「攻撃者の立場になって、セキュリティ(防衛策)を考える」
セキュリティには色々な考え方があって、管理者によって多種多様です。例え
ば、ポート番号の変更に防御的な意味があるかどうか、について「有効」と考え
る管理者もいるし、そうでない人もいる。私はかつて後者であった。だからポー
ト番号は変更していなかった。しかし、攻撃者の立場になって考えると、必ずし
も適当でなったことが分かる。
昨今流行りの攻撃方法は「ブルートフォースアタック」だ。PCやネットワーク
のの能力は十分に発達し、個人でも可能となってしまった総当たり・絨毯爆撃
(先日ブログで触れた「網羅的解析」のクラッカー版にあたる)。IPアドレスを
便りにpingなどで世界中のホストに問い合わせをして、応答があれば攻撃開始。
IP アドレスの数は天文学的数字(4,294,967,296)なので、それだけでも時間の
かかる作業だ。さらに、攻撃できるかどうかを判定するために、開いているポー
ト(侵入経路)を調べる。ポートはサーバ1台につき6万以上ある。全てのポート
を調べることは無論可能であるが、それにはさらに時間がかかる。しかし、ポー
ト番号はサービス毎におおよそ決まっているしているので、通常の設定で使用さ
れるポートだけを調べるのが効率的である。すなわち、「ホストは網羅的に探索
しないと見つけることができないのに対し、ポートはある程度「当たり」を付け
ることができる。」よって、後者(ポート番号)の網羅的な調査は敢えてスキッ
プするのが効率的である。それだけでなく、ポート番号を変更していないサーバ
は、セキュリティ意識に希薄な可能性あるので、標的のスクリーニングとしても
有効である。。
ブルート・フォースの攻撃者は「侵入しやすいホストを探索する時間(待ち時
間)をできるだけ減らしたい」と目論んでいるに間違いない。だから、限られた
ポート番号しか狙わない。したがって、ブルート・フォースに対しては、ポート
の変更は有効であると考えて良い。もちろん、特定の標的として狙われてしまっ
たら、ポートを網羅的にスキャンされるので、ポート変更は殆ど意味が無い。け
れども、特に恨みを買っている覚えのない私の場合、当面の間の驚異はブルート
フォースである。そこで、私はあらゆるサービスのポート番号の変更を行うこと
に決めた。単純作業ゆえちょっとした苦痛を伴ったが、危険性が大幅に低下する
と判断したのだ。
管理するサーバが多いとセキュリティ設定の作業だけでもとても煩雑になり、
それだけでなく対策によっては使い勝手の低下を招くおそれもある。そこで、で
きるだけ有効な対策を選んで実施したいものだ。いろいろなセキュリティ設定の
推薦されているが、やはり攻撃者の視点で、有効であるかどうかを判断するのが
良いと思う。
と、まあ、素人が偉そうに書きましたけども、プロのサーバ管理者の間では常
識かも。あと、情報収集も大切ですね。専門のサイトでは、セキュリティーホー
ルの報告が目につきやすいですが、それよりも「攻撃ツールの公開」に鋭敏にな
ることが重要です。そもそもセキュリティーホールが分かっていても、攻撃の方
法が分からなければ殆どのクラッカーには攻撃の仕様がない。よって、実態とし
てはいわゆるゼロディ攻撃の被害は殆どないと考えて良い。一方、セキュリ
ティーホールに対して、攻撃ツールが作成され、それらがアンダーグラウンドで
公開された場合に、危険度が著しく上昇する。そうなったら、サービスの利便性
などと言ってられない。ただちにパッチを当てるなり、サービスを停止するな
り、対策を講じるのだ。
0 件のコメント:
コメントを投稿