[globe3.ddns.net]
知らない人からキャンディをもらったら?
「ネットワークは、人間の相互信頼と協調のうえにかろうじて成り立っているひ弱な共同体である。」
-- Clifford Stoll
ウィルスやクラッキングが壊そうとしているのは、貴方のパソコンや企業のコンピュータ、そして、信頼関係という名の人間関係です。
コンピュータを相互に接続するときに考慮すべきは、コンピュータウィルスやクラッキングなどです。
車を使う前に事故に備えて保険を用意します。コンピュータネットもまた交通事故の様な日常の危険、そしてまた被害妄想の源泉なのでしょうか?
ここでは、教職員が使うPC内にある生徒名簿、成績表、調査書類など、機密度が高いファイルを外内部の略奪行為から守るための設定を記載しました。
このウェッブページの内容の一部は、スクールテックMLの
投稿を元にしています。また、用語に関するリンクは、その言葉の"google検索"が表示されます。
ここでは、次のコンピュータ環境で行うべき事を記載します。
・MS-WindowsPCが多数ある。
・WindowsNTやWindows2000がファイルサーバやプリントサーバを行う。
・専用線若しくはISDN、ADSL等でインターネットに常時接続している。
下記の設定を行っていない場合は、MS-Windows系サーバに「何か」を仕掛けられた場合に学校内LAN上にあるPCに入っているファイルが盗
まれる可能性があります。
NATとmasqueradeの設定
MS-Windows系OSの全てのPCには、プライベートアドレスのみを割り当てます。
さらに、ルータの静
的NATとマ
スカレード設定で外部からのパケットが、直接に学校内LANのPCに届くような設定には決してしません。
サーバは専用機とします。
ファイルサーバとプリントサーバには、マウスやキーボードやディスプレイなどを接続しません。
どうしても業務で使う場合には、WindowsNTやWindows2000サーバではブラウザでウェッブページを見たりOutLook系ソフトでメール
の送受信は絶対に行いません。
外部に公開するウェッブサーバ等は、プロバイダのレンタルが良いでしょう。学校内LANに設置するならばUNIX系でセキュリティ設定が確かなもの
に限定します。
ウイルス対策
MS-Windows系OS全般の「ス
クリプティングホスト」
と「パー
ソナルwebサーバ」を無効にします。
- 「スクリプティングホスト」の無効
[スタート]→[設定(S)]→[コントロールパネル(C)]→[アプリケーションの登録と削除]→[「Windows
ファイル」タブ]→[「アクセサリ」]→[詳細(D)ボタン]→「Windows スクリプティングホスト」の
チェックを外した後に[OK]ボタンを押します。
- MS-Windows系OSのセキュリティ設定を行います。
- ノートンアンチウィルスやウイルスバスター等を常駐形式とウェッブ・メール常時チェッ
クの状態にします。
リモートアクセス
RAS接続(link)は絶対に行いません。もし行う必要があれば、INS64回線で接続先を限定し電話番号指定でコールバックを必ず行ってからユーザ
ID入力要求するように設定します。
サーバでは、不必要なサービスは立ち上げない。
ftp、www、telnet、mailなど。
サーバには学校内LANのみのアクセスを許可します。
IPアドレスを認識するアクセスコントロールを設定します。
ルータ設定
- 設定変更や設定内容参照を行った際は、必ず現在のパスワードとは異なるパスワードを設定します。
- 設定変更や設定内容参照は、学校内LANからのみ行えるようにセキュリティクラスやフィルタの設定をします。ルータのloginプロンプトや
パスワード入
力要求をインターネット上に対し出さないようにします。
- 外部と内部からもWindows系ネットワークのパケットを通さないフィルタ設定をする。
- 内部に公開するftpサーバやwwwサーバがないのであれば、外部から内部宛のftp、wwwのパケットを通さないようにフィルタ設定をす
る。
- ip
spoofingアタック、land
アタック、smurf
アタックの対処をする為のフィルタを設定する。
以上が教職員PC内にある生徒名簿、成績表、調査書類など、機密度が高いファイルを外内部の略奪行為から守る為に必要最小限の設定です。
