ウォッチ
完全にセキュアな環境を構築したいのですが、その
ために質問したいことがいくつかあります。
まず、ルーターへの外部からのアクセスをすべて
拒否するような設定というのは可能でしょうか?
また、動的パケットフィルタリング機能がついている
ルーターならば、こちらから外部にアクセスしない、
また、物理的に触られたりする心配がない、という
条件であるならば完全に安全と言えるでしょうか?
そのほかに、ルーターを直列につなぎ、安全度が
あまり高くない環境と、完全にセキュアな環境
の2段の環境を作ることは技術的に可能でしょうか?
最後に、動的パケットフィルタリングがついている、
という条件で通信のすべてをSSL通信で行い、その
暗号化強度が十分なものがあるとするならば、完全に
安全と言えるでしょうか?
上記について、どうかよろしくお願いいたします。
No.3ベストアンサー
- 回答日時:
当方、アングラ突入調査や対策ソフトなどのテストをしております。
>まず、ルーターへの外部からのアクセスをすべて
>拒否するような設定というのは可能でしょうか?
通常、ルータはデフォでWAN起点のアクセスを受け付けるようになってません。
>また、動的パケットフィルタリング機能がついている
>ルーターならば、こちらから外部にアクセスしない、
>また、物理的に触られたりする心配がない、という
>条件であるならば完全に安全と言えるでしょうか?
外部からの不正アクセスを気にされてるようですが、動的パケットフィルタリングはセッションの起点がこちら側の時のみ働きます。WAN起点の時はさっき答えました。
>また、動的パケットフィルタリング機能がついている
>ルーターならば、こちらから外部にアクセスしない、
>た、物理的に触られたりする心配がない、という
>条件であるならば完全に安全と言えるでしょうか?
そんなに気になさるのであれば、ゲートウェイ・アプライアンス+HIPSにでもすればいいと思いますけど。
>最後に、動的パケットフィルタリングがついている、
>いう条件で通信のすべてをSSL通信で行い、その
>号化強度が十分なものがあるとするならば、完全に
>安全と言えるでしょうか?
SSL通信は相手側もSSL通信が可能な状態じゃないと、一方的な片思いは通じません。
>完全にセキュアな環境を構築したいのですが
無理です。次善の策としてシンクライアントや仮想環境系などを調べてみたらいいと思います。以下のようなソリューションも予定されてるようです。
http://www.intel.co.jp/jp/business/business-pc/c …
それと、たまたま昨夜ボクはアングラ系の情報を漁っていたのですが、とあるコミュニティーでルータの各ハードウェアベンダ別かつ機種別の
攻撃に関するものと思われる情報が出てましたね。ファームの更新情報やセキュリティー情報もしっかりチェックしておいたほうがいいでしょうね。
※参考情報
http://www.itmedia.co.jp/news/articles/0801/22/n …
-
-
- 0
- 件
-
お答え、とてもありがとうございます。
明らかに答えられるレベルの知識をお持ちである、と
拝見しますのでもう少々追加の質問をしてもよろしいで
しょうか。
SSL通信の場合もちろん相手もSSL通信に対応している、
というのはもちろん前提として、暗号が総当りで
たまたま解読されないかぎりセッションが途中で
ハイジャックされる可能性はない、と考えても
大丈夫なのでしょうか。(除く、クライアント、サーバー、
などでのスパイウェアなどによるハイジャック)
また、ルーターはWAN側にはもともとアクセスを
受け付けない、ということでしたが機種別の
攻撃、というものは何が弱点となるのでしょうか。
この参考文献のものはフラッシュなどのプログラムの
ユーザー側での使用、などが条件となると思われるの
ですがそういった類のプログラムを使用する、という
ことを行う予定はありません。こういった条件で
あれば安全、と考えてもよいのでしょうか。
どうかよろしくお願いいたします。
No.5
- 回答日時:
#3です。
>暗号が総当りで
>たまたま解読されないかぎりセッションが途中で
