LoginSignup
LOGE
@LOGE

Are you sure you want to delete the question?

If your question is resolved, you may close it.

Leaving a resolved question undeleted may help others!

We hope you find it useful!

自宅環境での脆弱性診断やペネトレーションを実施する際のIDSの設定について

Q&A

初心者CTF脆弱性診断ペネトレーションテストTryHackMe

前置き

Qiitaでの質問投稿は初めてですので、至らぬ点があるとは思いますが、ご了承ください。

現在、自宅PCの仮想マシン(kali linux)から、TryHackMeなどのペネトレーションテストのプラットフォームを利用しようと準備を進めています。

前職で脆弱性診断をしていた際は、特に意識をする事なく診断作業を行えていましたが、こと自宅環境だと状況が変わってきました。

現在の自宅環境では、ゲストOS側のIPS(Norton Internet Securityを使用)で侵入シグネチャと一致するという事で、試したい通信の多くがブロックされてしまいます。(例. ディレクトリトラバーサル)

これはIPSの動作としては当然と思います。
であればIPSを無効化するなりすれば良いか?とも考えましたが、そうした場合、診断作業時の作業マシンはセキュリティ的に大丈夫なのか・・・?と気になった次第です。

質問内容

前置きが長くなりましたが、本題の質問ですが、

  • TryHackMeのようなペネトレーションテストのプラットフォームを利用する、または、脆弱性診断をする際に、ホストOSのIPSは無効化してから実施するものなのでしょうか?

  • もし、上記の方法以外で不足している事などあれば、ご教示いただけますと幸いです。

環境

前述しましたが、環境を記載しておきます。

  • 仮想マシン:Kali linux
  • ホストマシン:Windwos OS(10)
  • ハイパーバイザー:Virtual Box
  • ホストOSのインターネットセキュリティスイート:Norton Internet Security

自分で試したこと

Norton Internet Securityの[設定] > [ファイアウォール] > [侵入防止とブラウザ保護] > [侵入防止]
の各設定から、侵入自動遮断をオフにしたり、侵入シグネチャを非アクティブ化できる事を確認できています。

以上、よろしくお願いいたします。

1

1Answer

sugiyama404
@sugiyama404

初めまして、セキュリティ全然詳しくないものです。

windowsのfirewallの切り忘れとかはどうですか?

0Like

Comments

  1. @LOGE

    Questioner

    ご回答ありがとうございます。

    操作方法について分からない・知りたいという訳ではなく、普段の脆弱性診断やペネトレやCTFをする際にどのように運用されているか、を知りたく質問をいたしました。

    ご回答のようにFWを切ってしまうと、そこが脆弱になった状態でインターネット接続、および診断やペネトレをする状態となってしまいます。
    これを許容するのか、はたまた何か別の手段があるのか、不明な状態であります。

    自分で考えた中では、
     ・攻撃シグネチャを適宜無効化する(例えば、ディレクトリトラバーサルする場合は、その攻撃シグネチャのみを一時的に無効化する)
     ・診断時は、通信を制限+VPN接続した上で、シグネチャを無効化(診断時に防御が弱くなる事を許容する)
    など考えましたが、中々情報がヒットしませんでした・・・

Your answer might help someone💌

LoginSign Up