Know your enemy.Defense leadership.

Virtual Hostについて

Reverse Proxy構成やVirtual Hostを使った構成が一般的になっており、ネットワーク診断の対象の指定の仕方には注意が必要です。対象の指定の仕方が悪いと正しい診断結果を得られることができなくなる可能性があります。

ネットワーク診断ではIPアドレスをヒアリングして、IPアドレスに対して診断を実施します(FQDNを指定して診断するケースもあります)。しかしながら、次のようなケースではIPアドレス指定の場合正しい結果が得られない可能性があります。

Virtual Hostを使用しているようなケース

1台のサーバに複数のサイトを構成する場合、Virtual Hostの設定を行うことがあります。この場合、Virtual Hostごとに設定が異なるため、厳密には、Virtual Hostごとに診断結果が変わります。

FQDNを指定しての診断依頼であればよいのですが、IPアドレス指定で依頼が来た場合には、逆引き結果などを利用してVirtual HostのFQDNを特定して診断を行うケースもありますが、DNSに登録されていないようなケースだったり、診断の中で判明しないケースだったりすると、正しく診断が行われず、結果から漏れてしまうことがあります。

virtual_host_01.png

Reverse Proxyを使用しているようなケース

Reverse Proxyを用いているサイトでは前述のVirtual Hostの他に、Proxy Passの設定により、Pathによって診断結果が変わってきます。同一FQDNの中で、Sorryサーバや画像サーバを別に構築しているようなケースであれば、1つのIPアドレス(FQDN)に紐づくサーバが複数台(Webサーバ/画像サーバ/Sorryサーバ)存在することになり、それぞれ稼働しているシステムが変わってくるため、結果も変わるはずです。

virtual_host_02.png

一般的な商用ツールでPathを指定する場合、ツールでクローリングを行い特定の階層まで実施することや自分でスキャンするPathの設定することが可能です。ただし、前者であれば機械的にクローリングできる、つまり、リンクが貼られていることが条件です。したがって、リンクが無いPathについては、ツールで診断できていない状態となります。

後者については診断実施者の経験が頼りです。見つけられないPathについては当然スキャンすることができません。

こういった背景もあり、検出結果に差がでないと言われがちなネットワーク診断ですが、実は細かな部分で会社や実施者で違いが出る診断です。Virtual hostやPathを効率よく検出することは奥が深く、弊社でも研究を行っている分野(GyoiThon)です。

本ページに関するサービスの詳細

https://www.mbsd.jp/solutions/assessment/

プロフェッショナルサービス事業部

シェアする ツイートする