ニュース
2004/04/15 12:00 更新

第2回
Microsoftネットワークの監視で見えてくる、Windowsの裏側 (1/3)

あなたは、自社のイントラネットで、誰がどんなことを行っているかを把握できているだろうか? MSネットワークを監視することによってはじめて、その実態が見えてくる。

 前回の記事では、企業で広く利用されているMicrosoftネットワーク(MSネットワーク)が手軽に利用できる反面、ユーザー名やアカウントといった重要な情報を知らないうちにネットワーク上に流していることを説明した。

 だからといって、今すぐMSネットワークを撤廃するわけにもいかない。何だかんだ言っても、オフィス内でファイル共有を実現する手段としては、非常に手軽かつ便利だからだ。となると管理者としては、少なくともMSネットワークの上でいったいどんなことが起きているのかを知り、不審な動きに注意を払うことぐらいはやっておきたい。後編ではその方法を説明しよう。

MSネットワークを監視しよう

 MSネットワークを監視するといっても、具体的にはどうすればいいのだろう。MSネットワークは、ネームサービス、ブラウザサービス、共有サービスなど複数のサービスから成り立っている。これらのサービスに関係するパケットを見れば、おそらく何が行われているのかが分かるに違いない。

 そこでとりあえず、一般的なネットワーク・アナライザを使って、MSネットワークに関連するパケットをキャプチャし、解析してみる。ここで対象となるプロトコルは、NetBIOS over TCP/IPやSMB(Server Message Block)、ポート番号でいえば137/138/139/445だ。これらのプロトコルのパケットを解析するには、マイクロソフトが提供しているネットワーク モニタ(*注2)かEthereal(http://www.ethereal.com/)が手頃である。

(*注2)ネットワーク モニタは、Windows 2000 ServerやWindows Server 2003に付属している。ただし、これらのネットワーク モニタでは、ネットワークを流れるすべてのパケットを受信する「プロミスキャスモード」でのパケットキャプチャが行えない(自分宛てのパケットのみモニターが可能)。ただしSMS(Systems Management Server)2.0に付属するネットワーク モニタは、プロミスキャスモードでのパケットキャプチャに対応している。

 だが、実際にネットワーク・アナライザを用いてネットワークを流れるMSネットワークのパケットを解析してみると、それが現実的な監視方法でないことがすぐに分かるだろう。

 一番の理由は、ひとつひとつのパケット解析結果に注目しても、誰がどんな操作を行ったのかが明確には分からないことだ(IPアドレスなどと照合すればある程度は絞り込めるが、直感的ではない)。

 たとえば、ファイルに対して読み書きなどの操作が行われたときに送信されるパケットには、操作対象のファイル名はもちろん、アクセス元のコンピュータ名やコンピュータにログオンしているユーザー名といった肝心な情報が含まれていないのである。これでは「誰が」「何に」アクセスしたのかさえ判断できない。

 さらに、MSネットワークの場合、ユーザーの操作と、それに対して送信されるパケットの対応が単純でないことも問題だ。ユーザーがエクスプローラでちょっとしたファイル操作を行っただけでも、ネットワークに送信されるパケット量は想像以上に多い。

 したがって、MSネットワークのパケットを調べて、誰が何を行ったのかを把握しようとしても、ネットワーク・アナライザを使ったのでは、ほとんど不可能なのである。可能だとしても、高価な専門ツールを使うか、かなりの労力とノウハウが必要だ。

MSネットワーク専門の解析ツール

 MSネットワークの個々のパケットの解析結果ではなく、関連する一連のパケットの解析結果をまとめ、よりユーザーの操作に近い解析結果が得られれば、誰が何をしたのかを把握することができるだろう。それを実現しているのが、MSネットワークを専門に解析するツール、「VISUACT(ビジュアクト)」だ。

 VISUACTは、MSネットワークのネームサービス、ブラウザサービス、共有サービスのパケットから得られる情報を常に収集し、情報の関連付けを行っている。そして、ユーザーが何らかの操作をすると、即座に、誰がどのファイルなどに対して何を行ったのかを出力する。

 さらに、アクセス元コンピュータのIPアドレスだけではなく、コンピュータ名やログオンしているユーザー名、OSの種別といったアクセス元の情報も同時に把握できる。また、解析された情報はログファイルとしても記録されるので、いつ誰が何をしていたのかを、後から参照、確認することも簡単だ。後々の監査や不正アクセス調査といった観点からも重要な機能である。

      | 1 2 3 | 次のページ

[有元伯治(セキュリティフライデー),ITmedia]

Copyright© 2016 ITmedia, Inc. All Rights Reserved.



Special

- PR -

Special

- PR -