[connect24h:2651] 内部でのPortscan （Re: 自宅サーバ運用者の知識）

[Djnii <genie@xxxxxxxxxxxxxxxx>]

内藤です。

>　私からは「Linuxでnmap使っただけですよぉ…。ここのLANに
>何がつながってるのか、LAN構成図とかIPアドレス一覧とかくれ
>ないから自分で調べようと思っただけですよぉ…」みたいな説
>明をしたのですが、ホスト運用な人には話が通じない。苦し紛
>れに「なんでルータでフィルタリングしないの？」みたいなこ
>とを聞いたのですが、「ポリシーとしてフィルタリングはしな
>いことになってます」との回答。

内部でのポートスキャンをどうやってフィルタリングするのでしょうか？
要所要所のルータでいちいちフィルタリングしてたら手間もかかりますし、
L3スイッチではパフォーマンスの関係でかけない場合もあります。
内部は信用されているというのが大抵のところで前提かと思います。
どうせ直近からやられたら対処できませんしね。

実際、中→外のポートスキャンではFirewallに無用な負荷をかけたり
NATテーブルを食いつぶしたり、ライセンス上限に当たったりろくなことがないです、
実際にポートスキャンで落ちるアプリもそうやってあるわけですし。

最近は内部にIDSが入っているネットワークも多いですので
客先でいきなりポートスキャンかけるというのは非常に軽率な気がします。
ホスト運用の人だけじゃなくて他にも通じないと思いますよ。
というか、賠償物にならなかっただけよかったのでは。

>この会社ではもうnmapは使わないことを心に決めました。
>しかし、その後もLAN構成図とかくれないので、
>マトモに仕事もできません。

それはできないと言うことで片づけてしまった方がみんな幸せです。
ほかでも使わない方がいいと思いますよ。
icmpにしても、ISDNでの何千という拠点への配信ができるシステムだったりすると
大変なことになりかねません。
構成が把握できていれば必要ない作業ですし、把握してなければ危険な作業です。

一般の方も参加されているメーリングリストで、こういった手法を安直に
（わかってる人がやるならいいのですが）紹介するのは控えた方がいいかと思います。


--[PR]------------------------------------------------------------------
　
 　あの人気のPC、商品券などが・・・！！！
　
 お申込みは今すぐ→ http://www.freeml.com/ctrl/html/UserRegForm
------------------------------------------------------------------[PR]--
<GMO GROUP> Global Media Online  www.gmo.jp