MicrosoftのURLフィルタ 19
ストーリー by wakatono
効果あるかな? 部門より
効果あるかな? 部門より
ryouki 曰く,"ITProの記事より。MicrosoftがIISに送信されるHTTPリクエストをチェックするツール[URLScan Security Tool]を公開した、とのこと。ルールと照らし合わせて許可/拒否を設定する。
defaultとして[既知のセキュリティ・ホールを攻撃するためのリクエストや,通常はありえないリクエストをフィルタリングするためのルール]が設定されている模様。日本語版はまだのようなので、テストしてません。如何なもんでしょ。"
リクエストチェックツールにセキュリティホールがないことを祈ろう。
Re:なぜ、今まで無かったんでしょう? (スコア:4, すばらしい洞察)
経験を積んだ管理者でないとセキュリティホールを潰せないような製品を、デフォルト で動作させる神経がわからん。
インストールするときには機能の説明だけで、こんな注意書きないよね。セキュリティツールにはこれだもんな。
マイクロソフトの論理を正当化するのであれば、経験を積んだ管理者でないと起動させられないようにしておかねばさ。
Re:なぜ、今まで無かったんでしょう? (スコア:3, 興味深い)
せっかく返事を下さった方々には申し訳ないんですが、私としてはMS社はどうでもいいんです。いつものことじゃないですか。
別のコメントでも書きましたが、Unix系OSでもセキュリティホールはWindows以上に見つかっているし、ラーメンやライオン、/.でもX.Cワームが話題になってますね。Unix系OSでも、やはりセキュリティホールのこじ開け方はバッファオーバーフローが基本みたいですし。
現在、ファイアウォールが常識であるように、「既知のセキュリティ・ホールを攻撃するためのリクエストや,通常はありえないリクエスト」を排除する「セキュリティゲートウェイ」のようなソフトor機器が、なぜ今の今まで出てこなかったのか? と言うのが私の疑問なんです。
私見ですが、MS社にこだわりすぎると、かえってネットワーク自体の問題点を見過ごしてしまうように思います。
改めて質問させてください。
なぜ、今まで無かったんでしょう?
なぜ、今まで無かったんでしょう? (スコア:2, すばらしい洞察)
今までに、「既知のセキュリティ・ホールを攻撃するためのリクエストや,通常はありえないリクエスト」はかなりの数が明らかになっていたと思うんですが……
Re:なぜ、今まで無かったんでしょう? (スコア:2, すばらしい洞察)
無関心からCodeRedを蔓延させている人たちに対する対処としては残念ながら効果薄かもしれないですね。
もちろん、出さないよりは出したほうがいいわけですけど。
今年の目標考え中
Re:なぜ、今まで無かったんでしょう? (スコア:2, すばらしい洞察)
だって、MS が使って欲しいものはユーザが嫌でも使わせようとするけど、セキュリティパッチは Webに置いておくだけなんだもの。
ほんとにセキュリティに関心があるのであれば、IIS のインストール時にセキュリティパッチを強制的に導入させるとか、他に採れる方法がいくらでもあるはず。
シェア獲得ほどにはセキュリティに関心が無いことが、余計に MS バッシングを助長しているのでは。
Re:なぜ、今まで無かったんでしょう? (スコア:2, 興味深い)
という話を聞きましたが(裏取れてないので嘘度20%)
この場合、MSとユーザだけではなくて、PCの販売元にも責任があるとも思えます。
ただ、だからといって責任のなすりあいは問題ですね。
・W2kユーザ: 「なんでもMSのせい」にしてないか?
・MS: 「docも対処法も公開してるから、あとはなんでもユーザ責任」にしてないか?
・PCメーカ: 火の粉が飛んでこないよう、必要なことでも黙っていたりしないか?
以上、自戒を込めて。
Re:なぜ、今まで無かったんでしょう? (スコア:1)
気付いてないという事実がM$の重い腰を動かしたということでわ?
その意味では Code Red の感染力に感謝?
逆に言うと Code Red くらいパンチが効いてないと
M$はのらりくらりとかわすってことかな?
#あぁ、今日も、access_log に XXXXXXX の嵐が...
#せめてメールアドレスも一緒に送ってくれれば、
#教えてあげるんだけどなぁ...
Kiyotan
Re:なぜ、今まで無かったんでしょう? (スコア:1)
Code RedパンチがM$にツールを作らせたことは私もそうだと思います。でも Ping of Death とかバッファオーバーフローなんて言葉はデモシカ管理者である私ですら知ってます。
Unix系OSでは問題になってなかったのかな、とも思いましたが、実際にはセキュリティホールもWindows以上に見つかっているそうですし、なおさら、こういうツールもしくは機器はもっと早く出てきても不思議じゃないような気がしているんです。
Re:なぜ、今まで無かったんでしょう? (スコア:1)
本末転倒だからではないでしょうか?