これらの機密度の高いファイルがあるPCの「共有ディスクアクセス」の為のパスワードを先生達で秘密にする事が簡単ですが、
これをお勧めすることは
出来ません。
もしも、誰でも使えるPCで一度でも職員室等のPCにアクセスして、共有のパスワードを保存すると、
MS-Windowsフォルダの中のパスワード
ファイルを消さない限り、その後は簡単に見えてしまいます。
少々予算がかかりますが、数万円のローカルルータを購入し、職員室内LANをFireWall付きロー
カルルータで分けてしまうのが、
費用対効果を考慮すると簡単且つ安全でしょう。WindowsNTでネットワークを分けるよりも安心できますし、
職員室内LANを守ることが出来ます。
学校外のコンピュータネットワークから職員室等のPC内にある機密度が高いファイルの略奪は、以下の様な方法で行われるでしょう。
- WindowsNTやWindows2000を対象にした、「ト
ロイの木馬型ウイルス」をVisualBasic等で作成する。(ネット上にそれがあります)
- 1.を知らぬ間にダウンロードして実行するスクリプトを記述したメールを送ったり、ウェッブページを作り、WindowsNTや
Windows2000が
見る(読み込む)のを待つ。(これも、詳細を記述した掲示板等があります。)
- WindowsNTやWindows2000に「トロイの木馬型ウイルス」が感染しWindowsNTWindows2000のHDDは、パ
スワードが盗
まれる。この感染したWindowsNTやWindows2000に悪意のあるプログラムをネットから設置が可能になる。
- 3.のWindows系サーバを使って学校内LANのパケットの盗聴が可能になる。主にNTドメイン名やワークグループ名等を盗む。また、
LANの
UNIX系やWindowsNTサーバにloginする際の、「ID」「パスワード」、「管理者パスワード」も盗聴が可能になる。
- 4.で盗み見したNTドメイン名とワークグループ名を使って、学校内LANのWindows95/98/MeのPCで共有設定しているHDD
のファイルを
WindowsNTやWindows2000経由で略奪し、それをメールで取得する。
上記の 4.
が行われるのでUNIX系サーバでも、学校内LANにWindowsNTやWindows2000があると、油断は出来ません。
管理パスワードも簡単に盗
まれます。ですから、tcp_wrapperを設定して、「パスワードは簡単に盗まれる」と
いう前提でセキュリティ設計を行うべきです。
もし、貴方の学校にあるWindows95/98/Meの[ネットワークアイコン]を開く時、
学校内LANに決して存在しない名称のPCが表示され
た場合は、それが職員の持ち込んだNotePCではないならば、
学校内LANのWindowsネットワークへ、外部からの[NetBEUIon
tcp/ip]を利用した悪意ある操作が行なわれている可能性があります。
学校内コンピュータネットの信頼について
ダウンロードしたプログラムファイルがコンピュータウィルスに感染している場合、実行すると感染等の被害に遭いますが、
ダウンロードしただけやLAN接続
しただけでは、今のところウィルスに感染することはありません。
従って、ネットワークを通じて入手したファイルは、ウィルスチェックを行ってから実行すれば被害に遭う機会は少ないでしょう。
また、マクロウィルスの出現により電子メール等による感染被害の割合が増加していますので、
添付ファイルなどは必ずウイルスチェックの後開くようにしましょ
う。
コンピュータウィルスは、メールに添付されるもの、MS-Word
やMS-Execlに添付されるものがあります。
NortonAntiVirusなどのワクチンソフトを使用し、感染したそれらのファイルを開かなけれ
ば、ウィルスに感染する危険度が低下し、学校内コンピュータネットに対して危険性は低くなります。
ただし、完全ではありません。
急いでいる時には、ウィルスチェックをしないのが常でしょう。悪気のない操作が思わぬ結果をもたらします。
コンピュータウィルスは、相手を選びます。
Windows98に害を与えるウィルスも、MacintoshやUNIX、GNU/Linux
には悪さをしません。
コンピュータを購入する時に「うちは富士通で統一しよう」などとシステムの標準化を行う事は、ウィルス予防の一つである「多様性」を
犠牲にします。
