ファイアーウォール

ファイアーウォールは外部からの攻撃には全然無力らしいのですが
本当でしょうか？ルーターを併用すれば問題無いみたいなんですが
個人で本格的なセキュリティ環境を作る方法ってあるんですか？こ
こは２チャンですからその道に精通されている方が沢山いらっしゃ
るでしょうと思いますプロの意見を聞かせてください。別にプロで
なくてもいいですよ、意見を聞かせてください

その前に「ファイヤーウォール」の定義をはっきりせよ>>1

ファイアウォールをつければ、火事や地震など災害があっても
サーバ上の重要なデータが失われない。大企業はつけてるゾ。

>>1
何使ってようが、突破される奴は突破されるんだよ。
ネットに繋げない事が一番のｾｷｭだ！
分かったか！ヴォケ！

ﾜﾗﾀ>>3

レスありがとうございます＜＜ALL
＞＞２
定義って？どうゆう事？自分の使ってるソフトはノートンですど
使ってるソフトの事聞いてんですか？

パーソナルF/Wって、フィルタリングだろー。
2000だったら、Ipフィルタができるが、これだけで、守ってる奴っているのかな？
使ってないからわからんが・・・・・・。

っていうか、ダイアルアップルータ使えばパーソナルF/Wを使用する意味があまりないような・・・。
あるのかな？

あるなら教えてくれぇ〜。

>>1
http://service.jp.real.com/firewall/firewall.html

ノートンはただの「パーソナルファイヤーウォールソフト」です

この板、ＰＦＷをＦＷと勘違いしてる人結構いるよね。

そういうやつが踏み台に使われるんだよね。

>>1の言いたいことってたぶん
http://ns.netplus-japan.co.jp/~p-sec/joji.html
に書いてあるのが元ネタじゃないの？

パーソナルFWが外部から攻撃を防げないのは、仕組みを考えれば
ごく当たり前なんで、そのために使うってのなら
ここに書いてあるとおり、あまりｵｽｽﾒできませんよ。はい。

