昨日に引き続いて、セキュリティ関連のお話をしましょう。 今回は、「security audits(監査)」についてです。要するに、管理するサーバーにセキュリティーの穴が空いていないかどうかを、専門家に色々と侵入を試みてもらうことでテストする、そしてその結果を詳しく報告してもらい、改善資料とする、というあれです。皆さんは、どのぐらいの頻度でこれを行っているでしょうか?ちょっと昔の衆議院会館サーバーみたいなことになってませんか(笑)?
 
pic hacker manがちで専門家にやってもらうと、えらい高くつきます。最近ではクラッキング関連ニュースが、例のAnonymousなどを中心によくニュースのヘッドラインを飾るため、この手のニーズは特に法人向けで高く、少々ふっかけても売れるからですね。これが2000年ごろだと、まだそこまで世間の意識が高くなかったからか、結構フリーで色々とツールが使えたものです。最近は滅多に無い。でも、私が2000年以前からお世話になっている無料のサービスをご紹介しましょう。「Security Space (SS)」です。いい仕事をします。
 
SSのsecurity auditsの基本は、やはりまずはport scanです。よく使われる0-1024までのportは無論のこと、そこに脆弱性がよく見つかる...よく狙われる.。。1500以上のportをチェックします。でも、これだけなら、ただの「free port scan」ですから、PC向けです。実際、皆さんも自身のPCにチェックをかけたらよいでしょう。でも、テストしたいのはサーバーです。
 
そこで、無料の「no risk」というauditを選びます。あ、むろん、無料でも登録は必要ですよ。で、こいつの場合は、有料の「standard」テストから、より詳しいレポートを不要とした場合に利用できます。実に32,169の脆弱性についてテストしてくれるんですな!
 
cap vulnerability categoriesいや、この数はえげつないですが、実際の話、わずか直近の30日間の間に、新しくサーバー脆弱性に関する709の新テストが生まれている訳ですよ、ネット業界ってのは!この日進月歩ぶりにまともに付き合おうと思えば、片手間のセキュリティオタクでは歯が立ちません。
 
(左のキャプチャ画像は、その膨大な脆弱性をカテゴリー化したものを、さらにリスクの大小で評価して分類したもの...のごくごく一部!)
 
加えて嬉しいのが、DOS(Denial of Service)テストまで付加できること。どんなにサーバーに穴がなくても、これをやられると通信不通に陥りますからね。えらいダメージです。これを無料でやらせてくれるセキュリティー会社ってのは中々ないので重宝します。
 
でも、DOSはご存知のように、サーバーに高負荷をかける攻撃(テスト)であるため、auditのオプションから外すこともできます。実際、外すってのがデフォになってます。で、むろん私はサーバーのハードを一新したこともあり、DOSチェックも普通にやりましたよ。したら、全部のテストが終るのに10時間ぐらいかかってましたよ!寝て、起きてもまだ続いてたという!
 
以上が全て無料なのですが、唯一最大のポイントは、「今アクセスしてるIPしかチェックできないぜ」というもの。つまり、もし普通のPCでSSのサイトにアクセスしてたら、そのIPアドレスが自動的に出てますから、そいつに向かって攻撃が仕掛けられるのです。これではただの「PC脆弱性チェック」ですね。むろん私はそれも毎回しますけど。パラノイアですから。
 
ですので、「サーバーにたくさんセキュリティー攻撃を受けて確かめたいの!」というパラノイアでマゾという性癖を持つ管理者は、サーバーのshellからlynxか何かの濃いブラウザでサイトにアクセスしてもらって、そこでauditを開始して下さいね。ぼろぼろに穴を指摘してくれると思うので、まずは前回のブログ記事にあるように、CSFなどでかっちり堅牢化してから試すとよいでしょう。
 
ブログトップへ
「security audits」と言います。

よく使われる0-1024までのportは無論のこと、そこに脆弱性の多い1500以上のportをチェック。
それだけならただの「free port scan」なので、PC向け。

で、「standard」テストの場合、実に32,169の脆弱性についてテストしてくれます。
実際、わずか直近の30日間の間に709 new tests in the last 30 days

加えて嬉しいのが、DOS(Denial of Service)テストまで付加すること。これは、ご存知のようにサーバーに高負荷をかけるため、外すことも。

無料なのだが、ポイントは「サーフできるportからしかできない」。

 blog update calendar

June 2019
MoTuWeThFrSaSu
272829303112
3456789
10111213141516
17181920212223
24252627282930