[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[port139ml:04986] Re: クライアントマシンのIPfilterって使いにくいよね
- To: port139ml@xxxxxxxxxxxxx
- Subject: [port139ml:04986] Re: クライアントマシンのIPfilterって使いにくいよね
- From: Kenji Yamamoto <yamaken@xxxxxxxxxx>
- Date: Sat, 07 Feb 2004 21:17:47 +0900
山本です。
# 私はヘタレなので、師匠ってのはヤメてくださいまし(汗)
|Subject: [port139ml:04985] クライアントマシンのIPfilterって使いにくいよね
|From: Satoshi Kawakita <sa-si2@xxxxxxxxxxxxx>
|Date: Sat, 7 Feb 2004 13:44:18 +0900
|Message-Id: <000701c3ed35$0d630a70$0501a8c0@cele>
|X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1165
|User-Agent: Microsoft Outlook Express 6.00.2800.1158
| *フィルタ操作のGUI化
| *1つのフィルタごとにactionの指定ができること
| 各インターフェイス毎でなくて。
| *プロファイルの使い分けができること
| 例えば
| access-list "会社"
| access-list "自宅"
| などフィルタを使い分けができ、
| また、会社で接続した場合は
| "会社"のプロファイルを強制適用できること。
| *特定のfilterにマッチしたパケットのログを取れること。
議論のためのポインタ提示ということで、上に挙がった要望に関してコ
メントします。
上に挙がったことは、部分的には既存の機能を活用すれば導入可能では
あります。
ただ、やっぱりどのフィルタを用いるにしても、一長一短、制限がある
わけなので、今後の OS 実装ではこの辺が整理された上で足りないもの
を埋めていくものが出てくるとよいかな、と思っています。
例えば、Cisco IOS のフィルタ機能や、Linux などで稼動している
ipchains/iptables のルールのようにルールの各要素ごとで柔軟な例外
指定が出来たり、オプションでも構わないから、破棄したパケットのロ
グをテキスト或いはイベントログに落としたり出来れば、クールだなぁ、
と思っております。
イベントログまで落ちてくれば、Log Parser で処理するとか、WMI を
経由するなどすればテキストにも落とせるし、データベースに格納する
ことも出来ますので、ユーザ側でいくらでも、アイデア次第で活用は出
来ると思っております。
で、OS に実装されているものの現状について言うと、まず、フィルタ
機能を担当するものが幾つか、現在カレントの NT-Based な OS に用意
されてますが、操作、適用範囲、効果が晦渋ですね。
Windows 2000 以降では、フィルタリングについては Professional/Server
といった販売単位(SKU;Sales Kit Unit)を問わず、以下のインターフェー
スが用意されています。
------------------------------------------------------------
★ カーネルモード; TCP/IP プロトコルスタックが挙がるときに有効
* TCP/IP フィルタリング
★ ユーザモード: それぞれ担当のサービスが挙がってきたところで有
効(サービスが挙がってこなければロードされません)
* RRAS (netsh と、 Server 以降の SKU では管理ツールの GUI)
* IPSec (GUI とコマンド)
(どっちも proto(protocol) や優先度など、パケットの成分に注目した
フィルタを出せますね。)
Windows XP 以降では、ユーザモードで稼動する ICF もあります。これ
は外部に公開するべきポートを、 GUI で指定して設定を実施するフィ
ルタです。VBScript などで扱うことは出来るのでしょうけど、.exe な
実行ファイルでは、OS 標準のコントロールツールは見かけていません。
またパケットの成分(プロトコル、タイプ、優先度などのフラグ)に応じ
たフィルタは設定できません。
尚、注意事項として、2003 以降では、RRAS と ICF は同時に稼動でき
ません。
また、Windows Server 2003 では、IPSec に何某かのポリシが設定され
ている場合、ポリシのロードが為されるまでは通信を開始しないようで
す。
------------------------------------------------------------
このように、相異なる幾つかのものが乱立しているわけですが、ユーザ
側でどれを使っていけばいいのかが判り難い。それぞれの操作も決して
判り易いとは、言い難い。これが、大きな問題と捉えています。
また、このうち標準機能でログを取れるのはポートベースでの制御しか
出来ない ICF のみということで、ちょっと扱いづらいかと思ってます。
上に挙がっているものの幾つかは既存の実装である ipsec のフィルタ
操作で実現が可能(プロファイル毎の使い分けや、その適用)であります。
会社などで強制適用させるとすれば、Active Directory のグループポ
リシにて適用できますね。
ただこちらも GUI 操作、慣れれば問題ないとしても、ぱっと見は煩雑
で判りにくく、ipsec/rras 経由のフィルタ操作は、クライアント OS
な SKU である Professional/home の版を用いるユーザには浸透し難い
のではないかと思います。
企業でクライアントサーバシステムを導入していたり、サーバを用いて
ISP などで何かのサービスを行っているような場合、何かを導入すると
すれば OS 標準機能で何とかしたい(不安定なアプリケーションや余計
なサービスを導入して、システムが不安定になるリスクは抱えず、最初
から排除していきたい)という意見をお持ちの方が多いのだろうと思い
ますが、現状では、欲しい機能を考えていくと、上に挙げた手法のうち
どれか一つに依存しきることは出来ないですね。それがツラい(汗)
…と、現在気づく点を挙げてみましたが、皆様は如何思われますでしょ
うか。ご意見を頂けましたら幸いです。
以上
山本謙次 [MVP]
--
JWNTUG Security & IIS ML http://www.jwntug.or.jp/index-j.html
Kenji Yamamoto, Microsoft MVP (Security; Windows Server Systems), MCP+I, MCSE (TCP/IP, IIS4, IEAK4)
TechNet ITPro Security Community: http://www.microsoft.com/technet/security/community/mvp/default.mspx
mailto:ethernet@xxxxxxxxxxxxxxx