[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[connect24h:01099] Re: SQL Server のセキュリティ
- To: connect24h@xxxxxxxxxxxxx
- Subject: [connect24h:01099] Re: SQL Server のセキュリティ
- From: Kenji Yamamoto <ethernet@xxxxxxxxxxxxxxxx>
- Date: Wed, 17 Jan 2001 02:52:05 +0900
〜 12月1日新しいビジネスが始まる!ビジネスも楽天、楽天ビジネス誕生 〜
●●●●●●●●●●●●●●●●●●●●●●●●●●●
● サービスリリース第一弾!ビジネスサービス商談市場 ●
●●●●●●●●●●●●●●●●●●●●●●●●●●●
〜〜〜〜〜 今すぐアクセス! http://business.rakuten.co.jp 〜〜〜〜〜
----------------------------------------------------------------------
山本です。
|Subject: [connect24h:01098] Re: SQL Serverのセキュリティ
|From: hama <hamamoto@xxxxxxxxxxx>
|Date: Tue, 16 Jan 2001 22:20:07 +0900
|Message-Id: <20010116214518.40FD.HAMAMOTO@xxxxxxxxxxx>
|X-Mailer: Becky! ver. 2.00
| > # RRAS の件、 PASS-J に 本日覚書を挙げております。来週かなぁ、
| > # 記事公開 >PASS-J
|
| こちらから転載
| http://www.sqlpassj.org/MLLOGS/security/msg00016.html
| >結局、 UDP の場合はパケットの返し方が特殊(TCP および IP に比較し
| >て。)で、ポートが元々開いていないときは ICMP(だったかな?)を返し、
| >ポートがあいている/フィルタされている場合は、反応を返さないので
| >すね。そこの反応をツール側で解釈し損ねると、実際はフィルタされて
| >いて、問題がないような場合にも「ポートが開いている。」という結果
| >を返してしまうようです。
まだログページにあがっていない過去記事になりますが、 Windows2000
SP1+Hotfixes (週 1 回程度は Hotfixes 当ててます。(T_T)) に対して、
nmapNT ver2.53 と netcat をかけてみました。結果は UDP 開きポート
検出されず。来週頭には公開されるはずです。(現状は週一回更新)
フィルタ設定は、以下に一部挙げた通り。
| set filter name="Local Area Connection" filtertype=INPUT action=DROP
| add filter name="Local Area Connection" filtertype=INPUT srcaddr=0.0.0.0 srcmask
| =0.0.0.0 dstaddr=0.0.0.0 dstmask=0.0.0.0 proto=UDP srcport=53 dstport=0
| add filter name="Local Area Connection" filtertype=INPUT srcaddr=0.0.0.0 srcmask
| =0.0.0.0 dstaddr=0.0.0.0 dstmask=0.0.0.0 proto=TCP-EST srcport=0 dstport=0
| add filter name="Local Area Connection" filtertype=INPUT srcaddr=0.0.0.0 srcmask
| =0.0.0.0 dstaddr=0.0.0.0 dstmask=0.0.0.0 proto=UDP srcport=123 dstport=0
| add filter name="Local Area Connection" filtertype=INPUT srcaddr=0.0.0.0 srcmask
| =0.0.0.0 dstaddr=0.0.0.0 dstmask=0.0.0.0 proto=UDP srcport=0 dstport=123
| add filter name="Local Area Connection" filtertype=INPUT srcaddr=0.0.0.0 srcmask
| =0.0.0.0 dstaddr=0.0.0.0 dstmask=0.0.0.0 proto=ICMP type=8 code=0
| add filter name="Local Area Connection" filtertype=INPUT srcaddr=0.0.0.0 srcmask
| =0.0.0.0 dstaddr=0.0.0.0 dstmask=0.0.0.0 proto=ICMP type=0 code=0
| add filter name="Local Area Connection" filtertype=INPUT srcaddr=0.0.0.0 srcmask
