-->中田さん
返信、どうもありがとうございます。
たしかに、おっしゃるとおり、1つ1つ地道に調べて体系化して
いくしかなさそうですね。
時間はかかると思いますが、勉強してみます。
これからも、またよろしくお願いいたします。
今回、こちらに書き込みをさせていただいて、いろいろ教えてくださった皆さんに感謝します。どうもありがとうございます。
-->こぶどさん
なるほど。。。いとさんの指摘されたことといい、ZoneAlarmと組み合わせると、いろいろ不思議なことがありますね。
また、何かありましたら、報告しますね。
>Noriさん
>もしかして、DDNSでIPアドレスが更新されるのに時間がかかっているということはないでしょうか?
私も、最初はそうかと思っていたのですが、ZoneAlarmのセキュリティを「中」にしたら、つながらなかったのが直ちにつながるので、DNSの更新時間の問題ではなく、ZoneAlarmに依存した問題なのではないか?と考えている次第です。
Nori さん、
セキュリティホールについては、
http://www.st.ryukoku.ac.jp/~kjm/security/memo/
およびそこからのリンクなどがいいのではないでしょうか。
もっとも Nimda や CodeRed についてはだいぶ昔の話なので、あらためてインターネットで検索する方がよいでしょう。
これらのワームについての対策方法についてはアンチウイルスソフトのページやマイクロソフトのセキュリティのページに詳細が書いてあります。
ただ、どういうアクセスがあってそれがなぜワームとして動作するのか、そして大半の場合になぜ無害なのか、を理解しないとだめだろうと思います。
それらの理解のためには、もう少しいろいろなこと、たとえばHTTPプロトコルのこととか、バッファオーバーフローのこととかがわかっていないと無理ではないかと思います。
そういう基本的なこともインターネット上に情報はあるにはありますが、まずは本を読んで習得するほうがよいでしょう。
>こぶどさん
もしかして、DDNSでIPアドレスが更新されるのに時間がかかっているということはないでしょうか?
>Noriさん
>その後、1つ新たにわかったことがあります。
私の方でもひとつ。
こちらはADSL接続でして、電話着信による回線切断があります。
最初立ち上げたときは、ZoneAlarmのセキュリティ設定は「高」で
アクセスできるのですが、電話着信による回線切断の後、モデムは
再接続してIPアドレスが変わり、DiCEがそれを察知して
ダイナミックDNSを更新するのですが、この後のアクセスは、ZoneAlarmが
はじいてしまいます。
でも、しばらくすると、アクセスできるようになります。
なぜだか理由はわかっていません。
いとさん。
その後、1つ新たにわかったことがあります。
例の設定は、ずっと有効なのではないようです。PCの再起動をかけると、やはりアクセスをはじいいてしまいます。
で、再起動をしたあとで、いったんサービスを中止して開始をすると、アクセスが可能になります。ZoneAlarmよりもあとでサービスを開始しないとだめなようですね。
不思議ですが。。。2回ためして、2回ともそうでしたので、たぶん間違いないと思います。
dipreさん、いとさん。返信どうもありがとうございます。
>dipreさん
BlackICEの件、どうもありがとうございます。いろいろ調べてみました。IDSというソフトがあることを知り、勉強になりました。
>いとさん
いとさんの教えてくださった手順で、ぶじに「高」でも可能になりました。NT系なので、削除後、サービスを停止してから開始してやってみました。ほんとうにありがとうございます。これは「発見」ですね。まだ、どこにも書かれていないと思いますので、これから導入される方の参考になるとうれしいです。
------------
>dipreさん、いとさん、またほかの皆さん
今回の件で、セキュリティ情報を検索するうちに、ちょっとセキュリティに目覚めました・・・(といえるレベルではありませんが)。
いずれにしても、サーバを立てる以上、セキュリティは避けて通れませんね。踏み台になれば、自分だけではなく他人にも迷惑がかかるわけですし。
サーバを立ててしまえば、サービス用のポートは、どうしても「オープン」になってしまい、オープンである以上、常に侵入のおそれと隣り合わせですよね。。。
サーバであることがわかれば、PCであることはもちろん、OSの種類を特定するのは簡単ですから。
ANHTTPDとは話が少しそれてしまいますが、セキュリティについて、もっと情報が欲しいですね。
皆さんは、セキュリティ対策をどこまでされていますか??
