システム管理な雑記 -- Sleeve notes of a sysadmin --

「いつまでも見つからぬもの 捜すことも必要だけれど ひとつひとつを暖めながら 解ってゆくことが大切さ」(尾崎豊「失くした1/2」)
  PASSJブログ :: ホーム :: 連絡をする :: RSS  :: ATOM :: Login
  2239 投稿数 :: 17 ストーリー :: 1608 コメント :: 314 トラックバック

ニュース




今、すぐにでも欲しいのはこんな本です。過去に買ったものの幾つかは、ココでちょいとずつ纏めていますこんなのも作り始めたけどどうなることやら...)
最近の一番の関心事は、

Security Log Management

で扱っている題材。あとは Windows 管理のための VBScript でしょうか。
この blog は、数年来使っていた京大式カード等で書き貯めていたメモを書き連ねるところからスタートしてます。当然、無保証。下手の横好きですから。つまりは、欲しけりゃ自由にもっていけばいいけど、裏取りは自分でやってください、ってことです。
free page hit counter

アクセス解析(StatCounter)

ここに、下のセキュリティアドバイザリを取得するための RSSWeb Ticker があります。

 あわせて読みたい

記事のカテゴリ

過去の記事

カテゴリ

イメージギャラリ

さまざまな話題

そのほか

Windows OS の持つパケットフィルタ機能:問題点

ひとまず次の記事に Windows OS の持つフィルタ機能の概要に触れた。よそからのリンクや検索エンジン経由で来た人は問答無用でまずはこの三つの記事を見よ。じゃないとハッキリいって迷惑。

http://blogs.sqlpassj.org/yamaken/archive/2006/01/21/15868.aspx

http://blogs.sqlpassj.org/yamaken/archive/2006/01/21/15870.aspx

http://blogs.sqlpassj.org/yamaken/archive/2006/01/21/15872.aspx

ここでは問題点、不満な点を列記してみる。争点は思いつくまま、なのでランダムだったりするが。くどいが、以下は必ず、上の三つの記事を見てから、読み進めるように。

  • エンドユーザ的には操作性がよくない(且つ、 CLI を使えないと操れない)
    Windows Firewall 以外
  • 管理者的にも操作性は、よいとはいえない
    • TCP/IP オプション(カーネルモード)
      • ルール要素貧弱(ポートとプロトコルのみ操作可能)
      • 設定が面倒 (標準の UI が使いづらい。カスタマイズのほかの方法としてはレジストリ操作。) 
      • 設定一覧を保存できない(仕様関連資料に落とせない)
      • ログが残らないから挙動が見えづらい
      • Inbound/Input のみ
      • 出先なのか社内なのか、でフィルタ内容を変更できない
        →【効果なし未検証ハードウェアプロファイルで切り替えることが可能かも? 【Formalhaut Weisszwerg さんコメント】
      • カーネルモードで動くものの変更ゆえ、リロードには OS 再起動が必要
    • IPSec
      • GUI が難解(ウィザード。)
      • ルール要素貧弱(IP とポートの組み合わせに対応、プロトコル ID は非対応)
      • どこで障害が起きたのか追いかけづらい (モニタツールはある)
      • 実装がコロコロ変わってて、どの OS ではどのツールを使うのか、が俄かに判りづらい
      • 出先か社内かの自動判別はない
        → テンプレはもっておけるから、適用するポリシを切り替えれば対処は出来る
    • RRAS
      • ログに残らない&確認手段がない
      • クライアント OS には GUI がつかない
      • 出先と社内とで設定内容を俄かに変えづらい
        → テンプレはもっておけるから、スクリプトを実行することで対処は出来る
    • ICF / Windows Firewall
      • Inbound/Input 方向のみ
      • 設定を netsh コマンドでダンプして量産、と出来ない (Windows Firewall)
        →設定までは出来、確認は出来る。しかし「既に設定されているもの」をダンプして保存が出来ないということ。
      • 出先と社内とで設定内容を俄かに変えづらい(ICF に該当。 Windows Firewall なら素直にグループポリシで。)
  • 実装のレイヤがまちまち、同時に実装した際の適用順序がわかりづらい、共通の基盤及び、「全部を通して一括制御」を実現する UI 及び API の不在
    →だって出発点が違うのだから当然といえば当然なのだけど。 やや近いことを実現するのは「セキュリティの構成ウィザード」か。
    • カーネルモード: TCP/IP オプション (プロトコルスタック自体にハードコード) → 構成変更には OS 再起動不可避
    • ユーザモード: それ以外の実装 → 停止しようが内容を変更しようが、 OS 自体の再起動は不要
  • 起動時の一定時間、フィルタが無効になる(ユーザモード各種フィルタ)
    → Server2003 では IPSecオプション設定で回避可能(既定の状態ではない。)
  • ドキュメントの存在 (ヘルプと MSDN のほか。) → 体系的に網羅、マスタする術がない
    • TCP/IP オプション: KB (数本アリ)、@IT
    • RRAS: @IT、 IPA の SOHO 向けの文書
    • IPSec: セキュリティガイド、 MSU 教材、Self-Paced Training Kit(MCP)、サービスプロバイダ向けコーナ、ログの取り方などは Security Focus
    • Windows Firewall: 製品のページ、 KB、TechNet、Security Focus、@IT
  • 体系的な解説やベストプラクティスの提示がない(強いてあげればセキュリティガイドのみ←結構詳細ではあるが。)
    • 一般的にどこまで何をするか、のコンセンサスが取れない
    • 実際に設定するとして、文書にドコまで解説を埋め込むかの線が見えづらい
    • トレーニング教材を見つけづらい
    • OS 標準でどこまでできて、どこからを他の製品や機材でフォローするかが見えづらい

