[connect24h:00447] Re: secure system with win9X

[Yoshiaki Matsushima <yo-matsu@xxxxxxxxxxxxxxxx>]

松島です。

office <office@xxxxxxxxxxx> さんが、
Wed, 30 Aug 2000 11:09:58 +0900 頃書いた、
[connect24h:00444] secure system with win9X への返信です。

office> 以下のような状況を想定してます。
office> 
office> １. 貧乏な個人ユーザ
office> ２. win9Xマシン一台がメイン、
office> 　　　（ネット接続可能ワープロとかゲーム機といったクライアントで
office> 　　　LANぐらいは組んでいるかもしれない。）
office> ３. OCN,ケーブル回線、フレッツISDNなどで常時接続、固定IPの環境が
office> 　　　整った。
office> ４. Internet-(モデム類)-メインマシン
office> 　　　という状況で生で外界に繋がっており一切防御されていない。
office> ５. WWW、ftpといったサーバ群を立てて一般公開したい。
office> 
office> このような状況でできるだけセキュアな環境を整えるとしたら、どのような
office> 手法があるでしょうか？どのようなことに気を付けるべきでしょうか？

先ず、Win系で注意を払わなければならない問題を洗い出さないと・・・、

条件の５を除けば、Win系で問題になるのはNetBIOS関連位だと思うので、これ
は、ディレクトリ共有サービスのプロトコルバインドからTCP/IPを外して他の
プロトコル(CATVモデムがIPしか通さないとして、NetBEUIなど)を利用する。
位かな、

# Win9x系は、インストールされるサービスも少ないし、コレだけで、十分セ
# キュアになるのでは？、素人さんの立てたUnix系の方が怖いような・・・

で、５については、「サーバとして何を使うか」と運用管理の問題になると思
います。機能がシンプルで単純な物を選ぶ。MSのIISを使う必要が有るなら、
インストール後、不要なサンプルスクリプトやASPの関連付けを削除する。
使えるファイルシステムがFATだけでアクセス管理が出来ないので、サービス
用のディレクトリはシステムとは別のドライブ上に配置、さらに、個人利用な
らフリーで使えるファイヤーウォールなども在るようなので、それらを利用す
るとか・・・、

office> (a)MSのパッチ類でこれだけ気を付けられる。
office> (b)フリーソフトだけでここまでセキュアになる。

家の(Win2K)場合、一部のポートへのフィルタ、IISが動いているので、MSパッ
チの追いかけ、pcap(Windump)でログ取り、
とか、やってます。今のところ無事みたいですょ(笑。

-- 
松島 義明  (yo-matsu@xxxxxxxxxxxxxxxx | matusima@xxxxxxxxxxxxx)