- 締切済み
Kerio Personal Firewall 2.1.5のログにUDP 0.0.0.0 68 > localhost 67
Kerio Personal Firewall 2.1.5のログに Blocked In Packet to unopened port received UDP 0.0.0.0 68 > localhost 67 no ownerと表示されています。 許可せずに何日もたちますが、特に不具合はありません。 いろいろ検索しましたが2chで同様の記述があるだけで どうするのがいいのかまでは分かりませんでした。 よろしくお願いします。
- スパイウェア
- 回答数3
- ありがとう数1
- みんなの回答 (3)
- 専門家の回答
みんなの回答
- FMVNB50GJ
- ベストアンサー率27% (411/1520)
ずいぶん詳しすぎるほどのサイトをどうも。 参考程度のことですが、クライアントパソコン、一般のパソコンのファイアーウォールは、ルーターがない場合、インターネットからのパケットに対しては、windowsファイアーウォールでも十分です。言い換えれば、インターネットから覗かれてステルス状態であれば問題ない、という結論に達しております。ステルスとは、自分には関係ないインターネットからのTCP UDP ICMP(ping)に対して反応を返答しないことです。 ポートですが、相手となるサイトは、80番、443番、25番、110番などです。それに対して自分側は、1000番台から使います。ひとつのセッション(この用語で正しいと思うが)は、それを使用したポートに相手からのパケットがやってきます。そのパケットは、接続要求ではなく、データとか制御のためのパケットです。だから、通常、クライアントパソコンは接続要求を全部遮断すればいいわけです。つまり、windowsファイアーウォールでも十分ということになるのです。 ファイアーウォールソフトのもうひとつの柱、怪しいソフトのネット接続を監視する機能がプログラム制御。ここがwindowsファイアーウォールがザルになってしまうところです。 ファイアーウォールソフトにはセキュリティの仕事に専念させたほうが良いと思います。
- FMVNB50GJ
- ベストアンサー率27% (411/1520)
ルーター以下3台のパソコンという環境みたいですね。 UDP 0.0.0.0 68 > localhost 67 no owner このログが示すものは、あなたのパソコン自身の中のものだと思います。 wiresharkというソフトでどのようなパケットなのかよく見たら良いかと思いますが、直感的な判断ですが、問題ないものと思います。 しかしどうしてKerio が遮断するのかわかりません。 他のパソコンとのファイル共有とかの事はわかりません。 ローカルエリア接続のアイコンからそのプロパティで、「マイクロソフト用ファイルとプリンタ共有」という項目が関係しているのでしょうか、はっきりわかりません。 ただ、スパイウェア・ウイルスを心配するならば、スキャン、オンラインスキャンで確認し、ファイアーウォールについては、ルーターがインターネット側のものはたいてい遮断するものだと思いますから、ホームネットワーク内のものを別にすれば、心配ないログだと思います。 専門家ではないのでこれ以上言えません。 セキュリティチェック http://www.symantec.com/region/jp/securitycheck/
補足
お答えいただきありがとうございます。 > しかしどうしてKerio が遮断するのかわかりません。 http://web.archive.org/web/20021031022532/www.geocities.co.jp/SiliconValley-PaloAlto/9424/tpf/tpf_rule_rule.html このサイトを参考にして、厳し目にルールを設定しました。 Deny 0./8 UDP/TCP (Both) [Any port][0.0.0.0/255.0.0.0]:[Any port] Deny Well knownポート UDP/TCP (In) [1-1023] [Any address]:[Any port] この2つのルールに引っかかるのでログに残るようです。 もっとも、このルールを設定しなくても、開かれていないポートに送信されたパケットのログをとるというチェックを入れているので、この関係でログが残るようです。 no ownerとなっており、アプリケーションがないので許可・拒否の問い合わせもなく遮断されているようですが、これでいいのかは分かりません。 明示的に許可ルールを作ればいいのでしょうが、まず拒否をしてみて不具合が出れば許可すればいいというのを、どこかのサイトで見たので、どうしようかと悩んでおります。
- FMVNB50GJ
- ベストアンサー率27% (411/1520)
