|
|
システム攻撃その18
比較的古いNTサーバーでServicePack3も当たっていないようなものは、簡単にサービス停止に追い込むことが出来る。当然ServicePack3が当たっていてもできる。これには、様々な方法がある。
Freeで流れているような、メールサーバーやリモート管理ツールで、十分なパッチの当てていないもの、Microsoftの古い”名前を与える者”、これらはポートを開いただけで使えなくなる。つまり調査のためにポートスキャンを動かしただけでである。 さらに専用の方法やツールを利用すれば、元から付いている、80や21に関係するもの。一番有名な139に関する攻撃。ごく最近発見された135に関係するもの。8080や80に関係する代理中継用のもの、戦争用のftpd、当然涙の落ちるような攻撃も成功する。 わかりにくい表現もあるかと思うが、だれでも簡単に出来てしまうところが、これら欠陥の特徴である。また、気づかないうちにやっているときもある。
すべてを試せるなら、おそらく80%以上のNTserverがCPU負荷率100%になるだろう。驚く数字ではない、NTだからこうなのだ。
これらの攻撃は何も生まない、ただし、そのホストがパケットの監視をしている場合やログホストである場合をのぞいて。
パケットを監視してるようなマシンがあれば、やりたいことをやる前に止めておけば、いろいろ出来るようになるシステムもある。
システム防御その18
NTを使っている場合はTCPのポートは外からアクセスできるものは最低限にする。これによって、少しは防げるであろう。ただし一時ポートは塞いではいけない。
信頼性のないサービスは出来るだけ使わない。これは常識である。
もし、導入する前に、全ポートのスキャンが出来るのなら、あらかじめやっておくと良い。事前に弱点を知ることが出来たなら、導入前にメーカーに直すように要請すればよい。対応してくれない場合は、その弱点をセキュリティー関連サイトで公開すれば、嫌でも直してくれるだろう。
日本語版は致命的な欠陥でもパッチが出るのが遅いので、英語版のWindowsNTで運用するのもお奨めである。ほかに、出来ることは、ベンダーからのパッチを毎日確認して当てるだけだ。
どうしても、NTを使わないといけないときは、UNIXでNTのサービスを中継するという方法がある。代表的なWebサーバーのApacheは、proxy機能によって内部のサーバーの中継が可能である。これによって一見UNIX上でaspやIndexServerなどを動かすことも可能である。
この原因となっている1つはWinsock2にある、いい加減に根本的に直してくれ。>マイクロソフト
そういう意味で内部専用(イントラネット用)として売っているのかもしれないが。
WindowsNT4.0がいつまでもC2レベルセキュリティ相当(つまりとれていない)であるのは、このためといわれている。
関連ページ
:Windowsのバグを使って他人のマシンを停止
:Linuxもクラッシュ
|
