[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[connect24h:00458] Re: secure system with win9X (Mac)

To: <connect24h@xxxxxxxxxxxxx>
Subject: [connect24h:00458] Re: secure system with win9X (Mac)
From: Yasuhisa Ishikawa <ishikawa@xxxxxxxxxxx>
Date: Fri, 1 Sep 00 06:52:44 +0900
■■■■■■■■最短３０分審査・最短当日１０万円振込み■■■■■■■■
「日曜日はリカの結婚式。ご祝儀準備しなきゃー、でも財布は空っぽ・・・」
　　　そんなときには１０万円までの◆プチローン◆が大好評。
(^o^)丿(^o^)丿(^o^)丿最短30分審査で当日振込ＯＫ！(^o^)丿(^o^)丿(^o^)丿
●お申し込みは今すぐ→       http://www.easyml.com/803.php3         ●
---------------------------------------------------------------------


皆様初めまして。石川と申します。

つい先日ISDNのダイヤルアップからOCNエコノミーに移行して
常時接続でのセキュリティに関して探し回っていたところ
こちらに行きつきました。Macユーザーです。宜しくお願いします。

このスレッドのお題がwin9xをMacに置き換えるとかなり自分に
ピッタリだったもので、初心者なため大したことは書けませんが、
Macの観点から少々コメントを。
実際にはサーバとしてのMacには疎いのですが。
ちなみに私の現況は↓です。

1. 貧乏な個人（複数）ユーザ
2. サーバ予定は数台、クライアントは10台ほど
3. OCNエコノミー
4. 現在、Internet-ルータ-DNSサーバ＆SMTPサーバ＆内部LAN
　　ルータのパケットフィルタとNATに頼っている危険な状態。
5. これからサーバを立てていく予定。サーバ群はMacでなくBSD系を予定。
　　現在は従来のダイヤルアップを単に常時接続に置き換えるのに
　　必要なプライマリDNSとSMTPサーバのみMacで立っている。
　　貧乏だが余っているマシンはあるので、それでFireWallを組む予定。

>> 1.常時接続でセキュリティを実現するための方法（Win9x編）
>> （１）NAT BOX
>> 個人で出せる金額で言うと、NAT BOXで１万５千円くらいまででしょう。
>> そうなるとチップ原価が２～３千円以下である必要がありますが、現実問題、
>> そんなチップはありませんから、NAT BOXを使う案は厳しいと思われます。
>> （２年程でそれくらいの値段になるとは思いますが）
>> 今の情勢で言うと、NAT BOXが普及するのは無線LAN兼NAT BOXのような製品
>> がキラー製品として普及していくかも知れません。
>
>私もこういう製品を期待しています。
>早く出てきて欲しいですね。

無線LANをすぐにでも組めるマシンが手元にあるので、私も早くこういう
製品が出てきて欲しいと思っています。
ただ、無線LANはセキュリティ上はどうなんでしょうか？

>> (2)パーソナルファイアウォール

Officeさんご紹介のDoorStop Personal Firewallに
追記で後述します。
ただ、はまもとさんがおっしゃる、
>> NAT BOXがダメとなるとソフトでという話になると思いますが、トレンドマイ
>> クロやシマンテックからコンピュータウィルス対策ソフト兼パーソナルファ
>> イアウォールがこの秋に出ますので、Win9x系の対外的なセキュリティとしては
>> これで十分ではないかと思います。
のように、クライアントとしてのMacもパーソナルファイアウォールで
充分だと思っています。

>win9xに侵入してリモートから制御権を奪おうとするとなると、なんらかのリモー
>トツールを送り込むというのがほとんど必須となります。この方法は受動的攻撃
>でもいいし、メールに添付するだけでもよい訳で、こういう手口から一番身を
>守ってくれるのはいわゆるアンチウィルスソフトになります。
>実はウィルス関係はこれまで私の興味外だったので、アンチウィルスソフトにつ
>いてもあまり詳しく知りません。どなたか紹介して頂けないでしょうか？

Macでリモートツールですと、
・The Takedown Suite 2.5 new
・Tinbukutu
・Apple Remote Access
・VNC
あたりかと思いますが、そもそもMacにツールを送り込んで起動させるのが
とても難しいのではないでしょうか。よしんば現行のMac OS 9で採用された
AppleScriptのネットワーク経由使用を使ったとしても。

>> （３）ルータ
>> 　フィルタ設定なども例があると良いと思います。
>
>変なパケットが外へ出でDDoS攻撃の中継サイトにならないような
>設定とかも要りますね。

これはMacでも変わらないので、あると嬉しいですね。

>> > (a)MSのパッチ類でこれだけ気を付けられる。

パッチではないですがMacのTCP/IPを司るOpenTransportのVer.1.2未満では
Ping of Deathへの対処がなされていません。
http://www.zdnet.co.jp/macweek/9705/n0509_ot12.html
ですので、1.2以上に上げておくべきだと思います。

