ネットワークセキュリティー入門(4/5)
■ポートの性質
前章では、ポートについて説明したが、ポートのOPENやクローズについて、 詳しく説明する。
繰り返すが、サービスを与える方は、サーバーポートという。
サーバーポートをOPENする事によって、他の端末からの接続を許可する事になる。
逆の発想をすれば、サーバーポートを開いていないと、他の端末から接続する事はできないのである。
Win2Kでは、標準でtelnetやWWWサーバーのポートをOPENできるサービスが搭載されている。
これらの意味を全く理解せず、OPENしておくと、世の中にの多くの人に自分のパソコン情報を晒し出す事になる。
さらには、「ファイルとプリンタの共有を行う」という設定をしていれば、 ポート139番のNETBIOSポートを開くことになり、インターネットから簡単に 共有ファイルにアクセスされる事になる。
筆者は2台以上のPCがLAN上に構築されている為、もちろんNETBIOSを使う設定となっている。しかしながら少し知識があれば、外部からのアクセスを断ち自分のネットワーク内では共有リソースをふんだんに使用できるようになるのだ。

外部に開いてしまうポートは以下に分類される。

・OSやプロトコル階層の設定で開くもの・・・例)NetBios(MSファイル共有)

・アプリケーション/サービスを立ち上げて開くもの・・・例)FTPサーバ、IIS(WWWサーバ)

・ルーターなど機器が開いているもの・・・例)IDENTポート

セキュリティを確保するには、これらの種類と、どんな特性があるのかを、「全て理解」しなければならない。
通常、自分が情報提供者やサーバー提供者にならないのであれば、ポートを開いて外部に公開する必要は全く無い。
ただ、将棋やオセロ、マージャンといったネットワークでするGAMEは楽しいものである。そういった場合に自分がサーバーにならなければならない事もあるだろう。
その時はその時だけ、OPENして終わったら終了すればいい。
ここで言うネットワークGAMEは東風荘やウルティマオンラインを表している訳ではない。業者の提供するオンラインGAMEは自分がサーバーではないからだ。
よって、サーバーポートを開かなくてもこれらのサービスは利用できる。
しかし、ICQ、IRCは曲者である。
ICQやIRCを使って、ファイル転送するにはサーバーポートを開けないとダメな場合がある。その事は肝に銘じて使って欲しい。

■アタック(攻撃)の種類
・ポートスキャン
相手のIPをとポートを複数指定して、開いているポートを探し出し、ハッキング/クラッキングを行う。
余談であるが、筆者はハッキングとクラッキングは区別していた人間であるが、電気通信事業法が改正されハッキングも犯罪となるため、最近は区別しないでも良い気がする。
海外では、上級ハッカーは知識や情報量などから尊敬される存在ではあるが、日本では犯罪者である。
ポートスキャンツールは、googleなどのエンジンで検索すると、簡単に入手可能だ。
一つ言っておくが、筆者は研究用の為に何種類かのツールを持っているのだが、 「これらを公開しているサイトの80%はトロイ系などのウィルスが混入している」
ので注意してほしい。
主な仕様は、スタートするIPアドレスと終了するIPアドレス(単一のIPでもOK)を指定してポート番号の開始/終了を指定するだけで後は、ログファイルに自動的に書き込んでくれる。その為、外出時にセットしておけば、帰ったら収集されているという感じだ。
攻撃法が複数あるので以下に述べる。

・Pingアタック
前章で説明しているが、ICMP(1番)というポートを使って、パケットを送り込む。ルーターやPCは、自動的に受けたパケットを折り返す仕様である。
なにができるかというと、折り返しデータを相手が強制的に送信される訳だから、 相手のネットワークパフォーマンスを極端に遅らせる事ができる訳だ。
もちろん、送る側は、大量のパケットを複数送るツールを使用するわけだから、 自分はネットを使える状態ではない(笑)
しかし、ISDN64回線の人にADSL回線の人が複数この攻撃を行えば、精神的にかなり参る
はっきりいって、嫌がらせだけでメリットは無い。

