セキュリティ監査、診断を補完する手法 TraceList の概要について、以前ご説明した。 今回は、もう少し具体的な手順などをご紹介する。>> TraceList の手順 TraceList は、おおまかには、下記の手順で進める。 1.プロファイリング ターゲットサイトの管理するIPアドレス範囲の取得 ネットワーク設定のパターンの確認 2.調査 Well Known Port に絞った調査と整理 3.再調査 絞り込んだIPアドレスに対する詳細な調査 4.分析 「3.」の結果の整理、再調査 5.レポート>> TraceList のプロファイリング TraceList のプロファイリングは、「2.」で実施する多数のIPアドレス調査のための準備である。 プロファイリングの目的は、ターゲットに関連するIPアドレスを洗い出すことと、基本パターンを探ることになる。基本パターンとは、データセンター利用状況、メールサーバ、DNSの運用形態などである。 プロファイリングは下記の内容を実行する。 (1) IPアドレスの分布を予測し、調査対象IPアドレスを特定する (2) 調査不要のIPアドレス範囲を確認する (3) ターゲットのネットワークのパターンを探る (4) ターゲットのネットワークで使用しているサーバ種別を絞り込む (5) ターゲットホストの運営形態を探る個別に実施する内容は下記となる。 (1) IPアドレスの分布を予測し、調査対象IPアドレスを特定する ネット上の多くのサービスは、複数のIPアドレスを保有している。それぞれのアドレスにWWWサーバ、メールサーバあるいはスイッチ、ルータなどを割り当てている。いずれかのIPアドレスに脆弱性があった場合、侵入する入り口になる可能性などがある。ターゲットの安全状態を確認するためには、ターゲットの管理するIPアドレスを総当りで確認する必要がある。 ここでは、編集部謹製のツール "PrisonMEMO Pro" を使用する。 このツールには、" Pro" のついていない "PrisonMEMO" というものもあるが、 TraceList での使用に耐えられるのは、"Pro" のみである。◇「PrisonMEMO Pro」 http://shop.vagabond.co.jp/o-pmp01.shtml "PrisonMEMO" では、IPアドレスごと、ホストごとに表示するページが分かれてしまい、大量のIPアドレス、ホストを一度に調査するような場合、大量のページが生成されて事実上見ることができなくなってしまうのである。これに対して "PrisonMEMO Pro" では、複数のIPアドレス、ホストを1ページの表に表示( http://www.scan-web.com/image_public/sam01.gif )したり並べ替える機能があり、TraceList のような大量の調査の際には、非常に効率がよい。(詳しくはScan本誌をご覧ください)http://shop.vagabond.co.jp/m-ssw01.shtml