>>10

ダイアルアップルータ使用環境でどうやったら踏み台にされるか説明してくれ！

ヲレの頭では理解できん・・・。
鱒カレー度でぽーとも変わるしIpも変わるしうーん　俺の頭も爆発寸前！

ってわけで基本的に踏み台にはされない事に決定！！！！！

っていうか踏み台にされた事ないぞ、っていうか踏み台にされるやつ馬鹿まるだし〜。

ケツの穴くらい自分で塞いどけ！

netstat -a　で常に自分のLISTENINGの正常な状態を監視しとけよ・・・。

ツールに頼るな！どうせよくわかってないくせに！

以上
−−−−−−−−−−−−−−終了−−−−−−−−−−−−−

なぜダイアルアップルータに限定するのか。
それしか使ったことないのかゐ。

PIX　Firewall-1　NOKIA　SonicWall　WacheGurd　NetScreen

いろいろあるよ〜。
でもやっぱこの辺よんでる方ってダイアルアップだろぉ〜。
高いから上記のF/W製品なんてかえんだろうし・・・・・。

以上
>>13さん　回答になりましたか？

ひまだったから久々にフォーバルいったらバージョンアップしてた、また検証せねば・・・。

っていうか、ライセンス＆保守買ってるのに連絡くれよなぁ〜。
チェックポイント・・・・・・。

だからいろいろ事務手続きで問題になるんだよ・・・。

http://www.forvalcreative.com/jpn/support/fw-1/V5.0/fw_NG_index.html

＞でもやっぱこの辺よんでる方ってダイアルアップだろぉ〜。

いや、そこが疑問。ダイアルアップって言われたらPPP回線としか
読めないんだが。CATVだって多いじゃん。

>>12
そのまえに「踏み台」の定義を明らかにせよ！

個人でハードウェアFW入れる必要あるかい？
鯖立ててる人ぐらいでいいんじゃないかな。

>>17　さんは【踏み台】の定義を　>>10　さんに聞いて下さい・・・。

>>16　さん　なるほどCATVもあったね〜。
でもブローバンドルータ通常つかってませんか？
だから、あんまり気にする事ないとおもってるんですが・・。

ようするに、IPマスカレードして使用しているユーザは踏み台にされる可能性は低いという事です。
※NIMDAとかは別だけどね・・・。

>>19 ｽﾏｿ

>>19
そう言ってもらえれば納得（ｗ

ここってネタスレなの？

>>1
厳密に言えば、
ファイアウォールはデバイスとかソフトウェアじゃなくて領域の概念。
外部のネットワークから不正なアクセスによるアタックを防衛するための全てのメカニズムのことを指す。

よって、
FW（パーソナルファイアウォール）ならば、領域の概念。
前述の通り。
例えば、デュアルホームホスト、スクリーンドホスト、スクリーンドサブネットホストなど。
PFW（パーソナルファイアウォール）ならば、ソフトウェア。
ただし、主にクライアント使用のためのOS（WindowsやMacintoshなど）で利用するもの。
例えば、Norton Internet Securityなど。
ZoneAlarmやBlackICEはIDSに近い。
ただし、広義のPFWに含めることはできる。
PW製品ならば、デバイス（ハードウェア）。
例えば、ルーターや各種PW専用ハードウェアなど。

>>7,10
>ダイアルアップルータ使用環境でどうやったら踏み台にされるか説明してくれ！
最初にルーター製品を乗っ取り（パスワードが分かれば楽）、
（また、パソコンをIPマスカレード利用している場合はもっと楽）
ポートまたはアドレスのフォワードの設定を勝手に改竄して（例えば、LAN内の１台をDMZ指定にする）、
そして、そのDMZ指定にされたマシンに侵入。
あとはそのマシンの侵入に成功すれば、そのマシンを踏み台（そのマシンのtelnetクライアントなどを利用）して、LAN内全てのマシンをアタックできます。

ちなみに、ここで言っているDMZは複数台のマシンの領域というより、
ルーターの設定のDMZの設定またはバーチャルマシン設定のことを言っています。

>netstat -a　で常に自分のLISTENINGの正常な状態を監視しとけよ・・・。
netstatの出力結果を改竄されてたらどうするの？

>ツールに頼るな！
この発言は意味不明。
分かっている人でも単純作業や面倒な作業はツールにやらせるのが普通だと思われる。
ちなみに、パソコン自体もツールですし。
百歩譲って、パソコンは除外したとしても、netstat自体もプログラム（ツール）です。

>どうせよくわかってないくせに！
単なる決め付けであり、何の発言からそのような結論に帰着されたのかが不明。

皆様情報ありがとうございます。やはりセキュリティは万全に
しないといけませんね（でないと２チャンネルに怖くてこれない）。

>>24
2ちゃんねるなんて全然怖くないですよ〜ｗ
鯖ログも取ってないみたいだし（夜勤談）、
利用者が多ければそれだけでカモフラージュになるし。

怖い人も中にはいるので注意しないといけないけど・・

どこの個人がDoS受けるんだよ。サーバー立ててるならともかく、
個人はPFWで十分。トロイだけ防いでればそれでいい。あ、共有使ってる
ならそこは注意しないとまずいけど。

まあネタスレだからどうでもいいか

>>26
なんでDoSの話になるのか（ﾜﾗ

わからなければ結構だ

>>26
数年前に流行ったWinNuke，Ping Of Deathとかって
まさしく個人向けのDoS攻撃なんですけど…。

あれ？話の流れからいって
>>23 の
＞最初にルーター製品を乗っ取り（パスワードが分かれば楽）、
＞（また、パソコンをIPマスカレード利用している場合はもっと楽）
＞ポートまたはアドレスのフォワードの設定を勝手に改竄して（例えば、LAN内の１台をDMZ指定にする）、
＞そして、そのDMZ指定にされたマシンに侵入。
＞あとはそのマシンの侵入に成功すれば、そのマシンを踏み台（そのマシンのtelnetクライアントなどを利用）して、LAN内全てのマシンをアタックできます。

