ちゃっぴの監禁部屋

Windows Vista 以降の Windows Firewall では firewall を profile 毎に個別管理できるようになりました。

セキュリティが強化された Windows ファイアウォール ファースト ステップ ガイド

新しい network に接続したときに下記のような dialog が出てくるのでおなじみですよね。

自宅、もしくは企業内であれば必ず 「パブリック ネットワーク」 を選択してください。また、 「パブリック ネットワーク」 の firewall は絶対に緩めないでください。

実は昨日の勉強会で無線 LAN に接続している端末の firewall の状態を確認するため、ICMP と SMB で接続を試してみました。無線 LAN に接続されている host が 39 台あり、内 9 台は ICMP が通り、8 台は SMB で接続が可能でした。

まあ、勉強会の無線 LAN で攻撃される可能性はほぼ無いと思うので問題は無いと思いますが、気になるのは別の network に接続したときの firewall 設定です。

最近は EMOBILE や UQ WiMAX または公衆無線 LAN とかいろいろ利用している人が多いでしょう。このような network に接続している場合、直接 global IP address が割り当てられる) 場合が多いです。

>ipconfig.exe /all 
PPP アダプター EMOBILE:
 
   接続固有の DNS サフィックス . . . :
   説明. . . . . . . . . . . . . . . : EMOBILE
   物理アドレス. . . . . . . . . . . :
   DHCP 有効 . . . . . . . . . . . . : いいえ
   自動構成有効. . . . . . . . . . . : はい
   IPv4 アドレス . . . . . . . . . . : 114.48.188.112(優先)
   サブネット マスク . . . . . . . . : 255.255.255.255
   デフォルト ゲートウェイ . . . . . : 0.0.0.0
   DNS サーバー. . . . . . . . . . . : 60.254.193.158
                                       117.55.64.152
   プライマリ WINS サーバー. . . . . : 10.11.12.13
   セカンダリ WINS サーバー. . . . . : 10.11.12.14
   NetBIOS over TCP/IP . . . . . . . : 無効

>ipconfig.exe /all
イーサネット アダプター WIMAX0:

  接続固有の DNS サフィックス . . . : uqc.ne.jp
  説明. . . . . . . . . . . . . . . : Intel(R) Centrino(R) WiMAX 6250
  物理アドレス. . . . . . . . . . . : **-**-**-**-**-**
  DHCP 有効 . . . . . . . . . . . . : はい
  自動構成有効. . . . . . . . . . . : はい
  IPv4 アドレス . . . . . . . . . . : 119.107.210.237(優先)
  サブネット マスク . . . . . . . . : 255.255.255.255
  リース取得. . . . . . . . . . . . : 2010年7月25日 22:46:06
  リースの有効期限. . . . . . . . . : 2010年7月26日 22:46:06
  デフォルト ゲートウェイ . . . . . : 119.107.200.135
  DHCP サーバー . . . . . . . . . . : 119.107.200.135
  DNS サーバー. . . . . . . . . . . : 119.107.200.151
                                      119.107.200.23
  NetBIOS over TCP/IP . . . . . . . : 有効

Subnet mask は 255.255.255.255 になっていますが、global IP が割り当てられていて途中で filtering されていないため、listen しているすべての port が攻撃にさらされていますね。

以前 EMOBILE の network で脆弱性を突く network packet を検知できるような firewall を入れてしばらく monitor してみましたが、ほんとアホのように攻撃がきていました。脆弱性が存在したら間違いなくいちころです。めちゃくちゃ危険ですよ！

とはいえ、自宅や企業内で利用する場合には firewall に許可構成を入れないと問題がある場合も多いでしょう。ですから mobile PC では profiling機能を持つ firewall を導入することは必須です。

すでに書きましたが Windows Vista 以降の OS では標準で profile 機能を持つ firewall を持っています。Windows XP 以前にはありません。Third pary 製の fireawall に関してはここ数年調査していませんが、こちらも profiling 機能を持っていないのであれば、mobile PC でそれのみに頼るのは大問題ですね。

思い当たる方はぜひこの機会に firewall の構成を確認してください。非常に危険ですよ！