ファイアーウォールのログよりも、パケットキャプチャのログのほうがよくわかるような気がします。 以下のソフトで、 http://www.wireshark.org/ ルーター以下複数のパソコン環境でしょうか?それともルーター無しか。 パソコン内の通信か? UDP 0.0.0.0 68 > localhost 67 no owner UDPのパケットが0.0.0.0のIPアドレスの68番ポートからlocalhost 67番ポートへ ということだと思います。 ポート番号から User Datagram Protocol, Src Port: 68 (68), Dst Port: 67 (67) これは当方のパソコンで記録されるパケットです。大体五分間隔。 Bootstrap Protocol DHCP 推定
補足
お答えいただきありがとうございます。 私の環境は、WindowsXP Home editionのパソコンが3台あり、 ADSLモデム(ルーター機能つき)にハブで接続しております。 それぞれのパソコンは一人一台で使用しており、ファイルの共有やプリンタの共有などはありません。 2台はIPアドレスを自動で取得しており、1台はプライベートIPアドレスを 固定しております。 よろしくお願いします。
関連するQ&A
- Kerio Personal Firewallについて
Kerio Personal Firewall4を昨日より使用し始めたのです が、サイトによって画像が表示できないことがちょくちょく 出てきたため、 http://eazyfox.homelinux.org/Firewall/Kerio/Kerio41.htm こちらのサイトを参考にいくらか設定をしてみたのですが、 どうしてもサイトを完全に表示させることができませんでした。 画像を表示させるようにブラウザから指示を与えると 「Ad blocked by KPF」とのエラーで表示ができません。 OS WinXP Home 使用ブラウザ Mozilla Firefox 1.0 KPFにお詳しい方、ご教授おねがいします。
- ベストアンサー
- フリーウェア・フリーソフト
- パーソナルファイアーウォールに大量のログが
二ヶ月ほど前に新しいパソコンを購入し、お試し版のウィルスバスターを使っていて、先日フレッツ光に入会したのでそちらのウィルス対策ツールVer1.5というのに変えたのですが、ウィルスバスターの頃からいちいち許可や拒否を選ぶのが面倒臭いと思い、不審ソフトウェア警戒システムを無効にしていました。しかし最近ふと思って、有効にして見つかった変更を見てみたら、ブラウザのセキュリティが無効になっていました。慌てて変更を元に戻したのですが、何かおかしなことになっていないか色々と見ていたら、パーソナルファイアーウォールのログに数日前までなかったUDPというプロトコルのセキュリティブロックが大量に記録されていました。これは不正侵入を受けているのでしょうか? パソコンにはあまり詳しくありません。すごく不安です。助けてください。そのUDPの送信元IPは[121.102]から始まって、送信先IPは[192.168]から始まっています。セキュリティ検索はやってみましたが、クッキー以外何も引っかかってはきませんでした。
- ベストアンサー
- スパイウェア
- ESET。パーソナルファイアウォール
昨日ESET Smart Security5を導入しました。 オンラインゲームを起動すると、このようなメッセージが表示されます。 「ICMPパケットで隠しチャンネル(covert channl)exploitを検出しました」 ESETの画面からツールのログファイルのパーソナルファイアウォールから詳細を見てみると どうやらオンラインゲームにログインしている間大体10秒間ぐらいのみ検出されています。 これは何なのでしょうか?一昨日までウィルスバスターを使ってましたがこのようなログは出ませんでした。 分かる方いましたらよろしくお願いします。
- ベストアンサー
- ウィルス・マルウェア
- Zonealarmの警告ログで
説明 Packet sent from 192.\\\.3.\(UDP Port 20065) to 219.\\\.\.\ レベル 中 日付 2008/8/17 種類 ファイアーウォール プロトコロル UDP プログラム flashget.exe 発信元IPアドレス 192.\\\.3.\.20065 送信先IPアドレス 219.\.\.\.57 方向 外部へ 対応 ブロック 発信DNSアドレス \\\\\\-D771\\\\\\ と言う詳細ログが出ています。 スパイウェアーでも入れられたのでしょうか。 教えてください。
- ベストアンサー
- スパイウェア
- Sunbelt Personal Firewall フリー版について
