- PR -

管理者泣かせのソフトウェア

参照元記事 | 同じ記事を参照しているスレッド一覧
«前のページへ 12|13|14|15|16|17|18|19|20|21|22 次のページへ»
投稿者投稿内容
maru
ぬし
会議室デビュー日: 2003/01/27
投稿数: 412
投稿日時: 2004-01-01 11:06
引用:

これはトータルに見て社内セキュリティの問題です。
F/Wだけで、あるいはIDS、あるいはアンチウィルスソフトといった物だけで
全体のセキュリティをまかなっていると信じているような対策方法や、
これから出てくる新しい脅威に対して、ひとつの技術が対応しきれていない
現状に対していちいち感情的に反論する問題ではないと思います。

これらのソフトの不正使用をF/WやIDSで検出したい!
という確固たる目標があるのでしたら、それをどうするかは技術的な要素に絞って話してゆけばいいでしょう。(それ用の対策ソフトを自主作成するのかもしれません。)
ま、いたちごっこというやつです。

これは私のことなのかな?だから、前にも書いたように確かに始めはネット管理者としての
感情論でしたが、その段階はとおにすぎて、ネットワークエンジニアとしての対応策として、
”セキュリティはサイクルを作成し、スパイラル形式にあげて(運用して)いくのが現状の
理想”なんて抽象論でなく、具体的な使用ケースの例とそのひとつの対策としてのツールの
仕様案を描いたつもりだったのですが・・・?
具体案といってもSoftEtherを解析したわけでもないので問題はたくさんあるでしょうが、
単なる具体策のたたき台的なものですのでその辺はご勘弁を。

セキュリティは対策ツールがあればすべてがOKなんて、これっぽっちも思っていないし、
そんなこと一言も言っていませんが?
ただ、こんなツールがあればSoftEtherの検出の手助けになるのでは?ということです。
ようはセキュリティは当然技術面だけではないが、技術を利用して運用を少しでも正確・
迅速で楽(コストを減らすという意味で)にするのにどのような技術・ツールが必要か
というのを考えてみたつもりです。

単に話題のネタの提供であって、別にここで言って誰かに作ってもらえるものなんて思って
いませよ。

この問題に対して技術的にどう対応すべきかを考えようとしているのに、”いたちごっこ”で
締めくくられてしまうと困ってしまいますね。

なんか、”感情的に反論する問題ではない”といている人が、感情的になっているような
気がするのですが?
ぽんす
ぬし
会議室デビュー日: 2003/05/21
投稿数: 1023
投稿日時: 2004-01-01 23:06
引用:

私の言っている仕様は、SoftEtherパケットの内容を解析するわけでなく、
内側から外側へファイアウォールを経由して長時間(指定時間以上)のセッションを張って
いる端末を監視して(ようはぽんすさんが言われているように通信量を監視する)、長時間
セッション張っている端末があれば、その接続先とポートに対してSoftEtherのプロトコル
に準じてログインを試みて、SoftEtherプロトコルの反応があれば、それは仮想HUBと通信
している物と判断して、ネット管理者にメール等で通報するという物です。

えーと、そういうことについては私自身、
引用:

投稿日時: 2003-12-24 22:58
外からみたときにどれだけ分かりにくくしてあろうとも、
「利用する側」の立場でためしに繋いでみればすぐ分かりますから。

と書いてはいます。
が、自分で言っておきながらなんですが、そういう方法では*確実な*
証拠を押さえることができないような仕様にすることは可能です。
具体的な設計を述べることはしませんが、要はSSLのような開始時の
手続きを行わずにすませれば解析できなくなりますので。

もっとも、通信の統計からみて異常なのは明らかですから、それだけ
分かれば十分だろうとも思います。裁判で争おうというわけでは
ないでしょうから。 そのあたりが「微妙」かな、と思ったわけです。


引用:

