★阿修羅♪ 現在地 HOME > 掲示板 > IT5 > 407.html
 ★阿修羅♪
次へ 前へ
Microsoftネットワークの監視で見えてくる、Windowsの裏側 (1/3)【IT_Media記事】
http://www.asyura2.com/0401/it05/msg/407.html
投稿者 クエスチョン 日時 2004 年 4 月 21 日 00:16:55:WmYnAkBebEg4M
 

2004/04/15 12:00 更新

第2回
Microsoftネットワークの監視で見えてくる、Windowsの裏側 (1/3)【IT_Media記事】
http://www.itmedia.co.jp/enterprise/0404/15/epn04_3.html

あなたは、自社のイントラネットで、誰がどんなことを行っているかを把握できているだろうか? MSネットワークを監視することによってはじめて、その実態が見えてくる。


 前回の記事では、企業で広く利用されているMicrosoftネットワーク(MSネットワーク)が手軽に利用できる反面、ユーザー名やアカウントといった重要な情報を知らないうちにネットワーク上に流していることを説明した。

 だからといって、今すぐMSネットワークを撤廃するわけにもいかない。何だかんだ言っても、オフィス内でファイル共有を実現する手段としては、非常に手軽かつ便利だからだ。となると管理者としては、少なくともMSネットワークの上でいったいどんなことが起きているのかを知り、不審な動きに注意を払うことぐらいはやっておきたい。後編ではその方法を説明しよう。
MSネットワークを監視しよう

 MSネットワークを監視するといっても、具体的にはどうすればいいのだろう。MSネットワークは、ネームサービス、ブラウザサービス、共有サービスなど複数のサービスから成り立っている。これらのサービスに関係するパケットを見れば、おそらく何が行われているのかが分かるに違いない。

 そこでとりあえず、一般的なネットワーク・アナライザを使って、MSネットワークに関連するパケットをキャプチャし、解析してみる。ここで対象となるプロトコルは、NetBIOS over TCP/IPやSMB(Server Message Block)、ポート番号でいえば137/138/139/445だ。これらのプロトコルのパケットを解析するには、マイクロソフトが提供しているネットワーク モニタ(*注2)かEthereal(http://www.ethereal.com/)が手頃である。
(*注2)ネットワーク モニタは、Windows 2000 ServerやWindows Server 2003に付属している。ただし、これらのネットワーク モニタでは、ネットワークを流れるすべてのパケットを受信する「プロミスキャスモード」でのパケットキャプチャが行えない(自分宛てのパケットのみモニターが可能)。ただしSMS(Systems Management Server)2.0に付属するネットワーク モニタは、プロミスキャスモードでのパケットキャプチャに対応している。

 だが、実際にネットワーク・アナライザを用いてネットワークを流れるMSネットワークのパケットを解析してみると、それが現実的な監視方法でないことがすぐに分かるだろう。

 一番の理由は、ひとつひとつのパケット解析結果に注目しても、誰がどんな操作を行ったのかが明確には分からないことだ(IPアドレスなどと照合すればある程度は絞り込めるが、直感的ではない)。

 たとえば、ファイルに対して読み書きなどの操作が行われたときに送信されるパケットには、操作対象のファイル名はもちろん、アクセス元のコンピュータ名やコンピュータにログオンしているユーザー名といった肝心な情報が含まれていないのである。これでは「誰が」「何に」アクセスしたのかさえ判断できない。

 さらに、MSネットワークの場合、ユーザーの操作と、それに対して送信されるパケットの対応が単純でないことも問題だ。ユーザーがエクスプローラでちょっとしたファイル操作を行っただけでも、ネットワークに送信されるパケット量は想像以上に多い。

 したがって、MSネットワークのパケットを調べて、誰が何を行ったのかを把握しようとしても、ネットワーク・アナライザを使ったのでは、ほとんど不可能なのである。可能だとしても、高価な専門ツールを使うか、かなりの労力とノウハウが必要だ。
MSネットワーク専門の解析ツール

