思い切り没頭したあとは、モノの見方を変えてみよう。
 
<< 中・韓の反日勢力は向こうの2chに住んでいるぞ | main | MS vs googleの戦い、か? >>
スポンサーサイト

一定期間更新がないため広告を表示しています

【2006.02.24 Friday 】 author : スポンサードリンク
| - | - | - |
大転換が始まったマイクロソフトのWindowsセキュリティ方針
(その業界の関係者でないと意味不明な文章です。ご容赦。)

WindowsXPでのraw socket禁止に関するマイクロソフトの方針転換は、DDoSで猛威を振るったblasterの登場あたりで促進されたように思われます。結果として、SP2からは、raw socketの使用に関して制限を受けるようになりました。

DDoSパケットの発生源になりそうなワームを作りにくくなる、というのはたしかですが、一方で、ネットワーク・セキュリティやネットワーク管理の仕事をしている人には、かなりの影響が出てきます。というのも、raw socketを利用した監視ツールやポートスキャンツールが少なからずあるからです。

製品でいうと、RealSecureのBlackICE。ネットワーク管理/セキュリティ分野で利用されているソフトウェアではnmapがそれです。いままで製品をXPなどを対象に技術者向けソフトを開発してきた会社にとっては、大打撃といっていいでしょう。プロトコルの深いところも含めて、Windowsシステムに頼らない形で開発をすすめなければならないからです。

社内のマシンが現在どんなポートを開けているかの実態把握やそのレポート作成は、ネットワーク管理者の仕事です。レポート作成や集計などにwordやExcelなどのWindowsアプリケーションを使っている場合は、特に影響があるでしょう。最新のセキュリティパッチをあてたWindowsXPマシンを使っている場合、レポート作成と監視ツールの使用が一台のマシンでは済まなくなるからです。

今回、nmap作者のFyodor氏からのメーリングリストで、非常に重要だと思われる情報を得ました。ご本人に翻訳許可の確認ができましたので、これを翻訳します。私自身は、Fyodor氏のメールに添付されていたロビンさんが書いている内容の検証はしていませんので悪しからず。

ただ、これを読むと、ネットワーク管理者の要求にフルに答えるOSという意味でいうと、WinXP SP2以降は使えない。あくまでWindowsプラットホームにこだわる場合、Windows 2003 serverを買う以外にない。どうしてもWindowsプラットホームでポートスキャンニングも含めた監視をしたい、という方はこれを買いなさいということになりそうです。

これと同じ、あるいは異なる実験結果や、その他の知見のあるネットワーク管理者のみなさまからコメントをいただけたら幸いです。


以下はFyodorさんからのメールを翻訳したものです。文責はすべて当方にあります。
--------------
土曜日、raw socket問題について苦言を呈したとき、Robin Keirからのメッセージも添付しておいた。MS05-019をあてるとWindowsXP SP2以前のマシンでも、raw socketが禁止されてしまうことが書いてある。彼はその後もいろいろ実験して、(Windows2K、WinXP、Win2003の)Windowsの各プラットホームとサービスパック、ホットフィックス、sharedaccessがどんなぐあいにraw socketを制限するか(あるいは、しないか)をまとめてくれた。

結論から言ってしまえば、彼のメールの最後の行、ってことになる。

-------------------------------------------
From: Robin Keir
Date: Mon, 25 Apr 2005 14:33:01 -0700
Subject: Raw sockets, MS05-019とWindowsファイアウォール -- まとめ

XP SP2と最近のMS05-019パッチの出現によって、raw socketを使ってWindowsプラットホームからポートスキャンするのは困難になった。以下に状況を説明したい。

MS05-019をあて、さらにWindowsファイアウォールサービスがある場合、ファイアウォールを停止する必要があるかどうかを自分で決めなければなければならない。ファイアウォールをとめた場合でも、まだ問題が残る。仕組みは以下の通り。

Windows2000は影響を受けない(訳者注 実際にはパフォーマンスが4分の1になるという深刻な影響を受けるという話が出ている)。Windows2000はraw socketの動きをすべてサポートしているし、Windowsファイアウォール(ICF)はないので、関連した問題も派生しない。

XP SP0では、ファイアウォールを停止(net stop sharedaccess)する。その場合でも、TCP raw socketは影響を受けないが、TCP raw socketを使う場合は、XP上のファイアウォールサービスに深い関係を持っているALGサービスによっていくつかのポートが検出されない。21、389、1002、そして1720がそれだ。sharedaccessサービスを停止すると自動的にALGサービスも停止し、状況はよくなる。

MS05-019をあてていないXP SP1の場合、XP SP0と同様な動きとなる。

MS05-019をあてたXP SP1の場合、sharedaccess(ファイアウォールサービス)を動作させておく必要がある(http://support.microsoft.com/kb/897656)。そうしておかないとTCP raw socketがブロックされてしまう。raw socketを使ってTCPパケットを送信するにはsharedaccessを動作させておく必要があるが、こんどはALGサービスによって、あるポートへの送信がブロックされてしまう。しかし、なにもないよりまし、ということになる。

MS05-019なしのXP SP2では、ドライバレベルで同時接続TCPコネクション数の制限を受けることを除いては、パッチなしのXP SP1と同様な動作をする。そのため、普通のソケットスタイルでのスキャンが影響を受ける可能性がある。ドライバの問題を回避する唯一の方法は、TCPIP.SYSをハックすること。

MS05-019をあてたXP SP2では、raw socketを使ったTCPスキャンは使えなくなる。TCP raw socketは、ファイアウォールを動かしても動かさなくても、すべてブロックされる。

Windows server2003はXP SP0と同じような動きとなる。ALGサービスは、sharedaccess(Windowsファイアウォール)とは連動していないため、別途、停止させなければならない(net stop alg)。

ぐっちゃぐちゃ :-)

ロビン

---------------------

(translated by k.miyakoda)

本件に関連したMS KB
http://support.microsoft.com/default.aspx?scid=kb;ja;897656
【2005.04.27 Wednesday 13:26】 author : katz
| ネットワーク | comments(2) | trackbacks(2) |
スポンサーサイト
【2006.02.24 Friday 13:26】 author : スポンサードリンク
| - | - | - |
この記事に関するコメント
katzさん、こんにちわ、

いやぁ、難しいです。ぜんぜんパンピーにはわからなかったです。でも、きっと大変なことなんですよね。
| ひでき | 2005/04/27 4:58 PM |
こんにちわ。

いやー、本当に僕みたいな素人には分からない。。。
勉強しますー。
| shibata | 2005/04/28 3:53 PM |
コメントする









この記事のトラックバックURL
http://miyakoda.jugem.cc/trackback/109
トラックバック
[Comp]知らなかった。やはりXPは糞OSなのか・・
どうやら知らないうちに大変なことになっていたらしい。何年か前にやっとWindowsでもraw socketが使えるようになって、ちょっとした電文のやりとりの確認とかでpktdump.exeなる全方位パケット捕獲ツールなど作って、うっししと使っていたのだけど、どうやらこれが使えな
| 皿うどんにはウースターソースでしょう。 | 2005/07/21 12:51 AM |
-
管理者の承認待ちトラックバックです。
| - | 2007/04/30 10:57 AM |