このコーナーでは、げんえきのペネトレーションテストぎじゅつしゃが、つかえるセキュリティツールを、ペンテストのげんばのしてんからしょうかいします。
こんかいから、なんかいかにわたって、tcpdumpや、Wiresharkなどにだいひょうされる、ネットワークないをながれるつうしんじょうほうをしゅとくする、パケットモニタリングけいツールをしゅうちゅうしてとりあげます。
(1)パケットモニタリングけいツールとは
パケットモニタリングとは、ネットワークないをながれるTCP/IPにだいひょうされるつうしんじょうほうをしゅとくすることである。
NIC(NetworkInterfaceCard)は、つうじょうモードでは、じぶんあていがいのつうしんは、じしんにとうたつしてもはきするというどうさをおこなうが、プロミスキャスモード(むさべつモード)というモードにすることでじぶんあてではないつうしんもふくめ、じしんにとうたつしたつうしんすべてをじゅしんすることがかのうである。
このモードをりようし、つうしんをしゅとくするツールがパケットモニタリングけいツールである。パケットモニタリングけいツールは、パケットキャプチャーツール、パケットとうちょうツール、パケットアナライザー、スニッファーなどとこしょうされるばあいがあるが、こんかいからのきじでは、べんぎじょう、パケットモニタリングけいツールとする。
(2)そのじゅうようせい
ペネトレーションテストとひとことにいってもさまざまなしゅほうがあり、シチュエーションもある。みなさんが、ペネトレーションテストときいて、まっさきにれんそうするイメージは、やはり、ネットワークけいゆからのぎじこうげきによるけんさをおこない、けんさたいしょうのコンピュータ(サーバ、クライアント、ネットワークききなど)にたいして、しんにゅう、じょうほうのせっしゅ、サービスきょひなど、どのていどのひがいをあたえることができるのかということをはかるといったものではないだろうか。そのイメージは、ほぼ、せいかいといってもいいだろう。
ぜんじゅつしたとおり、ペネトレーションテストというのはさまざまなしゅほうがあるため、すべてがネットワークけいゆでおこなわれるわけではないが、9わりいじょうは、ネットワークじょうでなんからのつうしんをおこなっているとおもっていただいてもんだいない。いままでしょうかいしてきたツールのほとんどは、ネットワークをしようしているツールである。
すこしよだんではあるが、インシデントレスポンスにおいてもパケットはひじょうにじゅうようである。ソースアドレスなどのぎそうということはぎじゅつてきにかのうであるが、そこにつうしんがはっせいしたいたというこんせきはかならずそんざいする。しんにゅうなどによっておせんされたコンピュータは、さまざまなファイルがかいざんされ、プロセスがいんぺいされているなど、ほとんどがしんようできないものである。しかし、おせんされているコンピュータへのパケット、おせんされているコンピュータからのパケットは、なんらかのいみをもっている。
すべてのパケットには、いみがあり、そこにはしんじつがそんざいする。
つまるところ、メールやWebえつらんから、ペネトレーションテスト、ネットワークちょうさ、ネットワークをつかういじょう、わたしたちは、にちじょうてきにパケットのおせわになっているのである。パケットにはじまり、パケットにおわるといってもかごんではないだろう。だいひょうてきパケットモニタリングけいツールをまつびにあげておこう。
(3)おうようひくパケットからみえてくるもの
ちをせっていし、ボタンをクリック。
コマンドをにゅうりょくし、じっこう。
そして、けっかをえる。
にちじょうてきにくりかえしいっているオペレーションだろう。
ユーザは、にゅうしゅつりょくからは、ほとんどパケットをいしきすることはないが、うらがわでは、かくじつにパケットがなにかしらのはたらきをしてくれている。これはぜんいのユーザもあくいのあるユーザもである。
つまり、ネットワークをしようするツールのパケットをのぞきみることで…
【しっぴつ:NTTデータ・セキュリティかぶしきがいしゃつじのぶひろ】
【かんれんリンク】
だいひょうてきパケットモニタリングけいツール
・tcpdump
http://www.tcpdump.org/・Wireshark
http://www.wireshark.org/・Snort
http://www.snort.org/・Cain&Abel
http://www.oxid.it/cain.htmlこのきじはゆうりょうかいいんせいセキュリティじょうほうサービスScanのニュースのいちぶをばっすいしけいさいしています。
