投稿日:2002年06月16日 作成鷹の巣

No.3723 NATを超えてローカルアドレスに侵入される危険性はどの程度でしょうか



NATを超えてローカルアドレスに侵入される危険性はどの程度でしょうか

No.3723 投稿時間:2002年06月16日(Sun) 16:41 投稿者名:simmn URL:

うちは外側のDNS&Mail兼用サーバーに2枚のLANカードを差していて、
一方はグローバルアドレス、他方をローカルアドレスの192.168..にしています。
ルーティングはWin2000Server標準のNAT機能(デフォルトでは内側からの照会に
対する応答しか通しません。いわゆるセキュアNATと同じだと思います)を使って
ローカルのクライアントからブラウズ等しています。

さて、ここでローカルのクライアントでファイル共有をオンにした場合の危険性について
以前から不安に思っています。
DNS&Mailサーバーではファイル共有はもちろんオフにしていますが、それを飛び越して
内部のクライアントに侵入される危険性というのはどの程度のものなのでしょうか。

ポート135から139は、ダイヤルアップルータと、DNS&MailサーバーのAgnitumファイアーウォールで
無効にしているので、ローカルのNetBiosはインターネットから完全に遮断している
つもりです。
またドライブやフォルダのアクセス権も厳しく設定しています。

この状況でも外部から内部クライアントに侵入される危険性というのはあるものなのでしょうか。
またNetBiosが無効な場合、TCP/IP環境だけでも内部のフォルダを閲覧できてしまう
(つまりブラウザで見えてしまうとか)危険性は、ローカルアドレスでも有るのでしょうか。


受動的攻撃を検証して見て下さい。

No.3725 投稿時間:2002年06月16日(Sun) 22:14 投稿者名:鷹の巣 URL:http://sakaguch.com/

> DNS&Mailサーバーではファイル共有はもちろんオフにしていますが、それを飛び越して
> 内部のクライアントに侵入される危険性というのはどの程度のものなのでしょうか。
>
> ポート135から139は、ダイヤルアップルータと、DNS&MailサーバーのAgnitumファイアーウォールで
> 無効にしているので、ローカルのNetBiosはインターネットから完全に遮断している
> つもりです。
> またドライブやフォルダのアクセス権も厳しく設定しています。
>
> この状況でも外部から内部クライアントに侵入される危険性というのはあるものなのでしょうか。
> またNetBiosが無効な場合、TCP/IP環境だけでも内部のフォルダを閲覧できてしまう
> (つまりブラウザで見えてしまうとか)危険性は、ローカルアドレスでも有るのでしょうか。


受動的攻撃
http://isweb27.infoseek.co.jp/computer/zaddik/index.html
というのは、どうでしょうか?NAT越えも可能でしょうし、クライアント機がプロキシサーバー経由で接続していても、
プロキシサーバーに対応したクラッキングツールもある様です。(すみません。URL忘れました。)
このような受動的攻撃サイトやそのサイトにメールマガジンか何かで巧みに誘導させれば、クライアント機は、ものの10秒もかからずに
クラッキングされてしまいます。実際、WebページのバナークリックよりもメールマガジンのURLクリックの方が不用意に行われる様です。
クライアント機に足場を築かれると、困りますね。不安でしたら、一度、検証して見て下さい。
ブラウザがIEでしたら、セキュリティレベルは、「高」で、プライバシーのcookieも「すべてのcookieをプロック」に
していても普通は、困らないはずです。


ブラウザの応答を偽装するとか

No.3726 投稿時間:2002年06月17日(Mon) 18:56 投稿者名:simmn URL:

> このような受動的攻撃サイトやそのサイトにメールマガジンか何かで巧みに誘導させれば、
> クライアント機は、ものの10秒もかからずにクラッキングされてしまいます。

メールや掲示板を介して罠の仕掛けられたサイトに誘導される危険性については私も承知しています。
こうした受動的攻撃やトロイの木馬を別にすれば、「力技」でローカルアドレスのマシンに押し入られる
心配は無いと言っていいのでしょうか。

