TraceList の手順(1)
セキュリティ監査、診断を補完する手法 TraceList の概要について、以前ご説明した。
今回は、もう少し具体的な手順などをご紹介する。
製品・サービス・業界動向
業界動向
今回は、もう少し具体的な手順などをご紹介する。
>> TraceList の手順
TraceList は、おおまかには、下記の手順で進める。
1.プロファイリング
ターゲットサイトの管理するIPアドレス範囲の取得
ネットワーク設定のパターンの確認
2.調査
Well Known Port に絞った調査と整理
3.再調査
絞り込んだIPアドレスに対する詳細な調査
4.分析
「3.」の結果の整理、再調査
5.レポート
>> TraceList のプロファイリング
TraceList のプロファイリングは、「2.」で実施する多数のIPアドレス調査のための準備である。
プロファイリングの目的は、ターゲットに関連するIPアドレスを洗い出すことと、基本パターンを探ることになる。基本パターンとは、データセンター利用状況、メールサーバ、DNSの運用形態などである。
プロファイリングは下記の内容を実行する。
(1) IPアドレスの分布を予測し、調査対象IPアドレスを特定する
(2) 調査不要のIPアドレス範囲を確認する
(3) ターゲットのネットワークのパターンを探る
(4) ターゲットのネットワークで使用しているサーバ種別を絞り込む
(5) ターゲットホストの運営形態を探る
個別に実施する内容は下記となる。
(1) IPアドレスの分布を予測し、調査対象IPアドレスを特定する
ネット上の多くのサービスは、複数のIPアドレスを保有している。それぞれのアドレスにWWWサーバ、メールサーバあるいはスイッチ、ルータなどを割り当てている。いずれかのIPアドレスに脆弱性があった場合、侵入する入り口になる可能性などがある。ターゲットの安全状態を確認するためには、ターゲットの管理するIPアドレスを総当りで確認する必要がある。
ここでは、編集部謹製のツール "PrisonMEMO Pro" を使用する。
このツールには、" Pro" のついていない "PrisonMEMO" というものもあるが、 TraceList での使用に耐えられるのは、"Pro" のみである。
◇「PrisonMEMO Pro」
http://shop.vagabond.co.jp/o-pmp01.shtml
"PrisonMEMO" では、IPアドレスごと、ホストごとに表示するページが分かれてしまい、大量のIPアドレス、ホストを一度に調査するような場合、大量のページが生成されて事実上見ることができなくなってしまうのである。これに対して "PrisonMEMO Pro" では、複数のIPアドレス、ホストを1ページの表に表示( http://www.scan-web.com/image_public/sam01.gif )したり並べ替える機能があり、TraceList のような大量の調査の際には、非常に効率がよい。
(詳しくはScan本誌をご覧ください)
http://shop.vagabond.co.jp/m-ssw01.shtml
《ScanNetSecurity》