記事を読んでいただきありがとうございます。
モブエンジニア(@mob-engineer)です。
モブエンジニアのネットワーク大全というテーマでひとりアドベントカレンダーを生やしてみたので、ネットワーク関連に関してキャッチアップしたことをつらつらとまとめていきたいと思います。
今回はウェルノウンポートを利用することのリスクを少し考えてみたいと思います。
対象読者
次の方を対象に記事を執筆しております。
- L3/L7レベルのネットワーク設計に携わっている方
- ポート戦略まであまり踏み込めていない方
- ウェルノウンポートについてキャッチアップしたいと考えている方
持ち帰ってもらうこと
次のことを持ち帰ってもらいたいと考えています。
- ウェルノウンポート=よく知られているサービスで当たり前に利用されるポート
- 攻撃者視点で考えたらウェルノウンポートを利用するのはリスク
- 利用しない場合、前提を説明できるようにする必要がある
そもそもウェルノウンポートとは
サーバー接続するときにSSH接続をされるかと思いますが、その時「22番ポート」を無意識に選んでいると思います。また、DNSサーバーへ名前解決するとき、「53番ポートをとりあえず開けておく」という前提でネットワーク設計を行っていると思います。
22番ポート/53番ポートなどの「当たり前に利用されているポート」こそウェルノウンポートとなります。(1~1023番まで)
IANAがウェルノウンポートを管理しています。
https://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xhtml
ウェルノウンポート利用戦略
主に次の点があると考えられます。
- 攻撃者への対策としてウェルノウンポート以外を利用する
- 閉じておくことでSaaSサービスのカスタマイズが発生する可能性を考慮
- セキュア対策を施しているポートは利用しても問題ない
- 運用者へ引き継ぐことを前提にポート情報を残しておく
- WAFを取り入れている場合、WAFのチューニングも必要になる
上記以外にもオブザーバビリティ視点でも考える要素は多分にあります。
今回の記事は頭出しレベルの内容ですので、次回以降ウェルノウンポート以外を利用しないように設定する方法・セキュリティ周りの話・ネットワーク運用周りの話をつらつらと書いていきたいと思います。
最後までお読みいただきありがとうございます。