 MSネットワークの個々のパケットの解析結果ではなく、関連する一連のパケットの解析結果をまとめ、よりユーザーの操作に近い解析結果が得られれば、誰が何をしたのかを把握することができるだろう。それを実現しているのが、MSネットワークを専門に解析するツール、「VISUACT(ビジュアクト)」だ。

 VISUACTは、MSネットワークのネームサービス、ブラウザサービス、共有サービスのパケットから得られる情報を常に収集し、情報の関連付けを行っている。そして、ユーザーが何らかの操作をすると、即座に、誰がどのファイルなどに対して何を行ったのかを出力する。

 さらに、アクセス元コンピュータのIPアドレスだけではなく、コンピュータ名やログオンしているユーザー名、OSの種別といったアクセス元の情報も同時に把握できる。また、解析された情報はログファイルとしても記録されるので、いつ誰が何をしていたのかを、後から参照、確認することも簡単だ。後々の監査や不正アクセス調査といった観点からも重要な機能である。

      | 1 2 3 | 次のページ

[有元伯治(セキュリティフライデー),ITmedia]

Copyright(c) 2004 Softbank ITmedia, Inc. All Rights Reserved.

第2回
Microsoftネットワークの監視で見えてくる、Windowsの裏側 (2/3)
http://www.itmedia.co.jp/enterprise/0404/15/epn04_3.html

 では、MSネットワーク上でのユーザーやコンピュータの動作が、VISUACTではどう見えるのかを紹介してみたい。

 まず、あるコンピュータで共有フォルダの自動検索が働いたときの様子を見てみよう。ワークグループ環境で自動検索を行ったコンピュータがあると、VISUACTビューワは画面1のように見える。


画面1■共有フォルダの自動検索が働くと、左側のコンピュータから右側の複数のコンピュータに対して、片っ端から接続が試みられている。このときの接続には、ログオンしたときのユーザー名とパスワードがそのまま使われていることが分かる

 画面上で円の周りを取り囲んでいるのがネットワークに接続されたコンピュータで、それぞれコンピュータ名とOSアイコンが表示されている。また左側の1台のコンピュータ名の下には、ログオンユーザー名が赤字で表示されている。

 サーバへのアクセスがあった場合、コンピュータ間は緑色の線で結ばれる。そしてその線の上下に、どんな操作が行われたのかが表示される。この例では、サーバへの接続に失敗した("Logon Failure")というメッセージと、接続に使用したユーザー名("arimoto")が表示されている。
不正アクセスはこう「見える」

 では次に、VISUACTを使ってMSネットワークを監視し、セキュリティ向上やネットワーク管理に活用する事例をいくつか紹介しよう。

持ち込みPCからのアクセス

 たとえば、部外者がオフィスにPCを持ち込み、そこから社内ファイルサーバへアクセスしたとしよう。あなたにはその事実が簡単に分かるだろうか?

 VISUACTではアクセス元のコンピュータに関する情報として、IPアドレスだけでなく、コンピュータ名やユーザー名、OS情報も同時に出力する。こういったアクセス元に関する情報は、組織で管理されているPCかどうかを見分ける上でポイントとなる情報だ。これらの“勝手PC”は、組織として管理されている端末とは異なり、所有者個人が自由に名前を付け、組織標準のものとは異なるOSを使っていることが多いからだ。したがって、組織内の運用規則に当てはまらない、見慣れないコンピュータからのアクセスが見えれば、持ち込みPCからのアクセスだとすぐに判断できる(組織としてPCを管理していない場合は論外なのだが)。

自宅やモバイル環境からのアクセス

 今後は、自宅やモバイル環境からイントラネットへアクセスしてくるケースがますます増えるだろう。VPNやRASを利用してイントラネットにアクセスするコンピュータには、IPアドレスが動的に割り当てられる場合が多い。この場合、どのコンピュータがファイルサーバへアクセスしているのか、アクセス元のIPアドレスからすぐに判断することはできないのだ。

