ルーターの警告としてポートスキャン攻撃について教えてください
ネットワーク管理者なのですがルーターの警告ログをチェックすると
以前は存在しないプライベートアドレスに対してだったり
攻撃元も不定で1ヶ月に1度程度の頻度であったため気にしなかったのですが
最近になって攻撃元、攻撃先が固定され、1日に数回警告が表示されます。
その中でも気になるのは
・警告がでるのは出勤日のみでさらに休憩時間に多く発生する。
・攻撃先のPCは自宅から持ってきていたり、管理者としてあまり管理されて
いないパソコンでファイル交換ソフトなどが入っている可能性がある。
(本当は繋ぎたくないのですが、そこまで権限力なくて・・・)
なところです
そこで質問なのですが
アプリケーション、特にファイル交換ソフトを使うことによりルーターに
攻撃として警告がでるようなことはあり得るのでしょうか?
またスパイウエアや何らかのウイルスが入っているパソコンでもそういう
警告が出るような現象は考えられるのでしょうか?
その辺と結びつけることが出来ればそのパソコンを使っている人に対して
警告を出すように改善できるのですが知識が不足しています。
No.5ベストアンサー
- 回答日時:
ネットワーク管理者としてとても辛い立場にいらっしゃるようですね。
お話の様子から、個人としてどころか組織としてモラルや責任を問われるようなことにならないよう、
早めの対応が必要かと思います。
1.組織の上層部にネットワークの導入責任者がいらっしゃいますよね、
先ずはその方に強い味方になってもらう事だと思います。
普段から状況報告や組織としての考え方の話などを積み重ねるとよいでしょう。
2.ネットワークに接続するマシンは登録制にし、IPアドレスを管理する。
一時的にやむを得ないマシンだけ申し出てもらい DHCPで接続する。
3.運用規則を作ってオーソライズし、啓蒙活動を怠らない。
4.ヘルプデスクなどを充実して皆さんに喜ばれるように努力する。
かつて、私の場合はこのようにしてやっていましたが、
それでも定着させるまでには随分と苦労しましたね。
回答ありがとうございます。
指摘されたとおり辛い立場にあります。それでも少しずつは改善されて
いますのでこちらとしても早めの対応を考えています。
1について
上層部の導入責任者としてはやはりこちらが指摘するような危険性に
対して危機感を感じて頂いていないのが現状です。
他の所で起きているような事例をふまえて危機感を持って頂くような
説明をしてみたいと思います。
2について
ネットワーク運用開始から登録制度で行っております。
最初は一部の社員だけでという考えでしたが登録を申し出る社員が増えて
からは少しおろそかになっている部分があります。
3について
登録するときに規定を渡し読むように指導していました。
そんなに縛らない規制であとは本人の常識的な物を信じていたのですが
さすがにそうも言ってられなくなりましたので
規定の見直しを考えてみます。
4について
かなり苦労して作ったのですが・・・読まずに
「設定して!!」と言われて任されてしまうことが多いです。
上層部への報告と規定の見直しを考えたいと思います。
P.S.ネットワーク管理者の苦労本みないなものを読んでみましたが
みなさん私と同じようなことで悩まれているようですね。
No.7
- 回答日時:
◆Ethereal でのHTTP キャプチャ
http://www.geocities.co.jp/SiliconValley-Oakland …
◆HTTP ヘッダ情報について
http://www.atmarkit.co.jp/fnetwork/rensai/netpro …
http://www.atmarkit.co.jp/fwin2k/win2ktips/479ht …
------------
カスピアンの”Aperio”はチョッと。。。
定価で1400万するようなシャーシルータ
こちらのほうが価格的には現実的かと。
◆One Point Wall
http://www.netagent.co.jp/onepoint/detail.html
ただ、これを導入したからと言って、効果のほどはグレーですが。。。
結局のところ、今回の被疑者の通信を調査し、それを正したところで、新たな利用者が出た場合に繰り返す羽目になるので、今回の証拠を持って上司や然るべき社内部署に下記の整備を訴えます。
・社内LAN の利用規約を明確化
・怪しいトラフィックはPC ごと排除
・NW 監視していることを社内にアドバタイズする
お礼が遅れました。
非常にわかりやすいサイトの紹介ありがとうございます。
有料のソフトでは承認がおりず難しいですが出来るだけ被害に遭わないように
各ユーザーに警告などをだすように心がけます。
新年早々にも上層部へ報告し、規約を改定し社内で回覧できるようにして
いく予定です。
No.6
- 回答日時:
P2Pトラフィックの監視でしょ ?
こんなのあったよ。
http://www.rbbtoday.com/news/20041112/19598.html
http://www.hc.uec.ac.jp/~yoshiura/y_iwaki/resear …
あと、これはクライアントPC向けなんだけど
アンチウイルスソフトのAvastはP2Pシールドってのが
あるみたいだね。
これは余談なんだけど、ってことはこれから社会的に普及しそうなSkypeなんかもある意味厄介な存在になるかも。ウイルス等がバンバン来るかも。なんたって
Kazaaだから。
No.4
- 回答日時:
>不要なポートは指摘された通り遮断しているのですが詳しい人に聞いた所、交換ソフトの方でポート80でも使えると聞いています。
確かにWinny はPort の変更が可能です。
証拠を掴みたい場合、パケットをキャプチャして見てはいかがでしょうか?
