■キャンパスLANからインターネットへの通信(外向き)
基本的にオープンですが、デフォルト遮断ポートにより一部のポートは完全に遮断されます。
■インターネットからキャンパスLANへの通信(内向き。サーバなどの公開時が該当します)
基本的にクローズです。
従いまして、なんらかのサーバを立ち上げられる場合や、リモートデスクトップ接続を受ける場合には、FW通過申請が必要となります。
■デフォルト遮断ポート一覧
| ポート番号 |
プロトコル/サービス |
理由・備考 |
| 0/TCP, UDP |
- |
システムスキャンの防止のため。 |
| 25/TCP |
SMTP |
Outbound Port 25 Blocking。
SMTPはすべてメールゲートウェイ経由になりますので、メールゲートウェイ設定申請が必要です。 |
| 69/UDP |
TFTP |
LAN内利用が前提のプロトコルのため。 |
| 135, 137-139, 445/TCP, UDP |
NetBIOS over TCP/IP |
Windowsへの攻撃回避のため。 |
593/TCP
4444/TCP, UDP |
MS-Blaster |
Blasterワーム対策。 |
6257, 6346-6348/TCP, UDP
6699/TCP |
Gnutella |
p2pアプリケーションの原則利用禁止措置。 |
| Type 1-3, 5-7, 9, 10, 12-255 |
ICMP |
必要最小限に限定。また、攻撃回避のため。 |
| ポート番号 |
プロトコル/サービス |
理由・備考 |
7, 9, 13, 19, 37/TCP, UDP
79, 87, 95, 144/TCP
512, 513, 540/UDP |
ECHO, DISCARD, DAYTIME, CHARGEN, TIME
FINGER, LINK, SUPDUP, UMA
BIFF, WHO, UUCP |
古いプロトコルに対する予防措置。 |
42, 161, 162/TCP, UDP
514/UDP |
WINS, SNMP
SYSLOG |
LAN内利用が前提のプロトコルのため。 |
23/TCP
67, 68/UDP
111, 2049/TCP, UDP
177, 512-515, 6112/TCP |
TELNET
BOOTP
Sun RPC
XDMCP, REXEC, RLOGIN, RSH, LPR, CDE |
LAN内利用が前提のプロトコルのため。 |
| 1433, 1434/TCP, UDP |
Microsoft SQL Server |
Slammerワーム対策。 |
| 2967/TCP |
Symantec AntiVirus Corporate Edition |
ウィルス対策ソフトウェアへの攻撃回避のため。 |
| 3127-3198/TCP |
Proxy |
踏み台防止のため。 |
■その他、管理者向け詳細情報
TCPセッションアイドルタイムアウト(抜粋):いわゆる無通信切断タイマー。デフォルト30分、HTTP(80):5分、SSH(22):180分、その他プロトコルにより設定値を調整してあります。
UDP・ICMP(擬似)セッションタイムアウト:1分
その他IPプロトコル(擬似)セッションタイムアウト:デフォルト30分(IPSec)、GRE(47):60分。
※注意
- p2pアプリケーションについては、原則として利用禁止です。教育・研究目的で使われる方はその旨ご連絡ください。
- IP以外のプロトコルは遮断しています。
- icmp/udp/tcp 以外のIPプロトコルについては別途対応が必要になる場合があります。PPTPのGREや、IPSec(VPN)など。
- 大量のトラフィックを流される方は、事前にその旨ご連絡ください。大量のトラフィックが長時間継続した場合、調査依頼をお願いする場合があります。
- デフォルト遮断ポート以外でも、不正ソフトウェアによる攻撃などが顕著な場合、予防措置として遮断する場合があります。
4.1 緊急遮断の手順
