TraceList の手順（１）

　セキュリティ監査、診断を補完する手法 TraceList の概要について、以前ご説明した。
　今回は、もう少し具体的な手順などをご紹介する。

>> TraceList の手順

　TraceList は、おおまかには、下記の手順で進める。

　１．プロファイリング
　　　ターゲットサイトの管理するIPアドレス範囲の取得
　　　ネットワーク設定のパターンの確認
　２．調査
　　　Well Known Port に絞った調査と整理
　３．再調査
　　　絞り込んだIPアドレスに対する詳細な調査
　４．分析
　　　「３．」の結果の整理、再調査
　５．レポート

>> TraceList のプロファイリング

　TraceList のプロファイリングは、「２．」で実施する多数のIPアドレス調査のための準備である。
　プロファイリングの目的は、ターゲットに関連するIPアドレスを洗い出すことと、基本パターンを探ることになる。基本パターンとは、データセンター利用状況、メールサーバ、DNSの運用形態などである。

　プロファイリングは下記の内容を実行する。

　(1) IPアドレスの分布を予測し、調査対象IPアドレスを特定する
　(2) 調査不要のIPアドレス範囲を確認する
　(3) ターゲットのネットワークのパターンを探る
　(4) ターゲットのネットワークで使用しているサーバ種別を絞り込む
　(5) ターゲットホストの運営形態を探る

個別に実施する内容は下記となる。

　(1) IPアドレスの分布を予測し、調査対象IPアドレスを特定する
　　ネット上の多くのサービスは、複数のIPアドレスを保有している。それぞれのアドレスにWWWサーバ、メールサーバあるいはスイッチ、ルータなどを割り当てている。いずれかのIPアドレスに脆弱性があった場合、侵入する入り口になる可能性などがある。ターゲットの安全状態を確認するためには、ターゲットの管理するIPアドレスを総当りで確認する必要がある。
　　ここでは、編集部謹製のツール "PrisonMEMO Pro" を使用する。
　　このツールには、" Pro" のついていない "PrisonMEMO" というものもあるが、 TraceList での使用に耐えられるのは、"Pro" のみである。

◇「PrisonMEMO Pro」
http://shop.vagabond.co.jp/o-pmp01.shtml

　"PrisonMEMO" では、IPアドレスごと、ホストごとに表示するページが分かれてしまい、大量のIPアドレス、ホストを一度に調査するような場合、大量のページが生成されて事実上見ることができなくなってしまうのである。これに対して "PrisonMEMO Pro" では、複数のIPアドレス、ホストを1ページの表に表示（ http://www.scan-web.com/image_public/sam01.gif ）したり並べ替える機能があり、TraceList のような大量の調査の際には、非常に効率がよい。

（詳しくはScan本誌をご覧ください）
http://shop.vagabond.co.jp/m-ssw01.shtml