RCPT To:<****080680@yahoo.com>
2002/02/03 0:19:07 - ( 470) 550 User not local. Authentication required for relay

この間は、全て550 user not local

2002/02/03 0:19:43 - ( 470) RSET <-3'
2002/02/03 0:19:43 - ( 470) 250 Reset state
2002/02/03 0:19:44 - ( 470) QUIT
2002/02/03 0:19:44 - ( 470) 221 Aba he
2002/02/03 0:19:44 - SMTP connection with 127.0.0.1 ended. ID=470<-4
*********************************************************

1.グローバルで入場していますよね。
2.Status(550)ではじかれています。
3.3' で、Resetを掛けています。
4.アドレスが127.0.01になっています。

このリストをご覧になった感想は?
私は、これを見たとたん血の気が引くのを覚えました。


IPスプーフィング?

No.1426 投稿時間:2002年02月10日(Sun) 04:29 投稿者名:葛飾独歩 URL:http://doppo.no-ip.com/j-serv/

> 1.グローバルで入場していますよね。
> 2.Status(550)ではじかれています。
> 3.3' で、Resetを掛けています。
> 4.アドレスが127.0.01になっています。
>
> このリストをご覧になった感想は?
> 私は、これを見たとたん血の気が引くのを覚えました。

私は、ArGoSoft Mail Server もWin2kのICSも使ったことはないのですが、質問させてください。

ルータ機器は使わず、Win2KのICSをルータ代わりにしているのでしょうか?

これはIPスプーフィング(パケットのヘッダ部の送信元アドレスを内部アドレスに偽装する)されたとのかと思いますが、
ルータにて、内向き かつ送信元アドレスがプライベートのパケットはACKフラグがどうであれ、遮断する、というのは
ある意味、お約束(加えて、外向きのプライベートアドレス宛のパケットも)かと思いますが、それで弾けないものでしょうか?

ICSマシン単独なのか、別にルータ機を使っているのか、でまた違うと思いますが…
…私個人としては、ICSは実験的に使用しましたが、イマイチ信用できず、採用しませんでした。


私のサイトにルータの設定例がありますので、1度ご覧下さい。

No.1428 投稿時間:2002年02月10日(Sun) 10:12 投稿者名:OKa URL:http://www.huonpine.net

葛節独歩さん、はじめまして。

> 私は、ArGoSoft Mail Server もWin2kのICSも使ったことはないのですが、質問させてください。
>
> ルータ機器は使わず、Win2KのICSをルータ代わりにしているのでしょうか?
ルータは、comstazを利用しています。また、適切(?)にフィルターも設定されていると思っています。
Spam中継テストでも問題になるような不具合もありません。

私のサイトにルータの設定例がありますので、1度ご覧下さい。comstarzは、許可を設定した時点で全てのポートを
不許可にする、というメーカの言い分を信用するしかありませんが、私の処では、この許可を利用した設定を紹介して
います。

> ICSマシン単独なのか、別にルータ機を使っているのか、でまた違うと思いますが…
> …私個人としては、ICSは実験的に使用しましたが、イマイチ信用できず、採用しませんでした。
この利用法について、私は記事を書いていませんので、これは良いとも悪いとも書けません。
しかし、一種のNATと考えれば、うんとうなずけるのではないでしょうか。
また、Pingなどでインターネット側のIPアドレスを判定する事ができますが、下位は分かりませんよ。
更に,apacheをproxy設定する事で、インターネット側のIPアドレスが
外に出難く(?)なることもあるようです(このテスト結果は事後アップ予定)


サイト拝見しました

No.1431 投稿時間:2002年02月11日(Mon) 00:18 投稿者名:葛飾独歩 URL:http://doppo.no-ip.com/j-serv/

遅ればせながら、はじめまして

> > 私は、ArGoSoft Mail Server もWin2kのICSも使ったことはないのですが、質問させてください。

> 私のサイトにルータの設定例がありますので、1度ご覧下さい。comstarzは、許可を設定した時点で全てのポートを
> 不許可にする、というメーカの言い分を信用するしかありませんが、私の処では、この許可を利用した設定を紹介して
> います。

拝見しました。デザインも内容もGoodなサイトですね。相互リンクしていただけると嬉しいのですが…

WAN側のプライベートアドレスへのフィルタリングもされているということですね。
実際にルータを通過されているとしたら、取りも直さず、ルータに問題があると思いますが、
ACKフラグが立っていてNATの通過ルールの対象となっているものはフィルタリングされないのかも知れませんね。
これは、メーカに問い合わせないとわからないですね。
パフォーマンスを出すため、とか「仕様」とかいう答えが返ってきたりして…

私は、実際にIPスプーフィングができるワケではないので、推測でしか言えないのですが、
送信元アドレスをプライベートに書き換えた偽装パケットの場合、向こうから一発送ることしかできないのではないか、と考えています。
勿論、コマンド一発であっても、そういうパケットが届くこと自体、困りものではありますが。

その場合でも、コネクション確立するまではグローバルIPで、その後にスプーフィング、という手順になる筈ですので、
ステートフルインスペクション機能搭載のルータを使う、というのが正解のように思います。
最近はそういった製品も安価で出てきているようです。
ただ、ステートフルインスペクション搭載!と書かれているものの、
実際の動作についての詳細な説明まではされていないものが大半なので、
内部でサービスを公開している場合の通信に対しても有効なのか、については不明です。
そこが知りたいところなのですが…

> > ICSマシン単独なのか、別にルータ機を使っているのか、でまた違うと思いますが…
> > …私個人としては、ICSは実験的に使用しましたが、イマイチ信用できず、採用しませんでした。
> この利用法について、私は記事を書いていませんので、これは良いとも悪いとも書けません。
> しかし、一種のNATと考えれば、うんとうなずけるのではないでしょうか。
> また、Pingなどでインターネット側のIPアドレスを判定する事ができますが、下位は分かりませんよ。
> 更に,apacheをproxy設定する事で、インターネット側のIPアドレスが
> 外に出難く(?)なることもあるようです(このテスト結果は事後アップ予定)

ICSをルータから内側で使用、ということであれば、良い選択かと思います。
ご存知と思いますが、他の見ている人のために追加すると、内部アドレスに関しては、Ping以外でも漏れる要素がありますね。


紹介文を、ご確認下さい。

No.1481 投稿時間:2002年02月12日(Tue) 23:46 投稿者名:OKa URL:http://www.huonpine.net

葛飾独歩さん、こんばんは。

昨日、非国民をしてまして、お返事が遅くなり申訳ないです。

> 拝見しました。デザインも内容もGoodなサイトですね。相互リンクしていただけると嬉しいのですが…
リンク、ありがとうございます。先程、バーナをちょいと失敬してきました。
紹介文を書込みましたので、ご確認下さい。

> パフォーマンスを出すため、とか「仕様」とかいう答えが返ってきたりして…
メーカには、先週の初めに質問をだしました。
が、昨年の1月の件もまだ解決していないので、はて?どうなることやら。

> ICSをルータから内側で使用、ということであれば、良い選択かと思います。
> ご存知と思いますが、他の見ている人のために追加すると、内部アドレスに関しては、Ping以外でも漏れる要素がありますね。
あ~。そうでしたね。・・・・でも、うちのHP、嘘八百ですから・・。


|目次|掲示板|過去ログ目次|▲頁先頭|