セキュリティポリシー及び、実施手順書に則り、緊急遮断を行い通信を遮断します。
- 学内のホストが学内外に対して不正アクセスを行っていると判断された場合
- 学外のホストが学内に対して不正アクセスを行っていると判断された場合
- 緊急を要するようなセキュリティホールが発見された場合
緊急遮断を行う手順は以下の通りです。
1.不正アクセス等の検出
2.緊急遮断の実行
(3.管理責任者への直接連絡(予定))
4.ネットワーク運営委員会への報告
4.2 緊急遮断の解除
しかるべき対処の後、緊急遮断解除願にしたがって必要事項を記入の上、総合情報処理センター
support@cc までメールで提出してください。添付ファイルにせずに、本文中に書き込んでください。
確認の上、問題なければ解除いたします。特に、対処方法、今後の対策について不適切だと判断される場合には、再度提出を御願いする場合があります。
また、解除はリアルタイムでは行いません。
尚、この報告書は、その名称のとおり、要請があった場合には文部科学省へ提出されます。
緊急遮断されている場合、すでに学外へのアクセスができません。(ケーブルを抜いてくださいといわれている場合に、対処のために再接続することは絶対にやめてください)。従って、回復作業そのものも非常に面倒なことになります。
1. 二次被害(加害)の可能性
ウィルス(ワーム)は、そのほとんどが自己増殖活動を行います。これは、他者への「攻撃」と見なされます。感染者は、被害者であるとともに、対処するまでの一定期間「加害者」となっており、その間学内外に大変な損害を与えていた可能性があります。
被害者としては、セキュリティアップデートを怠った責任を問われ、加害者としては、損害を被った方から訴訟を起こされる恐れがあります。個人が訴えられなくとも、大学側の管理責任は問われます。
2. 攻撃の停止
連絡を受けた場合、直ちにネットワークからの切り離し(もしくは電源断)を行い、二次被害を抑止してください。
3. 駆除
まず,現状を復旧するのか,完全に消してやり直す(工場出荷段階に戻す)のか選択する必要があります.
現状を回復する場合には,以下の作業を行う必要があります.
完全に消してやり直した場合には,4節へ進んでください.
3.1 ウィルスの特定
当センター提供のウィルス対策ソフトをダウンロードしてインストールし,ウィルスを検出し特定することから始めます.
※ウィルス対策ソフトの動きを阻むようなウィルスも存在しますので注意してください.
ただし,ネットワークから遮断されているため,次のような手順が必要です.大変に面倒ですが,やっていただくしかありません.
1.別のマシンで,当センター提供のウィルス対策ソフトをダウンロードしてください.
2.別のマシンで,最新版のウィルス定義ファイルをダウンロードしてください.
詳細についてはこちらを参照してください.
3.ウィルス対策ソフトと最新定義ファイルを感染コンピュータへ持って行きます.容量が大きいのでUSBメモリ等を使う必要があります.
4.ウィルス対策ソフトのファイルを実行してインストールします.
5.最新定義ファイルを実行してインストールします.
6.スキャンを実行します.ウィルスが検出されるはずです.
3.2 回復作業
多くの場合,ウィルス対策ソフトで検出及び駆除するだけでは,完全に回復することができません.
完全回復には,以下のいずれかの作業が必要です.
・トレンドマイクロ
ダメージクリーンナップサービスを利用する.
大変多くのウィルスに対応していますが,比較的新しいウィルスには対応していません.
・セキュリティ会社提供の回復ツールを使う.
メジャーなウィルスの場合には,専用の回復ツールが用意される場合がありますので,もし提供されていれば,利用することができます.
・手動で回復する.
各セキュリティ会社ともウィルスごとに復旧方法が書かれていますので,それに従ってください.
自動回復ツールの場合にも,完全に自動化されておらず,多少の手動作業を必要とされる場合がほとんどですので,注意して作業してください.