>> もちろん、シングルユーザOSですし、
>
>シングルユーザOSが何故よくないのかどなたか説明して頂けませんか？
>実は私自身今一つ納得できていません。
>システムファイルが簡単に変更できてしまえるという危険性は
>「シングルユーザOSだから」ではないと思ってます。

これは私もいまいち判りません。例えば、何もサーバ系サービスを
していないクライアントMac(OS 8.1)＋FireWallなし＋ルータでパケット
フィルタなし（NAT使用）の状態で Shields Up! などに行っても
FULL STEALTH MODE!であったりしますし、
クライアントにPort Scanをかけてみても一つもportが空いていなかったり
するわけです。ルータがAppleTalkと通してしまえばまた別でしょうが。
この様な状態では、クライアントに対しては
1. 内部犯行（一人ではあり得ない）
2. 物理的接触
3. 受動的攻撃
が有効でしょうが、1.と2.はお題の様な状態や私のようなマンションの一室
という状態では、家の鍵をちゃんとかける、二重化する、などの方が
重要な気もします。ピッキング強盗も流行っている昨今...。
3. に関しても極度には心配しておりません。そもそもMacには受け取った
受動的攻撃を自動的に受け入れる仕組みが少ないですから。
# そうは言っても数年前のワームAutoStartの時は、友人やら同僚やらを
# 救うのにてんやわんやしましたけれども。

私としては逆に現状のシングルユーザOSであるMac OSよりも、次期の
おそらく完全なマルチユーザOSであろうMac OS Xの方が心配です。

>> DoSやウィルスにも弱いですので、
>> よりセキュリティを高めたいならWin2000やLinuxでFirewallを構築した
>> 方が良いことは言うまでもありません。
>
>これには全く異存ありません。
>あとFreeBSDもね。;-)

そうは言っても、私もFireWallには同感です。
私のFireWall構築予定はNetBSDです。:-)

>> > (b)フリーソフトだけでここまでセキュアになる。

こちらは余り詳しくないので、リンク先を上げておきます。

○Pure Mac: Servers＝Macで立ち上げられるサーバのリンク集
http://www.eskimo.com/~pristine/server.html

○Web Scripter's Meeting
Macでサーバー、な情報が沢山あげられている掲示板です。
http://mtlab.ecn.fpu.ac.jp/webcon.mtxt
特に、「MacOSのサーバーの攻め方、守り方。」
http://mtlab.ecn.fpu.ac.jp/webcon.mtxt$990729022422.html
他、セキュリティに関するスレッドが参考になります。


>> > あるいは、条件２のwin9Xマシンに代えて、win2Kだったらとかmacだったらとか
>> > Beだったらとかいったようなお答えも歓迎します。
>> 
>> MacはWin系と基本的に同じでしょう。
>> パーソナルファイアウォールを入れて、Mac shareの共有をOFFにするで良い
>> と思います。

不要であれば、Web共有もOFFにした方が良いと思います。
# OS 8.5.1以前のWeb共有に関しては、DoS(?)に対する脆弱性が
# 指摘されています。
http://www.geek-girl.com/bugtraq/1998_4/0597.html

>> > (c)低額なオンラインソフト類でもっとセキュアになる。
>> > 　　（ファイヤーウォール、IDS情報希望）
>
>忘れないうちに書いておくとmacの個人用Firewallとして
>DoorStop Personal Firewall:Single license $59
>http://www2.opendoor.com/doorstop/
>
>というのがあるんですね。たまたま今日見つけたもので:)

こちらは以前MacWireに使用記が載っていたものですね。
http://www.zdnet.co.jp/macwire/0005/31/c_mws.html
で、CATV接続のiMacに導入した顛末記が載っています。

また、最近日本語版が出たMac用のパーソナルFireWallで、
Net Barrier(\15,800-)というのもあります。
○販売元アクト・ツー
http://www.act2.co.jp/
○Net Barrierオフィシャルサイト
http://www.act2.co.jp/x_act2main/X_PRD/x_intego/NetBarrier/index.html
FireWallはTCP/IPとAppleTalkに設定でき、アタックの監視、特定のデータへの
フィルタ機能、などがあるようです。
もともとの開発元の米intego社(http://www.intego.com/)では
Virus Barrierというアンチウイルスソフトも売っているようです。
こちらの英語版なら、outpost.comでどちらも$50以下で購入できます。

長々と書いてしまいましたが、セキュリティに気を配り始めたのが、
割と最近なものですから、間違いなどありましたら、ご指摘下さい。

--
Virtual Monkeys
石川 泰久
ishikawa@xxxxxxxxxxx
Follow-Ups:
- [connect24h:00459] Re: secure system with win9X (Mac)
  - From: office
- [connect24h:00462] Re: secure system with win9X (Mac)
  - From: hama
Next by Date: [connect24h:00459] Re: secure system with win9X (Mac)
Next by thread: [connect24h:00459] Re: secure system with win9X (Mac)
Index(es):
- Date
- Thread