最強のファイアウォールは止まっている 36
ストーリー by Oliver
コロンブスの卵 部門より
コロンブスの卵 部門より
tyamagch 曰く、 "Sys Admin Journal for UNIXの記事に「HaltしたLinuxマシンでファイアウォール」という記事が掲載されていた。Linuxマシンを終了させるときに通常はshutdown -hコマンドを入れるのだが、その後もパケットフィルタリング機能を動かしておけば、ディスクもアンマウントされていて、余計なタスクも動いていない、すなわち第三者に侵入される余地のない超安全なファイアウォールってわけだ(DHCP使用環境では使えないなどの制約もあるが)。"
ありがちな例 (スコア:2, 参考になる)
・拒絶IP設定も完璧.
「これで完璧だー!!」と思って,一定期間の試験
運用もなしに shutdown -h.
拒絶IPのつもりが「allow」としていて,ログも
取らないから永久に気付かず,ローカルネットは
外から見られ放題.
ローカルネットは当然ノンパスワードで共有し放題の
Windows(笑).NetBIOSでIP直指定で見られ放題.
#最近Linuxから離れ気味で忘れてしまったのですが,
#NetBIOSのポートフォワーディングってできるんですっけ?
optimized for /.
なるほど (スコア:1)
というか、パケットフィルタリング機能だけを
動かすにはこうするという「お手本」みたいな感じですね。
haltしてる状態で動くってのはまるで脳死状態で
電気を送って活かし続けているような気持悪さがありますが、
死んでいることを利用するテもあるんですねぇ。
Re:なるほど (スコア:1)
これが本当(unix伝統語のアレよりも的確な)の、ゾンビですね(^^;
いわゆるOSがフィルタのローダー(ブーター)になってるわけ、ですよね。
これもまたコロンブスの卵系でしょうか?
#逆にいえば、それだけ、unixにおける「動いてる」という状態の定義が、狭いということですかね…
Re:なるほど (スコア:0)
ロギングもとまってる? (スコア:1)
2chみたいに、ログを提出しろって言われたって、とってないもん出せない。
警視庁 [srad.jp]から指導をうけそう。
Re:ロギングもとまってる? (スコア:3, おもしろおかしい)
#これならログのとれない説明がつく(笑)
Re:ロギングもとまってる? (スコア:2, 参考になる)
あとは、ログが必要ならsyslogも動かさないといけない、ディスクにログをかき出すにはHDDもmountしておかないといけない…と、ここから追加して行くようなアプローチも面白いかと。
指導は受けませんよ (スコア:2, 参考になる)
警察自身がザルだとわかっているようですね > ログ
Re: 指導は受けませんよ (スコア:2, おもしろおかしい)
Re:ロギングもとまってる? (スコア:1)
「ファイアウォール機能」だけならそこらの廉価ルータだってできる。
接続ログの取れないファイアウォールにファイアウォールを名乗る資格
ナシナシと私は思う。
みんつ
Re:ロギングもとまってる? (スコア:0)
キッチリ速度出せるって利点は一応ありますね。
Re:ロギングもとまってる? (スコア:0)
と、レスがつくのは目に見えていたと。
ちょっぴり? (スコア:0)
あ、まんまLinuxなりBSDなりが載ってるようなの(特にHDD付きの)は除いてね。
Re:ちょっぴり? (スコア:1)
ドライバの障害がでたらどう対応するんでしょう?
#障害がでたら即reboot?
#エラーも通知してくれないsystemなら、まったく意味ない気がしますけど・・。
自分の所で試せる環境が今ないんですけど、kernelがhaltの準備をしてる状況で
プロセスを残しておくってのは、やっぱり気持ち悪いですねぇ・・・。
#不必要なdiskのunmount、不要なプロセスは動かさないってのは、はっきり言って
#secureなサーバを作るためには必須のことだと思うし、そんなことをhaltした
#マシンで実現しても何もうれしくないと思うのだが・・・・。
#それに、単に、rc scriptでの自動化だけでも実現できません?
#それとも、kernel側でhaltにすることが必須なの?
あと、この状態の理論的な説明とかってないんですかね?
記事の原文読んだ感じじゃ、そこまでまだ追求してないみたいですけど・・・。
#経験則だけではどこに穴があるか分からないから、kernelやOSの動き全部
#調べてからこういうのは発表すべきだと思うんだけどなぁ。
---- redbrick
Re:ちょっぴり? (スコア:1)
スペックがよくわからないんですが、
>90~100Mbpsでるルータ
ってのが、Gigabit-Ether portありの機種のことを言ってるのなら、そうそうなさそうですねぇ・・・。
でも、家庭内でGigabit-Etherでネットワーク組んでも、FTTHでもホームユースは10BASE
相当のはずで、まったくオーバースペックなんですが、外部側は何と接続するつもりなんでしょ?
企業ユースでも確か100BASE相当がせいぜいじゃないですかね?
#あ、100BASE-TXでなら、5万から10万付近で数portあるのがごろごろあるみたいですけど。
#しかもVPNやパケットフィルタはほとんど標準搭載みたいで。
しかし、
>まんまLinuxなりBSDなりが載ってるようなの(特にHDD付きの)
これは買って実際に中身を見ないとわからないかと。
#カタログスペックでOSがLinuxやBSDだって明記してあるのは数少ないんでは?
