[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[connect24h:00456] Re: secure system with win9X

To: <connect24h@xxxxxxxxxxxxx>
Subject: [connect24h:00456] Re: secure system with win9X
From: office <office@xxxxxxxxxxx>
Date: Thu, 31 Aug 2000 12:36:28 +0900
officeです

はまもとさんが仕切ってくださるので楽ちん楽ちん
私の意図するところをほぼ汲み取ってくださっているし。

On Wed, 30 Aug 2000 20:43:29 +0900
hama <hamamoto@xxxxxxxxxxx> wrote:

> 1.常時接続でセキュリティを実現するための方法（Win9x編）
> （１）NAT BOX
> 個人で出せる金額で言うと、NAT BOXで１万５千円くらいまででしょう。
> そうなるとチップ原価が２～３千円以下である必要がありますが、現実問題、
> そんなチップはありませんから、NAT BOXを使う案は厳しいと思われます。
> （２年程でそれくらいの値段になるとは思いますが）
> 今の情勢で言うと、NAT BOXが普及するのは無線LAN兼NAT BOXのような製品
> がキラー製品として普及していくかも知れません。

私もこういう製品を期待しています。
早く出てきて欲しいですね。

> (2)パーソナルファイアウォール
> NAT BOXがダメとなるとソフトでという話になると思いますが、トレンドマイ
> クロやシマンテックからコンピュータウィルス対策ソフト兼パーソナルファ
> イアウォールがこの秋に出ますので、Win9x系の対外的なセキュリティとしては
> これで十分ではないかと思います。
> 
> 後は、以前、紹介した以下のようなソフトもよいと思います。
> ●BlackICE
> http://www.toyo.co.jp/security/
> 6500円。
> 
> ●Zone Labs
> http://www.zonelabs.com/
> 個人向けでは無料。
> 
> ●WinWrapper
> http://www.tsc.ant.co.jp/products/download.htm
> 12800円。cookieクラッシャーなどの機能あり。
> 
> ただ、これらのソフトよりは受動的攻撃対策のためにもアンチウィルスソフトと
> 一体型のパーソナルファイアウォールが今後は定番化してくるのではないでしょ
> うか。

win9xに侵入してリモートから制御権を奪おうとするとなると、なんらかのリモー
トツールを送り込むというのがほとんど必須となります。この方法は受動的攻撃
でもいいし、メールに添付するだけでもよい訳で、こういう手口から一番身を
守ってくれるのはいわゆるアンチウィルスソフトになります。
実はウィルス関係はこれまで私の興味外だったので、アンチウィルスソフトにつ
いてもあまり詳しく知りません。どなたか紹介して頂けないでしょうか？

> （３）ルータ
> 　フィルタ設定なども例があると良いと思います。

変なパケットが外へ出でDDoS攻撃の中継サイトにならないような
設定とかも要りますね。

> > (a)MSのパッチ類でこれだけ気を付けられる。
> 
> # うぅ。項目を考えるのが面倒なので、項目化はやめます。
> 
> Win9x系のパッチで入れる必要があるのはDoS対策くらいでしょう。
> それ以外はセキュリティの観点からは特に必要ないと思います。
> 個人レベルだと、SP化された段階で入れればよいでしょう。

DoS関係で最新パッチは５月１９日に出てますね
http://www.microsoft.com/japan/support/kb/articles/J049/9/50.htm
の「断片化された IGMP パケットでサービスが不能になる」
#windows updateは分かりにくくて使いにくいです。
この項は休日にでも改めて調べて整理します。

> もちろん、物理的接触をされれば
> 何でもありなのは皆さんよくご存知でしょうが、

起動用フロッピーを突っ込まれてリブートされると手も足もでませんが、
スクリーンセーバーからの復帰をpassword入力するようにしておくとか、
リブートした時にもpassowrodを入れないといけないようなソフトを導入
するとかしておくと短時間の間に攻略されることは防げます。
私は鍵言葉というのを使っています。

鍵言葉:(Free)
http://www.vector.co.jp/vpack/browse/pickup/pw2/pw002894.html
この類のソフトはVectorなら
http://www.vector.co.jp/vpack/filearea/win/util/security/index.html
に山ほどあります。

> もちろん、シングルユーザOSですし、

シングルユーザOSが何故よくないのかどなたか説明して頂けませんか？
実は私自身今一つ納得できていません。
システムファイルが簡単に変更できてしまえるという危険性は
「シングルユーザOSだから」ではないと思ってます。

> DoSやウィルスにも弱いですので、
> よりセキュリティを高めたいならWin2000やLinuxでFirewallを構築した
> 方が良いことは言うまでもありません。

これには全く異存ありません。
あとFreeBSDもね。;-)

> > (b)フリーソフトだけでここまでセキュアになる。
> > (c)低額なオンラインソフト類でもっとセキュアになる。
> > 　　（ファイヤーウォール、IDS情報希望）

