@IT会議室は、ITエンジニアに特化した質問・回答コミュニティ「QA@IT」に生まれ変わりました。ぜひご利用ください。
- PR -

WinMXとWinnyを社内から撃退したい!!!

投稿者投稿内容
McLaren
ぬし
会議室デビュー日: 2002/01/15
投稿数: 784
お住まい・勤務地: 東京
投稿日時: 2003-12-15 19:02
 お世話になります。WinMXとWinnyを社内から利用できないようにしたいと思っております。現状の構成で防げていると言えますでしょうか。ご教授と議論のほどよろしくお願いします。またファイアーウォールによるフィルタリングはそこそこ行っておりますが、今回は「フィルタリングは一切設定なしのダダ通し」という前提で議論願います。

[構成]-----------------------------------------

[インターネット]
  |
  |xx.xx.xx.xx (動的グローバルIP)
[外向けルータ] IPマスカレード
  |192.168.1.1
  |
  +---[プロキシ RH8.0&squid] 192.168.1.100
  |
  |192.168.1.2
[社内ルータ]
  |192.168.2.2
  |
[クライアント達] 192.168.2.0/24 Windows98,2000,XP
※クライアントPCにWinnyをインストールして外部ルータの外のマシンとP2Pで接続しようとしているという仮定です。

-----------------------------------------

ルーティングのルールは

[外向けルータ]:
・192.168.1.0/24 に属する人はIPマスカレードで外へ出て行っていいですよ。

[プロキシ]:
・デフォルトゲートウェイは 192.168.1.1
・192.168.2.0/24 へのゲートウェイは 192.168.1.2

[社内ルータ]:
192.168.1.0/24 と 192.168.2.0/24 間をルーティングする普通のルータ。

[クライアント達]:
デフォルトゲートウェイは 192.168.2.2 IEのプロキシの設定に 192.168.1.100 を指定。






[ メッセージ編集済み 編集者: okumura 編集日時 2003-12-16 11:33 ]
ほむら
ぬし
会議室デビュー日: 2003/02/28
投稿数: 583
お住まい・勤務地: 東京都
投稿日時: 2003-12-16 10:54
使用している人間を現行犯で捕まえて社長or上司に。。。。

#内容を問わず会社で利用したらあかんでしょう?
McLaren
ぬし
会議室デビュー日: 2002/01/15
投稿数: 784
お住まい・勤務地: 東京
投稿日時: 2003-12-16 11:17
 待望のご返信ありがとうございました。おおせの通り、proxyのログからユーザーは既に処分を受けております。しかし、できないような構成にしておきたいという願いから投稿させていただきました。このような構成の場合、防げていると言えるでしょうか。。
McLaren
ぬし
会議室デビュー日: 2002/01/15
投稿数: 784
お住まい・勤務地: 東京
投稿日時: 2003-12-16 11:26
 自己レスですが、WinMXやWinnyの細かい仕様を知らないために何番ポートを閉めたらいいかとかIPマスカレードしている時点で外からは接続できないから安全といえるのかの判断ができません。どなたかお詳しい方はおられませんでしょうか。

 また、Web上でこんな発言も見つけましたが、SoftEtherなるものを使用されるとIPマスカレードされていてもトンネルをつくられてしまうのでしょうか。。普通は無理だと思っているのですが。。

-------------------------------------------
【社内LAN】SoftEther による仮想イーサネット

1 :名無しさん@お腹いっぱい。 :03/11/17 09:09
SoftEther という仮想ネットワークソフト(?) について。

イーサネットのスイッチングHUBやNICをエミュレートするらしい。
社内LANのセキュリティやらファイアウォールやらを回避して
離れた場所にあるコンピュータやネットワークと接続できる?らしい。

同様のことは、ポートフォワーディングやSOCKSなどでできるそうですが
それよりも便利そうです。

ホームページ
http://www.softether.com/

私がこのソフトの話を聞いたのは半年くらい前の某コンピュータシンポジウムで、
最初はたいしたことは無いソフトだと思っていましたが、よくよく考えると
社内LANのユーザーにとっては喉から手が出るほど欲しい機能が満載かも。
でもネットワーク管理者から見ると、あまり歓迎できないものかも知れません。

