職場ではインターネットに接続されていないネットワークがありますが、USBドライブや従業員の携帯電話を介して外部の仕事にさらされています。システムをインターネットに接続して、SymantecとWindowsの自動更新を取得したいと思います。現在、これらを手動で更新する必要がありますが、必要な頻度で更新する時間はありません。また、インターネットにアクセスできないために減少するいくつかの記録管理ソフトウェアを実行しています。
ファイアウォールを利用して、ネットワークがSymantec Live Updateサーバー、Windows Updateサーバー、およびレコード管理会社サーバーへの接続のみを許可され、他のすべての送受信トラフィックを拒否するように指定する方法はありますか?それが可能である場合、誰かがWindows Updateサーバーであると偽装するのはどれほど難しい(または一般的)ですか?
完全に安全なシステムはないことを認識していますが、私の目標は、システムを常に監視することなく、ソフトウェアを最新の状態に保つことを合理化する(そして場合によってはコンピューターの機能を拡張する)安全な方法を見つけることです。
XPを実行しているワークステーションでWindowsServer2003を実行しています。 Symantec Endpoint 12.1があり、現在ハードウェアベースのファイアウォールはありません。
特定のアドレスへのアクセスを制限する
ネットワークをインターネットに接続するファイアウォールは、まさにこれを行うことができます。必要なIPをホワイトリストに登録し、デフォルトで他の通信(インまたはアウト)を拒否します。通常、カスタムファイアウォール(ファイアウォールのみを実行し、他には何も使用されないコンピューター上のLinux OS)にすぐにアクセスすることはお勧めしませんが、必要なシンプルさとパワーが得られると思います。利点は、提案するスループットを考慮して、この目的のために既存の機器を使用できる可能性があることです(古すぎない場合)。
pfsense は高く評価されています。
そうは言っても、ファイアウォールルールを作成する必要があります。したがって、「ポイントアンドクリック」ではなく、適度なレベルのスキルが必要ですが、完全に実行可能です。
Windows Updateのなりすまし
ソフトウェアアップデートサイトを偽装することは可能ですが、WindowsUpdateやSymantecUpdateなどのプログラムは、接続先のアドレスを確認するため、リスクは非常に低くなります。
[〜#〜]編集[〜#〜]
ああ、誰かが指摘するだろうと私は確信しているので、私は彼らを打ち負かします:あなたはおそらく、不十分に構成されたファイアウォール(与えられた適切な条件)。したがって、これらを制限(排除)し、優れたファイアウォールを使用することで、現在よりもはるかに先を行くことができます。
考慮すべき代替案は、独自のプライベートSymantecUpdateサーバーとWindowsUpdateサーバーを社内で実行できることです。ノートンライフロックとマイクロソフトからアップデートを入手するには、インターネットにアクセスできる必要がありますが、クライアントマシンはアクセスできません。
(人々は通常、インターネットトラフィックをキャッシュするためにこれらのサービスを実装しているため、どの更新がいつ配布されるかを制御できますが、このシナリオでも機能します。)