4.再感染の防止
駆除しただけでは再感染する場合があります。BlasterやNachiワームなどは、いわゆるウィルスチェックソフトでは感染を抑止できません。このため、それぞれのウィルスにあった再感染防止策を取る必要があります。
5.報告書(緊急遮断解除願)の提出
4まで完了した段階で、緊急遮断解除願により、遮断を解除いたします。
緊急遮断解除願には、1,2の作業で具体的に何を行ったか書いていただく必要があります。駆除が完了し、再感染の恐れがないと判断できる材料が呈示されていない場合、解除は行えません。
6.セキュリティアップデート
緊急遮断の解除は、Windows Update
などのネットワークを利用したセキュリティアップデートのためですので、解除後直ちにアップデートを行い、完全にセキュアな状態にしてください。
■ボット系ウィルスに感染した場合の対処方法
下記 Spybot のように名称に「bot」が付くボット系ウィルスは、悪質化の一途を辿っており、一度感染しますと他の悪意あるソフトウェアを招き入れたりする等、その駆除は一筋縄ではいきません。
ウィルス対策ソフトによる検出および駆除とともに、その結果確認のため
HijackThis(実行ファイル)のログを採取してください。HijackThis.exe
を実行して、一番上の「Do a system scan and save a logfile」ボタンを押しますと、システムのスキャンとそのログファイルの保存を行うことができます(このボタンが見当たらない場合は、ウィンドウ中央下部の「Main Menu」ボタンを押してください)。
緊急遮断解除願には、このログファイルを添付してください。また、ウィルス対策ソフトでウィルスが検出された場合には、ウィルス名と該当するファイル名およびそれが存在していたフォルダ名を緊急遮断解除願に明記してください(Symantec
Endpoint Protection では「リスクログ」をエクスポートしてください)。
これらにより緊急遮断解除の可否を判断しますが、改竄度合が高い場合等には初期化(HDD のフォーマットと OS の再インストール)による対処をお願いすることがあります。復旧をお急ぎの場合は、初期化による対処をもって緊急遮断解除願を提出してください。
■2004年8月上旬に蔓延した謎の新亜種ワームの場合
このワームは, W32.Spybot.Worm (Symantec)
といい,Spybot 系ワームの新しい亜種でした.このため,最新の定義ファイルでも対応することができませんでしたが,検体を Symantec
に提供することによって,現在の定義ファイルでは検出できるようになっています.
感染ホストの復旧には,ウィルス対策ソフトによる検出および駆除と回復作業が必要です.
回復作業方法はこちら(シマンテック).
■Nachi
(Welchia) ワームに感染した場合の対処方法
1. 駆除
W32.Welchia.Worm
駆除ツールの使用方法 (シマンテック)
2. 再感染の防止
Microsoft から以下のパッチをダウンロードして導入してください
・Windows 2000 SP3とそれ以下.まずは,SP4へ上げてください.
・Windows 2000 SP4 MS03-049とMS04-012
・Windows XP MS03-007とMS03-049,
MS04-012
以上,両方を行いませんと再接続の許可は出しません.
■緊急遮断連絡テンプレート(総情センター用)
下記のように緊急遮断いたしましたのでご連絡いたします。
■IPアドレス:
■緊急度:高(直ちにケーブルを抜いてください)
■遮断日時:
■遮断理由
■検出ログ
|
■緊急遮断解除願(兼、文部科学省ウィルス感染報告用)
下記をコピーしてメールの本文中に直接記入して送ってください。
提出先:support@cc (以下省略)
・空白箇所多数のまま提出される場合が非常に多くなっています。
・不備がある場合受理いたしませんのできちんと記入してください。
・特に、文面より対処方法が適切だと判断できない場合は、解除保留にさせていただきますので、適切な対処をしたということがわかるように記述していただけますよう御願いいたします。例.パッチ名、使った修復ソフトウェアツール名などの具体的に作業内容がわかるもの。
| 緊急遮断解除願
三重大学情報ネットワーク専門委員会殿
IPアドレス: (IPアドレスを忘れずに記入してください)
管理状況:(ここに、これまでのセキュリティ対策について記述してください)
今後の管理体制:(今後のセキュリティ対策について記述してください)
- これ以下が文部科学省に提出されます(必ず提出されるわけではありません)
-
年 月 日
(管理責任者)
機関名:三重大学
所属・職名:
氏名:
TEL:
FAX:
E-mail:
インシデントについて、下記のとおり報告いたします。
1.発生場所(部署名)
2.インシデント内容(ウイルス等名称・症状)
3.発生年月日
年 月 日
(以下は、該当する事項の□を■にしてください)
4.使用機種・OS
・機種
□PC/AT機(含互換機)
□Mac
□その他( )
・OS
□Windows(バージョン: )
□MacOS(バージョン: )
□その他( )
5.発見方法
□目視により発見
□外部からの連絡
□その他( )
6.推定される感染経路(または、発見場所)
・場所
□国内
□海外
□不明
・媒体
□電子メール
□ダウンロードファイル
□外部からの媒体(FD,CD等)
□その他( )
7.被害状況
□PC( )台
□外部媒体(FD( )枚、MO( )枚、CD-ROM( )枚)
□その他( )
8.回復処理
・回復方法
□ウィルス対策ソフトで駆除または削除
社名: ソフト名:
□ファイル(メール)の削除
□初期化
□その他( )
・回復に要した人日
( )人・( )日(0.5日単位で記述) |