PC Virus の感染に伴う、LAN環境の再構成

  • 頁名: 日誌/進捗/平成26年度
  • 投稿者: 万屋
  • 優先順位: 早急
  • 状態: 完了、終了
  • 種別: PC
  • 投稿日: 2014-08-12 (火) 17:02:38
  • 段階、参照:

趣旨

 7月の下旬から、作業用のPCに不具合が生じており、 当初にHDDの不具合かと思われたが、Virusに感染して いたことが解かった。

 それに伴って、LAN環境の再構成などを行うに至り、 改めて多くの問題が生じている。

状況

 LAN 内に、DMZ 領域を作り、故意に Windows XP で Honey Pot を設定して、それを作業用としていた。

 また重要な Data などは、管理していなかった。

 その PC とは、別のPCで、防御を高めたLAN内に あるPCでも不具合が生じた事から、これまで使って いた Security Soft と別の物を使って調べたところ、 複数の Virus や、危険とされる File が確認された。

 それらに伴い、LAN 内の全 PC を調べつつ、再構成 などを行っている。

  • 語句
    • DMZ - Wikipedia
    • Honey Pot - Wikipedia
      • WinXPの脆弱性を確認する為に、設置

対処

  1. OSの変更
  2. Security Soft の変更

新規 OS の導入

Debian、Ubuntu、Xubuntu、Edubuntu、Pupuy Linux の中から、三つを検討( Triple Boot )

  1. Debian(Wikipedia
    1. 仮想化PCを用いて、改めてXPなどで、Honey Pot を構築
    2. Debian の GRUB2 で Ubuntu と Dual Boot する方法 - Miux Miu
  2. Ubuntu(Wikipedia
    1. 今後における資料作りなどを考慮して、StudioWikipedia)を導入
  3. Xubuntu(Wikipedia
  4. Edubuntu(Wikipedia
    1. 学校教育用として開発された物ので、その説明をする為の学習用に導入を検討
  5. Pupuy Linux 日本語版 Precise-571JP (Wikipedia
    1. PC の初心者に勧める OS としての学習を行う為に導入

Security に特化した 専用の Linux OS を導入

  1. PC
    1. Kali Linux - 公式HP
      1. ROM Bootでの Root Password は、toor
  2. Back Track Linux - Wikipedia
    1. BackTrackを使ってセキュリティをテストする (1/2) - Media Enterprise

DMZ 圏に在るPC( Honeypot的 PC ; Windows )の再構築

  1. Network Security
    1. TCP/IPv4 - 08月17日
      1. LMHOSTSの参照を無効
      2. Net BIOS over TCP/IPを無効
      3. UPnP(IPv6) の無効
      4. SNP を無効化(下記の補足を参照)
  2. 一般的な注意
    1. Remote(リモート)関係は、全て無効にする。

補足 SNP の無効化に付いて - Windows

 Console(コンソール)画面から 『 netsh int tcp show global 』とCommandを入力して、『(一)Receive-Side Scaling状態、(ニ)Chimney オフロード状態、(三)Net DMA の状態』を確認する。

  • 対処のCommand
    1. TCP Chimney Offload の無効化
      • netsh int tcp set global chimney=disabled
    2. Receive-Side Scaling(RSS)の無効化
      • netsh int tcp set global rss=disabled
    3. Network Direct Memory Access(NetDMA)の無効化
      • netsh int tcp set global netdma=disabled

Network GAME 等の調査

 近年に、Network GAME などを通してPCが、『(一)PCが乗っ取られたり、(ニ)個人情報が盗まれる』などの事情が生じているのかと以前から判断している。

 また、PC 事態に接続が行えなくても、IPなどを調べて、Port 調査を行い、接続口の事情を把握する行為が多く発生している。

 それらに基づいて、本件と並行して、近年における Network 事情も同時に調査していた。

 なお、China(中華人民共和国)軽油から接続を試みている輩が居る事も解かっているが、共産主義的な(思想での)活動とは、異なっているとも判断しており、『 China を経由する一般的な不正接続を試みる活動者 』として扱う。


トップ   差分 バックアップ リロード   一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2018-12-10 (月) 03:51:02 (308d)