外でネットに繋げるときの考察
ってことで、『想定として』公衆ネットワークに会社PCを突っ込む
ときに一応保全しておくことをまとめてみますです。
→今回は自機が狙われて何かされないか?のところに限定
end⇔endでやり取りするデータについての保全についてはシラン、
ぜんぶSSLでしゃべれ(w
だって、それ言ったらなにもでけんもん(駄目
追記:
あ、あれ、この話って市販のパーソナルセキュリティなんちゃらって
の入れとけばふつーにあるよね(劇汗、ま、まぁ、このPC入ってないし(w
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
●前提:
- 今回は、windowsXP SP3、AD参加可能PC
- 有線LAN接続での話。無線LANはWPA2で繋ごうがなんだろうが
結局有線LANに乗り上げてからL2部分で何仕掛けられるかが
要点だと思うので(略
→そりゃ暗号化掛けて通信するに越したこたないけど。 - ウイスルにやられたらについては、アンチウイルスソフトに依存
- 偽DHCPや、arp詐称、嘘DNSに騙されたら仕方がない(w
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▼考点は2つ。「受け付けない」「名乗らない」
- 「名乗らない」⇒「ローカルエリア接続のプロパティ」から
以下を無効にする。
これ有効だと、ADのhost名を名乗りまくるのが
個人的に大嫌い。(しょうがない(w- 「MS ネットワーク用クライアント」
- 「MS ネットワーク用ファイルとプリンタ共有」
ずっと、wiresharkで自発、自機宛の通信を眺めているのですが、
いくつか喋っているけど止めるのがまんどい。
- UPnP
- パターンファイル更新用の社内サーバへのアクセス要求
思いつくのは、これぐらいでしょか。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▼ぼやき:
上記のことをプロファイルで切り替えたいんだけど
って、まさに製品版にある機能…。
しゃーない、検証用と持ち出しといろいろ兼務させるとこういう
secアマアマになるんだと。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▼参考資料:
@IT:運用 IIS安全対策ガイド・インターネット編 3.インターネット向けサーバのためのセキュリティ設定
@IT:WindowsXPの正体 実験/実証によって探るWindows XPの真実の姿 常時接続でも安心のファイアウォール機能 1.ファイアウォール機能を有効にする