の話じゃなかったのか？
流れ読めてなかったらスマンな

>>30
いや流れは、貴方のが正しい。
>>26は>>1の「ファイアーウォールは外部からの攻撃には全然無力」
ってとこを読んでDoS攻撃と思ったらしい。

>>23さん　ルータのパスワードがわかってる事が前提じゃあまりにも一般論すぎませんか・・・。

じゃー【ルータのパスワードを難しくする】＆【リモート設定を禁止】で対処可能かと・・・・・。
これで、IPマスカレード組めばOKかな？
ちなみに、私の理解ではIPマスカレード＝CiscoのPATと同じと思ってます。

これだったら、外からの脅威からは守れると思うのだが・・・・・。
もちろん、ルータ側の設定には簡素化して書くが、
ソース　　デスティネーション　　ルール
OUTSIDE　　INSIDE　　　　　　　　Reject
INSIDE　　　OUTSIDE　　　　　　　Accept　＜＜Portをもっと細かくするのをお勧めします。ここでマスカレードする。
ANY　　　　ANY　　　　　　　　　Reject

で良いのでは無いでしょうか？

違うのかな？

ちなみに　個人用のDos（WinNuke，Ping Of Death）等は、MicrosoftのTCPの実装？！
のバグだったと記憶してるから、ルータのファームにバグがなければそれなりに防げると思いますが・・・。

如何でしょうか？
間違いは教えて下さい。

そういや昔、MN-128というルータがあったが、デフォルトの設定で外から管理画面に入れた。
（しかも初期設定ではパスワードが設定されていない）
つうか個人で使う程度のルータで外から管理できる機能は必要無いと思うのだが。

http://pc.2ch.net/test/read.cgi/sec/1005743978/
ここで貼り付けられてるスクリプト試した人いる？

>>32
>個人用のDos（WinNuke，Ping Of Death）等は、MicrosoftのTCPの実装？！
>のバグだったと記憶してるから、ルータのファームにバグがなければそれなりに防げると

いえ、そもそもルータを導入してたら上記のようなヘナチョコなDoSは通用しないでしょう。
あんなのは、スクリプト厨房がネトゲーしてる最中に気に入らんヤツのIPｱﾄﾞﾚｽへ
向けて打ってただけで、直接受けてもいまどきWinNukeなんかじゃ落ちませんしね。

ところで、ルータのファームウェアのバグまで考えれば【リモート設定を禁止】
っていう部分は、はたして外部からハッキングされる可能性は無いのでしょうか？
その部分が確実じゃないといくらパスワードを難しくしても、ルータに対しての
パスワードクラックのスクリプト（>>33のような）とかあるみたいですから…。

IPv6-IPv4ネットワーク間でのファイアウォールを構築したいのですが、
構築するためにはどのようにすればよいか教えてください！
現在、FreeBSDでv6/v4デュアルスタックルータとしてネットワークを
構築しています
よろしくお願いします

>>35
どこかで見た。マルチ

コーキー(cookie)って何ですか？
教えてください

>>37
http://housing.uoregon.edu/rh/cookie.jpg

ヤクの愛用者のこと。主にコカイン。

>>35
同じのいろんなところにｺﾋﾟﾍﾟすんな

正直、レベルが高すぎて話題についていけません。

PFWとFWの違いが分からんです。

ファイアウォールは、火事や地震など災害から金庫やサーバ上の重要な
ファイル・データを守るための耐火壁で、ＰＦＷは個人用の耐火盾。
消防士とかが使ってる。

>>43

爆笑した

>>43

笑いすぎて失禁した

>>43

逝ってよし

>>46
食ってよし

コーキー

>>12

IPアドレスがころころ変わっても、コードレッド２みたいな
ワームだったら、感染してくるやん。コードレッドの場合は
IIS動かしてなければ平気だけど、知らんでIISを起動してい
る奴もおるからな。

こういうワームは、リモートからコマンドを実行するバック
ドアを仕込む事が有る。丁寧にも感染すると、そのマシンの
IPアドレスを某掲示版に晒したりする。

踏台になっててもわからん奴は多いよな。

未だに俺のサーバには、ワームに感染した無知なWindows
ユーザの感染ホストからアクセスが来るよ。だいたいは
ADSLで繋いでいる奴だけどね。

本スレ　

ファイアーウォールソフト 総合スレッド Part2http://pc.2ch.net/test/read.cgi/sec/991646115/l50

...えーっと個人でFreeBSDのipfwつかってますが、
思いつく良いDoS対策というと
ICMPは全面禁止、
UDPは特定のDNSのIPの53から、特定のNTPの123から
TCPはメル鯖等ISPのサーバとproxyだけ許可してあとは全部denyすれば
かな〜り強そうだが...
もっとも信頼できないISP使ってるなら話は別だけどね

ADSLルータ接続で，
踏み台にされてるかって
無知な私でもわかりますかぁ？？

>>51
ICMP 全面禁止はいかんだろ。
pathMTU って言葉しってます？

>>53 知らない　何それ？

ICMP全面禁止すると、Flets系で泣きを見る気がする




…と言ってみるテスト

（＾＾）

（＾＾）

　　　 ┌――――――――┐
　　 　｜.B１�@�A�B�C�D�E.　|
　 　　｜�F�G�H�I�J�K�L�M｜
　 　　└――――――――┘
　　　　 ┌―――┬―――┐
　　　　　|　　　　　 |　　　　　 |
　　　　　|　　　　　 |　　　　　 |
　　　　　|　　　　　 |　　　　　 |
　 age 　 ∧＿∧ 　／￣￣￣￣￣￣
　　▲C （　´∀｀）＜　あげとくか。
　　▽ ＼　　　　）　 ＼＿＿＿＿＿＿
　sage　｜Ｏ　　|＿|_＿＿＿_|
　　　　　（＿_（＿）

はじめまして
>>1
１．最初は、一台のパソコンで"Outpost Firewall FREE"をインストールしてみて、試行錯誤してみる。
２.静的な（ファイヤーウォール）パケットフィルティングについて学ぶ。
３.より高度な"Kerio Personal Firewall"をインストールしてみて、自分で試行錯誤してみる。
４.ネットワークについて、学ぶ。
５.ルータ（動的なファイヤーウォール）を入れてみる。
６.パソコンを一台追加する。
ざっとこんなもんです。

「ZoneAlarm」あれは、いけません。
ナニも学べず、ナニも考えず。

>>53
わかりやすく
ICMP Destination Unreachable Fragmentation Needed and DF was Set は通す
と書けよ

>>61
全然分かりやすくないのだが。

　|　・・・来てやったぞ！うぉらァッ！
　＼＿＿＿＿　 ＿＿＿＿＿＿＿／
　　　　／||ミ　 Ｖ　　　　　　　　　　　　　／
　　 ／ ::::||＿＿＿＿＿＿＿＿＿＿_／
　／:::::::::::||＿＿＿＿　　　　　　　 　 |
　|:::::::::::::::||　　　　 　 ||　　　　　　　　|
　|:::::::::::::::||＿∧　　　||　　　　　　　　|
　|:::::::::::::::||´Д｀）　 ｶﾞﾁｬｯ　　　　　　|
　|:::::::::::::::||　　(　　　 ||　　　　　　　　o｡
　|:::::::::::::::||　 .⌒l 　　||　　　　　　　 Ｏ ‰
　|:::::::::::::::||　　i　|　　.||　　　　　　　 _ﾚ'
　|:::::::::::::::||._／,ｲ........ ||　 　 ._＿＿_.）（
　|:::::::::::::::||_ノ　 |........ ||　　　|r- _　（＿）- __
　|:::::::::::::::||　　　ヽ..... ||　　　||　　　- __　　　 - __
　|:::::::::::::::||⌒＼　＼..||　　　||　 　||　　-　 ＿＿__
　|:::::::::::::::||　　　>　 ).||　　　||　 　||　　　 ||　　　 |
　|:::::::::::::::||　　/　／ .||...._＿|| 　　||　　　 ||　　　 |
　＼:::::::::::||　 / /￣￣ 　 　 ||　　 ||　　　 ||　　　 |
　　 ＼ ::::||　（＿つ　　　　　 ＼.....||　　　 ||　　　 |
　　　　＼||彡　　　　　　　　　　＼ （（（　）））　 　|
　　￣￣￣￣￣￣￣￣￣￣￣￣（　；´Д｀） ￣＼
　　　　　　　　　　　　　　　　　　　　/　つ_つ　ﾋ〜！ｷﾓｲﾖ！ﾀｽｹﾃﾏﾏｰ！
　　　　　　　　　　　　　　　　　　　 人　Y
　　　　　　　　　　　　　　　　　　　し'（＿）

厨房は逝け＞ＡＬＬ

古いスレ上げんな。
>>1と>>55の日付見ろ。

■■■■■■■■■■■■■■■　終了　■■■■■■■■■■■■■■■

なるほどルーターを入れてる場合は
ルーターのパスワードが分からなければ
その中のPCは攻撃できないのか。まあルーターは
まずLAN内のPCが通信を行ったらそれをルーティングテーブルに
ログを書き込みそれでそれに対応する通信を受信する仕組みだから
ルーターをのっとらないと攻撃できないんだね。

>>65

■■■■■■■■■■■■■■■　終了　■■■■■■■■■■■■■■■

ルータの簡易ファイアーウォールの解除の方法を教えてください。
あと、メッセでファイルの送受信ができないのもこれが原因なのでしょうか？

ＭＥ使ってます。
yahooBB使ってます。
ルータは、coregaBAR SW-4P VAです。
いろいろ検索したのですが、わかりませんでした・・・。

>>68
残念ですが無理だと思います。

（＾＾）

　　 ∧＿∧
　　（　　＾＾ ）＜ ぬるぽ（＾＾）

━―━―━―━―━―━―━―━―━[JR山崎駅（＾＾）]━―━―━―━―━―━―━―━―━―

　　　 　∧＿∧
ﾋﾟｭ.ｰ　(　　＾＾ ） ＜これからも僕を応援して下さいね（＾＾）。
　　＝〔~∪￣￣〕
　　＝ ◎――◎ 　　　　　　　　　　　　　　　　　　　　　山崎渉

あぁここのアイコラ上手いなぁ（´Д｀；）ハァハァ
ワレメも見えててさいこぅ♪(*´∀`*)ハァハァ
http://plaza16.mbn.or.jp/~satchel/idolnowareme/

　__∧＿∧_
　|（　　＾＾ ）|　＜寝るぽ（＾＾）
　|＼⌒⌒⌒＼
　＼ |⌒⌒⌒~|　　　　　　　　　山崎渉
　　 ~￣￣￣￣

　　　 　∧＿∧　 ∧＿∧
ﾋﾟｭ.ｰ　（　 ・３・） (　　＾＾ ） ＜これからも僕たちを応援して下さいね（＾＾）。
　　＝〔~∪￣￣￣∪￣￣〕
　　＝ ◎――――――◎ 　　　　　　　　　　　　　　　　　　　　　山崎渉&ぼるじょあ

　　　 (⌒V⌒)
　　　│ ＾ ＾ │＜これからも僕を応援して下さいね（＾＾）。
　　⊂|　　　　|つ
　　　（＿）（＿）　　　　　　　　　　　　　　　　　　　　　　山崎パン