【IDS】

> 今日、私のホームページでも紹介しましたが、Officeさんも良くご存知の
> 武田＠慶應さんが訳されたこちらのサイトが参考になると思います。
> WinNT系、Win9x系、Macの基本的な防御方法も掲載されているので良いと
> 思います。
> 
> 今回の話題では、
> 
> 3.2Win95/Win98において、どのようにして侵入の検出や防止を行うことができますか?
> 
> が直接の参考になると思います。
> 
> ●FAQ: Network Intrusion Detection Systems[日本語版]
> http://www.sfc.keio.ac.jp/~keiji/ids/ids-faq-j.html
> プリンタの共有がONになっている場合、リモートシステムからプリンタ・ドラ
> イバ以外のWin95 passwordなどのファイルへのアクセスを可能となる事例など
> が掲載されています。（他のWin95のバグを併用） 

pcap:(Free)
フリー、パケットキャプチャソフトウェア(win9X,winNT,win2K用あります）
http://netgroup-serv.polito.it/winpcap/

WinDump:(Free)
Unixのtcpdumpの移植版(win9X,winNT,win2K用あります）
http://netgroup-serv.polito.it/windump/

snort:(Free)
侵入検知ソフト(win95で使う場合にはWinsock 2.0が必要）
http://www.datanerds.net/~mike/snort.html
port139の井原さんによるpcapとsnortの日本語による簡単な説明
http://www.port139.co.jp/ntsec_snort.htm

ウィンドウズ９５監視ツールの解説
http://wakusei.cplaza.ne.jp/software/document/95util/95util.htm
残念ながらここに解説してあるツールのオリジナルサイトの多くは
行方不明です。

Dial Saver:(Free)
PCが国際電話やQ2に接続しないように監視
http://www.geocities.co.jp/Milano/3225/bbs/ds.htm

No!国際電話:(Free)
PCが国際電話に接続してないか監視
http://www.nifty.ne.jp/forum/femsoft/chintcal.htm


【リモートツール】

白橋明弘さんによる「Windows で使うセキュリティツール」
（OTP,SSL,SSHのクライアントとしての利用方法）
cygwinによるSSH(sshdも同梱）
http://www.lexa.ru:8101/sos/
ftp://www.lexa.ru/pub/domestic/sos/ports/
sshとsshdのインストール方法
http://www.gnac.com/techinfo/ssh_on_nt/

【NAT】

> > #私は(c)でwingateとかwinrouteぐらいしかぱっと思い付かなかったのです。
> > #ちょっと情けなかった。

WinGate Home:3user ￥5,800
http://www.technogroup.co.jp/wingate/

> Wingeteは恐ろしくunsecureです。お勧めできません。telnetをかけると、
> telnetデーモンらしきものが立ち上がってきて踏めます。踏み台の定番
> です。踏めるwingateを公開したwingateデータベースというものもあり
> ます。インドの核実験データを盗んだクラッカーは、イスラエルあたり
> のwingateを踏んで侵入したという話を聞いたことがあります。(ただ、
> windows9x系のものは、結構、セキュアだという話です)
> 
> wingateは意地でも踏んでやろうとターゲットになることが多いソフトで
> す。開発者さんもwingateをセキュアにしようと努力はしていますが、ク
> ラッカーもunsecureにしてやろうと意地になっているので、使わないほ
> うがよいでしょう。

ひえ～。ver.3になった今でもそうなんですか？
昔私が弄って遊んでいた頃のwingateはwin9Xで使うと完全にbackgroundで
走り、タスクトレイにアイコンさえ出ませんでした。おまけにデフォルト
ではlogを取りません。BackOrificeのことをとやかく言う人がいますが、
wingateこそ踏み台用のbackdoorとして最適でした。

WinRoute Lite:3users $59.00
http://www.winroute.com/
Tiny Personal Firewall:$29.00
http://www.winroute.com/

NAT32:$47.00
http://www.nat32.com/
NAT32はNATの機能*しか*ついてないような気もするのですが、
フィルタリング機能はついてるのでしょうか？

> > また、win9Xで走らせるサーバソフト類についてもセキュリティの観点から
> > コメント頂けるとありがたいです。
> 
> 初心者の方が見られるわけですから、日本語のものがよいでしょう。セキュ
> リティ情報も日本語で読めますしね。


【proxy】

> ●Black Jumbo Dog:(Free)
フリー，アプリケーションゲートウェイ
> http://homepage2.nifty.com/spw/bjd/index.html
> Winproxyが改名

apache:(Free)
proxy機能もついています。アプリケーションゲートウェイ
http://www.apache.org/dist/
日本語情報
http://www.apache.or.jp/

delegate:(Free)
アプリケーションゲートウェイ


Stone:(Free)
パケットリピーター。SSLも使えます
http://www.gcd.org/sengoku/stone/Welcome.ja.html

Jproxy:(Free)
日本語コード変換コンバータ
以前はportが外部に開いていましたが、フィルター機能がついたようです。
http://www.aplabs.co.jp/~muri/jproxy/

lilith:(Free)
WWWブラウジング用ローカルproxy(con/con/等も排除できます)
http://prx4ever.virtualave.net/ps/