>ハイジャックされる可能性はない、と考えても
>大丈夫なのでしょうか
たとえスニッフィングなどを行われたとしても、セッション自体が暗号化されてるので無理だと思います。
>機種別の攻撃、というものは何が弱点となるのでしょうか。
ボクはその時別の情報を探してたので、その情報はチラっとしか見てないのですが、確かポートに関するものだったと思います。多分、特定のポートに対して細工されたパケットを送るとかそういうことだと思いますけど。
>フラッシュなど・・・安全と考えてもよいのでしょうか
最近の攻撃で多いのはソーシャルクラッキングを用いた受動的攻撃です。ユーザー側が起点のアクセスによって攻撃を受けるパターンです。
アウトバウンドコネクションですからFWによる制限を受けにくいわけです。
で、フラッシュを使用しないと言っても、フラッシュを使うサイトなんてそれこそ珍しくないですしね。まあ、フラッシュをブロックするようなコンテンツフィルタとか使ってればリスクを低減できるとおもいますけど。今回のフラッシュを悪用する件に関してはルータのUPnP機能を無効にすることです。
あと、Trojan Goziに関してですけど、IEの脆弱性を悪用した受動的攻撃ですね。既にこのTrojanに関してはほとんどのベンダで対応済みだと思います。どこのサイトに仕掛けられてるかなんて予めわかる筈ないので、基本通り最新の状態を保つということですね。
>フラッシュなどの
>起動用プログラムをクライアントの方にインストールする予定は
>ありません
そうですか。なら、既にAdobe Flash Player等フラッシュ表示に関するプログラムが既にインストールされてないかどうか確認しておけばいいと思います。
-
-
- 0
- 件
-
本当にいろいろありがとうございました。
大変高度な知識をお持ちなようで大変勉強になりました。
また、いい刺激にもなりました。
こちらの疑問もあらかた氷解したのでこの質問に
ついては締め切ろうと思います。
ありがとうございました。
No.4
- 回答日時:
-
-
- 0
- 件
-
いろいろと助かります。
この件はトロイの木馬、ということでしたが
これはスパイウェアに感染していることが
前提となるものなのでしょうか。
>>調査の結果、このウイルスはInternet Explorerの脆弱性を悪用して>>感染するものであると確認され
とありましたが、そのようなプログラムをあらかじめ仕込まれた
HPなどをIEで閲覧した場合に感染してしまう、ということで
しょうか。その場合閲覧するHPが特定箇所のみに限定されている
ならば安全、と判断しても問題ないでしょうか。
あとちょっと先ほどの再質問で補足なのですが、フラッシュなどの
起動用プログラムをクライアントの方にインストールする予定は
ありません。基本的にそういったプログラムはすべてインストール
しない、という前提で話をしてもらってかまいません。
どうか宜しくお願いいたします。
No.1
- 回答日時:
windowsファイアーウォールでも十分外部からの不正アクセスを防げます。
参考
http://itpro.nikkeibp.co.jp/article/NEWS/2008012 …
「通信のすべてをSSL通信」
どうやってやるのかわかりません。
アクセスされるよりは、アクセスすることに安全を求めるのが重要だと思いますよ。当方はサイトアドバイザーとノースクリプトでやっています。
この回答への補足
この回答への補足、というのではないのですが、
上記の条件として、自分からのプログラムなどの
実行はない、あらかじめスパイウェアなどの
混入もない、新たなプログラムなどのダウンロード
などもない、という条件を書き忘れていました。
申し訳ありません。
-
-
- 0
- 件
-
回答ありがとうございます。ちょっと事情があって外部からの
不正アクセスされる可能性を0にするにはどうすればいいか、
と考えていたんです。回答ありがとうございます。
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
関連するカテゴリからQ&Aを探す
おすすめ情報
- ・漫画をレンタルでお得に読める!
