IT 管理者の方には言わずもがなですが、ポートという用語を使うときは、USB や HDMI などのシステム上の物理接続ではなく、システムを相互接続する際の16ビット仮想ポート、つまり TCP や UDP などのプロトコルで通信するときに使用されるポートの意味で使っています。 OSI モデルポート番号と割り当てられた機能のリストは、もし精通していない場合は確認しておくといいでしょう。たとえば、ポート80は一般に HTTP アクティビティに使用され、多くのアプリケーションは割り当てられたデフォルトポートを使用して通信します。

使用できるポート数は65,000を超えますが (実際には0を含む 65,336)、ポートを監視することは非常に重要です。悪意ある攻撃やデータ収集攻撃を試みようとするハッカー、認証情報を得るためのアクセスを求めるハッカー、金銭的利益を求めるサイバー犯罪者からの攻撃を阻止するためです。

ネットワーク管理者は、このあまりに多い数のポートに関して、どのようにすれば監視プロセスを処理し、侵入を検出することができるでしょうか?どうすれば誰かがネットワークの脆弱性をテストしていることをチェックすることができるでしょうか?ユーザーの生産性に影響を与えることなく、最大限のセキュリティを確保するには、どうすればいいでしょうか?

ポートスキャンの基礎」というブログでは、ポートスキャンの概要、手法、ネットワークの抜け穴を見つけて侵入すようとする悪意あるネットワークスキャンから防御する対策が記述されています。論理的には、使用される攻撃方法についてしっかり認識し、攻撃の手段を監視することによってしか、ネットワークを保護することはできません。ペネトレーションテスト実行者 (ハッカーも含め) がセキュリティを検証するために使用する標準ツールを見てみましょう。

Kali Linux

ペネトレーションテストを目的とした最も有名なディストリビューションは、おそらく Kali Linux でしょう (Kali はヒンズー教の女神の名前です)。オープンソースのハッキングツールもぎっしり詰め込まれています。ペネトレーションテストの Linux ディストリビューションはほかにもありますが、Kali はネットワークに侵入するために使用される論理的なアプローチがわかるので有益です。Kali Linux でデフォルトで利用可能 (さらに追加できます) な膨大な数のハッキングツールをチェックしてみてください。情報収集、脆弱性分析、エクスプロイトツール、ストレステスト、ワイヤレス攻撃などの便利なカテゴリに分類され、あらゆる種類のハッカー (サイバー犯罪者も、正当なペネトレーションテスト実行者も含めて) が関連情報を収集し、脆弱性を特定して利用できます。すべて、同じツール・リポジトリから。 エクスプロイト・データベースへの直接リンクを使えば、検証済みの最新のアプリケーション脆弱性に確実にアクセスできます。過去のレビューは、このリソース情報がどれほど詳細かを示しています。たとえ脆弱性がセキュリティアラートの対象であってもすぐにパッチをインストールしない管理者がいるので、ハッカーにとっては最近特定され検証された脆弱性に基づいて攻撃を開始することは理にかなっています。

多くのツールはコマンドラインアプローチを使用していますが、初心者はオンライン・リサーチやフォーラムを使用して必要なコマンドを簡単に取得できます。ほとんどの場合、チュートリアルがあります。ソーシャルエンジニアリングで失敗したハッカーには、ポートをスキャンすることで得られるオプションがたくさんあります。Nmap port scanningUnicornscan (通常のポートスキャンが不可能な場合)、Wireshark  (ネットワークトラフィックとパケット分析) など、後から攻撃を開始できるような情報も見つけることができます。FOSSMint が Kali Linux のハッキングおよびペネトレーション・ツールのトップ20 を報告しましたが、このリストを見ると、新米のハッカーでさえ簡単に達成できてしまえそうだという感覚がわかると思います。ここまで読めば、ポート監視が価値のある実施項目だと思いませんか?

どのポートも危険

情報の収集はハッカーにとって最初のステップであり、ポートスキャンなどの技術を使用して関連する詳細情報を入手しようとします。この事実を認識すれば、ネットワーク、トラフィック、ポートの監視を怠ることがどれほど無謀なことか、納得できると思います。もちろん、非効率的な手法では、時間がどれだけあっても足りず、 1日の大半がつぶされてしまう可能性があり、得策ではありません。残念ながら、場合によっては、予算が足りずに、結局、障害が起きてからログファイルのパターンを探すといった事後対応的なアプローチを取らざるを得ないという状況に陥ることもあります。IT 部門の時間とリソースをより生産的に使用するには、プロアクティブにリアルタイムで監視するのが最適なはずです。自社で独自にアプリケーションを開発しようとする人もいますが、最終的には商用ツールよりもコストが高くなったり、商用ツールよりも機能面で劣ったりすることが多いようです。

開いているポートを監視することはセキュリティ上大変重要ですが、ポートは使用されるサービスやファイアウォールのアクションに従って開閉するので、決して簡単なことではありません。一部のプロトコルおよびアプリケーションは、通信にランダムポートを使用します…

効果的なポート/ネットワーク監視ソリューションを使用すれば、ポートアクティビティのベースラインを設定し、疑わしいアクティビティの自動アラートを設定できます。時間が経過すれば設定内容もより適切に洗練され、監視はほぼ完全に自動化されて、見慣れない、したがって疑わしいプロセスとサービスが特定できるようになります。ポートの自動監視によって、IT 部門の貴重なリソースはより重要なプロジェクトに割り当てることができます。

セキュリティの専門家は他の手法を使用して、ハッカーを混乱させたり、少なくとも攻撃の勢いを弱めようと試みます。内部 IP アドレス範囲であれポート番号であれ、デフォルトの使用を避けます。たとえば、ポート80 が HTTP に使用されていなければ、HTTP を使用したポート80への攻撃は無効になります。

まとめ

ポート監視はネットワークセキュリティにおいて重要な役割を果たします。どのように実装するかは、利用可能な予算、技術的能力、そしてもちろんスタッフのリソースによって異なってきます。ネットワークの脆弱性は確かに調査する価値がありますから、上述のツールを使用してチェックしてみてください。認定された倫理的ハッカーにセキュリティレベルをチェックするよう依頼することもできます。ファイアウォールの規則を悪用する「port knocking」など、他のテクニックが存在することも心しておいてください。どんな小さな会社でもハッキング対象になり得ます。ネットワークとその中に保存されているデータを侵害しようと試みる誰でも無料のハッキングツールを使用できるのであれば、いったいどうすればネットワークを安全に保護できるのでしょうか?外部からのポートスキャンを防ぐためにどのようなテクニックを使用していますか?

Tags