ex1-lab

Linux, CentOS, Mac OS X, Windows, 仮想化, Apache等のLinux中心に気になることをメモがわりに・・・

324.2 ネットワークセキュリティスキャン機能

      2017/03/06 この記事は約5分で読むことができます。

324.2 ネットワークセキュリティスキャン機能

重要度 5
説明 ネットワークセキュリティ検知ツールの方法と設定に精通していること。
主要な知識範囲
・nessusの設定、NASL及び使用方法
重要なファイル、用語、ユーティリティ

  • nmap
  • wireshark
  • tshark
  • tcpdump
  • nessus
  • nessus-adduser/nessus-rmuser
  • nessusd
  • nessus-mkcert
  • /etc/nessus

Nessus

Nessusはセキュリティホールを調査するソフトウェアです
ポートスキャン機能があり、使用していないポートやセキュリティ上危険なポートを検知する
セキュリティホールをついて攻撃し、システムへの侵入を試みる機能がある
検査対象サーバの外部にNessusをインストールした端末を用意し、外部から対象サーバのセキュリティホールを探します

サーバのセキュリティ検査の厳密さという点では、「Safe Checks」という設定項目により次のようになります

Safe Checks をONにした場合
対象サーバへの影響が少なくなりますが、厳密なセキュリティ検査はできません

Safe Checks をOFFにした場合
厳密なセキュリティ検査が可能ですが、検査対象サーバへの影響を及ぼす可能性があります

nessus-mkcert

nessus-mkcertは、暗号化通信用の鍵や証明書を生成するNessusコマンドです
このコマンドを利用することで、Nessusの鍵や証明書を簡単に生成できます

書式
nessus-mkcert [オプション]
[]省略可能

NASL

NASLは、正式名称をNessus Attack Scripting Languageと言います
Nessusセキュリティスキャナのためにデザインされたスクリプト言語 です。
誰にでも数分で与えられたセキュリティホールのテストが書け、OSを心配する必要なくそのテストを人々と共有できます。
NASLスクリプトが、指定されたターゲットへの与えられたセキュリティテスト以外の悪さを出来ない、ということが目的になっている

Nmap

ネットワーク探索とセキュリティスキャナの機能を備えたコマンドです
nmapコマンドを実行するには、一部を除いてroot権限が必要です

書式
nmap [スキャンタイプ] [オプション] ターゲット
[]省略可能

主なスキャンタイプ

-sA ACKスキャン
-sF ステルスFINスキャン
-sL リストスキャン
-sN Nullスキャン
-sO IPプロトコルスキャン
-sP Pingスキャン
-sS TCP SYNスキャン
-sT TCP Connectスキャン
-sW Windowsスキャン
-sX Xmasツリースキャン

主なオプション

-F 高速のスキャンモード
-iL [ファイル名] ターゲットをファイルから読み込む
-p [ポート番号] スキャンするポート番号を指定。範囲指定も可
-PO スキャンを行う前にPingを全く行わないように指定
-PT TCP Pingを利用しえt稼働中サーバを指定
-T [タイミングテンプレート] スキャン速度。スキャンするタイミングを設定


・localhostの22-25ポートにTCPスキャン

tcpdump

tcpdumpはネットワークのトラフィックをダンプするコマンドです

書式
tcpdump [オプション] [条件式]
[]省略可能

主なオプション

-i [インターフェイス名] 監視するインターフェイスを指定
-n アドレス・ポート番号を名前変換しない
-r [ファイル名] パケットをファイルから読み込む
-s [サイズ] キャプチャするサイズを指定。サイズ0に受診すると、すべてをキャプチャ
-w [ファイル名] 受診したパケット内容をファイルに出力
-x パケットの中身を16進数で表示
-X パケットの中身を16進数とASCII文字で表示

条件式

host [ホスト] 指定したホストを対象とする
port [ポート番号] 指定したポート番号を対象とする
dst host [ホスト] 指定したホストに送信するパケットを対象とする
src host [ホスト] 指定したホストに受診するパケットを対象とする
dst port [ポート番号] 指定したポート番号に送信するパケットを対象とする
src port [ポート番号] 指定したポート番号に受診するパケットを対象とする
net [ネットワークアドレス] 指定したネットワークアドレスを対象とする
net [ネットワークアドレス] mask [マスク] 指定したネットワークアドレス / マスクを該当するものを対象とする

複数の条件接続

[条件式1] and [条件式2] 条件式1と条件式2の両方を満たすものを対象とする
[条件式1] or [条件式2] 条件式1と条件式2のどちらかを満たすものを対象とする
not [条件式1] 指定した条件以外のもを対象とする


・192.168.0.11 のパケットを表示

・192.168.0.11 のポート番号80のパケットを表示

・インターフェイスeth0 のパケットをASCII文字と16進数で表示

・192.168.0/24 ネットワークのパケットをASCII文字と16進数で表示

 - LPIC 30x