サーバ管理用ポートに関する注意

サーバ管理用ポートについて

この管理用ポートは内容の更新や、ソフトの稼働状態の確認などに利用するため、管理者がアクセスする必要があります。

ただし、この管理用ポートに適切なアクセス制限を実施していない場合、管理者以外が操作できたり、脆弱性を攻撃されて意図しない動作を招く場合があるため、注意が必要です。

脅威と対策

サーバ管理用ポートは、通常外部に公開するべきではなく、社内のみアクセスできるよう制限を掛けることをお勧めします。

また、社内でも管理用端末からのみアクセスできるようにするなど、適切なアクセス制限を掛けることをお勧めします。

また、制限の設定に関わらず、アクセス履歴は定期的に確認し、意図しないアクセスが行われていないか確認してください。

NetStableでの対処

NetStableでは、意図せず公開されているサーバ管理用ポートを検知する目的で、以下のシグネチャをリリースしております。

1. データベースの管理ポートへのアクセス検知

• 2000511 Global MongoDB Connect
• 2000513 Global CouchDB Request 2
• 2000514 Global CouchDB Request 3

外部のIPアドレスからデータベースの管理ポートへアクセスしようとしたことを検知するシグネチャです。

2. サーバ内部で動作しているソフトの管理ポートへのアクセス検知

• 2000515 Global Elasticsearch Request 1
• 2000516 Global Elasticsearch Request 2
• 2000517 Global Elasticsearch Request 3
• 2000518 Global Elasticsearch Request 4
• 2000519 Global Hadoop HDFS Request

Webサーバ内部で動作しているサービスの管理ポートへのアクセスを検知するシグネチャです。

3. リモート管理ポートの検知

• 3000100 Port 22 Detect (SSH)
• 3000101 Port 23 Detect (Telnet)
• 2000405 Port 2323 Detect (Telnet)
• 3000121 Global Port 3389 Detect (RDP)

管理者がリモートからサーバを管理するプロトコルが利用するポートに対してのアクセスを検知するシグネチャです。
IoT機器などの管理にもこのポートが使われる場合があるため、注意が必要です。

まとめ

• 管理用のポートへ管理者以外が外部からアクセスできる場合がある
• 管理用ポートのアクセス制限をきちんと行う必要がある
• アクセス履歴等を確認し、意図しないアクセスが無いか確認する必要がある