- 締切済み
プロミスキャスノード(盗聴 ノード)検出ソフトウエア
会社のLAN接続のPC内の共有フォルダにパスワードが掛かっていなかった事が判明、この共有フォルダは5,6年前から既に存在しているので、現在までずーっと「不特定多数の者に筒抜け」だったと考えられます。 [被害推測] 窃視(覗き見)、改竄、消去、書き込み、二次的な(外部)流出,システムの破壊 [対策] 【001】直ちにパスワードを設定しの他のPCからの不正侵入を出来なくし【002】侵入・窃盗(データの)防止ソフト、ファイヤウォールを入れて遮断しました。 【003】その後 ”ネットウォッチャー“を自動実行し手動で(目視)監視しています。 【004】ところが、ファイヤウォールを有効にすると同じワークグループの他のPCがプリンタ共有で出力するとファイヤウォールが働いて出力されません。 そこで、PromiScanと言うネットワーク盗聴発見ソフトをWebで発見しましたが、XPと2000対応で98には対応していません。 どなたか同機能のもので98に対応したフリーウェアをご存知ないでしょうか?不正侵入時にアラームやブザーが鳴動するものがあればなお良い(海外製品でも可) ちなみに現在使っているファイヤウォールはOutpost Firewall Free Version(ロシア製)です。
- Nickname4413
- お礼率0% (0/5)
- ネットワーク
- 回答数4
- ありがとう数0
- みんなの回答 (4)
- 専門家の回答
みんなの回答
どうもIDSを導入するする以前の問題のようですね。 所詮5,6年開放されていたサーバですから2,3日でどうにかしようとするのは困難です。(上司にこんなものがあるらしいから導入しろと言われたのでしょうか) そもそもIDSは内部犯の検知を苦手としています。正規の手順をしているものがどうどうとファイルをコピーしていたら業務に使うのか、犯罪に使うのかIDSには判断はできません。 内部犯への対策は基本に戻る事が大切で、例えば ユーザ一覧は作成されていますか? ユーザ権限は正しく設定されていますか? ドメインなどを使用しユーザを一元管理できていますか? ユーザのPCはWinXP Pro(または2000)等に統一しドメインに参加させていますか? ネットワーク構成は把握されており、管理外のHUBなどが存在しないですか? ユーザへの教育・啓蒙は定期的に行っていますか? 他にもありますが、内部管理を見直すのが先ではないでしょうか。
- yui_o
- ベストアンサー率38% (1217/3131)
ICMPやNetBIOSについてはTCP/IPを使ったLANネットワークであれば全ノードを調べるためなどに使われることが多いです。 どのような業務ソフトがあるのかわかりませんが・・・ 開いているポートを調べているようですが、事業所内のPCがウイルス感染されているということはないですか? ウィルスの種類によってはそのようなポートを調べて進入を試みるというものもあります。 ICMPについて。 http://www.atmarkit.co.jp/fnetwork/netcom/netcom01/netcom01.html NetBIOSについて。 http://www.atmarkit.co.jp/icd/root/15/5787515.html
- yui_o
- ベストアンサー率38% (1217/3131)
ネットワークセキュリティを主にしているものですが・・・ サポートが終了しているOSのために、そのような機能があるソフトは現行ではフリーウェアでは存在しないと思います。 (そのようなものをインストールしてもWin98はセキュリティホールが多いためにそのソフトの裏をかくことがいくらでもできてしまうということもあるため) ただ、ネットワークの構成がどうなっているのかはわかりませんが今回の”不特定多数の者に筒抜け”というのはどういう意味でしょうか? 社内のものに対して? 社外からもアクセスできる状態だった? 外部ネットワークからアクセスできるようになっていたのならば、その部分にFWを設置し物理的にアクセスできなくするのがよいのではないでしょうか? ただ、どのような対策を取ったとしてもWin98はネットワーク接続をするということを想定していないOSなのでセキュリティはかなり甘いです。 本格的に管理するとなるとせめてOSはWin2000以降のOSを使われたほうがよいのではないでしょうか?
近頃のLANなら100BASE-TX以上のネットワークと考えられます、 一方Win98ごろのPCは100Mbpsのトラフィックを処理し切れません。 ので、監視としては十分なものにならないと考えてください。 で肝心のWin98で動くIDSですが見つかりませんね~ せっかくなのですこしいいマシンを置いてやっては
補足
困り度 「1. でなく、3.すぐに回答ほしいです」でした。よろしくお願いします。
補足
お返事ありがとうございます。 社内間の各事業所同士とは専用回線で、各事業所のLANからWANへはプロキシ経由でつながっていますのでWAN側からの侵入は無いと思います。 困っているのは、LAN内部の各ワークグループのユーザーからの「覗き見」です。偶然、誤って"ネットウォッチャー"が開いてしまい、勝手に接続されているのが発覚しました。 FWのログの記録によると3/3,3/6~3/8の4日間に約120のユーザーから2,600回のアクセスがあった事になっています。"ICMP Traffic","*NetBIOS"というのが多いですが、これらは何でしょう?このほか"ATTACK"に分類されたもの(Connection request,Port scanned)が一日100回ほどあります。