NAT経由でインターネットをブラウズしているということは、例えば内側からのブラウズに対する応答
のように偽装したパケットならばパケットフィルタもNATも通過出来てしまうのではないかという気が
します。

例えばネットワークを盗聴していて、ブラウズのために流れ出てきたパケットを分析し、本物の応答が
帰って来る前に偽装したパケットで応答したら、後から来た本物のパケットが「偽者」扱いされてしまう
かもしれません。
もしそれが可能ならば、ブラウズしている人は正しいサイトに接続しているつもりが実は受動的攻撃などの
罠の仕掛けられたインチキサイトに誘導されてしまうかもしれません。
その誘導はほんの「一瞬」でもいいのですから、「おやっ?」と思ってもすぐに正しいサイトに接続できれば
(そのときには既にマシンはクラックされていたとしても)全く気づかないという訳です。

以上は全くの思い付きですが、この他に何かトリッキーな「ワザ」があるでしょうか。


心配ならハード的なルータやファイヤウオールを

No.3727 投稿時間:2002年06月17日(Mon) 21:22 投稿者名:Windows 嫌い URL:

あんまり心配しすぎると体に毒ですよ。
心配ならインターネットに直付けしないでハード的なルータでもファイヤウオールでも入れるべきです。
かつまめに更新をする。
それより、windows を信じるかどうかでしょう。
信じられるなら十分です。
私には Windows なんて物は信じられません。これをサーバーやルターやファイヤーウオールになんて考えられません。


実はハード買ったのですが・・・

No.3730 投稿時間:2002年06月18日(Tue) 01:21 投稿者名:simmn URL:

> ハード的なルータでもファイヤウオールでも入れるべきです。

実は「ZYWALL」ザイウォールというハードを買ったのですが、使い方がよくわからず接続できずにいるのです。

> それより、windows を信じるかどうかでしょう。信じられるなら十分です。

私の場合、Winよりも自分のスキルが信用できない、というのが正直なところです。(笑)


がんばりましょう!

No.3731 投稿時間:2002年06月18日(Tue) 23:28 投稿者名:Klaris URL:http://members.tripod.co.jp/Klaris/

> > ハード的なルータでもファイヤウオールでも入れるべきです。
>
> 実は「ZYWALL」ザイウォールというハードを買ったのですが、使い方がよくわからず接続できずにいるのです。
>
> > それより、windows を信じるかどうかでしょう。信じられるなら十分です。
>
> 私の場合、Winよりも自分のスキルが信用できない、というのが正直なところです。(笑)

まあ、マニュアル読んでがんばってくださいよ。どの程度の規模のネットワークを構築してるのかわかりませんが無駄にしないようにしましょう。この製品がどの程度のものなのかはわかりませんが、これだと多少ネットワークは重くなるでしょうね。
でも、VPNにステートフルインスペクションっててんこもりですね。がんばりましょう。

自分のスキルが信じられないとのことですが(笑)、最低限パッチくらいはあてましょうね。
カモにされちゃうんで。
あと、内部からの攻撃を防ぐ意味でもサーバ自体の要塞化は必須ですよ。まあ、UNIXも対策施さない限りwinといっしょですから(セキュリティの面では)
ただ、しっかり作ればwinより信頼性はありますが。


半分投げています

No.3736 投稿時間:2002年06月19日(Wed) 18:29 投稿者名:simmn URL:

> あと、内部からの攻撃を防ぐ意味でもサーバ自体の要塞化は必須ですよ。

私の乏しい知識の範囲でできる限りのことはしているのですが、せっかく買った「ZYWALL」も
マニュアルは主として動的アドレスのADSL環境(つまり一般的なクライアントをインターネットに
接続するような環境)については書かれていても、ISDN&ローバルの静的アドレス環境については
書かれていないようです。
ブラウザから簡単に設定できるはずなのですが、そのブラウザ表示自体がうまく出来たり出来なかったり
の状況です。

そのうち、うちもADSLにして、ADSLモデム等の環境になるまでは押入れの奥にしまって置くしか
なさそうです。


|目次|掲示板|過去ログ目次|▲頁先頭|