- ベストアンサー
ポートスキャン攻撃の原因として考えられませんか?
ルーターの警告としてポートスキャン攻撃について教えてください ネットワーク管理者なのですがルーターの警告ログをチェックすると 以前は存在しないプライベートアドレスに対してだったり 攻撃元も不定で1ヶ月に1度程度の頻度であったため気にしなかったのですが 最近になって攻撃元、攻撃先が固定され、1日に数回警告が表示されます。 その中でも気になるのは ・警告がでるのは出勤日のみでさらに休憩時間に多く発生する。 ・攻撃先のPCは自宅から持ってきていたり、管理者としてあまり管理されて いないパソコンでファイル交換ソフトなどが入っている可能性がある。 (本当は繋ぎたくないのですが、そこまで権限力なくて・・・) なところです そこで質問なのですが アプリケーション、特にファイル交換ソフトを使うことによりルーターに 攻撃として警告がでるようなことはあり得るのでしょうか? またスパイウエアや何らかのウイルスが入っているパソコンでもそういう 警告が出るような現象は考えられるのでしょうか? その辺と結びつけることが出来ればそのパソコンを使っている人に対して 警告を出すように改善できるのですが知識が不足しています。
- みんなの回答 (7)
- 専門家の回答
質問者が選んだベストアンサー
その他の回答 (6)
- kuma-ku
- ベストアンサー率54% (1558/2845)
◆Ethereal でのHTTP キャプチャ http://www.geocities.co.jp/SiliconValley-Oakland/5924/win2000/ethereal/filters.html ◆HTTP ヘッダ情報について http://www.atmarkit.co.jp/fnetwork/rensai/netpro01/netpro01.html http://www.atmarkit.co.jp/fwin2k/win2ktips/479httphview/httphview.html ------------ カスピアンの”Aperio”はチョッと。。。 定価で1400万するようなシャーシルータ こちらのほうが価格的には現実的かと。 ◆One Point Wall http://www.netagent.co.jp/onepoint/detail.html ただ、これを導入したからと言って、効果のほどはグレーですが。。。 結局のところ、今回の被疑者の通信を調査し、それを正したところで、新たな利用者が出た場合に繰り返す羽目になるので、今回の証拠を持って上司や然るべき社内部署に下記の整備を訴えます。 ・社内LAN の利用規約を明確化 ・怪しいトラフィックはPC ごと排除 ・NW 監視していることを社内にアドバタイズする
お礼
お礼が遅れました。 非常にわかりやすいサイトの紹介ありがとうございます。 有料のソフトでは承認がおりず難しいですが出来るだけ被害に遭わないように 各ユーザーに警告などをだすように心がけます。 新年早々にも上層部へ報告し、規約を改定し社内で回覧できるようにして いく予定です。
- raze
- ベストアンサー率15% (74/486)
- kuma-ku
- ベストアンサー率54% (1558/2845)
>不要なポートは指摘された通り遮断しているのですが詳しい人に聞いた所、交換ソフトの方でポート80でも使えると聞いています。 確かにWinny はPort の変更が可能です。 証拠を掴みたい場合、パケットをキャプチャして見てはいかがでしょうか? 通常のWEB 通信であれば、平文での通信が行われ、内部にHTTP ヘッダなどの情報が含まれますが、Winny であれば異なった文字列が見られます。 ◆パケットキャプチャソフト http://www.ethereal.com/ http://netgroup-serv.polito.it/winpcap/ [Ethereal]と[WinPcap]の両方をインストールする必要がありますが、WinPcapのサイトが繋がりません。。。 ◆使い方 http://www.space-peace.com/ethereal/
お礼
Etherealは以前使ったことがあるのですがパケットの内容について 知識がないため眠っていた状態です。 参考HP、非常にわかりやすいですね。 ネットワーク管理者として頭の痛い内容が書かれていて こちらとしても真剣に取り組まないといけないと痛感しました。 ただどういうパケットがファイル交換ソフトのパケットで・・・ とわかればいいのですが、わからないような工夫がされているのでしょうか?
- raze
- ベストアンサー率15% (74/486)
- kuma-ku
- ベストアンサー率54% (1558/2845)
こんにちは 正直なところ、どのような理由でPort スキャンが働いているか、特定するのは困難です。 なので、ルータのIP フィルタを使用し、必要なPort 以外はたとえローカルからInternet への通信であっても、止めてしまうのが正解だと思います。 基本的には、以下のアプリだけを通すのが手っ取り早い課と思います。 TCP 20-21:FTP 25:SMTP 53:DNS 80:WEB 110:POP 113:ident UDP 53:DNS その他、業務用のアプリがあれば通す必要があります。 参考までに、、、 WinMX:6699 Winny:7743
お礼
回答ありがとうございます。 不要なポートは指摘された通り遮断しているのですが詳しい人に聞いた所 交換ソフトの方でポート80でも使えると聞いています。 高価な専用ソフトを使えば遮断できそうですがそんな予算は出そうにありません。
- Aruku-20030515
- ベストアンサー率23% (362/1544)
管理者として脅威なのは 不明(管理対象外のコンピュータ)のコンピュータを 接続されることによって、社内の端末が 乗っ取られたり、ウイルスに感染する事です。 貴方が思われている疑問と疑いは、確かなことで よく新種のウイルスによって、社内の端末やサーバが 汚染させられる事はたたあります。 また、不明な端末に備えられているスパイウエアにより 極秘情報がながれる危険性も十分考えられますので その旨を上層部に伝え、貴方の権限を上げるのも良いかとおもわれます
お礼
回答ありがとうございます。 セキュリティー関係が重要である事を会社が認識しておらず なかなか強く言えない状況です。 ネットワーク管理者としての権限は一番上なのですが役職が下というのもあり 強く言うと反感をかう状況です。 何かしら事例なり証拠みたいなのがつかめればもう少し強くも言えるのですが 憶測でしかないので困っています。
お礼
回答ありがとうございます。 指摘されたとおり辛い立場にあります。それでも少しずつは改善されて いますのでこちらとしても早めの対応を考えています。 1について 上層部の導入責任者としてはやはりこちらが指摘するような危険性に 対して危機感を感じて頂いていないのが現状です。 他の所で起きているような事例をふまえて危機感を持って頂くような 説明をしてみたいと思います。 2について ネットワーク運用開始から登録制度で行っております。 最初は一部の社員だけでという考えでしたが登録を申し出る社員が増えて からは少しおろそかになっている部分があります。 3について 登録するときに規定を渡し読むように指導していました。 そんなに縛らない規制であとは本人の常識的な物を信じていたのですが さすがにそうも言ってられなくなりましたので 規定の見直しを考えてみます。 4について かなり苦労して作ったのですが・・・読まずに 「設定して!!」と言われて任されてしまうことが多いです。 上層部への報告と規定の見直しを考えたいと思います。 P.S.ネットワーク管理者の苦労本みないなものを読んでみましたが みなさん私と同じようなことで悩まれているようですね。