Okumura's Blog

従業員の PC はサブネットマスクを 255.255.255.252 にしちゃって、
ゲートウェイと自分自身しかいない環境にしてしまうってのはどう
でしょう？問題はローカルネットワークとはいえゲートウェイに割り
振るアドレスが膨大になることですね。

基本的には先ほどの意見のままなのですが、IP アドレスに別名を持たせ
られれば実質的なゲートウェイの数を減らせますね。つまり本当のＧＷは
192.168.1.1 だけだけど、192.168.1.2 / 30からは 192.168.1.1に見え、
192.168.1.6 / 30 からは 192.168.1.5 に見えるような仕掛けを作れれば
いいのではないでしょうか？RFC の規定を破らなければできないで
しょうか？

うちでも部分的にVernierだったかの商品で/30サブネットをやっているようです。ただ，感染したマシンがイントラネットのサーバにアクセスすることができれば，そのサーバの脆弱性を攻撃し，そこにアクセスしたマシンを次々に感染させるということはありうるのでは？

と、後で気がつきました。インテリジェントスイッチというのはフィルタ
機能を持っているのでしょうか？いまだに用語をよく理解していないもので。
とにかく
１．L2 フィルタで従業員間同士の通信を禁止する (Ｌ３　スイッチで
　　ポート間通信を制限してもいいのかもしれませんが)
２．L3 フィルタで
　ａ．インターネットに出てゆく場合、特定のポートしか見えないようにする
　ｂ．イントラネットのサーバーについても特定のポートにしかアクセス
　　　できないようにする
３．ネットワークモニタを仕掛けておき、クライアントがパケットを急激に
　　発行した場合自動的に切り離す（ひっそり伝染するようなタイプでは
　　意味がないでしょうか？）

もちろん、サーバーにバッファ・オーバーフローやSQL インジェクションと
いったバグがあれば攻撃は防ぎきれませんが、かなり危険を抑えることに
なるんじゃないでしょうか。

サーバに脆弱性がなくても，感染したパソコンのファイルに感染して，持ち主が他に運んでくれるのを待つとか，自分からメールを送るとか，いくらでも広がる方法はありそうです。記事には「ネットワーク上からのウイルスの侵入を防ぐゲートウェイ製品を導入していれば」拡大が押さえられたとも書いてありましたが，いずれにしてもパターンファイルが対応していないウイルスなら役に立たなさそうに思います。ではどうすればいいか。

前者はともかく後者はいやです。メールへの添付対策はアプリケーション
層のファイヤーウォールを入れることでしょうか。勤務先では実行ファイルが
添付されたメールが届くと、それは削除されてしまいます。勤務先から送る
ときも多分削除されるのではないでしょうか。

私も答えは知らないのですが，この記事の通りであれば，持ち出し禁止やthin client化では対応できそうにないですね。実行ファイルを介して感染するウイルスなら，実行ファイルのダウンロードを遮断したり，メールサーバで実行ファイルを消したりすればよさそうですね。

いまだに非実行ファイルをわざわざ自己展開型の実行ファイルに圧縮アーカイブしてダウンロードに供しているサイトがあるのは何とかしてほしい……。第一学習社　教科学習情報　「情報」とか :-)

L2→ データリンク層
L3→ IP 層
でした。TCP/UDP のフィルタリングは L4 でした。

結局IPv6の導入が期待されるわけですかね...
本体への感染だとおもったらマウスだった...みたいな。

秘〇などの自己複合化方式（つまり.exeファイル）を添付するのがはやってます。さらにG/Wをすり抜けるために、拡張子を .exe 以外にします。メール本文には「拡張子を .exe に変更して実行してください」正直言って慣れることできません、次のような危険がありますし。
・暗号化されている為G/Wのワクチンソフトで検索できない。
・実行形式ファイルを禁止のポリシーと矛盾運用されている。
・メールに添付されてきた実行形式ファイルを実行することに慣れてしまう。

外部から来た実行ファイルを実行することに慣れてしまうのが一番怖いですね。https:の警告を無視するのに慣れるのと同じで。