・Nukeアタック
WIN95が全盛の時に、このツールが登場した。
Netbiosのセキュリティーホールにつけこんだものである
何かというと、NETBIOSはトランスポート層で、データを圧縮する機能をもっている。その為、受けたデータを復元する機能も持っているのは当然である。
で、非常に短いパケットを送信して相手のパソコンでそれを伸張する時、悲劇は起こる。
伸張するパケットサイズが理解を超えた大きさなのだ。
PCは、例外割込み(GPF)を起こし、ハングアップしてしまう、凶器のような ツールである。
しかし、現在は対策の方もばっちり行われており、食らう人は居ないだろう。
WIN98でもまだツールが出回っているので、決して安心できない。
最新のパッチを常に投入するよう心がけたい。

・FTP(ポートスキャン後)
ftpサービスを起動しているユーザが居ると、ポートスキャンはOPENを検出し、 ハッカー/クラッカーはログインを試みるだろう。
アノニマスログインという設定がありそれを有効にしていると、即座にログイン可能ということになる。
知識のある人以外は、決して使ってはならない。
なお、FTPサーバーを常設する場合は、ファイヤーウォールなどを設定/導入する事が望ましい。

・SMTP/POP(ポートスキャン後)
メールの送受信サーバを自分で立ち上げている人は、上級者が殆どで、ここで説明する必要はないであろう。個人ドメイン取得&sendmailの設定等、ここで説明するべき項目ではない為に割愛する。なお、パーソナルユースで、mailサーバーを構築してないのにOPEN状態だったら、滑稽である。
これからMailサーバを立ち上げようと考えている人は、そこのサーバを 踏み台にしたスパムメールを送る事が可能になるため、ここ以外のサイトで充分に勉強して欲しい

・UNIXコマンドポート(finger/whois/telnet等)
個人でLinuxなどを構築していると、外部にポートを晒し危険な目に合う。 設定によりなんとでもなるのが、linuxだ。充分な知識が必要となる。
サーバの起動プロセス確認と開いているポートの正当性また、各種設定ファイルなど、 充分に確認しないと、passwdファイルをgetされ、即座にtelnetでもてあそばれる。

・HTTPポート(WWWサーバ)
Win2Kなどでは、簡単にWWWサーバが構築できる。そして、多数の人に閲覧させるようにサービスを開始する。そうすると、複数から攻撃対象となる。
httpポートを使った、nimdaワームの被害は、記憶に新しい。
WWWサーバを構築するには、充分な知識が必要になるだろう。
まず、メリットを考えるべきである。自宅をサーバにすると大変である。
実験、遊び以外ではお勧めできない

・IRC/ICQ/MSメッセンジャー等のツール
グーグルでicqbombと入力しただけでも引っかかるという、恐ろしいものだ。
ただ、非常に便利なため、出来たら使いたい。
しかし、アタックは、IPアドレスの抜き取り、盗聴、メールBOMB、クラッシュという、ほぼ何でもできる状態である。

・HTTPポート(ブラウザで受信)
世の中では、そのサイトにアクセスしただけで、ブラウザをクラッシュさせる「ブラクラ」とか、ウィルスを送り込むnimdaワーム感染サイトとか、あやしげな、javaやcgiを利用して端末の状態を吸い取るものや、conconバグのように端末をクラッシュさせてしまうものがある。
これらはある程度、ウィルスチェックソフトに同梱されているソフトで防ぐことが可能である。しかし筆者は、今後この分野のアタックが急速に普及して行くのではないかと考えている。その場合、OSのセキィリティーホールを突いたものが主流になるため、OSやブラウザの「重要な更新」はこまめにチェックする事が大切である。また、ウィルスチェックソフトやファイヤーウォールソフトなどのアップデートもこまめに行うべきである。この分野は、「こちらから対策」することが殆ど不可能なため、だれかが犠牲になったあとでないと修正されないのである。

<ネットワークセキュリティー入門3に戻る  ネットワークセキュリティー入門5に進む>

ネットワークセキュリティー入門に戻る

Minkeyのお部屋に戻る