ネットワークセキュリティー入門(5/5)
■構成に応じた対策方法
まず、例1-例6のシステムによって、もちろん対策法も異なる。
大きなカテゴリは次の通りだ。

・ルーターがあるか無いか

・ファイヤーウォールソフトがあるか無いか

である。

・ルーターの無いシステムの場合(例1、2、4、5)
悲しいかな、ルーターが無い場合は、ポートに対するガードは不可能である。
例えば、その端末にpingを送信すると必ず返送してしまうということだ。
よって、ファイヤーウォールソフトかそれに似たソフト、機器の導入を推奨する。
ただ、ソレによって何が出来るかは、使う人による。
初級者でファイヤーウォールなどの機器の導入を考えていない人は、 当サイトで筆者が紹介している、余計なポートを開いたり(安易にサーバになったり)しなければ、特にアタックを食らうことは無いと思われる。
Pingアタック程度であろう。
CATVの一部などでは、「ルーター等を認めない」ところもあり、 ふざけているとしか言い様が無い
これは、接続できる台数に応じて課金をしているからだ
こんな考えは早急に捨てたほうが良いような気がする。

・ルーターがあるシステムの場合(例3,6)
ルーターがあれば、ルーターでガードする事が可能である。ただし、ルーターにも機能があり、単にNATしかサポートしてないようなものは、ダメである。
持っているルーターにアクセス制限機能が搭載されているかどうかを確認して、 設定して欲しい。
設定については、ポートスキャンに対抗する為に、使わないポートは 閉鎖すべきである。
Pingなどはネットワークの送達確認ができるメリットがあるが、せっかくルーターを持っているなら塞いでしまおう。

例)
・ICMPは無視
・ポート113は外からの接続要求(syn)をすべて遮蔽
・NETBIOSは、外からのデータをすべて遮蔽

なお、当然ではあるが、余計なサービスを一切起動しなかったら、これでほぼ外部に存在を明かすことは無いだろう。
ICQなどであるが、絶対に信頼できる人以外にコードを公開すべきではないと思う。
あやしい人には別のIDを教えて様子を見るという手もある
なおポート113に関して、ご存知だろうか?
これは、ISPのメールサーバなどが、こっちの端末が立ち上がっているかどうか検査するポートである。(その他にも利用するが)
これは逆にハッカーにもつかえる。実は113は、通常のファイヤーウォールやルーターだと「接続要求に対して切断」で「応答」するように作られているのである。
よって、あとに登場するPortPlobeなどで見ると「CLOSED」になって存在がばれる。
忘れていたが、実はマザーボードの機能などでウェイクアップRUNに対応したものが増えてきた。これは、相手のPCをpingやマジックパケットで遠隔地から立ち上げることができる機能だ。ただルーター接続の場合は、NATを使っている為、端末にダイレクトにパケットが届くことが無い。
NATの設定が無い場合はあぶないので注意する

本章をみて、ブロードバンドルーターが欲しくなる人も居るだろう。
しかし、買う前によくチェックして欲しい
これらの設定が、買うルーターで可能かどうかは、仕様をみれば明らかだ
高い買い物なのでよく検討して欲しい。
なお、筆者からみると、詐欺のような商品もある。
最近のブロードバンドルーターは、ほぼ100BASE-TX対応でスイッチ付きだ。
で、xDSL回線も12MBPSが一般的となってきている。ということは、 最大12MBPSの転送がありえるということだ。(実際は無いが笑)
それなのに、ルーターの性能は2.5MBPSとかいうのを良く見かける。
激しいのになれば性能(スループットという)も表示していないのもある。
ルーターが2.5MBPS程度の能力しかなければ、xDSLで5MBPSのパフォーマンスが出ても全て下に合わされてしまうのだ。
それだったら、例4の接続のほうが、断然早い
というような、詐欺商品もあるので買うときは、自分の回線能力と、ルーターの処理速度を充分に見極めてから買おう。

■セキュリティーの成果を試してみよう
Shields UP!
↑このサイトの ProbeMyPort!で代表的な「あぶない」ポートがどゆ常態かを見てくれる。
Stealth!は、synに対して、無応答を表す。
Closed!は、synに対して、finを「返送」する。(よって相手に存在がばれる)
Open!は、synに対して、syn-ackを「返送」する。(ポートが開いている)
この程度のポートでももし、意図的ではなくopenのポートがあったら、 セキュリティ上重大な欠陥があると思っておいたほうがいい。
後になったが、このサイトはプロクシのチェックをしていない。よってプロクシをセットしてこのテストを行うと「プロクシサーバのチェック」をすることになるので、 注意して欲しい
プロクシをはずして、アクセスしないと確実なテストができない。

ここの読者なら、以下の私のテスト結果のように、全てステルスで表示されるはずである。

■さいごに
作成中の為、誤字脱字意味不明が多数あります。ご容赦。

参考文献:筆者の頭の中なので嘘がある可能性がある。速やかに指摘して欲しい。
免責:本サイトを利用しての損害などは一切補償しない。

<ネットワークセキュリティー入門4に戻る
ネットワークセキュリティー入門に戻る

Minkeyのお部屋に戻る