通常のWEB 通信であれば、平文での通信が行われ、内部にHTTP ヘッダなどの情報が含まれますが、Winny であれば異なった文字列が見られます。
◆パケットキャプチャソフト
http://www.ethereal.com/
http://netgroup-serv.polito.it/winpcap/
[Ethereal]と[WinPcap]の両方をインストールする必要がありますが、WinPcapのサイトが繋がりません。。。
◆使い方
http://www.space-peace.com/ethereal/
Etherealは以前使ったことがあるのですがパケットの内容について
知識がないため眠っていた状態です。
参考HP、非常にわかりやすいですね。
ネットワーク管理者として頭の痛い内容が書かれていて
こちらとしても真剣に取り組まないといけないと痛感しました。
ただどういうパケットがファイル交換ソフトのパケットで・・・
とわかればいいのですが、わからないような工夫がされているのでしょうか?
No.3
- 回答日時:
ルータ配下にあるPCでも一台一台パーソナルファイアーウォール入れてアプリにしろバックグラウンドで
動くプログラムにしろしっかりチェック出来るように
しないといけない。たぶん、社内ユーザーが休憩時間を利用してP2Pやりたいもんだから「開いてるポート
ないかなァ」ってポートスキャンなんじゃないの ?
P2Pソフトは大抵ポート指定できるよ。
No.2
- 回答日時:
こんにちは
正直なところ、どのような理由でPort スキャンが働いているか、特定するのは困難です。
なので、ルータのIP フィルタを使用し、必要なPort 以外はたとえローカルからInternet への通信であっても、止めてしまうのが正解だと思います。
基本的には、以下のアプリだけを通すのが手っ取り早い課と思います。
TCP
20-21:FTP
25:SMTP
53:DNS
80:WEB
110:POP
113:ident
UDP
53:DNS
その他、業務用のアプリがあれば通す必要があります。
参考までに、、、
WinMX:6699
Winny:7743
回答ありがとうございます。
不要なポートは指摘された通り遮断しているのですが詳しい人に聞いた所
交換ソフトの方でポート80でも使えると聞いています。
高価な専用ソフトを使えば遮断できそうですがそんな予算は出そうにありません。
No.1
- 回答日時:
管理者として脅威なのは
不明(管理対象外のコンピュータ)のコンピュータを
接続されることによって、社内の端末が
乗っ取られたり、ウイルスに感染する事です。
貴方が思われている疑問と疑いは、確かなことで
よく新種のウイルスによって、社内の端末やサーバが
汚染させられる事はたたあります。
また、不明な端末に備えられているスパイウエアにより
極秘情報がながれる危険性も十分考えられますので
その旨を上層部に伝え、貴方の権限を上げるのも良いかとおもわれます
回答ありがとうございます。
セキュリティー関係が重要である事を会社が認識しておらず
なかなか強く言えない状況です。
ネットワーク管理者としての権限は一番上なのですが役職が下というのもあり
強く言うと反感をかう状況です。
何かしら事例なり証拠みたいなのがつかめればもう少し強くも言えるのですが
憶測でしかないので困っています。
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- 政治 ロシアは対空ミサイルを地上攻撃に流用しています。日本もそうするべきですよね? 2 2023/02/23 21:18
- 歴史学 対米宣戦布告が遅くなった理由 9 2023/08/02 18:28
- 世界情勢 ウクライナのロシアに対する反転攻勢 5 2023/06/21 00:28
- 軍事学 ゼレンスキー大統領は、NATOに先制核攻撃をさせNATO対ロシアの核戦争させる気ですか? 4 2022/11/19 18:05
- その他(アニメ・マンガ・特撮) ワンパンマンの信者ってアホなんですか? 8 2022/11/13 02:58
- 軍事学 アメリカは真珠湾攻撃を事前に知っていましたよね?やはりアメリカは対独戦争の口実として日本に対する挑発 13 2022/05/13 12:34
- 政治 北朝鮮の脅威 6 2023/02/25 21:11
- 政治 立憲民主党の辻元清美や、社民の福島みずほ、がウクライナの大統領だったら戦争に負けてましたよね? 17 2022/12/22 16:00
- 戦争・テロ・デモ 日本の為に反日ロシア人集団の集う大使館と戦ってくれる右翼団体を阻止する警察は日本がロシアから攻撃受け 16 2022/05/13 20:28
- 輸入車 BMW2シリーズ アクティブツアラーの警告表示について 2016年製 走行39000km 2022年 2 2022/11/15 07:54
関連するカテゴリからQ&Aを探す
おすすめ情報
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
この手のものは初めてなのでど...
-
JS/Packed.Agent.N が検出され...
-
詐欺?文集オンライン 次のペー...
-
ジモティーーの取り引きで私は...
-
セルフレジでの未払いについて
-
【至急】
-
指紋から個人を特定するのって...
-
ホワイトハッカー
-
身に覚えのないとこからのメー...
-
VPNは有効か
-
フィッシングメールらしきもの...
-
フィッシング詐欺
-
アマゾンを語るメールがまた来た
-
最初の画面をウインドウズ11に...
-
フィッシングではない、正しい...
-
【至急】
-
nuroの光ケーブル
-
ネットカフェで株取引をしたい...
-
Yahoo mailがおかしい
-
Windows7のセキュリティとかの...
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
ポート135の閉じ方
-
ブリッジ接続とファイヤーウォール
-
ルーターとファイアーウォール...
-
外部からの侵入を防ぐ方法
-
ポートスキャン攻撃の原因とし...
-
パーソナルファイアーウォール...
-
社内ネットワークでのp2pソフト...
-
ファイアウォール機能つきのブ...
-
通信数が異常なんですが…
-
未使用ポート遮断機能が通信を...
-
最強のファイアーウォールソフ...
-
ファイアウォール
-
ルーターを使えばコンピュータ...
-
Code Redの攻撃
-
無線LANをつかっているのですが...
-
ルーターのセキュリティについて
-
IPアドレスを変えても・・・?
-
ファイアーウオールソフトって...
-
ギガバイト社のM/B、起動時の警...
-
パソコンを無断で使われている...
おすすめ情報