確かにnmapは弊害よりも利用価値の評価が高いから非難されないのだと思います。

# べつにこの点にこだわっているわけではないのですが、
# 「せっかく」ですから。
んーと、説明不足でしたが、少し観点が異なりまして。
nmapのようなツールは、攻撃において有効なものでないと防御の
役には立ちません。本質的に、クラックツールである必要があります。
ですが、「VPNの『もうひとつの』実装」が、スクリプトキディが
ネットワークを悪用するのに適した設計になっている必要は
ありません。 この点に違いがあるかと。
BASE
大ベテラン
会議室デビュー日: 2002/03/13
投稿数: 178
投稿日時: 2004-01-02 19:20
ども、BASEです。今年もよろしくお願いいたします。

Proxyで制御する場合を考えたとき
・httpsでの通信のセッションkeep-Timeを短く取る
というのはどうでしょう?
この場合、Download系以外の通信で何か困ることってありますかね?
#宅ふぁいる便とかが使えなくなりそうだけど・・・

また、トロイのようにウイルス対応と言う意見もあって
なるほどとも思いましたが、
こういったToolはほかにも色々あるわけで、
全部のToolに対応していくのは不可能でしょうし、
ハッキングツールと呼ばれているもの管理の効率化のために使っている人も
いると思うので、良し悪しが出てくるでしょうねぇ・・・

最後に、仮想HUB化されているコンピュータのIPについてですが、
IPAが金を出している訳ですから、
仮想HUBを立てた場合、IPAに定期的に自動報告する仕様にはできないのでしょうかね?
管理者が制限したい場合はIPAから一覧のリストを取得すれば良いでしょうし、
制限しない場合は、暗黙の了解とするなど

また、このときIPAへの通信を制限しようとする仮想HUB設置者がいるかもしれません、
それへの対応としては、自動報告に対してIPAから仮想HUB認定レスが返ってこないと、
仮想HUBとして機能しないようにする。

どうでしょう?
七味唐辛子
ぬし
会議室デビュー日: 2001/12/25
投稿数: 660
投稿日時: 2004-01-02 21:43
引用:

BASEさんの書き込み (2004-01-02 19:20) より:
ども、BASEです。今年もよろしくお願いいたします。



最後に、仮想HUB化されているコンピュータのIPについてですが、
IPAが金を出している訳ですから、
仮想HUBを立てた場合、IPAに定期的に自動報告する仕様にはできないのでしょうかね?
管理者が制限したい場合はIPAから一覧のリストを取得すれば良いでしょうし、
制限しない場合は、暗黙の了解とするなど

また、このときIPAへの通信を制限しようとする仮想HUB設置者がいるかもしれません、
それへの対応としては、自動報告に対してIPAから仮想HUB認定レスが返ってこないと、
仮想HUBとして機能しないようにする。

どうでしょう?


たぶん無理でしょう。なぜIPAがそのようなことを管理する必要があるのでしょうか、
わざわざ一つのソフトのためにそのようなことを強いるのは、いかかなものかと
あにゃ
常連さん
会議室デビュー日: 2003/12/24
投稿数: 23
投稿日時: 2004-01-05 13:45
こんにちは。あにゃ@仕事始めです。今年もよろしくお願いいたします。

おそらく皆さんの机の上にも仕事が山のように置かれているんでしょうね。ちょっと何から手をつけていいか途方もないので、ちょっと一休みということでおじゃましております。

さて、兎にも角にもsoftetherというソフトウェアが公開状態になっているわけです。当然まだ問題は起こっていません。今後も起こらないかもしれません。しかし、「露見していない問題行動」はもう既に起こっているはずです。このsoftetherというソフトウェアを使用することそのものが問題、というよりはそれを使って何をするか、が問題となるはずです。

書き込みされている方々が経験豊富なのでご質問したいのですが、(システム管理者の存在を一旦忘れて)このツールで悪いことをするとすれば、何をしますか?