コンピュータネットは、人間社会と同じように多様に富んでこそ活力も旺盛になるでしょう。
もしくは、Microsoft
Windows、MS-WordやExcelを使用しない事もコンピュータウィルス対策になると、私たちは考えています。
ウィルス感染時の症状は、
音楽を演奏する。
画面表示が崩れる。異常なメッセージを表示する。
システムの立ち上げに異常に時間がかかる。
システムがハングアップする。
ユーザーの意図しないディスクアクセスがおこる。
さらに、
コンピューターが起動しない。
ファイルが削除、破壊される。
ディスクが破壊される。
などがあります。最悪な場合は、コンピューターが起動しなくなったり、ファイルが消去される場合があります。
古い例ですが異常なメッセージの表示を以下に示します。
ファイル感染型ウイルス、W32/Marburgの発病画面
感染しているファイルを感染してから3ヶ月後に実行すると発病し、スクリーン上のいたるところにカラーアイコン(赤い丸の中に白い十字)を表示する。
W32/Skaの発病画面
通常、電子メールやニュースグループ上の添付ファイル(ファイル名は「Happy99.exe」)として拡がっていく。
ユーザが
「Happy99.exe」を実行すると「Happy
New Year1999」というタイトルの花火の画像が表示される。
MS-Wordのマクロウイルス、Wazzuの発病画面
「Wazzu」という単語を文書内中のランダムな位置に挿入する。
ウィルスの種類と感染
- ブートセクタ感染型
ブートレコード、マスターブート、FAT、パーティションテーブルに感染します。
- プログラム感染型
[.com] [.exe] [.ovl] [.drv] [.sys] [.bin]などの実行可能プログラムファイルに感染します。
- マクロ感染型(マクロ・ウイルス)
アプリケーション・プログラムであるMS-Wordz・Excelなどのデータ・ファイルに感染します。
コンピュータの共同利用時のウィルス対策
- ウィルス被害に備えるため、文書サーバデータのバックアップを行う。
- 最新のワクチンソフトを使いウィルス検査を行う。
- ウィルスの兆候を見逃さないようにし、ウィルス感染の可能性が考えられる場合は、ウィルス検査を行う。
- メールの添付ファイルはウィルス検査後開く。
- ウィルスが感染している可能性のあるファイルを扱う時は、マクロ機能の自動実行は行わない。
- 外部から持ち込まれたフロッピーディスク及びダウンロードしたファイルは、ウィルス検査後使用する。
コンピュータが壊れたり、誤って又は故意にデータを壊された後に短時間に立ち直るための準備として、
インストール済みのハードディスクをもう一つ作りま
す。
- 完全なバックアップコピーをリムーバブル媒体等(MO,CD-ROM)に保存する。
- 上記のリムーバブル媒体にバックアップコピーが正しく書き込まれている事を確認検証する。
- ハードディスクを取り外し、別のハードディスクを装着してから全く同じインストール手順を繰り返す。
- リムーバブル媒体からバックアップを新しくインストールしたハードディスクに書き込む。
- 作業が終わったら最初のハードディスクを、バックアップとして保管する。
この方法は、ごく簡単でしかも効果的です。文書サーバのハードディスクが壊れた場合は、早急に復旧させる必要があります。
上記の手順によりOSと文書等の
データをインストールしておけば、ハードディスクを交換するだけで復旧作業は終わります。
この方法は、頻繁に文書が変更される場合には不適当ですが、基本サービスの復旧には十分です。
問題のハードディスクは、別のコンピュータで再フォー
マットして使用もできます。
文書などデータのバックアップ
バックアップ媒体
1つの媒体でバックアップを取るべきでしょう。
複数に分けると紛失や書き込みや復旧時のエラー発生、媒体の入れ替えに立ち会う、などの不都合が生じます。
文書量によってCD-ROMかMO、ZIPのいずれを使うかが決まります。
バックアップの原則
- バックアップ終了後、その一部を無作為に開いてみる。実際に文書が見られるか試す。
- 媒体に安物を使わない。安いものは書き込み、読み込みに失敗することが多い。
- 重要なバックアップに取りすぎはありません。
- 最低でも内容と日付は明記する。
[コンピュータの話し]
[globe3.ddns.net]