こんなところですかねぇ。何かご意見がおありでしたら、コメントに挙げてください<ALL
投稿日時 : 2006年1月21日 23:27

コメントを追加

# re: Windows OS の持つパケットフィルタ機能:問題点 2006/01/22 11:35 Fomalhaut Weisszwerg
>出先なのか社内なのか、でフィルタ内容を変更できない

これに関しては、なにかで、ハードウェアプロファイルを切り替えることで
対処するという記事を読んだのですがその方法でも無理なのでしょうか?


# re: Windows OS の持つパケットフィルタ機能:問題点 2006/01/23 14:07 YamaKen
ためしにハードウェアプロファイル切り替えをしてみましたが、無効ですね。
というか、アレはドライバやサービスの有効、無効を制御するのであり、今回問題にしている TCP/IP オプションの構成には無関係です。

私のとった大まかな検証手順
0. テスト用プロファイル用意(三つ以上作りましたが、二つで十分かな。)
1. テスト用プロファイル1 で TCP の「許可」ポートを 80 のみにしてみる
2. テスト用プロファイル2 で起動
⇒ この時点で 1. の構成が残っていなければ一応の成功
⇒⇒ 1. の構成が残っていたことを確認
3. 2. の許可ポートのパターンを違えたものをプロファイル毎に構成できないことを確認。

# re: Windows OS の持つパケットフィルタ機能:問題点 2006/01/23 19:00 Hirotaka Mieda
まぁそういうわけで 3rd パーティ製なソフトウェアが生き残る余地があるわけで・・・(^^ゞ
Windows Firewall がとてつもなく進化すると、怒る会社多いですが (爆)

# re: Windows OS の持つパケットフィルタ機能:問題点 2006/01/27 0:27 YamaKen
三枝さん:
ま、そういうことですね。

OS に標準添付のブツもあるということで、サードパーティのものには次のような優れた機能がついていてほしいなぁ、と思ってはいます。値段にも依りますが、現在はだいぶ、いいものが出回っているのじゃないかという見解です。

● 機能自体が OS 標準のものに比べて豊富
● 単なるパケットフィルタ、ソレも Layer4 迄しか見ないものではなく、アプリケーション層もシッカリ見る
● 使いやすい(エンドユーザ向け)
● 障害が発生しにくい or 発生しても解決が容易
● ほかの製品との連携(アンチスパイウェアやアンチウイルスと。)
● 管理性(統合、一括して一箇所から集中管理、というあたりや、コマンドラインのサポート、障害時のログ追跡が容易など。)
● 他のソリューションと組み合わせて利用できる(Cisco の NAC とか、 Microsoft の NAP はじめ検疫ネットワークなモノなど。)

私がほかに求めるものは当面ないわけですが、サードパーティのモノにはそれぞれの強みがあるわけで、いいものがもっと出てくるとよいなぁ、というところです。
WFP などの新しい基盤がこの辺、どう作用するのかが今後、楽しみですね。

コメント

タイトル:
名前:
Url:
コメント: