概要
GFI LanGuard ユーティリティーを使用してネットワークを監査し、以下の情報を収集する方法を紹介します。
- ネットワーク情報の収集
- コンピューター一覧
- ネットワークデバイスの監査
- ユーザー一覧
Information
以下のユーティリティは、GFI LanGuardコンソールの「Utility(ユーティリティ)」タブから利用できます。
- DNS Lookup(DNSルップアップ)
- Traceroute(トレースルート)
- Whois
- Enumerate Computers(コンピューターの列挙)
- Enumerate Users(ユーザーの列挙)
- SNMP Auditing(SNMP監査)
- SNMP Walk(SNMPウォーク)
- SQL Server Audit(SQLサーバー監査)
DNS Lookup(DNSルックアップ)
DNSルックアップは、ドメイン名と対応するIPアドレスを関連づけ、ドメインから特定の情報(例えば、MXレコードなど)を取得します。
- 左側のペインにある「Tools(ツール)」セクションで「DNS Lookup(DNSルックアップ)」を選択ししてください。
- Hostname/IP to resolve(ホスト名/関連づけするIP)」にホスト名を指定してください。
- 左ペインの「Common Tasks(コモンタスク)」で「Edit DNS Lookup options(DNSルックアップオプションの編集)」をクリックするか、右ペインの「Options(オプション)」をクリックしてください。
- 以下の情報を指定してください。
Option(オプション) 説明 Basic Information(基本情報) ホスト名と関連するIPアドレスを取得します。 Host Information(ホスト情報) HINFOの詳細を取得します。ホスト情報(HINFO)には、一般的にハードウェアの仕様やOSの詳細など、ターゲットとなるコンピューターの情報が含まれています。 Aliases(エイリアス) ターゲットドメインに設定されている「Aレコード」の情報を取得します。 MX Records(MXレコード) ターゲットドメインのメールを受信・処理するメールサーバーとその順番(優先順位)をすべて列挙します。 NS Records(NSレコード) 特定のドメインまたはサブドメインに権限を持つ「ネームサーバー」を指定します。 - (オプション) DNS Lookup(DNSルックアップ)ツールで問い合わせを行う代替DNSサーバーを指定してください。
- Retrieve(検索)をクリックすると、処理が開始されます。
DNSエントリーの中には、セキュリティ上の理由から特定の情報を含まないものがあります。
Traceroute(トレースルート)
特定のマシン名やIPまでのシンプルなトレースを行い、すべてのホップを返します。
- 左ペインの「Tools(ツール)」セクションで「Traceroute(トレースルート)」を選択してください。
- Trace (domain/IP/name)(トレース(ドメイン/IP/名前))に、到達する名前/IPまたはドメインを指定してください。
- (オプション)左ペインの「Common Tasks(共通タスク)」で「Edit Traceroute options(トレースルート・オプションの編集)」の編集]をクリックするか、右ペインの「Options(オプション)」をクリックしてデフォルトのオプションを変更してください。
- 「Traceroute(トレースルート)」ボタンをクリックして、トレース処理を開始してください。
Traceroute(トレースルート)は、ターゲットコンピュータまでの経路を「ホップ」に分解します。ホップは段階を示し、その段階で通過したコンピュータを表します。
このツールでは、経由したコンピュータのIP、コンピュータが経由した回数、それぞれのコンピュータに到達するまでにかかった時間などが表示されます。また、各ホップの横にはアイコンが表示されます。このアイコンは、ホップの状態を示しています。このツールで使用されているアイコンは次のとおりです。
アイコン | 説明 |
---|---|
正常なパラメータの範囲内でホップが成功したことを示します。 | |
ホップに成功しましたが、所要時間がかなり長かったことを示しています。 | |
ホップに成功しましたが、所要時間が長すぎたことを示しています。
|
|
ホップがタイムアウトしたことを示しています(> 1000ms)。 |
Whois
Whoisは、特定のドメインやIPアドレスの情報を調べることができます。
- 左側のペインにある「Tools(ツール)」セクションで「Whois」を選択してください。
- 「Query (domain/IP/name) (クエリ(ドメイン/IP/名前))」メニューで、到達する名前/IPまたはドメインを指定してください。
- (オプション)左ペインの「Common Tasks(共通タスク)」から、「Edit Whois options(Whoisオプションの編集)」をクリック、または右ペインの「Options(オプション)」をクリックして、クエリの対象とするWhoisサーバーを変更してください。
- Retrieve(検索)をクリックすると、クエリが開始されます。
Enumerate Computers(コンピューターの列挙)
Enumerate Computers(コンピューターの列挙)ユーティリティーは、ネットワーク上のドメインとワークグループを識別します。ツール実行時に検知された各ドメイン/ワークグループをスキャンし、コンピュータを列挙します。
以下の情報が含まれます。
コンピューターは以下のいずれかの方法で列挙されます。
Option (オプション) |
説明 |
---|---|
アクティブディレクトリー®より |
この方法ははるかに高速で、現在電源が切れているコンピュータも含まれます。 このオプションを使用するには、アクティブディレクトリー®へのアクセス権を持つアカウントでツールを実行してください。 |
ウィンドウズエクスプローラーより | この方法は、リアルタイムのネットワークスキャンによってコンピュータを列挙するため、処理速度が遅く、電源が切れているコンピュータは含まれません。 |
コンピューターを列挙するための手順は以下のとおりです。
- 左ペインの「Tools(ツール)」セクションにある「Enumerate Computers(コンピュータの列挙)」を選択します。
- 対象のドメインを選択してください。
- 左ペインの「Common Tasks(共通タスク)」から、「Edit Enumerate Computers options(コンピューターを列挙するオプションの編集)」をクリックするか、右ペインの「Options(オプション)」をクリックしてください。
- アクティブディレクトリー®とウィンドウズエクスプローラーのどちらからコンピュータを列挙するかを選択してください。
- Retrieve(検索)をクリックすると、プロセスが開始されます。
コンピューターのリストが表示されたら、マシンを選択し、右クリックで以下の処理を行うことができます。
- 「Scan (スキャン)」を選択すると、「Enumerate Computers(コンピュータの列挙)」ツールの使用も継続されながら、選択したコンピュータのセキュリティスキャンが開始されます。
- 「Deploy Custom Patches(カスタムパッチの適用)」を選択すると、選択したコンピュータにカスタムパッチやサードパーティ製ソフトウェアを適用できます。
- 「Enable Auditing Policies(監査ポリシーの有効化)」を選択すると、Auditing Policies configuration Wizard (監査ポリシーの設定ウィザード)が起動し、選択したコンピュータの監査ポリシーの設定プロセスが始まります。
Enumerate Users(ユーザーの列挙)
Active Directory®アクティブディレクトリー®をスキャンし、すべてのユーザーや連絡先のリスト、無効/ロックされたアカウントや「パスワードの有効期限がない」などのステータス属性を取得するための手順は以下のとおりです。
- 左側のペインにある「Tools(ツール)」セクションの「Enumerate Users(ユーザーの列挙)」を選択してください。
- ドメインを選択してください。
- 左ペインの「Common Tasks(共通タスク)」から、「Edit Enumerate Users options(ユーザー列挙オプションの編集)」をクリック、または右ペインの「Options(オプション)」をクリックすると、情報をフィルターし、ユーザーまたは連絡先の詳細のみを抽出して表示することができます。また、ここの設定で、無効またはロックされたアカウントを強調表示することもできます。
- Retrieve(検索)をクリックすると、プロセスが開始されます。
このユーティリティは、列挙されたユーザーアカウントを有効または無効にすることができます。アカウントを右クリックして、「Enable/Disable account(アカウントを有効にする/無効にする)」を選択してください。
SNMP Auditing(SNMP監査)
LanGuardは、SNMP(Simple Network Management Protocol)を使用して、サーバー、コンピューター、プリンター、ハブ、スイッチ、ルーターなどのネットワークデバイスから、ハードウェアの仕様やオペレーティングシステムのバージョンなどの情報を取得します。SNMP を使用して、LanGuard はネットワークパフォーマンスの監視、ネットワーク使用状況の監査、およびネットワーク障害の検出を行うことができます。
GFI LanGuard は、SNMPv1 および SNMPv2c をサポートしています。SNMPv3 および SNMP over TLS / DTLS はサポートしていません。
このツールは、デフォルトの辞書ファイル(snmp-pass.txt)に格納されている値を使用して辞書攻撃を行うことにより、脆弱なSNMPコミュニティ文字列を識別して報告します。
- 左ペインの「Tools (ツール)」セクションで「SNMP Audit(SNMP監査)」を選択してください。
- リーチするIPを指定してください。
- 左ペインの「Common Tasks(共通タスク)」から「Edit SNMP Audit options(SNMP監査オプションを編集する)」をクリックするか、画面右上の「Options(オプション)」ボタンをクリックするとデフォルトのオプションを編集することができます。
- Retrieve(検索)をクリックするとプロセスが開始されます。
デフォルトの辞書ファイルに新しいコミュニティ文字列を追加するには、テキストエディターを使用してください。Options (オプション)ダイアログで辞書ファイルのパスを指定して、他の辞書ファイルを使用することもできます。
SNMP Walk(SNMPウォーク)
ネットワークノードをプローブし、SNMP情報(OIDなど)を取得する手順は以下のとおりです。
- 左ペインの「Tools(ツール)」セクションで「SNMP Walk(SNMPウォーク)」を選択してください。
- SNMP情報をスキャンするIPを指定してください。
- 左ペインの「Common Tasks(共通タスク)」から「Edit SNMP Audit options(SNMP 監査オプションを編集する)」をクリックしてください。または、画面右上の「Options(オプション)」ボタンを使用して、代替のコミュニティ文字列を指定してください。
- Retrieve をクリックするとプロセスが開始されます。
SNMPアクティビティは通常、ルーター/ファイアウォールでブロックされるため、インターネットユーザーはネットワークをSNMPスキャンできません。悪意のあるユーザーは、SNMPスキャンによって収集された情報を利用して、ネットワークやシステムをハッキングすることができます。よって必要でない限り、無効にすることを強くお勧めします。
SQL Server Audit(SQLサーバー監査)
SQLサーバー®に設定されている任意のSQLユーザーアカウントのパスワードの脆弱性をテストすることができます。 監査の過程で、このツールは「passwords.txt」辞書ファイルに指定された認証情報を使って辞書攻撃を行います。
- 左ペインの「Tools(ツール)」セクションにある「SQL Server Audit(SQLサーバー監査)」を選択してください。
- 監査を行う SQL サーバー® の IP アドレスを指定してください。
- 左ペインの「Common Tasks(共通タスク)」から、「SQL Server® Audit options(SQLサーバー® 監査オプションの編集)」をクリック、または右ペインの「Options(オプション)」ボタンをクリックして、他のすべてのSQLユーザーアカウントに対して辞書攻撃を行うなどのデフォルトのオプションを編集してください。
- Audit(監査)をクリックすると、プロセスが開始されます。
デフォルトの辞書ファイルに新しいパスワードを追加するには、テキストエディタを使用してください。また、 SQL Server Audit Options (SQLサーバー監査オプション)ダイアログの Dictionary Database(辞書データベース)タブからファイルパスを指定して、他の辞書ファイルを使用することもできます。