朝まったり診断開始と思ったらふぁいあうぉーるが思いのほか手強い。っつうか一定時間のコネクション数に上限がある？
　とりあえず nmap が通じない。仕方がないのでスロースキャンモードに変更、-T1 なオプションをつけてまずは Well known Ports あたりをスキャン。じっくり待って見つかったポートに絞り込んでセキュリティスキャナーを使う。が、ツールの飛ばすパケットが多すぎてやっぱり切られる。
　仕方がないのでバナーを手動で収集。バージョン情報をもとに過去の脆弱性情報を突き合わせつつ裏でこれまたスロースキャンに設定したセキュリティスキャナの回答を待つ。
　
　要するに、IDS を回避しながらスキャンする手順の簡易版みたいなもんね。こんなんでもロックアウトの時間が短かったら結構なんとかなるもんです。
　
　本来の診断手順はツールの結果を再検証*1してレポートにまとめるんですが、今回はツールが途中で遮断されるために大部分が手作業になりました。
　
　といういことで、いわゆるスクリプトキディには攻略が無理っぽいサーバでしたが、いくつか致命的な問題があったのでレポートはちょっぴり辛口に書くことになりそうです。
　
　
　同時期にツールでの診断中心で数をこなすソリューションの某社と平行してやっていたんですが、別サーバが対象とはいえ似たような状況があちらさんにも噴出した模様。
　こちらは経路上のファイアウォールに食い止められてなかなか診断対象のサーバに接触できなかったんだけど、むこうではどうもサーバ自体に実装したファイアウォール、っつうか、まあそんな感じの某ソリューションに食い止められた模様。
　それはそれでアリな対策なんで*2特に問題なかろうと思っていたら「診断できませんっ！」とトラブル報告を上げて来やがりまして大騒ぎに。
　ほぼ同時刻に同じような目に遭いながらこっちはスキャンのスピードを調節してほどよく対処してるってのになんでそれくらいのことができねえんだっつうかその手のソリューションが入ってるっぽいのは気付けよというか。
　
　とかいいつつ、おいらも実は当初「やべ！なんか鯖が止まったか！？」と思って鯖管に確認入れたりしたんだけどな。一応、稼動中のサーバだから止まるとマズいんで最優先で生死確認してみたんだけど、どーもおいらだけが遮断されてるっぽいと確認できたんでファイアウォールかIPSで遮断されたなと判断したわけで。まあ、診断用に準備してもらった回線のほかに、自宅の回線とか AirH" なダイヤルアップとかで確認したりして孤立したのが診断用回線だけってのも確認したんで、FWなりIPSなりなんだなと認識できたわけでもあるんですが。
　
　てかそういう現場の確認ができるように連絡体制を構築した上で診断作業やってるのに何の確認もなくアラート上げられたので上のほうの対処が炎上。おいらのところにも「こういう事象なんだけどなんか思い当たることない？」とか上から問い合わせが来て「あーそれ俺もさっき食らったーファイアウォールかなんかで止められてるだけとちゃいますかー」とかヌルく返事したんだけどなんか大惨事っぽくてな
　
　
　まあ、あれだ。俺もむこうも同じようにFWなりIPSなりで遮断されてセキュリティ診断が手間取ったわけだが。おいらはサーバが止まってないのを確認してからじっくり手動で掘ってレポート書けるだけの情報を収集したけど、あちらは大騒ぎした挙句にFWだかIPSだかを一時的に止めてもらってスキャンしたわけです。
　作業時間としてツール診断班は三台〜六台をいっぺんにやって三時間、おいらは一台を六時間〜八時間という条件の違いも大きいとはいえ、なんていうか、現場に確認しながらスキャナの設定値くらい変えられるよねえ、と思ったわけで。
　
　
　
　nmap と Nessus と Nikto が吐き出すレポートを理解できるならツール診断は受注できると思うよ。ネットワーク系のソリューションプロバイダの人とか、自力でそういう診断をしてから納品するといいんじゃないかなあ。とりあえずそれらの診断結果で赤い文字で警告とか出てなければ結構大丈夫だし。