- PR -

管理者泣かせのソフトウェア

投稿者投稿内容
がるがる
ぬし
会議室デビュー日: 2002/04/12
投稿数: 873
投稿日時: 2003-12-29 13:57
ども、がるです。
引用:

ぽんすさんの書き込み (2003-12-29 01:44) より:
引用:

この問題に対して、割と少なくない経営陣が「100万も払うのは
ちょっと…」としり込みして終わります。
きちんと計算式を出して、一年後にどんな推移になるのか、数字で
出してグラフにして、それでもなお。


『ライト、ついてますか』に、「あまりにあっさり解いてしまうと
信じてもらえない」という話が出てきますが...
きっと、すっきり説明しすぎなのでしょう。10倍くらい時間をかけて
頭の悪そうな説明をすれば信じてもらえるかも


む、これは新機軸(笑
今度時間があるときにでも試してみようかしらん。
そういえば「報告書はその厚みで人を説得する」って話もあったし。
自分の主義からあまりにもかけ離れた方向性なのですっかり
忘れてました(笑

引用:

ご自身で指摘されている通り、簡単に偽造できる点が問題と思います。
「ニセhttpサーバ」と「ニセhttpクライアント」の双方がクラッキング
ツールによって実装されている状況までケアしておくべきと思います。
# ここまで考えると、凝った擬装を施して探知するのが非常に
# めんどくさくなる設計もできるよなあ... はあ...


多分、すでに走り出したっていうか転がりだしたものなので、
例えば今SoftEtherをとめてもまた別のなにかが出てくる可能性は低く
ないと思ってます(それでもまぁ選択肢を一つでも減らしたいってのも
素直な人情ではあるのですが)。

なにか、抜本的にセキュリティに対する対策の考え方が変わっていくの
かもしれないですね。
行く先が「縛りまくりのガッチガチ」には行き着かないことを祈りたい
のですが…
miyachan
ベテラン
会議室デビュー日: 2002/04/14
投稿数: 52
お住まい・勤務地: 埼玉県
投稿日時: 2003-12-29 15:16
どもっ、ネット○ンナー愛読者??の miyachan です

早速ですが...

ディスクトップファイアーウオールって物で対策できないか?と思って調べてみました

ディスクトップファイアーウォールの解説は下記を参照(読むにはユーザー登録の必要あり)
http://www.keyman.or.jp/search/30000536_1.html

ディスクトップFWってのは企業向けの物なので同じ機能をもってそうな
個人向けのノートンインターネットセキュリティ2004体験版で実験してみました
(Norton Personal Firewall の体験版が無いのでNIS2004で代用)


NIS2004のファイアーウール設定の中で
 プログラム制御って項目があり、その中で

  SoftEther.exe "すべてを遮断"

に設定すると SoftEther からの通信を遮断できるみたいです

取りあえずブロックを確認できたのが 直接IP接続、Proxy、Socksです
(SocksについてはSocksサーバーが無いのでNIS2004の表示で確認)

あと SoftEther のスタートアップ接続(自動接続)が設定してある場合の通信の遮断
確認を行った所

実験用公開HUBへ接続されてしまったが、NISの起動が完了?するとブロックされ
る様です(ログイン後確認しているのでログイン前はどうか不明ですが)


たぶん個人用のパーソナルファイアーウォールでブロックできるって事は、
企業用の製品であれば管理サーバーで通信を行なうプログラムのアクセス制御を集中し
管理できるのでは?ないかと思ったのですが...


企業用の Symantec Client Firewall で試せる方います?
Seareizr
会議室デビュー日: 2003/12/29
投稿数: 2
投稿日時: 2003-12-29 16:27
引用:

miyachanさんの書き込み (2003-12-29 15:16) より:
ディスクトップファイアーウオールって物で対策できないか?と思って調べてみました

ディスクトップファイアーウォールの解説は下記を参照(読むにはユーザー登録の必要あり)
http://www.keyman.or.jp/search/30000536_1.html

ディスクトップFWってのは企業向けの物なので同じ機能をもってそうな
個人向けのノートンインターネットセキュリティ2004体験版で実験してみました
(Norton Personal Firewall の体験版が無いのでNIS2004で代用)

NIS2004のファイアーウール設定の中で
 プログラム制御って項目があり、その中で

  SoftEther.exe "すべてを遮断"

に設定すると SoftEther からの通信を遮断できるみたいです

取りあえずブロックを確認できたのが 直接IP接続、Proxy、Socksです
(SocksについてはSocksサーバーが無いのでNIS2004の表示で確認)

あと SoftEther のスタートアップ接続(自動接続)が設定してある場合の通信の遮断
確認を行った所

実験用公開HUBへ接続されてしまったが、NISの起動が完了?するとブロックされ
る様です(ログイン後確認しているのでログイン前はどうか不明ですが)

たぶん個人用のパーソナルファイアーウォールでブロックできるって事は、
企業用の製品であれば管理サーバーで通信を行なうプログラムのアクセス制御を集中し
管理できるのでは?ないかと思ったのですが...




