- - PR -
管理者泣かせのソフトウェア
投稿者 | 投稿内容 | ||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2003-12-29 13:57
ども、がるです。
む、これは新機軸(笑 今度時間があるときにでも試してみようかしらん。 そういえば「報告書はその厚みで人を説得する」って話もあったし。 自分の主義からあまりにもかけ離れた方向性なのですっかり 忘れてました(笑
多分、すでに走り出したっていうか転がりだしたものなので、 例えば今SoftEtherをとめてもまた別のなにかが出てくる可能性は低く ないと思ってます(それでもまぁ選択肢を一つでも減らしたいってのも 素直な人情ではあるのですが)。 なにか、抜本的にセキュリティに対する対策の考え方が変わっていくの かもしれないですね。 行く先が「縛りまくりのガッチガチ」には行き着かないことを祈りたい のですが… | ||||||||||||
|
投稿日時: 2003-12-29 15:16
どもっ、ネット○ンナー愛読者??の miyachan です
早速ですが... ディスクトップファイアーウオールって物で対策できないか?と思って調べてみました ディスクトップファイアーウォールの解説は下記を参照(読むにはユーザー登録の必要あり) http://www.keyman.or.jp/search/30000536_1.html ディスクトップFWってのは企業向けの物なので同じ機能をもってそうな 個人向けのノートンインターネットセキュリティ2004体験版で実験してみました (Norton Personal Firewall の体験版が無いのでNIS2004で代用) NIS2004のファイアーウール設定の中で プログラム制御って項目があり、その中で SoftEther.exe "すべてを遮断" に設定すると SoftEther からの通信を遮断できるみたいです 取りあえずブロックを確認できたのが 直接IP接続、Proxy、Socksです (SocksについてはSocksサーバーが無いのでNIS2004の表示で確認) あと SoftEther のスタートアップ接続(自動接続)が設定してある場合の通信の遮断 確認を行った所 実験用公開HUBへ接続されてしまったが、NISの起動が完了?するとブロックされ る様です(ログイン後確認しているのでログイン前はどうか不明ですが) たぶん個人用のパーソナルファイアーウォールでブロックできるって事は、 企業用の製品であれば管理サーバーで通信を行なうプログラムのアクセス制御を集中し 管理できるのでは?ないかと思ったのですが... 企業用の Symantec Client Firewall で試せる方います? | ||||||||||||
|
投稿日時: 2003-12-29 16:27
セーレイズです。 miyachanさんのアプローチは結構いけるかと思います。 ただ、特定の条件下になるとパーソナルファイヤーウォールの類は 無意味になってしまう可能性があると思います。 特例かもしれませんがプロセス名からフィルタリングをした場合、 あくまでSoftEther.exeが出した通信だけがブロックされます。 ここでキーになるのが、SoftEtherの仮想Ethernetを使う場合に 必ずSoftEther.exeのプロセスが通信を出すのかどうかってところでしょうか。 SoftEtherは仮想NICをドライバとしてインストールしています。 そのため、これはプロセスではないためパーソナルファイヤーウォールのルールには 追加できないと思います。 そうした場合、もしiexplore.exeなどの別のプロセスが直接仮想NICへ通信内容を 送れるとすればパーソナルファイヤーウォールは事実上無力化してしまいます。 たとえば、察するにSoftEther.exeは公開HUBに認証するために本物のNICに対して 要求をかけていると思います。(SoftEtherの通信は確立していないため) このときにmiyachanさんが試した方法でブロックされていると思われます。 しかし、もし仮想NICのドライバ自体が公開HUBに通信をして認証を行うように 仕様が変更になったら外部ツールでのブロッキングはほぼ無力化すると 私は考えます。実際、ドライバはレジストリなどを参照して設定を 呼び出すことができるので、技術的には可能だと思います。 仮定を元にした考えですが、いかがでしょうか。 | ||||||||||||
|
投稿日時: 2003-12-29 18:31
私が勤務している会社では、プロキシを経由しないと外には出られず
また可能な通信も FTP とか HTTP とかに制限されているだけではなく プロキシが接続先もチェックしており、すべてのアドレスに接続可能な わけではありません。 現状は、ブラックリスト 結構いい加減な設定ではありますが・・・ こんなのが出回るようなら、ブラックリストではなく 申請に基づくホワイトリストになりそうです。 | ||||||||||||
|
投稿日時: 2003-12-29 19:20
こんにちは。あにゃです。
ふむふむ、それじゃあSoftEther.exeをリネームして、iexplore.exeにしようかしらん♪ | ||||||||||||
|
投稿日時: 2003-12-29 19:23
こんにちは〜。あにゃです。
ホワイトリスト管理・・・ これだけで一日終わりそうですな。。。 頭の固い重役連中があれが見られないだのこれが見られないだの・・・ | ||||||||||||
|
投稿日時: 2003-12-30 02:36
こんばんは、じゃ。です。
一定の罪悪が存在する事は大体同感ですが、セキュリティーを破るのに利用できるソフトを開発したという点を理由にしてしまうと、hpingやnmapの作者も(こじつければTeratermやEtherealの作者も)同罪という感じがします。実際これはソフトの本来の利用目的と、それがどの程度有益か(セキュリティーを破る事以外に)という事になると思うのですが、SoftEtherはこの点の評価が定まってませんね。 現実的な対応策ですが、アンチウィルスソフトが検出してくれるのが一番簡単ではないでしょうか? SoftEtherの亜種にもすぐ対応できますし、対応するためのリソースも彼らであれば既に揃っていますし。アンチウィルスソフトなら既にインストールしている企業も多いでしょうし。 パターンファイルでの対応が難しければ、アンチウィルスソフトの有償アドオン(別途購入パターンファイル?)としてでも良いですし。上司を説得するのにも、既に導入済みのソフトの有償アドオンという形であれば楽です。新規導入は垣根が高いですが。 有償アドオンなら、単なるパターンファイルだけではなくて、クライアントPCのソフトウェアコントロール機能もあればいいかも。 | ||||||||||||
|
投稿日時: 2003-12-30 05:22
暗号化されたメールではウイルスの検出が難しいように、 通信内容が暗号化されているので、アンチウィルスソフトで検出することは 技術的にかなり難しいのでは ? もともとの設計意図がそういったものに検出不能とすることのようですし・・・ ### 追加 ### 勘違いしていました。 SoftEtherを禁止して、社員のインストールされていないかどうか ウイルスとして検出するといった趣旨ですね。 それなら可能かもしれませんね。 ソースが公開されたら、簡単に亜種が作れそうですが・・・ ### 以上 ###
許可したソフト以外はインストール禁止にし、 インストールされているプログラムを監視するのでしょうか? 営業とか総務とかの部署では可能かもしれませんが 技術系の職場の場合は、使用するソフトが多岐にわたるので 管理がかなり難しそうですし、勝手にガードを外して動作させる人がでそうです。 [ メッセージ編集済み 編集者: ヒデ 編集日時 2003-12-30 05:34 ] |