http://eazyfox.homelinux.org/Firewall/Kerio/Kerio41.htm の IDS(侵入検知機能)で Low 不正データやフォーマットエラーなどによる攻撃であまり危険性のないパターン もdenyにしたほうがより安全ですね?なにか不具合ありますか? 信頼するIP(Trusted IP)の登録でIEでwindws updateをするだけならどんなIPアドレスを指定するんですか? ドメイン名ならwindowsupdate.microsoft.comですね?IPアドレスってどうやったらわかるんですか? あと単一のIP指定と IPアドレス、サブネットマスク両方指定がありますけどどう違うんですか? 両方指定のほうが安全?ならサブネットマスクはどうやって調べるんですか? 内部LoopbackへアクセスのInternet ExplorerのルールがありますがLoopback を調べてもよくわかりませんがブラウザの送信許可でつけといたらいいんですか? http://win.kororo.jp/archi/security/filtering.php のプライベートアドレスを拒否するの欄の Sunbelt Personal Firewall版の設定例はわかりますか? ICMPパケットの遮断の例もお願いします。
- ベストアンサー
- ウィルス・マルウェア
- UDPポート110(POP3)の使われ方??
ファイアウォールの設定をやっているのですがパケットフィルタリングの設定でPOP3を許可したところポートスキャンを行うとTCPだけではなくUDPも開いていることがわかりました。 私の認識ではPOP3はTCPだけを使っていると思っていたのですがUDPも何かに使用しているのでしょうか?ご存知の方がいたら使用目的等をご教授願えないでしょうか? ちなみに他のポートは使用されているプロトコルのみしかポートは開きません。例えばHTTPやHTTPS、SMTPなどを許可するとそれぞれTCPだけしか開いてませんでした。 設定を行っているのはFortigateです。 よろしくお願いします。
- 締切済み
- ネットワーク
- Firewallについて教えて!
初めて質問させていたいただきます。 McAfeeのPersonal Firewallをインストールしています。 イベントログを見ていると「~をブロックしました」というのがたくさん表示されます。何をブロックしているのか良く解りません。 例えば自宅では ダイヤルアップアダプタ[Unkown Traffic]は発信TCPをブロックしてい ます:src=211,135,208,67,dst=210,145,117,90,sport=1069,dport=80(306) または ダイヤルアップアダプタ[ICMP]は発信ICMPをブロックしてい ます:src=211,135,208,67,dst=224,0,0,2,タイプ10(306) または 着信フラグメント:ブロック済みです 職場では Intel〔R〕PRO/100+minipcl[Unkown Traffic]は着信UDPをブロックして います:src=192,168,0,11,dst=192,168,0,255,sport=2869,dport=2869 (307) 質問1 これらは何を意味しているのでしょうか? 質問2 TCP,src,dst,sport,dport,UDPとは何でしょうか? 質問3 着信フラグメントとは何でしょうか? 質問4 最初の窓に「McAfee.com Personal Firewallが検出し、ブロックしたパケットは3パケットです」と表示されることがあります。これって不正アクセスですか? 質問5 ログの中のどの部分に注目していれば不正アクセスを防げますか? 以上5点、初心者の私にも解るように平易なことばでお教えいただければありがたいです。 御願いします。
- ベストアンサー
- ネットワーク
- 続 Sunbelt Personal Firewall フリー版について
本当はjetico フリーを使いたいのですが理解できず半端なためSunbelt Personal Firewall フリーにします。 理解できない箇所http://dobry-den.sakura.ne.jp/JPF/html/05_modules/IP.htmのシステムIPルールの ところだけですが日本語訳だけで推奨例がなくわかりません。 ・Partial packet (fragment)(不完全なパケット/フラグメント) より下全部の項目 話はSunbelt Personal Firewall フリーにもどりますが http://eazyfox.homelinux.org/Firewall/Kerio/Kerio41.htm の IDS(侵入検知機能)で Low 不正データやフォーマットエラーなどによる攻撃であまり危険性のないパターン もdenyにしたほうがより安全ですね?なにか不具合ありますか? 