 だが、コンピュータ名やユーザー名が分かれば、どのコンピュータから誰がアクセスしているのかを把握できるはずだ。もし自宅の個人PCからアクセスしていれば、上記の“勝手PC”と同じように、個人的なコンピュータ名やユーザー名(たとえば画面2の中央のラインにあるユーザー名"POCHI"といった名前)が付けられている可能性が高く、すぐに見分けることができるだろう。


画面2■VISUACTに表示されるコンピュータ名を基に、自宅のPCからのアクセスを判別できる

他人のふりをしたアクセス

 不正アクセスを試みる人物は、往々にして、他人のアカウントを用いてファイルサーバへアクセスしようとする。パスワード管理が徹底されているとは言えない現状では、どの企業でも十分にありえる話だ。だがサーバからすれば、アクセス権を持ったアカウントからのアクセスであれば、正常なアクセスと認識する。

 ここで、書類棚にある書類に物理的にアクセスする場合を思い返してみよう。その書類とはまったく関係ない社員が書類棚の周りをうろうろしたり、書類棚を漁ったりしていれば、それを見た他の社員が、すぐに怪しいと気付くはずだ。

 イントラネットにおいても同じことが言える。どのコンピュータを使っている誰が、サーバ上のどのファイルに対してどんな操作を行っているのかが、誰にでも見え、把握できるようにしておくことが、不正なアクセスの兆候を見つけるためには必要なのだ。こういった監視カメラ的な役割を担う製品はいくつかあるが、VISUACTの出力を見ても、どのコンピュータから、どのユーザーが、どのファイルに対して、読み書き、削除やリネームなどの操作を行ったのかが分かる。

前のページ | 1 2 3 | 次のページ

[有元伯治(セキュリティフライデー),ITmedia]

Copyright(c) 2004 Softbank ITmedia, Inc. All Rights Reserved.

2004/04/15 12:00 更新

第2回
Microsoftネットワークの監視で見えてくる、Windowsの裏側 (3/3)
http://www.itmedia.co.jp/enterprise/0404/15/epn04_3.html

パスワードアタック

 他人のアカウントを使ってサーバにアクセスするには、そのアカウントに設定されたパスワードを知っている必要がある。このとき、パスワードを推測するのに使われる代表的な手法が、オンライン・パスワードアタックだ。オンライン・パスワードアタックを仕掛けた場合、ユーザー自身がパスワードを忘れたり、勘違いしていたといった理由から何度もログオンを試す場合とは、スピードや失敗のパターンなどが明らかに違う。


画面3■オンライン・パスワードアタックを仕掛けてられたときのログ画面。明らかに尋常ではない頻度でログオンの失敗が記録されている

 画面3は、あるサーバに登録されているアカウントに対して、パスワードの推測が非常に高速に行われた時に、VISUACTが記録したアクション情報の履歴である。これを見ると、ユーザーが現実にパスワードを入力できる速さとは明らかに違っているので、パスワードアタックが行われたことが一目瞭然だ。

ウイルス感染はこう見える

 MSネットワークのファイル共有機能は、ウイルスの感染にも悪用されている。ファイル共有サービスを悪用するウイルス(Opserve/Deloder/LovGateなど)は、ネットワーク上の共有フォルダを見つけては、必要なファイルをコピーする動作を繰り返して、感染を拡大していくのだ。

 ウイルスが共有フォルダを見つけ、接続を試みる動作や、ファイルをコピーする動作は、VISUACTで見ることができる。このような行動パターンを持つ新種のウイルスは今後も出現するだろうが、MSネットワークを監視していれば直感的に分かるはずだ。
ネットワーク運用のお供に

