再び“Blaster級”ワーム出現の恐れ
こういうこともあるのでちゃんとpktfilterでフィルタリングしましょう。
この手のワームにおいてはこれで対処できます。
pktfilter
pktfilterの使い方
まずpktfilterとはいわゆるWindowsのパーソナルファイアーウォールです。
特徴としてIPFilter likeな構文が使えるのできめ細かくフィルタリングしたい人むけの
パーソナルファイアーウォールでしょう。
まず上記サイトからpktfilterをDLしてきます。そしてそれを解凍し、C:\Program Files\
の下にでもフォルダごとコピーします。
コマンドプロンプトから
Packet Filtering service installation was successful
IMPORTANT:
Do _not_ forget to change the Startup Type of PktFilter to Automatic in the Services Manager if you want PktFilter to start automatically at system startup (recommended)
次に、フィルタリングの設定を行いますがそのまえに、複数のNICが存在している場合、どのNICを
設定するのかを確認するために、目的のNICがなんという名前でaliasされているのかを確認します。
eth0: (Intel(R) PRO Adapter): xxx.xxx.xxx.xxx
C:\Program Files\PktFilter\pktctl>
次に実際のフィルタリング設定です。詳細はPktFilter.pdfに書いてあります。
うちの設定(rules.txt)では次のように書いてあります
option small_frags on eth0
# default behavior = pass everything
pass in on eth0 all
pass out on eth0 all
block in on eth0 proto tcp from any to any port = 135
block in on eth0 proto tcp from any to any port = 139
block in on eth0 proto tcp from any to any port = 445
block in on eth0 proto tcp from any to any port = 593
block in on eth0 proto udp from any to any port = 135
block in on eth0 proto udp from any to any port = 137
block in on eth0 proto udp from any to any port = 138
block in on eth0 proto udp from any to any port = 445
そして、またコマンドラインからサービスを開始します。
Stateless Packet Filtering サービスを開始します.
Stateless Packet Filtering サービスは正常に開始されました。
自動起動設定をするにはwindowsの管理ツールにあるサービスから行えます。
Stateless Packet Filteringをダブルクリックしてスタートアップの種類を自動に設定します。
このStateless Packet Filteringがpktfilterだと思わなくて決行はまってしまいました。
これで、コンピュータが起動した直後に自動でpktfilterが起動します。
アンインストールの方法はPDFに書いてありますが、
プリンターを買うときはネットワークプリンターを買うべきではない
プリンターを買うときはネットワークプリンターを買うべきではない
かなり興味深いことが書いてある。
しかし、ファイアーウォールをどのように越えるんだろう。
lpdの通信てUDPなの?だとしたら攻撃とどくような気がするが。