信頼するIP(Trusted IP)の登録でIEでwindws updateをするだけならどんなIPアドレスを指定するんですか? ドメイン名ならwindowsupdate.microsoft.comですね?IPアドレスってどうやったらわかるんですか? あと単一のIP指定と IPアドレス、サブネットマスク両方指定がありますけどどう違うんですか? 両方指定のほうが安全?ならサブネットマスクはどうやって調べるんですか? 内部LoopbackへアクセスのInternet ExplorerのルールがありますがLoopback を調べてもよくわかりませんがブラウザの送信許可でつけといたらいいんですか? http://win.kororo.jp/archi/security/filtering.php のプライベートアドレスを拒否するの欄の ip filter 1 reject 10.0.0.0/8 * * * * ip filter 2 reject 172.16.0.0/12 * * * * ip filter 3 reject 192.168.0.0/24 * * * * ip filter 4 reject 127.0.0.1 * * * * で1はどのPCでもこのIPアドレスを拒否したらいいんですか? 2、3は何のIPアドレス?プライベートIPアドレスっぽいですけど何で2個あるんですか? 4はループバックだとわかります。 それと/の後の8,12,24 は何ですか? お願いします。
- ベストアンサー
- ウィルス・マルウェア
- ZoneAlarmの警告について
先日、ZoneAlarmを導入したんですが、 ・The firewall has blocked Internet access to your computer [TCP Port ○○] from IPアドレス [TCP Port ○○] [TCP Flags: S]. ・The firewall has blocked Internet access to your computer [NetBIOS Name] from IPアドレス [UDP Port ○○]. ・The firewall has blocked Internet access to your computer [ICMP Echo Request ['Ping']] from IPアドレス. ・The firewall has blocked routed traffic from IPアドレス [UDP Port ○○] to IPアドレス [DNS]. などの警告が頻繁に出るんです。余りにも攻撃(?)受けすぎじゃないかって不安になるんですけど、皆さんこんなもんなんですか?第一この警告の意味すら全然分からないですし。一応これらの警告って、大雑把な意味でブロックしたから安心しなさいみたいな事なんですよね?
- ベストアンサー
- ネットワーク
- /var/log/secureの時間表記について
fedora8を使って、/var/log/secureで分からないことがあります。 Jun 1 19:19:06 localhost sshd[19307]: Invalid user stud from 219.94.169.111 Jun 1 10:19:06 localhost sshd[19308]: input_userauth_request: invalid user stud Jun 1 19:19:06 localhost sshd[19307]: pam_unix(sshd:auth): check pass; user unknown Jun 1 19:19:09 localhost sshd[19307]: Failed password for invalid user stud from 219.94.169.111 port 60107 ssh2 Jun 1 10:19:09 localhost sshd[19308]: Received disconnect from 219.94.169.111: 11: Bye Bye 上記のログで、なぜ一部の時間が9時間狂ってしまうのかがわかりません。原因がわかる方、ぜひ回答をお願いします。
- ベストアンサー
- ネットワーク
お礼
お答えいただきありがとうございます。 調べていくうちに、この警告が出るタイミングが、自分のパソコンが インターネットに接続したときや、他のパソコンがインターネットに 接続したときであることが分かりました。 どうやら、DHCPサーバーを探索するためにブロードキャストしたものが 自分のところにも来ていただけのようです。 また、他のパソコンがブロードキャストしたものが、自分のところに来ていただけのようです(用語の使い方がおかしいかもしれません)。 なので、拒否して問題なかったみたいです。 お手数お掛けしました。 どうもありがとうございます。