ポートの開閉とセキュリティの関係

セキュリティ関係の本を読んでますと、「不必要なポートを開けたままであると危険」などと書いてあることがあるのですが、例えば、使用するポート番号が動的にアプリケーション側で決められるようなアプリケーションを使用するときに、使われる可能性のある範囲のポートを開けておく方法を採るなどした場合にセキュリティの脅威はあるのでしょうか。ポートスキャンされても、ポートは開いてても実際サービスを提供しているわけではないので、困らないと思うのですが。それとも開いたポートを狙い打ち（悪いこと）出来るのでしょうか。

No.3 ベストアンサー 回答者： HiddenMotive 回答日時： 2005/08/03 10:22

私も質問者さんと同様に、サービスを提供していないポートに対して攻撃はできないと理解しています。

しかし一方で、サービスを提供していない(つもりの)ポートはファイアウォールで閉じておいた方がリスクを軽減できると思っています。その趣旨は２つあります。

まず第１点は、バックドアを設置されてしまった場合・ユーザが勝手にサービスを立ち上げた場合・うっかりミスでいつのまにかサービスを立ち上げていた場合などを想定してポートを閉じておくということです。

ご質問のように使われる可能性のあるポートを開けた状態はそのポートで常にサービスを提供している状態ではないので上述の意味で脅威があると言えます。

なお、そのような場合でも開けざるを得ない以外のポートは閉じておいた方がいいでしょう。気休め程度という気もしますが。

次に第２点は、大量のデータを送信されるなどの場合に当該計算機が高負荷状態になるのを防ぐことです。冒頭で「サービスを提供していないポートに対して攻撃はできない」と述べましたが、正確には、「サービスの動作を利用した攻撃はできない」ということで、全く攻撃ができないというわけではないようです。サービスが立ち上がっていなくてもサービスより低い階層での処理は発生している、ということを思い浮かべれば理解できるのではないでしょうか。もっとも、当該計算機は落ちなくてもファイアウォールが落ちるということはあるでしょう。

ご質問のように使われる可能性のあるポートを開けた状態は上述の第２点の意味でも脅威があると言えます。

# これらの脅威がどの程度の脅威なのかは知りません。

この回答へのお礼

第一点について

確かに閉じておくことに越したことはないですよね。ある意味、バックドアの予防という発想もできるかもしれませんね。

第二点について

”サービスを利用しての攻撃ができない”というのは、想像と一致して嬉しい回答でした。

＞サービスより低い階層での処理は発生している

ＳＹＮを大量に送りつけて攻撃するなどの攻撃に攻撃できるかもしれない・・？しかし、サービスを提供していないのでＳＹＮ+ＡＣＫを返さないかな？
やはり、ファイアーウォールなどの処理に負担をかけてリソースを奪うということなのでしょうか。
あて先ポートが多いほうが、的が多いので、負荷をかけられる、という点では不要に開けておくのは良くないのでしょうね。

回答ありがとうございました。（もしよければ上の文のＳＹＮを大量に・・以降の私の想像に関してHiddenMotiveさんのご指摘をいただけると幸いです。）

お礼日時：2005/08/05 17:51

No.9 回答者： hoihence 回答日時： 2005/08/06 13:00

#2です。

暑さが続きそうですね。やですねぇ。

>端っこのprocess...って見にくくないですか？何を意味しているでしょう

Process IDだと思います。

No.8 回答者： hoihence 回答日時： 2005/08/05 13:13

#2です。

今日は暑いですね。

以下のやつは重宝すると思うので、よかったらどうぞ。
リアルタイム表示が出来ないので、「View」→「Refresh」で更新。

http://www.nirsoft.net/utils/cports.html

※ダウンロードは下の方。

この回答へのお礼

とても利用価値の高そうなソフトですね。有難うございます。netstat使わずに済みますｗ

端っこのprocess...って見にくくないですか？何を意味しているでしょう。優先度とかかな？

回答有難うございました！

お礼日時：2005/08/05 18:02

No.7 回答者： HiddenMotive 回答日時： 2005/08/04 21:57

No.3, No.5 の HiddenMotive です。

ポートが開閉に関してこのスレッドとはやや違った観点から質問をしてみました。関連する話だと思いますので参考としてここに記しました。こちらの質問者・回答者のみなさんも、よろしければご回答ください。
http://okweb.jp/kotaeru.php3?q=1559888