Noriさん
ZoneAlarm でどうすればセキュリティを「高」でもアクセスできるか
試行錯誤してみました。
どうも AN HTTPD と ZoneAlarm の起動順序が関係しそうな感じです。
LAN内で確認しただけですが、一応以下で「高」でアクセスできました。
1. ZoneAlarm でセキュリティ -> インターネットを「高」にする
2. ZoneAlarm の「プログラム」に AN HTTPD があれば削除する
3. (AN HTTPDが起動中であれば一旦終了) AN HTTPDを起動する。
4. ZoneAlarm で「サーバプログラムの確認」ダイアログが出れば
「今後このプログラムを使うときは許可を求めない」にチェックし Yes
5. ブラウザから AN HTTPDにアクセス
環境によっては多少動作が違うかもしれませんが、要は 4. が出れば
それ以降はアクセスできるようになります。
「プログラム」で「接続許可を尋ねる」に設定してもブロックされるあたり
もう一つよく分からないこともありますが。
>Noriさん
いまさらな感じの「不正」アクセスの件なんですけど…。
「不正」アクセスのみを防ぎたいのでしたら
BlackIceDefenderのような侵入検知ソフトを入れるのはどうでしょうか?
このタイプのソフトならパケットの中身で「不正」アクセスかどうかを
判断するため、そういうアクセスをはじくことができる…
とのことが以前の「PC Japan」という雑誌に載っておりました。
実際入れたことは無いようなソフトを紹介するのはどうかと思いましたが
こういうのもあるよということで頭の隅にでも置いておいてもいいかな?
と思いましたのでご報告まで。
>Noriさん
>今、いとさんのアドバイスに従って、「中」レベルにしたらOKでした。
>こぶどさんのところでは、「高」でも問題ないのですか??
問題ないんですよ。
mantaさん、Aliceさん。
はじめまして。
どうもありがとうございます。
NPFは以前、別のマシンで使ってました。ただ古いバージョンだと
LANが使えないんですよね(勘違い???)
LANにアクセスするときは、無効にしてました。 ^^;
mantaさん、おすすめのソフトも検討してみます。
ところで、とりあえず、ZoneAlarmをレベル「中」で使っていますが、
ここで1つ不思議なことが。ちょっと不安です。
ログを見ると、今までと同様、裏口から訪問者がぞろぞろですが、
ZoneAlarmはおとなしくしてます。
ただし、ときどき、「xxxxxxxから192.xxxxxへのNETBIOSのトラフィックを
ブロックしました」というようなメッセージが、ときどき出ます。
192.xxxxは、サーバのプライベートアドレスです。
ということは、ほかの多くのアクセスとは異なる訪問だと思うのです。。
一応、ルータのほうでポート136-139(だったかな?)は、リジェクト
の設定にしてあるのですが、これって、ルータを通り抜けて、直接、サーバ
マシンに何らかの要求をするところまできた、ということでしょうか?
だとすると、かなり、やばい事態でしょうか???
よかったら教えていただけますでしょうか?
(最近、ログを見てからびくびくしている私でした・・・)
> 皆さんはどうされているのでしょう??
わたしはNorton Personal Firewall使ってます。
プライバシー制御が良い感じです。
Nori さん
> 皆さんはどうされているのでしょう??
私の場合、以前はZoneAlarmを使ってたのですが、現在では、TinyPersonalFirewall Ver2.015Aを使ってます。
Port設定ができるので、ZoneAlarmよりも細かくセキュリティ設定できます。
必要であれば、下記に日本語パッチがあります。
http://www.geocities.co.jp/SiliconValley-Cupertino/2943/html/tinypf_jp.htm
ちなみに、最新バージョン(Ver3.xx)は、使ってません。
参考までに・・・
こぶどさん。はじめまして。
--------------------------
セキュリティ・セッティングのタブで、下の方にある
「・・・サーバをブロック」というところのチェック
をはずしてありますか?
--------------------------
はい。はずしてあります。
---------------------------
ロック・セッティングのタブで、オートロックを無効
にしていますか?
----------------------------
はい。無効にしています。
今、いとさんのアドバイスに従って、「中」レベルにしたらOKでした。
こぶどさんのところでは、「高」でも問題ないのですか??
いとさん
はじめまして。
実は、あのページも見たのですが、「中」では意味がないということでしたので「高」にしていました。(「中」にしないとサーバ公開できないとは、どこにも書かれてかなかった ^^;) 今、「中」にしたところ、外からサーバにアクセスできるようになりました。助かりました。どうもありがとうございます。まあ、これでステルス機能は使えませんがポートの防御はしてくれるということなので、ルータのNATと併せて多少は効果があるのですよね。。。
では、失礼します。
また何かありましたら、よろしくお願いします。
>noriさん
ZoneAlarmを使ってサーバを公開しています。
セキュリティ・セッティングのタブで、下の方にある
「・・・サーバをブロック」というところのチェック
をはずしてありますか?