> 後は、以下のサイトで不審なポートが立ち上がっていないかとか、Proxyポート
> がオープンになっていないかチェックするといいと思います。
> 
> ●Shields Up!
> https://grc.com/x/ne.dll?bh0bkyd2
> 
> ●Proxy Checker ver. 0.3
> http://cache.jp.apan.net/proxy-checker/index-j.html
> 


> > あるいは、条件２のwin9Xマシンに代えて、win2Kだったらとかmacだったらとか
> > Beだったらとかいったようなお答えも歓迎します。
> 
> MacはWin系と基本的に同じでしょう。
> パーソナルファイアウォールを入れて、Mac shareの共有をOFFにするで良い
> と思います。

忘れないうちに書いておくとmacの個人用Firewallとして
DoorStop Personal Firewall:Single license $59
http://www2.opendoor.com/doorstop/

というのがあるんですね。たまたま今日見つけたもので:)
> 
> Win2kは初心者には難しいですねぇ。まとめると結構なボリュームになりそ
> うです。

誰か～！

> うーんと、書きなぐった感じではこんなところです。

ふぅ、疲れました。
続きは来週ぐらいかな？

以下はぱくり情報です。
アンダーグラウンドでFCさんという方がまとめられていたようです。
左欄のポートがあいていたら、右欄のようなトロイ等の可能性があります。
DOSコマンドで
netstat -an
とすると現在開いているポートはわかります。
________________________________________________________________________

port     31 - Hackers Paradise
port     80 - Executor
port    456 - Hackers Paradise
port    555 - Ini-Killer, Phase Zero, Stealth Spy
port    666 - Satanz Backdoor
port   1001 - Silencer, WebEx
port   1011 - Doly Trojan
port   1170 - Psyber Stream Server, Voice
port   1234 - Ultors Trojan
port   1243 - Subseven1.1
port   1245 - VooDoo Doll
port   1492 - FTP99CMP
port   1600 - Shivka-Burka
port   1807 - SpySender
port   1981 - Shockrave
port   1999 - BackDoor
port   2001 - Trojan Cow
port   2023 - Ripper
port   2115 - Bugs
port   2140 - Deep Throat, The Invasor
port   2801 - Phineas Phucker
port   3024 - WinCrash
port   3129 - Masters Paradise
port   3150 - Deep Throat, The Invasor
port   3700 - Portal of Doom
port   4092 - WinCrash
port   4590 - ICQTrojan
port   5000 - Sockets de Troie
port   5001 - Sockets de Troie
port   5321 - Firehotcker
port   5400 - Blade Runner
port   5401 - Blade Runner
port   5402 - Blade Runner
port   5550 - XTCP
port   5569 - Robo-Hack
port   5742 - WinCrash
port   6670 - DeepThroat
port   6671 - DeepThroat3
port   6771 - DeepThroat
port   6969 - GateCrasher, Priority
port   7000 - Remote Grab
port   7300 - NetMonitor
port   7301 - NetMonitor
port   7306 - NetMonitor
port   7307 - NetMonitor
port   7308 - NetMonitor
port   7789 - ICKiller
port   9872 - Portal of Doom
port   9873 - Portal of Doom
port   9874 - Portal of Doom
port   9875 - Portal of Doom
port   9989 - iNi-Killer
port  10067 - Portal of Doom
port  10167 - Portal of Doom
port  11000 - Senna Spy
port  11223 - Progenic trojan
port  12223 - Hack´99 KeyLogger
port  12345 - GabanBus, NetBus
port  12346 - GabanBus, NetBus
port  12361 - Whack-a-mole
port  12362 - Whack-a-mole
port  16969 - Priority
port  20001 - Millennium
port  20034 - NetBus 2 Pro
port  21544 - GirlFriend
port  22222 - Prosiak
port  23456 - Evil FTP, Ugly FTP
port  26274 - Delta
port  31337 - Back Orifice.処女作
port  31338 - Back Orifice, DeepBO
port  31339 - NetSpy DK
port  31666 - BOWhack
port  33333 - ProgenicT_V1.1
port  34324 - BigGluck, TN
port  40412 - The Spy
port  40421 - Masters Paradise
port  40422 - Masters Paradise
port  40423 - Masters Paradise
port  40426 - Masters Paradise
port  47262 - Delta
port  50505 - Sockets de Troie
port  50766 - Fore
port  53001 - Remote Windows Shutdown
port  61466 - Telecommando
port  65000 - Devil
－－－－－－－－－－－－－－－－－

--
office
http://www.office.ac/
References:
- [connect24h:00444] secure system with win9X
  - From: office
- [connect24h:00452] Re: secure system with win9X
  - From: hama
Prev by Date: [connect24h:00455] DNS 教えてくだ��さい。
Next by Date: [connect24h:00457] NAT HOWTO(Re: 話題提供 8/30)
Previous by thread: [connect24h:00452] Re: secure system with win9X
Next by thread: [connect24h:00451] 話題提供 8/30
Index(es):
- Date
- Thread