当然、技術的な話題は(悪用されるとまずいので)極力伏せてください。ただ、もはや、どうせ起こるのです。起こる前にモデルケースをリストアップしておくべきだと思うのですが。

会社のproxyが禁止しているようなアダルトサイトを閲覧したり、オークションに参加したり、、やっぱりwebアクセスをSSL化して隠すことが武器になりますかね?。それともwinnyやwinmx?。

こういうのを考えることに関しては、犯す人も守る人も同じ思考パターンですよね。なんかヤクザと警察が裏で繋がっている、みたいなことがささやかれるのもわかる気がします。
ロードスターくん
ベテラン
会議室デビュー日: 2003/03/05
投稿数: 68
お住まい・勤務地: 東京都
投稿日時: 2004-01-05 13:58
管理者経験から、ぱっと見で考えられることとしては・・・。
オークション参加やアダルトサイトより危険と思われることは
以下のとおりでしょうか?

■機密文書の漏洩や売り込み
■掲示板への投稿(会社の情報を書き込むなどなど)

・・・などなど。

会社のネットワーク使ってオークションに参加するとかいうのも、確かに
業務時間を使って私用を行っているわけですからモラル的には問題ですし、
業務以外のことに帯域を使っているわけですから、大げさに言えば横領に
近い感じもなくはないので、当然問題ではあります。

でも、会社として最もまずいのは業務情報が外に出たり、(種類を問わず)
内部の情報がたれ流しになったり、それによって評判が落とされたりすること
でしょう。
内部情報というのは誰でも興味をそそられますし、結構信憑性が高いと思われる
向きもあるでしょうから・・・。

他にありますかねぇ・・・。
がるがる
ぬし
会議室デビュー日: 2002/04/12
投稿数: 873
投稿日時: 2004-01-05 18:38
どもも。がるでございます。
新年明けましておめでとうございます。今年もよろしくお願いいたします。

さて。
クラック手段の考察は有効ですし色々考えてましたので、ちょろちょろと。

Webアクセスに関しては、実は私は割りと寛容なので気にしてません。
ProxyたててURLでコントロールしているような環境だと多分気になる
のでしょうが、私はそもそもProxyでのコントロールにあまり好意的
な反応を示さないので :-P
ただ、Winnyなどで「業務に支障が出る」ほど帯域を占領するので
あれば話は別ですが。
あと「違法ファイルのやりとり」で警察が介入してきたときに管理
責任を問われる可能性がありそうなのがちょっと嫌かな?

確定で怖いのはロードスターさんが書かれているとおり「機密文書
ファイルの漏洩」周り。
ユーザ教育の重要性を痛感する瞬間なのですが、大抵こういうのって
「頭が弱くて権力を握っている上司」が漏洩して下さりそうなので、
かなり頭痛モノです。
# 「共有って便利だよな」とか寝言を言った瞬間に張り倒すように
# してはおりますが。

怖いのは「SoftEtherを入れて共有HUBにつないだばか者」と「共有
ディレクトリに無造作にやばいファイルをいれたバカ上司」が別々
に存在していればよいだけなので…防御しにくいです。
# そーゆー時に限って、Adminのパスワードがシンプルだし…

ちと手段を考えつつ「出来たら怖い」のは以下。

telnetでの進入。telnetサービスが無造作に動いていてAdminの
パスワードがシンプルだと、そこから先が危ない。
事実上、telnetポートが外に向かって開いてるのと大差ないので。

実行ファイルの自動実行。共有ディレクトリに置いたあんな実行
ファイルとかそんな実行ファイルを実行させる手段があると、
腰が抜けるほど危険。

まぁ、全体的にセキュリティを見直すいい時期ではあるのですが…。
管理者にとってもしんどいですが、動き次第ではユーザにも多大な
被害が及びそうで、色々な意味合いで憂鬱です。
永井和彦
ぬし
会議室デビュー日: 2002/07/03
投稿数: 276
お住まい・勤務地: 東京都
投稿日時: 2004-01-06 12:12
こちらでちょっと前に盛り上がっていたSoftEtherですが、 http://www.hotwired.co.jp/nwt/ の方で、何やら投票らしいことが行われているようで。

「問題なし」が優勢っぽいです……(優勢言うほど総投票もないですが
«前のページへ 12|13|14|15|16|17|18|19|20|21|22 次のページへ»

スキルアップ/キャリアアップ(JOB@IT)