 セキュリティの話ではないが、ネットワーク運用/管理でもVISUACTが活用できる例を紹介しよう。

不要なフォルダが整理できる

 ファイルサーバ上にはどんどんファイルが蓄積されていく。そのファイルがその後活用されるかどうかにかかわりなく、誰かが整理しない限りずっと残るはずだ。

 VISUACTが出力するファイルサーバへのアクセスログを分析すると、どのファイル/フォルダへのアクセス頻度が高いのか、あるいは低いのかが分かる。利用頻度の低いファイル/フォルダを発見し、不要になったものを整理する作業に役立てられるだろう。ディスク資源にもやさしい使い方だ。

ファイルの削除やリネームの履歴がわかる

 「ファイルサーバのここにあるはず」と思っていたファイルが見つからないときにはどうすればいいだろう。人間の記憶はあいまいなので、もともとそのファイルがなかったり、ファイルやフォルダ名を記憶違いしていた、ということもあるだろう。しかし、誰かが自分の知らないうちにファイルを削除/移動していたり、リネームしていたりする可能性もある。ひょっとしたら自分自身で削除やリネームを行い、それをすっかり忘れている可能性だってある。

 ファイルやフォルダが削除されたり、リネームされていた場合、もうサーバ上には存在しないのだから、いくら名前で検索しても見つかりっこない。しかし、見つからない理由がはっきりしないと、なかなか諦めがつかないものだ。このように、一度見失ってしまったファイル/フォルダの削除やリネームの履歴を確認することは意外と難しいのだ。

 VISUACTが出力するログには、ファイルやフォルダに対する削除やリネームの操作が記録されている。削除されてしまっていた場合、そのファイルを元に戻すことはできないが、移動やリネームされただけならば、探していたファイルを見つけだすこともできるだろう。
イントラネットにも監視の目を

 イントラネット上には重要な情報が蓄積されている。こう考えれば本来そこには強固なセキュリティが必要なはずだ。だが実際には、ユーザーを信頼し、また利便性や使い勝手が優先されてきたため、セキュリティは二の次にされてきた。このため、社内の重要なファイルサーバへのアクセスの実態すら、いまだよく分かっていないことが多い。

 だが、平常時の自社のイントラネットがどんな状態にあるのかを把握できなくては、いざ不測の事態が起きたとしても、何が何やら分からないままになってしまう。もっと恐ろしいことに、不測の事態が起きたことにさえ気付かない可能性もある。

 このような状況からは、ネットワーク上では何をやっても分からないといった意識がユーザーに生まれる。そしてそれが、出来心による不正アクセス、ひいては企業内部からの情報漏えいへとつながっている。イントラネットでの不正アクセス、さらには情報漏えい対策を真剣に考えるならば、まずは日常的にサーバへのアクセスを監視することから始めるべきだろう。
関連記事
Microsoftネットワークの監視で見えてくる、Windowsの裏側 第1回
セキュリティフライデー、Windowsネット上の挙動を監視する「VISUACT」を発表

関連リンク
セキュリティフライデー


前のページ | 1 2 3 |      

[有元伯治(セキュリティフライデー),ITmedia]

Copyright(c) 2004 Softbank ITmedia, Inc. All Rights Reserved.

 次へ  前へ

IT5掲示板へ



フォローアップ:


 

 

 

  拍手はせず、拍手一覧を見る


★登録無しでコメント可能。今すぐ反映 通常 |動画・ツイッター等 |htmltag可(熟練者向)
タグCheck |タグに'だけを使っている場合のcheck |checkしない)(各説明

←ペンネーム新規登録ならチェック)
↓ペンネーム(なしでも可能。あったほうが良い)

↓パスワード(ペンネームに必須)

(ペンネームとパスワードは初回使用で記録、次回以降にチェック。パスワードはメモすべし。)
↓画像認証
( 上画像文字を入力)
ルール確認&失敗対策
画像の URL (任意):
投稿コメント全ログ  コメント即時配信  スレ建て依頼  削除コメント確認方法
★阿修羅♪ http://www.asyura2.com/  since 1995
 題名には必ず「阿修羅さんへ」と記述してください。
掲示板,MLを含むこのサイトすべての
一切の引用、転載、リンクを許可いたします。確認メールは不要です。
引用元リンクを表示してください。