* PC Virus の感染に伴う、LAN環境の再構成 [#j434aa07]

- 頁名: [[日誌/進捗/平成26年度]]
- 投稿者: 万屋
- 優先順位: 早急
- 状態: 着手
- 状態: 完了
- 種別: PC
- 投稿日: 2014-08-12 (火) 17:02:38
- 段階、参照: 

** 趣旨 [#j5cc3637]
 7月の下旬から、作業用のPCに不具合が生じており、
当初にHDDの不具合かと思われたが、Virusに感染して
いたことが解かった。

 それに伴って、LAN環境の再構成などを行うに至り、
改めて多くの問題が生じている。


**状況 [#o12ab8a4]
 LAN 内に、DMZ 領域を作り、故意に Windows XP で
Honey Pot を設定して、それを作業用としていた。

 また重要な Data などは、管理していなかった。

 その PC とは、別のPCで、防御を高めたLAN内に
あるPCでも不具合が生じた事から、これまで使って
いた Security Soft と別の物を使って調べたところ、
複数の Virus や、危険とされる File が確認された。

 それらに伴い、LAN 内の全 PC を調べつつ、再構成
などを行っている。

-語句
--DMZ - [[Wikipedia>http://ja.wikipedia.org/wiki/%E9%9D%9E%E6%AD%A6%E8%A3%85%E5%9C%B0%E5%B8%AF_%28%E3%82%B3%E3%83%B3%E3%83%94%E3%83%A5%E3%83%BC%E3%82%BF%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%29]]
--Honey Pot - [[Wikipedia>http://ja.wikipedia.org/wiki/%E3%83%8F%E3%83%8B%E3%83%BC%E3%83%9D%E3%83%83%E3%83%88]]
---WinXPの脆弱性を確認する為に、設置


*対処 [#g819ad6d]

+OSの変更
+Security Soft の変更


**新規 OS の導入 [#xcac117e]

Debian、Ubuntu、Xubuntu、Edubuntu、Pupuy Linux の中から、三つを検討( Triple Boot )

+Debian([[Wikipedia>https://ja.wikipedia.org/wiki/Debian]])
++仮想化PCを用いて、改めてXPなどで、Honey Pot を構築
++[[Debian の GRUB2 で Ubuntu と Dual Boot する方法>http://www.miuxmiu.com/archives/2011/03/25/debian_grub2_ubuntu_dual_boot.html]] - [[Miux Miu>http://www.miuxmiu.com/]]
+Ubuntu([[Wikipedia>https://ja.wikipedia.org/wiki/Ubuntu]])
++今後における資料作りなどを考慮して、''Studio''([[Wikipedia>https://ja.wikipedia.org/wiki/Ubuntu_Studio]])を導入
+Xubuntu([[Wikipedia>https://ja.wikipedia.org/wiki/Xubuntu]])
+Edubuntu([[Wikipedia>https://ja.wikipedia.org/wiki/Edubuntu]])
++学校教育用として開発された物ので、その説明をする為の学習用に導入を検討
+Pupuy Linux 日本語版 Precise-571JP ([[Wikipedia>https://ja.wikipedia.org/wiki/Puppy_Linux]])
++PC の初心者に勧める OS としての学習を行う為に導入


***Security に特化した 専用の Linux OS を導入 [#sb8ebb19]

+PC
++Kali Linux - [[公式HP>http://www.kali.org/]]
+++ROM Bootでの Root Password は、''toor''。
+Back Track Linux - [[Wikipedia>https://ja.wikipedia.org/wiki/BackTrack]]
+++[[BackTrackを使ってセキュリティをテストする (1/2)>http://www.itmedia.co.jp/enterprise/articles/0806/19/news035.html]] - Media Enterprise


**DMZ 圏に在るPC( Honeypot的 PC ; Windows )の再構築 [#o36bd812]

+ Network Security
++TCP/IPv4 - 08月17日
+++LMHOSTSの参照を''無効''
+++Net BIOS over TCP/IPを''無効''
+++UPnP(IPv6) の''無効''
+++SNP を''無効化''(下記の補足を参照)
+一般的な注意
++Remote(リモート)関係は、全て無効にする。



***補足 SNP の無効化に付いて - Windows [#l6a2c751]
 Console(コンソール)画面から 『 netsh int tcp show global 』とCommandを入力して、『(一)Receive-Side Scaling状態、(ニ)Chimney オフロード状態、(三)Net DMA の状態』を確認する。

-対処のCommand
++TCP Chimney Offload の無効化
---netsh int tcp set global chimney=disabled
++Receive-Side Scaling(RSS)の無効化
---netsh int tcp set global rss=disabled
++Network Direct Memory Access(NetDMA)の無効化
---netsh int tcp set global netdma=disabled 


*Network GAME 等の調査 [#q9667999]

 近年に、Network GAME などを通してPCが、『(一)PCが乗っ取られたり、(ニ)個人情報が盗まれる』などの事情が生じているのかと以前から判断している。

 また、PC 事態に接続が行えなくても、IPなどを調べて、Port 調査を行い、接続口の事情を把握する行為が多く発生している。

 それらに基づいて、本件と並行して、近年における Network 事情も同時に調査していた。

 なお、China(中華人民共和国)軽油から接続を試みている輩が居る事も解かっているが、''共産主義的な(思想での)活動とは、異なっている''とも判断しており、『 China を経由する一般的な不正接続を試みる活動者 』として扱う。


-参照
--防犯 不正 Access の対策 - [[日誌/進捗/平成26年度/17]]
--防犯 不正接続を試みようとする輩の調査 - [[日誌/進捗/平成26年度/189]]

トップ   差分 バックアップ リロード   一覧 単語検索 最終更新   ヘルプ   最終更新のRSS