| =0.0.0.0 dstaddr=0.0.0.0 dstmask=0.0.0.0 proto=UDP srcport=0 dstport=67
| add filter name="Local Area Connection" filtertype=INPUT srcaddr=0.0.0.0 srcmask
| =0.0.0.0 dstaddr=0.0.0.0 dstmask=0.0.0.0 proto=TCP srcport=20 dstport=0
| add filter name="Local Area Connection" filtertype=INPUT srcaddr=0.0.0.0 srcmask
| =0.0.0.0 dstaddr=0.0.0.0 dstmask=0.0.0.0 proto=TCP srcport=0 dstport=20
| add filter name="Local Area Connection" filtertype=INPUT srcaddr=0.0.0.0 srcmask
| =0.0.0.0 dstaddr=0.0.0.0 dstmask=0.0.0.0 proto=TCP srcport=0 dstport=21
| add filter name="Local Area Connection" filtertype=INPUT srcaddr=0.0.0.0 srcmask
| =0.0.0.0 dstaddr=0.0.0.0 dstmask=0.0.0.0 proto=TCP srcport=21 dstport=0
| set filter name="Local Area Connection" fragcheck=disable
(とりあえず他にもありますが、主要なものはこんなところです)
結果は、空いているポートは UDP スキャンでは発見されず。 netsh で
閉めるのは効果があるようです。お勧めかも。
cf. netsh/RRAS フィルタ設定方法
http://www.jwntug.or.jp/tech/technote/secure/closeport.html
http://www.port139.co.jp/ntsec_rras.htm
### DHCP でアドレスを取得する場合は、自分のインターフェースを
### 0.0.0.0/0.0.0.0 とすると設定を行えます。
netsh のみは Professional 、 RRAS の管理インターフェースがさらに
つくのがサーバ以上。
# ISA いぢりたいけど、 kawara 氏が仰ったように、 JCOM はルータ
# /NAT 用デバイス設置が禁止されているのです。 frustration たまり
# ます。(T^T)
cf.たかはしもとのぶさんのページ
http://www.monyo.com/
| BlackICEの防御レベル=標準でnmapによる通常のUDPスキャンをかけると、
| UDPが1000以上開いているような結果がでてウイルスに感染しているのかと
| 腰を抜かしたことがあるのですが、この仕様ってUDPの仕様なんでしょうか?
| Win系TCP/IPの世界の仕様なのでしょうか?
UDP の仕様として、 Port が開いている時とフィルタされているときは
無反応、閉じているときに ICMP を返すようです。このため、ツールの
できによってはフィルタされているものを「開き」と判断してしまうケー
スもあるようです。下記の各スレッドは、それに気づかない時点で提起
していたものでした。
今回の一件については、 secure@xxxxxxxxxxxxx (Microsoft Security
Response Center) でもチェックを入念に行ってくださったのですが、
UDP Port については問題を発見できなかったようです。
#まだ河端さんに頂いたスクリプトのデバッグと検証が終わっていない
#ので、纏めきれませんが>今回の一件
cf.問題提起元スレッド(よその ML ですが)
JWNTUG: [admins-ml:17457] -[admins-ml:17465]
Users Group: [Win2k:03560] -[Win2k:03569] , [Win2k:03617] ,
[Win2k:03618] ,[Win2k:04048]
Users Group は過去記事が公開されています。
http://www.users.gr.jp/
| # Win系のUDP実装はおかしいという話は聞いたことがありますが。。。
| ## だからUDPスキャナが片手で余るくらいしかないとか…
んー…どういう動作が正常に判断されるのか、ソレの分岐条件によって
は実装が難しいのかなぁ。仕様書って公開されているのだろうか…
興味はありますよね。
今後とも、宜しくお願いいたします。 m(__)m
以上
山本謙次
--
JWNTUG TechNote http://www.jwntug.or.jp/tech/technote/index-j.html
JWNTUG NT-FAQ-J http://www.jwntug.or.jp/tech/ntfaqj/index.html
Kenji Yamamoto MCP+I, MCSE(TCP/IP, IEAK4, IIS 4.0)
mailto:ethernet@xxxxxxxxxxxxxxxx