- ・一回も披露したことのない豆知識
- ・これ何て呼びますか
- ・チョコミントアイス
- ・初めて自分の家と他人の家が違う、と意識した時
- ・「これはヤバかったな」という遅刻エピソード
- ・これ何て呼びますか Part2
- ・許せない心理テスト
- ・この人頭いいなと思ったエピソード
- ・牛、豚、鶏、どれか一つ食べられなくなるとしたら?
- ・あなたの習慣について教えてください!!
- ・ハマっている「お菓子」を教えて!
- ・高校三年生の合唱祭で何を歌いましたか?
- ・【大喜利】【投稿~11/1】 存在しそうで存在しないモノマネ芸人の名前を教えてください
- ・好きなおでんの具材ドラフト会議しましょう
- ・餃子を食べるとき、何をつけますか?
- ・あなたの「必」の書き順を教えてください
- ・ギリギリ行けるお一人様のライン
- ・10代と話して驚いたこと
- ・家の中でのこだわりスペースはどこですか?
- ・つい集めてしまうものはなんですか?
- ・自分のセンスや笑いの好みに影響を受けた作品を教えて
- ・【お題】引っかけ問題(締め切り10月27日(日)23時)
- ・大人になっても苦手な食べ物、ありますか?
- ・14歳の自分に衝撃の事実を告げてください
- ・架空の映画のネタバレレビュー
- ・「お昼の放送」の思い出
- ・昨日見た夢を教えて下さい
- ・ちょっと先の未来クイズ第4問
- ・【大喜利】【投稿~10/21(月)】買ったばかりの自転車を分解してひと言
- ・メモのコツを教えてください!
- ・CDの保有枚数を教えてください
- ・ホテルを選ぶとき、これだけは譲れない条件TOP3は?
- ・家・車以外で、人生で一番奮発した買い物
- ・人生最悪の忘れ物
- ・【コナン30周年】嘘でしょ!?と思った○○周年を教えて【ハルヒ20周年】
- ・10秒目をつむったら…
- ・人生のプチ美学を教えてください!!
- ・あなたの習慣について教えてください!!
- ・都道府県穴埋めゲーム
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
ウイルスバスタークラウドのシ...
-
ウイルスバスタークラウドのパ...
-
CDやDVDにコンピューターウイル...
-
ウイルスバスターは必要か
-
PUA:Win32/GameHackをMicrosoft...
-
Trojan:Script/Wacatac.H!ml っ...
-
パソコンのマカフィーリブセー...
-
【超至急】コンピューターウイルス
-
パソコンの頻繁なリカバリーは...
-
Windows Defender 「許可された...
-
これはウイルスに感染した?
-
ノートパソコンは無料セキュリ...
-
ウイルスが感染する場所って無...
-
宛先が、recipients not specif...
-
biosにウイルスが感染していた...
-
パソコン4台あります用途別に
-
原神を起動したらmhyprot3とい...
-
インスタにウイルスが検出され...
-
偽?のウイルス感染アラームウ...
-
win10更新できないとき次回まで...
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
同セグメント内に流れているパ...
-
異なるサブネットで片やPing OK...
-
NT Kernel System(ntoskrnl.exe...
-
Overlapping Fragment Attackに...
-
「239.255.255.250:1900」宛の...
-
マルチキャストのExcludeモード...
-
「IPパケットのチェックサムが...
-
コリジョンドメインを超えたパ...
-
NATとNAPTについて教え...
-
ブラウザからのSSL通信の動きに...
-
パケットキャプチャーで社内か...
-
ルータとブリッジの違い?
-
SWのストームコントロール機能...
-
NATディスクリプタを挟んだ送信...
-
スイッチングハブ
-
基本的なことですが、『ポート...
-
毎日、不正アクセスの集中攻撃
-
ノートン
-
ファイアウォールと通信速度
-
Etherealの使い方(A⇔B間)
おすすめ情報