セーレイズです。

miyachanさんのアプローチは結構いけるかと思います。

ただ、特定の条件下になるとパーソナルファイヤーウォールの類は
無意味になってしまう可能性があると思います。

特例かもしれませんがプロセス名からフィルタリングをした場合、
あくまでSoftEther.exeが出した通信だけがブロックされます。

ここでキーになるのが、SoftEtherの仮想Ethernetを使う場合に
必ずSoftEther.exeのプロセスが通信を出すのかどうかってところでしょうか。

SoftEtherは仮想NICをドライバとしてインストールしています。
そのため、これはプロセスではないためパーソナルファイヤーウォールのルールには
追加できないと思います。

そうした場合、もしiexplore.exeなどの別のプロセスが直接仮想NICへ通信内容を
送れるとすればパーソナルファイヤーウォールは事実上無力化してしまいます。

たとえば、察するにSoftEther.exeは公開HUBに認証するために本物のNICに対して
要求をかけていると思います。(SoftEtherの通信は確立していないため)

このときにmiyachanさんが試した方法でブロックされていると思われます。

しかし、もし仮想NICのドライバ自体が公開HUBに通信をして認証を行うように
仕様が変更になったら外部ツールでのブロッキングはほぼ無力化すると
私は考えます。実際、ドライバはレジストリなどを参照して設定を
呼び出すことができるので、技術的には可能だと思います。

仮定を元にした考えですが、いかがでしょうか。
ヒデ
ベテラン
会議室デビュー日: 2002/12/12
投稿数: 76
お住まい・勤務地: 横浜
投稿日時: 2003-12-29 18:31
私が勤務している会社では、プロキシを経由しないと外には出られず
また可能な通信も FTP とか HTTP とかに制限されているだけではなく
プロキシが接続先もチェックしており、すべてのアドレスに接続可能な
わけではありません。
 現状は、ブラックリスト 結構いい加減な設定ではありますが・・・

こんなのが出回るようなら、ブラックリストではなく
申請に基づくホワイトリストになりそうです。
あにゃ
常連さん
会議室デビュー日: 2003/12/24
投稿数: 23
投稿日時: 2003-12-29 19:20
こんにちは。あにゃです。

引用:

NIS2004のファイアーウール設定の中で
 プログラム制御って項目があり、その中で
  SoftEther.exe "すべてを遮断"
に設定すると SoftEther からの通信を遮断できるみたいです



ふむふむ、それじゃあSoftEther.exeをリネームして、iexplore.exeにしようかしらん♪
あにゃ
常連さん
会議室デビュー日: 2003/12/24
投稿数: 23
投稿日時: 2003-12-29 19:23
こんにちは〜。あにゃです。

引用:

こんなのが出回るようなら、ブラックリストではなく
申請に基づくホワイトリストになりそうです。



ホワイトリスト管理・・・
これだけで一日終わりそうですな。。。
頭の固い重役連中があれが見られないだのこれが見られないだの・・・
JYAJYA
常連さん
会議室デビュー日: 2002/05/22
投稿数: 48
投稿日時: 2003-12-30 02:36
こんばんは、じゃ。です。

引用:

ソフトウェアを作った作者の動機は正確に捉えなければいけない


引用:

セキュリティ手段を確保することをせず、利便性のみを追求して
むしろセキュリティを破ることを前提において開発している。
もうちょっと正確に述べると「セキュリティ手段を確保することを
せず、利便性のみを追求してむしろセキュリティを破ることを
前提において開発している」点において、一定の罪悪が存在する
と思っています。



一定の罪悪が存在する事は大体同感ですが、セキュリティーを破るのに利用できるソフトを開発したという点を理由にしてしまうと、hpingやnmapの作者も(こじつければTeratermやEtherealの作者も)同罪という感じがします。実際これはソフトの本来の利用目的と、それがどの程度有益か(セキュリティーを破る事以外に)という事になると思うのですが、SoftEtherはこの点の評価が定まってませんね。


現実的な対応策ですが、アンチウィルスソフトが検出してくれるのが一番簡単ではないでしょうか? SoftEtherの亜種にもすぐ対応できますし、対応するためのリソースも彼らであれば既に揃っていますし。アンチウィルスソフトなら既にインストールしている企業も多いでしょうし。

パターンファイルでの対応が難しければ、アンチウィルスソフトの有償アドオン(別途購入パターンファイル?)としてでも良いですし。上司を説得するのにも、既に導入済みのソフトの有償アドオンという形であれば楽です。新規導入は垣根が高いですが。

有償アドオンなら、単なるパターンファイルだけではなくて、クライアントPCのソフトウェアコントロール機能もあればいいかも。
ヒデ
ベテラン
会議室デビュー日: 2002/12/12
投稿数: 76
お住まい・勤務地: 横浜
投稿日時: 2003-12-30 05:22
引用:

JYAJYAさんの書き込み (2003-12-30 02:36) より:

現実的な対応策ですが、アンチウィルスソフトが検出してくれるのが一番簡単ではないでしょうか? SoftEtherの亜種にもすぐ対応できますし、対応するためのリソースも彼らであれば既に揃っていますし。アンチウィルスソフトなら既にインストールしている企業も多いでしょうし。

パターンファイルでの対応が難しければ、アンチウィルスソフトの有償アドオン(別途購入パターンファイル?)としてでも良いですし。



暗号化されたメールではウイルスの検出が難しいように、
通信内容が暗号化されているので、アンチウィルスソフトで検出することは
技術的にかなり難しいのでは ?

もともとの設計意図がそういったものに検出不能とすることのようですし・・・

### 追加 ###
 勘違いしていました。
 SoftEtherを禁止して、社員のインストールされていないかどうか
 ウイルスとして検出するといった趣旨ですね。
 それなら可能かもしれませんね。
 ソースが公開されたら、簡単に亜種が作れそうですが・・・
### 以上 ###
引用:

クライアントPCのソフトウェアコントロール機能もあればいいかも。



許可したソフト以外はインストール禁止にし、
インストールされているプログラムを監視するのでしょうか?

営業とか総務とかの部署では可能かもしれませんが
技術系の職場の場合は、使用するソフトが多岐にわたるので
管理がかなり難しそうですし、勝手にガードを外して動作させる人がでそうです。


[ メッセージ編集済み 編集者: ヒデ 編集日時 2003-12-30 05:34 ]

スキルアップ/キャリアアップ(JOB@IT)