ロック・セッティングのタブで、オートロックを無効
にしていますか?
上記、確認して見てください。
Nori さん
> 皆さんはどうされているのでしょう??
使っていないので、こうしてるという説明ではありませんが。
ZoneAlarm については「竜の情報館」の以下のページが参考になるかと思います。
http://ryulife.com/net/usage.html
「許可」にしてもセキュリティの設定が「高」なので全てのアクセスをはじく状況
ということではないでしょうか?
中田さん。
返信、どうもありがとうございます。
また、ANHTTPDに関しても、改めてお礼を申し上げます。
XPではサービスとして起動できるので快適です。CGIの動作も、XPだとリソースを開放してくれるためか、メモリを十分に積んでいるためか、外からのアクセスも早くなりました。(MEのときいは、CGIを実行すると、リソースがすぐに不足してました。。。)
さて、「不正」アクセスの件ですが、了解しました。たしかにそうですね。
ZoneAlarmでは、ANHTTPDのサーバ許可にチェックを入れて、「パスロック」もチェックしています。また、ロック(ステルス機能)も使っていません。ですが、すべてはじいてしまうようです。結局、サーバを公開するためには、ZoneAlarmは使えそうもないですね。ネットでは、自宅サーバ関係のいくつかのサイトで、ZoneAlarmを推奨していたのですが、皆さんはどうされているのでしょう??
それでは、どうもありがとうございました。また、遊びに来ます。
PS:
ここにメアドを公開したとたんに、アダルトサイトからの通販のメールがきました。いやあ、ネットって、ほんとうにこわいですね。 ^^;
Nori さん、
Nimdaの「不正」アクセスと言っても、HTTPプロトコルのリクエストとしては「正常」なものです。
「不正」アクセスを ZoneAlarmなどで単にブロックするのでは、「正常」なアクセスもブロックすることになります。
つまり「正常」なアクセスを通せば、Nimdaなどのアクセスは「正常」なアクセスなのでそれも通します。
「不正」なアクセスかどうかはリクエストの中身で判断しなければいけないので、そういうことができるものでなければ「不正」アクセスを遮断することはできません。
だからこそ、Nimda や その前の CodeRed が結構な騒ぎになったわけです。
ZoneAlarmProにそういう機能があるのかどうかは知りませんが、たぶん、ZoneAlarmでブロックすることはできないでしょう。
あきらめて放置しておくしかありません。
HTTPサーバのポートを80以外に変えてもいいのであればそれでもいいとは思いますが。
はじめまして。返信、どうもありがとうございます。
鷹の巣さんのホームページは、よく読ませていただいています。有用な情報を網羅していて、とても参考になります。
さて、ZoneAlarmですが、ANHTTPDをはじめ、ある程度自動的にネットとやり取りをするソフトは、サーバとしても通信を許可するように設定してあります。
そもそも、ZoneAlarmを導入したのは、例のNimdaと思われるアクセスをはじめ不気味な不正アクセスがひんぱんにログに記録されたからなのです。ところが、たしかに効果があったのですが、試しに自分でモバイルでアクセスしてみたところ、モバイルからはつながらなかったのです。それで、サーバの画面を見ると、ゾーンアラームが「xx.xx.xx.xxからのアクセスをブロックしました」というような、いつものメッセージを出していて、許可しようもありません。それで、オフにしたところ、いつもどおりつながりました。紹介していただいたサイトをはじめ、ネットでもいろいろ調べたのですが、見つからなくてここに書き込んだしだいです。。。。
Noriさんへ、はじめまして。
>ZoneAlarmというソフトを入れたところ、外からのアクセスをすべてブロックしてしまいます。
私は、ZoneAlarmというソフトを使用していないのですが、アプリケーションゲートウェイ形の
ファイアウォールソフトは、サーバソフトのインターネットへの接続を許可するか拒否するかの設定を行う様になっていると思います。
安全上、初期状態は、インターネットへの接続が全て拒否になっている筈です。
AN HTTPDのインターネットへの接続を許可すれば、インターネット側からアクセス出来ると考えます。
参考:
http://www.kent-web.com/www/firewall/prog.html
はじめまして。
半年前から、ANHTTPDを使わせていただいています。WinMEからXPに変えて、ますます快適で、特に問題もありません。このようなソフトがフリーであることに感謝しています。
ところが先日、ZoneAlarmというソフトを入れたところ、外からのアクセスをすべてブロックしてしまいます。つまり、正常なアクセスもできなくなってしまいました。直接、ANHTTPDとは関係ないのですが、どうしたらよいか、ご存知でしたら教えていただけないでしょうか?