- - PR -
管理者泣かせのソフトウェア
投稿者 | 投稿内容 | ||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2004-01-01 11:06
これは私のことなのかな?だから、前にも書いたように確かに始めはネット管理者としての 感情論でしたが、その段階はとおにすぎて、ネットワークエンジニアとしての対応策として、 ”セキュリティはサイクルを作成し、スパイラル形式にあげて(運用して)いくのが現状の 理想”なんて抽象論でなく、具体的な使用ケースの例とそのひとつの対策としてのツールの 仕様案を描いたつもりだったのですが・・・? 具体案といってもSoftEtherを解析したわけでもないので問題はたくさんあるでしょうが、 単なる具体策のたたき台的なものですのでその辺はご勘弁を。 セキュリティは対策ツールがあればすべてがOKなんて、これっぽっちも思っていないし、 そんなこと一言も言っていませんが? ただ、こんなツールがあればSoftEtherの検出の手助けになるのでは?ということです。 ようはセキュリティは当然技術面だけではないが、技術を利用して運用を少しでも正確・ 迅速で楽(コストを減らすという意味で)にするのにどのような技術・ツールが必要か というのを考えてみたつもりです。 単に話題のネタの提供であって、別にここで言って誰かに作ってもらえるものなんて思って いませよ。 この問題に対して技術的にどう対応すべきかを考えようとしているのに、”いたちごっこ”で 締めくくられてしまうと困ってしまいますね。 なんか、”感情的に反論する問題ではない”といている人が、感情的になっているような 気がするのですが? | ||||||||||||
|
投稿日時: 2004-01-01 23:06
えーと、そういうことについては私自身、
と書いてはいます。 が、自分で言っておきながらなんですが、そういう方法では*確実な* 証拠を押さえることができないような仕様にすることは可能です。 具体的な設計を述べることはしませんが、要はSSLのような開始時の 手続きを行わずにすませれば解析できなくなりますので。 もっとも、通信の統計からみて異常なのは明らかですから、それだけ 分かれば十分だろうとも思います。裁判で争おうというわけでは ないでしょうから。 そのあたりが「微妙」かな、と思ったわけです。
# べつにこの点にこだわっているわけではないのですが、 # 「せっかく」ですから。 んーと、説明不足でしたが、少し観点が異なりまして。 nmapのようなツールは、攻撃において有効なものでないと防御の 役には立ちません。本質的に、クラックツールである必要があります。 ですが、「VPNの『もうひとつの』実装」が、スクリプトキディが ネットワークを悪用するのに適した設計になっている必要は ありません。 この点に違いがあるかと。 | ||||||||||||
|
投稿日時: 2004-01-02 19:20
ども、BASEです。今年もよろしくお願いいたします。
Proxyで制御する場合を考えたとき ・httpsでの通信のセッションkeep-Timeを短く取る というのはどうでしょう? この場合、Download系以外の通信で何か困ることってありますかね? #宅ふぁいる便とかが使えなくなりそうだけど・・・ また、トロイのようにウイルス対応と言う意見もあって なるほどとも思いましたが、 こういったToolはほかにも色々あるわけで、 全部のToolに対応していくのは不可能でしょうし、 ハッキングツールと呼ばれているもの管理の効率化のために使っている人も いると思うので、良し悪しが出てくるでしょうねぇ・・・ 最後に、仮想HUB化されているコンピュータのIPについてですが、 IPAが金を出している訳ですから、 仮想HUBを立てた場合、IPAに定期的に自動報告する仕様にはできないのでしょうかね? 管理者が制限したい場合はIPAから一覧のリストを取得すれば良いでしょうし、 制限しない場合は、暗黙の了解とするなど また、このときIPAへの通信を制限しようとする仮想HUB設置者がいるかもしれません、 それへの対応としては、自動報告に対してIPAから仮想HUB認定レスが返ってこないと、 仮想HUBとして機能しないようにする。 どうでしょう? | ||||||||||||
|
投稿日時: 2004-01-02 21:43
たぶん無理でしょう。なぜIPAがそのようなことを管理する必要があるのでしょうか、 わざわざ一つのソフトのためにそのようなことを強いるのは、いかかなものかと | ||||||||||||
|
投稿日時: 2004-01-05 13:45
こんにちは。あにゃ@仕事始めです。今年もよろしくお願いいたします。
おそらく皆さんの机の上にも仕事が山のように置かれているんでしょうね。ちょっと何から手をつけていいか途方もないので、ちょっと一休みということでおじゃましております。 さて、兎にも角にもsoftetherというソフトウェアが公開状態になっているわけです。当然まだ問題は起こっていません。今後も起こらないかもしれません。しかし、「露見していない問題行動」はもう既に起こっているはずです。このsoftetherというソフトウェアを使用することそのものが問題、というよりはそれを使って何をするか、が問題となるはずです。 書き込みされている方々が経験豊富なのでご質問したいのですが、(システム管理者の存在を一旦忘れて)このツールで悪いことをするとすれば、何をしますか? 当然、技術的な話題は(悪用されるとまずいので)極力伏せてください。ただ、もはや、どうせ起こるのです。起こる前にモデルケースをリストアップしておくべきだと思うのですが。 会社のproxyが禁止しているようなアダルトサイトを閲覧したり、オークションに参加したり、、やっぱりwebアクセスをSSL化して隠すことが武器になりますかね?。それともwinnyやwinmx?。 こういうのを考えることに関しては、犯す人も守る人も同じ思考パターンですよね。なんかヤクザと警察が裏で繋がっている、みたいなことがささやかれるのもわかる気がします。 | ||||||||||||
|
投稿日時: 2004-01-05 13:58
管理者経験から、ぱっと見で考えられることとしては・・・。
オークション参加やアダルトサイトより危険と思われることは 以下のとおりでしょうか? ■機密文書の漏洩や売り込み ■掲示板への投稿(会社の情報を書き込むなどなど) ・・・などなど。 会社のネットワーク使ってオークションに参加するとかいうのも、確かに 業務時間を使って私用を行っているわけですからモラル的には問題ですし、 業務以外のことに帯域を使っているわけですから、大げさに言えば横領に 近い感じもなくはないので、当然問題ではあります。 でも、会社として最もまずいのは業務情報が外に出たり、(種類を問わず) 内部の情報がたれ流しになったり、それによって評判が落とされたりすること でしょう。 内部情報というのは誰でも興味をそそられますし、結構信憑性が高いと思われる 向きもあるでしょうから・・・。 他にありますかねぇ・・・。 | ||||||||||||
|
投稿日時: 2004-01-05 18:38
どもも。がるでございます。
新年明けましておめでとうございます。今年もよろしくお願いいたします。 さて。 クラック手段の考察は有効ですし色々考えてましたので、ちょろちょろと。 Webアクセスに関しては、実は私は割りと寛容なので気にしてません。 ProxyたててURLでコントロールしているような環境だと多分気になる のでしょうが、私はそもそもProxyでのコントロールにあまり好意的 な反応を示さないので :-P ただ、Winnyなどで「業務に支障が出る」ほど帯域を占領するので あれば話は別ですが。 あと「違法ファイルのやりとり」で警察が介入してきたときに管理 責任を問われる可能性がありそうなのがちょっと嫌かな? 確定で怖いのはロードスターさんが書かれているとおり「機密文書 ファイルの漏洩」周り。 ユーザ教育の重要性を痛感する瞬間なのですが、大抵こういうのって 「頭が弱くて権力を握っている上司」が漏洩して下さりそうなので、 かなり頭痛モノです。 # 「共有って便利だよな」とか寝言を言った瞬間に張り倒すように # してはおりますが。 怖いのは「SoftEtherを入れて共有HUBにつないだばか者」と「共有 ディレクトリに無造作にやばいファイルをいれたバカ上司」が別々 に存在していればよいだけなので…防御しにくいです。 # そーゆー時に限って、Adminのパスワードがシンプルだし… ちと手段を考えつつ「出来たら怖い」のは以下。 telnetでの進入。telnetサービスが無造作に動いていてAdminの パスワードがシンプルだと、そこから先が危ない。 事実上、telnetポートが外に向かって開いてるのと大差ないので。 実行ファイルの自動実行。共有ディレクトリに置いたあんな実行 ファイルとかそんな実行ファイルを実行させる手段があると、 腰が抜けるほど危険。 まぁ、全体的にセキュリティを見直すいい時期ではあるのですが…。 管理者にとってもしんどいですが、動き次第ではユーザにも多大な 被害が及びそうで、色々な意味合いで憂鬱です。 | ||||||||||||
|
投稿日時: 2004-01-06 12:12
こちらでちょっと前に盛り上がっていたSoftEtherですが、 http://www.hotwired.co.jp/nwt/ の方で、何やら投票らしいことが行われているようで。
「問題なし」が優勢っぽいです……(優勢言うほど総投票もないですが |