#普通のユーザーはそんなこと気にしないから、カタログの文句には書かないでしょう。
---- redbrick
Re:ちょっぴり? (スコア:0)
それはもちろん、100Mbpsの光ですね。
>#あ、100BASE-TXでなら、5万から10万付近で数portあるのがごろごろあるみたいですけど。
>#しかもVPNやパケットフィルタはほとんど標準搭載みたいで。
その価格帯のルータだと、現状の製品群ではそのルータがボトルネックになってしまって
回線が勿体ないのです。100M
最強とはいえ (スコア:1)
Re:最強とはいえ (スコア:1)
たかだか数万行レベルならなんとか実地で証明できそうなものでしょう。某OSみたいに数千万行あって、どこが問題だかわからないなら(いくらなんでも某OSのサポート体制がそうだとは思いませんが)作業量は膨大になります。
Re:最強とはいえ (スコア:1)
ただ、「最強の」という所にちょっとだけツッコミを入れてみたかったんです。
Re:最強とはいえ (スコア:1)
# え、*BSDで同じことをやったほうが強いって?:-)
Re:最強とはいえ (スコア:1)
少なくともNetBSDではできません。(他の*BSDも同様だと思う。)
もちろんshutdown時の幾つかの処理をコメントアウトしてしまえばできますが、それは反則でしょうから。
というか、haltというのはいつ電源を落とされても構わない状態なのだから、そんな状態でパケットを受け入れてしまうLinuxのほうが変。
こういう方向は? (スコア:1)
## 防火壁という大前提を忘れているような気が・・・・
他のUNIXでは? (スコア:1)
イマイチどういう状態なのか想像がつかないです。
いわゆるシングルユーザモードとも違うのですよね?
Re:他のUNIXでは? (スコア:1)
真面目に「Firewallとしての機能が云々」と言っても面白くない。「他のUNIXではどうか?」(筆者もOpenBSDで試したいと書いてた)のようなリアクションを筆者も期待していると思うよ。
ほら、この記事を読んだ後は、今まで呆然と画面を眺めていた'shutdown -h now'入力後の時間も、「ここで何が出来るんだろう」と思いをめぐらす有意義な時間に!(笑)
Don't ask me why!
Re:他のUNIXでは? (スコア:1)
しかし、shutdownしたあとにプロセスが残るというのは、なんとも
不気味な…
興味の対象とはなっても、真っ当な運用では無いかも知れませんね。
Re:他のUNIXでは? (スコア:1)
中身をきちんと読んでないけど、割り込み処理をまだ続けて
しまってるって感じですよね。
しかしっこれってずいぶん昔からある「バグ」だと認識して
たのですがまだあったのか。ちょっとびっくり。
シャットダウンのあり方 (スコア:1, 参考になる)
> たのですがまだあったのか。ちょっとびっくり。
バグですよね。 割込テーブル潰してからHaltするよう修正してよ。 それともシャットダウン後にこだわる深いわけでもあるの?
そういや、shutdown -n now すると
Re:シャットダウンのあり方 (スコア:1)
shutdown -h nowの間違いでしょうか?
少なくともFreeBSDのshutdownにおいては-nはsyncを*しない*というとっても危険なオプションなんですが…
>いったいどれが、正しいシャットダウンなの?
shutdownの引数の意味がシステムごとに違うっていうだけじゃないんですか?
Solarisの場合は/usr/sbin/shutdownと/usr/ucb/shutdownでも引数が違うし。
Re:シャットダウンのあり方 (スコア:0)
ごめんなさい。その通りです。
なんで、hとnを間違えたんだろう?
Re:他のUNIXでは? (スコア:1)
ちょっと英文の理解に自身がないのですが、一応2.0.xではこうなる
っていうことですよね?
スクリプト消すだけで同じ状態になるんなら、2.2.xでも残ってる
バグということになるのだろうか。
バグというよりは仕様という気もしますが。
TIPS と言えるほどのものではないんじゃないかな? (スコア:1)
別投稿でも指摘されているが、要するにプロセス起動についての リスクが排除されているというだけの話。ファイアウォールの基本 機能設定に穴が残されていれば、単なるザルでしかないっしょ。
やることちゃんとできていれば、こんな姑息なことやる必要ないし、 やることできてないくせにこんなことされようもんなら死屍累々と ちゃうか?
--- Toshiboumi bugbird Ohta
Re:TIPS と言えるほどのものではないんじゃないかな? (スコア:0)
NAT Boxであれば、設定項目も少ないし(だれが設定しても大差ないかも)、ただのLinuxよりはリスクが減って
良いのではないでしょうか。
Re:TIPS と言えるほどのものではないんじゃないかな? (スコア:1)
それはそうなんだけど、かつて「Windows にはリモートアクセス 機能がないから UNIX よりセキュアだ」と MS がほざいていたのを 思い出しちゃったよ(苦笑)
--- Toshiboumi bugbird Ohta
Re:TIPS と言えるほどのものではないんじゃないかな? (スコア:0)
トロイ入れられなきゃ踏み台にされることも無かったし。
初期のLinuxのtelnetがデフォルトで起動するディストリ
ビューションより安全だったと思うけどな。
Win9xの
Buffer Overflow = ブルースクリーン
はある意味最強だと思う。
用途 (スコア:0)
まぁ、どうせログなんて見ない自宅のルータには最適かも(w。
あ、でもPPPoEのデーモン動かせないな。
自宅用、ってことだったら、IPアドレス8つもらってて、PPPoEの箱モノのルータ
がある環境で内部のマシンを守る壁にでも活用って感じ?
Re:用途 (スコア:1)
PPPoEがKernel spaceで動くので、自宅のルータになりそうですね。