まだ公開されてないみたいなので、半分想像で語っていきましょう。
-------------------------------------------
がるがる
ぬし
会議室デビュー日: 2002/04/12
投稿数: 873
投稿日時: 2003-12-16 11:54
ども。がるです。ご無沙汰しております ^^
WinMX、Winnyまわりはいまタイムリーな話題なので。
…とはいっても、実は私もよく知らないので(使ってないし)、ちょいと
調べてみました。

…結論からいうと、記述されている構成の場合「半分OKで半分NG」
という感じです。
ちと、噛み砕いて。

WinMXにせよWinnyにせよ、PCが「サーバとして」動く場合と「クライアント
として」動く場合、という2種類の想定が出来ます。
サーバとして動く場合は「誰かがアクセスしてるまでのんびりまっている」
状況で、クライアントとして動く場合には「サーバのPCに自分からアクセス
しに行く」状態ですね。

サーバとして動かそうとした場合、IPマスカレードの内部にあるPCには
アクセスが出来ないので、「サーバとして動かそうとしている」状況は
すべて遮断できます。「半分OK」の部分です。

一方、クライアントとして動く場合、イメージとしては「Webを閲覧する」
のと等価な動きをすることになるので、IPマスカレードではいかんとも
しがたいアクセスになります。「半分NG」の部分です。

で、ちと掘り下げて調べたのですが…。
ポート番号、「デフォルトはある」けど「任意に変えられる」、わりと
面倒なサービスであることがわかりました。

WinMXの場合、デフォルトは
TCP通信ポート:6699
UDP通信ポート:6257

Winnyの場合、デフォルトはなく「ランダムに」決定されるそうです。
…ちとびっくり。

この仕様から考えると、クライアント使用を技術的に止めるのは
比較的に困難が伴いそうな気がします。
WinMXの場合はデフォルトがあるのでまだましですが、各種ISPの
「帯域絞り」でポート番号を流動的にする輩も増えるでしょうし。

その辺を考えると、技術的な側面からのアプローチとしてとりあえず
思いつくのは
・パケット量を定期的にチェック:通信料がおかしい人をつるし上げ
ってあたりでしょうか?
或いは、ちとログが増えますが「準特権ポートの通信を全部ロギング」
してチェックするか、ですね。

こうやってみると、思った以上に面倒であることがうかがい知れます。
…困ったものです。

あんまり役に立たない投稿になってしまいましたが ^^;
少しでもなにかの「足し」になれば、と思います。

追伸:
SoftEtherですが。見てる限り、いわゆるトンネル系ですね。
見ている限りでは、IPマスカレードはトンネルできないと
思います。
ただ、F/Wはトンネルできると思うので、十分に面倒な
ブツではありますが。

…面倒な世の中になってきたなぁ、と。
もっともっと勉強せねば ^^;
McLaren
ぬし
会議室デビュー日: 2002/01/15
投稿数: 784
お住まい・勤務地: 東京
投稿日時: 2003-12-16 13:34
いつもながら分りやすいご説明ありがとうございます。他の皆様もご返信感謝しております。さて、クライアントがインストールできるF/Wというツールがあるのでしょうか。。
m.ku
大ベテラン
会議室デビュー日: 2002/09/15
投稿数: 184
投稿日時: 2003-12-16 13:45
どこで見たかは忘れましたが、その手のP2Pサーバを(社外には出ないように)立てておいて
社内からアクセスが有ったらトラップを起動させるというハニーポット系の手法を
使っているパターンは面白いな、と思ったことがあります。
安全性についてはどうか?と疑問がありますけど、使い方によっては有効な手法かもしれません。
がるがる
ぬし
会議室デビュー日: 2002/04/12
投稿数: 873
投稿日時: 2003-12-16 13:57
ども。がるです。
引用:

okumuraさんの書き込み (2003-12-16 13:34) より:
クライアントがインストールできるF/Wというツールがあるのでしょうか。。


ごめんなさい ^^;
F/Wはファイアウォールの略です。

# そういえば最近「クライアントにインストールするファイアウォール」も
# 増えてきたような…
# 一部のユーザのセキュリティ意識は高くなったんでしょうねぇ。

スキルアップ/キャリアアップ(JOB@IT)