そんな事言う奴がいたのか…

古い糞スレサルベージする意図が分からん。

ageられると困る奴がいるらしい

俺もageてみる

http://grc.com/x/ne.dll?rh1dkyd2

「Common ports」で全部Stealthになる？

>82
どのソフトで？

ageてみる

んなあほな

sp2のFWいい。
NISと比べﾓﾉにならないくらいかるい、ﾌﾟﾛｾｽ少ない。
一般人にはsp2のFWで十分。

そりゃ、インバウンドを単純に監視してるだけだから軽いわな。
数千円のルータあれば要らない機能だし。 ＞SP2のFW

糞FWなのに。

ゾーンアラームのフリーは、XPより前のWindowsでは使わないほうがいい。
使って万が一アイコンが×マークになったら、もう御終い。
最悪ネットに一切繋げられなくなって、ゾーンアラームのソフトダウンロードページしか
表示されなくなる。
メールとかは生きているが、下手にアンインストールしても無駄。
しばらくすると同じように狂い始める。

状況にもよるが、解決法としてセーフモードで起動した暁には、
ほぼもれなくPCあぼーんが待っている。

これは実話です。実際MePCが１台死にました。
販売元に問い合わせても、フリーなんか相手にするかヴォケ！と
相手にもしてくれません。

マ　ジ　で　ゾーンアラームは要注意です。

>>89
マジレスすれば、TrueVectorいじればいいだけ
お前が馬鹿なだけかと

自分で簡単なファイヤーウォール作ってみようと思うんですけど、
作ってみたことのある方、なんかアドバイスください！！

ありません

無料のファイアウォールってあるの？

無料のファイアウォールってあるの？

>>32
>OUTSIDE　　INSIDE　　　　　　　　Reject
>INSIDE　　　OUTSIDE　　　　　　　Accept　＜＜Portをもっと細かくするのをお勧めします。ここでマスカレードする。
>ANY　　　　ANY　　　　　　　　　Reject

○偽装したプライベートアドレスからポートメクラ打ちでパケットは通りますねぇ。
○内部から外部への攻撃は可能(踏み台になる)

素敵なルールです。

>>49
どのツールとは言いませんが、

踏み台にできた場合、SMTPやHTTPで外部に通知する機能があるものがあります。


そもそも、踏み台にする理由が多岐にわたっているため、ダイアルアップでも役割を果たしてくれるものもあったりします。

>>66

SYNパケットを落としているだけかもしれないので、攻撃できないとも限らんと思うが。

>>1
F/W が外部からの攻撃に対して非力なのは、F/W自身がDoS攻撃にさらされることもある、ということ。
そのF/Wが通信内容を解析して振るい分けするまえに、どだいいらない通信を落とすために
F/Wの前にパケットフィルタやルータを配置することもあるということ。

最近はぶろーどばんどるーたぁ といわれるものがあり、これはルータとF/Wが一緒になったようなものだから一般ユーザはこれでよしとするのも一計

ＮＴＴのADSLを使っているのですが
例えばＡＤＳＬモデムとブロードバンドルーターの間にはさめる様な
ハードウェアのファイヤーウォールないでしょうか？
その部分でIPを弾きたいんですが、最近買ったルーターにはその機能はありません
ブロードバンドルーターより前で弾けたらよいと思うのですが、よろしくお願いします

>>99
ハードウェアのファイヤーウォール？って何だ？
ファイヤーウォールのスレでも見てみたらどーだろうか。
ファイアーウォールソフト 総合Part4
http://pc5.2ch.net/test/read.cgi/sec/1074563750/

ここ、単質スレだからさ

>>100
ご教授ありがとうございます。
ご紹介していただきましたスレッド内で
改めて質問してみます。

>>100
個人では使わないけど企業とか学校じゃ普通はハード。

真・スレッドストッパー。。。(￣ー￣)ﾆﾔﾘｯ