No.6 回答者： hoihence 回答日時： 2005/08/04 16:28

#2です。

ポートがOPEN:待ち受けしてるプロセスがある。で、SYNパケやFINパケが飛んできたときに応答をしてしまいます。また、statusは変化します。
インターネットアクセスはソケット単位で管理してます。

No.5 回答者： HiddenMotive 回答日時： 2005/08/03 17:44

No.3 の HiddenMotive です。

質問者さんへ補足要求。上のような意味で「開いている」という言葉が使われることもあります。しかし、質問者さんは

開いているポート＝ファイアウォールで素通しの設定になっているポート

という意味で質問されていると私は理解したのですがいかがでしょうか。

この回答への補足

自分の質問が紛らわしかったかもしれません。すみませんでした。
この質問で、私の意図しているポートが開いているという状態は、HiddenMotiveさんの理解と同じで、サービスが立ち上がっていないけども、意図して閉じることせず、開きっぱなしのポートという状態のことです。

補足日時：2005/08/05 17:22

No.4 回答者： hoihence 回答日時： 2005/08/03 13:24

#2です。

>ポートが開いてるのが分かっても、そのポートではサービスが提供されてないので、サービスを利用しようとする攻撃は採れないと思うのですが。

1 ポートとは何かをはっきりと知る。

2 ポートのstatusを知る。

3 通信の処理がどのようにして行われるのかを知る。

これらによって、疑問は解消されるはず。(質問に矛盾が含まれてることの理解も含めて)

No.2 回答者： hoihence 回答日時： 2005/07/31 11:44

こんにちは。

今のインターネットというのは、悪意を持った不正なパケットが日常的にビシバシ飛び交ってるので、戸締りが甘いとすぐやられちゃいます。

ルーター+PFWの構成は必須です。最近の市販ブロードバンドルーターには、たいがいダイナミックパケットフィルタリングやSPI(Stateful Packet inspection)の機能があるではないですか。

ルーターで外を起点とするアクセスを遮断し、PFWでアプリ毎のアウトバウンドを規制する。

ネトゲーをやる人は不正アクセスを受けやすい傾向にあるようです。複数のポートを開けるので目に付き易いのでしょう。ボイチャやビデチャなんかも然り。

最近では、不正アクセスというのはほとんど自動化されてます。Botnetなんかがあるではないですか。Malwareコミュニティーなどではアングラツールがビシバシやり取りされてるそうですよ。


http://sakura.canvas.ne.jp/spr/mycroft/dat/secur …

http://akademeia.info/main/lecture2/kiso_dosatta …

この回答への補足

ポートが開いてるのが分かっても、そのポートではサービスが提供されてないので、サービスを利用しようとする攻撃は採れないと思うのですが。

＞悪意を持った不正なパケットが日常的にビシバシ飛び交ってるので、戸締りが甘いとすぐやられちゃいます。

そのようなポートに対してどのような悪意ある行動が採られる可能性があるのか、それが知りたいのです。教えていただけませんか？

補足日時：2005/08/02 16:02

No.1 回答者： syunmaru 回答日時： 2005/07/30 18:29

サービスをしていなくても、意識的にポートを開けておくのは危険です。

セキュリティを施していると言うのは、必要に応じてポートを自動で開ける事を言います。

ですから、不必要にポートは開いていないのです。
ルーターなどのセキュリティは、ステルス機能が働いています。

また、パケットを監視していて、不正パレットを検知した場合は、ポートを閉じたりしています。

webサーバーを構築している以外は、ポートは、閉じられています。

この回答への補足

>サービスをしていなくても、意識的にポートを開けておくのは危険です。

どう危険なのですか？開いているが、サービスを提供していないポートがどのような危険性を孕んでいるのか。そのポートに対してどのような悪意ある行動が採られる可能性があるのか、それが知りたいのです。教えてくださいませんか？

補足日時：2005/08/02 16:01