[connect24h:2678] Re: 内部でのPortscan （Re: 自宅サーバ運用者の知識）

[hama <hamamoto@xxxxxxxxxxx>]

はまもとです。

> 内藤です。

ども。

> 内部でのポートスキャンをどうやってフィルタリングするのでしょうか？
> 要所要所のルータでいちいちフィルタリングしてたら手間もかかりますし、
> L3スイッチではパフォーマンスの関係でかけない場合もあります。
> 内部は信用されているというのが大抵のところで前提かと思います。
> どうせ直近からやられたら対処できませんしね。

ポートスキャンというか、最低限、VLAN組んで他部間は接続させない。
全社的なシステムはどこからでもアクセスできる共通系のNWに片方向で
アクセス許可をする。
などのフィルタリングはいると思いますよ。

> 実際、中→外のポートスキャンではFirewallに無用な負荷をかけたり
> NATテーブルを食いつぶしたり、ライセンス上限に当たったりろくなことがないです、
> 実際にポートスキャンで落ちるアプリもそうやってあるわけですし。

これはごもっともですね。他にヤマハのルータでNATテーブルを食いつ
ぶしたことがあります。(^^ゞ

> 最近は内部にIDSが入っているネットワークも多いですので
> 客先でいきなりポートスキャンかけるというのは非常に軽率な気がします。
> ホスト運用の人だけじゃなくて他にも通じないと思いますよ。
> というか、賠償物にならなかっただけよかったのでは。

こちらもごもっともですね。
port scan、脆弱性スキャンは、実際に行う必要があると判断した場合は、
相手の管理者に許可をもらって業務で負荷がかかっている以外の時間に
行う必要があると思います。

ちにみに、相手の管理者に通知する効果として、スキャンを行う２、３
日前に言っておくと、あら不思議。当日までに、あったはずの穴がなく
なっていることが多いんですよね。依頼することは、腰の重い相手に対
して、お尻をたたくという意味もあったりします。

> >この会社ではもうnmapは使わないことを心に決めました。
> >しかし、その後もLAN構成図とかくれないので、
> >マトモに仕事もできません。
> それはできないと言うことで片づけてしまった方がみんな幸せです。

出来ないとあきらめてしまうのもどうかと思いますが。。。
できないで、仕事にならないのなら、政治層からアプローチするという
手法がありますね。こちらなら、誰にも文句は言われないでしょうし。
政治層からアプローチしていれば、問題が発生しても、自分はちゃんと
言うべきことを言っていたということで、責任は、対処しなかった相手に
いくと思います。


+---------------------------------------------------------------------
| はまもと
| ■関西でのネットワーク＆セキュリティ イベント@Random始動
| http://www.at-random.org/
| ■常時接続の宴（インターネット常時接続ニュースサイト）
| http://cn24h.hawkeye.ac/
| ■24 時間常時接続メーリングリスト開催中
| http://cn24h.hawkeye.ac/connect24h.html
| ■セカンダリDNS互助会
| http://cn24h.hawkeye.ac/dns.html 
+----------------------------------------------------------------------


--[PR]------------------------------------------------------------------
　 　☆　本物の教材が欲しい方！！　【ＴＯＥＩＣリスニング満点】☆
「ＮＨＫやさしいビジネス英会話」「イングリッシュ・ジャーナル」等の広告
でおなじみの、実績Ｎｏ.１を誇る英語教材「スーパーエルマー」。 ３００時
間程度の学習でＯＫ。１日１時間、３００日で聴こえる鋭い耳を作ります！！
 http://ad.freeml.com/cgi-bin/ad.cgi?id=aIYCu
------------------------------------------------------------------[PR]--
<GMO GROUP> Global Media Online  www.gmo.jp