今日、どのタイプのネットワークでも、セキュリティ対策のより優れた制御と実装が求められています。 ケースに応じて、最も初歩的なものから最も精巧なものまで。 今回は、人気のある Wiresharkの ツールと SSHプロトコル 。 後者は、他のマシンへのリモートアクセスをサポートするネットワーク上のトラフィックの主役のXNUMX人であり、その中で生成されるすべてのトラフィックの暗号化を保証します。 このトラフィック暗号化プロトコルがネットワークにとって大きな問題になるのを防ぐ方法を示します。
SSHプロトコルとは何ですか?
SSHの頭字語はSecure Shellに対応しています。 これは、コンピューターへの機密かつ認証された方法でのリモートアクセスを許可するように設計されています。 これは、その前身であるTelnetとの類似点があり、ユーザーはコマンドラインを介してそのコンピューターまたはマシンにリモートでアクセスできます。 ただし、SSHとTelnetを区別する最も重要なことは、すべてのセッショントラフィックが100%暗号化されることです。
他のコンピューター、スイッチ、ルーター、サーバー、またはホストとの通信が必要な場合は、SSHプロトコルの使用を強くお勧めします。 ポート番号22 TCPが割り当てられていますが、SSHサーバー上の任意のポートに変更できます。
このプロトコルを実装する最も一般的なアプリケーションのいくつかは次のとおりです。 PUTTY • WinSCPの 。 どちらも互換性があります Windows オペレーティング・システム。 一方で、 OpenSSHの これはOpenBSDで利用できます。 Linux、Solaris、FreeBSD、AIXなど。
Wireshark:ネットワーク分析の第一人者
これは、最も一般的で推奨されるネットワークプロトコル分析アプリケーションのXNUMXつです。 それはあなたが持つことができます 完全な制御 非常に詳細なレベルで接続しているネットワークで何が起こるかについて。 プライベート環境と企業環境の両方で使用できます。 さまざまな教育機関や政府でさえ、このツールを無料で利用できます。
これは1998年以来存在するソリューションであり、世界中の専門家の貢献により、現在も有効であり、使用を希望するすべての人が利用できます。 ネットワークで何が起こっているのか、より安全なパフォーマンスに適用するためのセキュリティポリシーまたは手段について分析を実行する場合、非常に実用的であるという特徴があります。
Wiresharkで何ができますか? 公式サイトのドキュメントによると、実行可能なアクティビティの一部を引用しています。 疑問がある場合は、ドキュメントとサポートがある独自のサイトを確認できます。
- 詳細なプロトコル検査
- さらなる分析のための当時の情報キャプチャ
- VoIP分析
- tcpdump、Microsoft Network Monitor、NetScreen snoopなどの情報キャプチャファイルの読み取りと変更の可能性。
- イーサネット、Bluetooth、USB、IEEE 802-11(Wi-Fi)、フレームリレーなどのプロトコルからの情報のライブ表示へのアクセス。
- XML、PostScript、CSV、およびプレーンテキスト形式への情報のエクスポート。
Wiresharkを使用できる最も興味深い重要な用途のXNUMXつは、 SSHトラフィック 。 これは、特にデフォルトで使用される暗号化にとって非常に強力なプロトコルであることを思い出してください。 リモートアクセスを使用できます。もちろん、SSHサーバー機能が有効になっているすべてのデバイスに対して暗号化されます。
実行できます クレデンシャルスタッフィング 攻撃、実行中のスキャンマシン 脆弱なSSHサーバー セットアップ リバースシェル 。 以下の最初のXNUMXつを強調します。
クレデンシャルスタッフィング攻撃
SSHはユーザー認証を必要とすることを考慮すると、SSHサーバーを実行しているマシンにアクセスできる攻撃者は、大きな問題なくこのタイプの攻撃を実行できます。 しかし、異なる資格情報のパスワードはどうでしょうか? 残念ながら、ほとんどの人は、推測しやすい、またはさらに悪いパスワードを使用する傾向があり、常にすべてのアカウントに同じパスワードを選択します。 これにより、ほとんどの場合、クレデンシャルスタッフィング攻撃がまったく気付かれずに発生します。
良いものから最初のものまで、WiresharkでSSH経由のアクセス試行と失敗したアクセス試行を区別することは簡単ではありません。 ただし、どのレコードが成功したかを明らかにするのに役立つ機能がいくつかあります。
- (セッションの)フローの長さ: SSHセッションが成功した場合、失敗したセッションよりも長くなります。
- 小包のサイズ: SSHサーバーは、認証の成功または失敗に対する応答を確立しました。 SSHパケットのサイズを観察し、大きいパケットが成功したセッションを構成していると推測することができます。
- パッケージ時間: 認証が成功した場合、ユーザーの操作を必要とするパッケージは、自動化されたパッケージよりも時間がかかります。 後者は、認証の失敗により寿命が短いパケットを指します。
さらに、ログイン試行回数を確認することをお勧めします。不規則な回数が表示される場合は、Credential-Stuffing攻撃の被害を受けている可能性があるためです。
リモートアクセススキャン
モノのインターネットなどの新しいテクノロジーの台頭によって生じる最大の欠点とリスクのXNUMXつは、使用可能なデバイスが SSH有効 最初のインスタンス。 通常、関連するシステムは通常、デフォルトで資格情報を使用するか、最小限の変更を加えます。 なぜこれがリスクなのですか? それらのパスワードについての知識、またはユーザーとパスワードを推測する能力を持っている人は誰でも、マシンにリモートで簡単にアクセスできます。
そうです、SSHでもその特定のセキュリティホールに頼ることができます。 ただし、安全でないSSHサーバーとして機能するこれらのマシンを制御することは可能です。 正当なSSH要求とトラフィックは、内部ネットワーク自体から発信される必要があることを知っています。 したがって、これらは信頼できるIPアドレスです。
Wiresharkリクエストと内部SSHトラフィックのフィルタリングは、外部IPアドレスからのものに加えて、疑わしい状況を識別するのに役立ちます。 ほとんどの場合、未知のIPアドレスから内部ネットワークへのSSHトラフィックは、ネットワークが侵害されたことを示すことができます。
後者は、正確にすべてのものから来ていることを意味するものではありません ネットワーク外 不審または危険です。 攻撃者がマシンへのリモートアクセスを取得すると、SSHは他のタイプの攻撃を実行し、必要に応じて一度に複数の攻撃を実行して他のマシンに迅速に拡大する理想的な味方になります。 これをどのように検出できますか? Wiresharkでは、すべてのSSHトラフィックを分析することにより、通常のアクセスパターンと異常なアクセスパターンの両方を設定できます。 異常なパターンのケースは、単一のマシンからの高レベルのトラフィックの証拠があることです。 異常なパターンのもうXNUMXつのケースは、通常はそうではないマシンが他のシステムに要求を行うことです。
ローカルネットワークと企業ネットワークの両方のレベルで、SSHは偉大な同盟国となり、ひいては大敵になる可能性があります。 企業ネットワークの管理を担当している場合、非常に綿密な監視と特別な制御が行われます。 ネットワーク上のSSHトラフィックを制御し、さらにはブロックすることは良いアイデアであることがわかりました。また、ネットワーク内で発生する通信や一般的なトラフィックも異常がないか監視する必要があります。
完全なチュートリアルを読むことをお勧めします SSHサーバーの構成方法 最高のセキュリティで。