> 今までに、「既知のセキュリティ・ホールを攻撃するためのリクエストや,通常はありえないリクエスト」はかなりの数が明らかになっていたと思うんですが……
Microsoft は自身のソフトウェアのセキュリティホールなどは発見され次第修正プログラムをリリースしていますし、情報は提供しているわけです。でも、インストールしない、あるいは使わない機能までインストールして動作させている責任を一方的に Microsoft に負わせる最近の風潮もどうかと思います。
Re:なぜ、今まで無かったんでしょう? (スコア:1)
逆じゃなかった?
「修正プログラムのリリースの目処が立ち次第セキュリティホールが発見されたことのアナウンスを出して、」だったと思ったけど。
# 以前に「まだかまだか」でひどくやきもきしたことがあったけど。
Re:なぜ、今まで無かったんでしょう? (スコア:1)
利用しないでしょうね。そもそもそのような人は、自分のマシンにセキュリティホールがあるとは思っていないでしょうし、へたをすると「セキュリティホール」という言葉さえ知らないかも。
気軽に利用されてしまうMicrosoft製品って、危険なものばかり。Office, Outlook...
でも、なんでこんなにセキュリティが悪いんだろう?メジャーであり、かつソフトを乱発してレベルが低いから?
jmz
Re:なぜ、今まで無かったんでしょう? (スコア:1)
ツールとしては、珍しいものではないと思う。
googleで探すと、いっぱい出てきますしね。
ちょいと、マイナーなだけですね。
Re:なぜ、今まで無かったんでしょう? (スコア:1)
単に入れればおっけい、ではなく、自分のサイトを守る
設定をそれぞれでしなくちゃいけないので、ツールとし
て手離れは悪いかもしれませんけれど。
#そういうコンサルするヒトがいない方が問題なのかも。
みんつ
Re:なぜ、今まで無かったんでしょう? (スコア:1)
Apache 使いの人なら <DirectoryMatch> や mod_rewrite を使うからではないでしょうか?
あるいは reverse proxy などを使って、Web サーバに対するリクエストフィルタを実装しているサイトは既にあるとは思いますが、、、
Re:なぜ、今まで無かったんでしょう? (スコア:1)
LINUXでさえあやふやですけど、ipchains(iptable) でパケットのフィルターリングするようなもの、ではないのかな?
あ、でも目的が違うか。
# ちなみにセキュリティホールの報告がUNIX系で多いのはそれだけ厳しい目でチェックされているからで、
#別に穴が多いことと同等ではないと思うのだった。
#統計の結果とか見るとドキッとしてしまう。
Re:なぜ、今まで無かったんでしょう? (スコア:1)
teltelさんの#は私も同感です。現状ではセキュリティレベルを左右する一番の要因は管理者の意識。UNIX系の被害報告が比較的少ないのはそのせいなんでしょう。
ポインタを確認できなかったんですが、ルーターのフィルタリング機能を利用してCodeRedのDDos攻撃を防ぐ方法を紹介しているサイトが一つありました。それで最初の質問を出してしまったのですが、CodeRedも当分消えそうにありませんし、そのうち、今のアンチウィルスソフトやパーソナルファイアウォールのような感覚で使用できるツールor機器が出てくるかもしれませんね。
Re:なぜ、今まで無かったんでしょう? (スコア:0)
まあね。IISが動いて「ホームページ」が見れるようになったら、「やったーやったー」(続かない
IISデフォルト動作のW2K機 (スコア:0)
W2Kを起動するときに「IISが起動するぞ」などのメッセージは一切出ないので、W2KやIISがどのようなものかが分かっていないユーザはうっかりそのままインターネットに接続するでしょう。
自分の場合は、気づいていながらIISをアンインストールしたつもりでインターネット接続してしまい、CodeRedにひっかかった愚か者です、はい。
Re:なぜ、今まで無かったんでしょう? (スコア:0)
「設定によっては正規のリクエストまで拒否する恐れがあるので」経験を積んだ管理者のみがこのツールを使用するよう、だよ。
経験をつんでいない管理者がこのツールを使うと、
デフォルトの状態でセキュリティーホール(のうちのいくらか)は潰せる、のでは?
さらに色々いじってるうちに、本物のコンテンツも
みられないようにしてしまう、かも。という話かと。