TELNET – Telnetの異常

メソッドの説明

このメソッドは、Telnetサービスの使用の増加を検知するために使用されます。Telnetサービスは旧式のサービスで、本来は安全上の理由から使用されるべきではありません。したがって、その使用には特別な管理体制を適用する必要があります。このメソッドでは、TCPポート23 (Telnetサービス)へのすべての接続を検知します。これには接続試行も含まれます。個々のIPアドレスの接続数をカウントします。メソッド設定の一部として、不要と見なすべきTelnet接続の最小数を設定する必要があります(TelnetThresholdオプション)。検知は、スキャンを含むすべての接続試行を対象とするか(IgnoreScansオプションの値がno)、確立された接続のみを対象とする(IgnoreScansオプションの値がyes)ことができます。AllowedTelnetパラメータを使用して、Telnetプロトコル経由でのアクセスが許可されているサーバを除外することができます。

このメソッドは、以下のサブメソッドで構成されます。

• PortBased: 旧式のTelnetプロトコルのリモートデバイス管理への使用をレポートします。

メソッド設定

このメソッドは、すべてのIPアドレスに適用することをお勧めします。トラフィックの適切な監視場所は中央のスイッチとインターネット接続回線です。IgnoreScansオプションの値をyesに設定することによって、何らかの形態のマルウェア(例: ボットネットChuck Norris)に感染しているデバイスや、ルータやIPカメラなどその他のネットワークデバイスを侵略するデバイスを検知できます。

メソッドパラメータ

• TelnetThreshold: Telnetサービス(TCP/23)を使用する接続の最小数の閾値。

• IgnoreScans: TCPポート23スキャンとして認識されたトラフィックの除外。

• AllowedTelnet: Telnetサービスを使用したアクセスが許可されているIPアドレスの定義。

• UploadThreshold: 1つのデバイスからアップロードされるデータの最小量。

• DownloadThreshold: 1つのデバイスからダウンロードされるデータの最小量。

フィルタの割り当て

このフィルタは、送信元IPアドレスまたは宛先IPアドレスを制限するために使用されます。

結果の解釈

このメソッドでは、Telnetサービスを使用する、または使用を試みるデバイスが検出されます(どちらであるかは設定に依存します)。Telnetサービスは暗号化されていないため、現在は使用されるべきではありません。レポートされたイベントは、特殊なネットワークデバイスを悪用するための何らかの形態のマルウェアに感染しているデバイス、あるいは攻撃者がネットワークで行っているアクティビティがあることを示唆している可能性があります。