2001年度計算数学I 第3回 コンピュータとネットワークの セキュリティ 一井信吾 [email protected] 今日の内容 前回の補足&業務連絡 セキュリティ:何が問題か? 被害者にならないために 加害者にならないために パスワードに注意! 暗号化はなぜ必要か? 実習とレポート 前回の補足 Vineインストールは大体うまくいきました – Xの設定で「はまった」グループがいくつか » Video RAMの不良の可能性があります » 当面そのまま(800x600, 16bit)で使って下さい – 課題:インストールにかかった時間 » ダウンロード&インストールに20~30分かかってい たようです » 一人でやると15分くらいなので、さすがにたくさん でやると遅くなるが、思ったほどひどくはなかった 業務連絡 初心者コースの予定 – タイピング、 Unix操作の基礎(1) – Unix操作の基礎(2) – いろいろなコマンド – シェル探訪 – シェルスクリプト – システム管理 – サーバ管理 標準コースの予定 – – – – – – – いろいろなコマンド シェル探訪 シェルスクリプト awk, sed Perlプログラミング システム管理 サーバ管理 特別な日 5月25日 – 五月祭のため自習 » もし来なくても欠席には数えません » TAはいる(はず)ので、質問等してください 6月8日 – Mathematica入門 » 数式処理システム、グラフ描きにも便利 » 業者による講習 » 13:00~ » 計算数学I受講生以外にも開放します セキュリティ:何が問題か? 問題になる事象 – 刑法犯 » 電磁的記録不正作出及び供用(162の2) » 電子計算機損壊等業務妨害(234の2) » 電子計算機使用詐欺(246の2) » 公用電磁的記録毀棄(258) » 私用電磁的記録毀棄(259) – 不正アクセス » 不正アクセス行為の禁止等に関する法律 (2000.2.13施行) 不正アクセスとは (...)不正アクセス行為とは、次の各号の一 に該当する行為をいう – ネットワークを通じて他人のユーザID、パス ワードを入力 – ネットワークを通じてセキュリティホールを利 用 – 他の装置で認証などを行っている機械に対し てその認証をバイパス より広くとらえると 社会に迷惑をかける行為全般 – – – – SPAM中継 プライバシー侵害 著作権等の侵害 不正アクセスと紛らわしい行為 » どこかの会社のサーバに意味もなくtelnetしてみる » データベースなどに必要以上に頻繁にアクセスす る 被害者にならないために 何に注意するか – ネットワーク経由の攻撃 » 侵入を目的とした攻撃 » サービス不能攻撃(Denial of Service attack) – コンピュータウィルス » » » » » 特にWindows PCやMacintosh 最近はほとんどメール経由で感染 Webページを見ただけでも Linuxに感染するウィルスも現れた ビデオを見ましょう – 自分(!) 侵入を目的とした攻撃 不用意にあけられたポート(サービスの「入り 口」)を狙う – telnet, ftp, ssh etc. – ユーザ名がわかったら、パスワードを推測 脆弱なソフトウェアを攻撃 – プログラムミス(バグ) – バッファあふれ – race condition もはや、技術を要しない – script kiddies サービス不能攻撃 聞きなれない言葉だが – Denial of Service attack 特定のシステムに多数のデータを集中して送り つける – 特定のシステムが動作しなくなるデータを送りつける – 侵入監視システムを混乱させるデータを送りつける 分散して行うと効果的 – Distributed DoS – 最近の例:「作る会」関連サイト攻撃 ネットワーク経由の攻撃を どうやって防ぐか システムの脆弱性(セキュリティホール)をなくす – メーカーからの情報 – ソフトウェア作成者からの情報 – システム監査ソフトウェアの利用 » 東大では、情報基盤センターが行っている(数理でも利用) ファイアウォール、パケットフィルタを使う – 万能ではないし、場合によりDoS攻撃の標的ともなる 侵入検知システム(Intrusion Detection System)を 使う – 同上 自分はいかに危ないか よいパスワードを選んだか? – あとで発表します うっかりミス – システム設定のミスにより侵入を許すことに – ログインしたまま席を離れてはいけない さぼり – ソフトウェアの更新をサボると危ない Social engineering attack – パスワードを書いた紙をごみ箱に捨てたら – 電話で大事な情報を教えたら » 偽マイクロソフト証明書事件 加害者にならないために 自ら不正行為をするのは論外 – 法に触れればつかまります – 計算数学受講者なら、即座に受講資格剥奪 – 大学のその他のシステムでも、しかるべき処分 被害者即加害者となるご時世 – – – – 不正に侵入され、踏み台にされる 不正に侵入され、DDoS (Distributed DoS)に使われる SPAM中継 他人事ではない! » 東大某センターディスク押収事件 知らない間に「加害者」になっていることも – データベースの過大利用 パスワードに注意! 前回設定してもらったパスワードを検査 – Unixでは、パスワードは暗号化して保管してある » 暗号の解読は困難 辞書+いろいろなアルゴリズムでbrute force – 実習用PCとほぼ同等のspecのマシン » ということは、今手に入るマシンの1/2~1/3のパワー – 解析ソフト、辞書はいろいろ出回っている これでパスワードがばれてしまった人は要注意 どのようなパスワードを選ぶとよいか? – ユーザIDと同じでないこと(絶対!) – 辞書に載っている単語、人名を利用していないこと – これらの単語を単純に組み合わせただけでは不可 暗号化はなぜ必要か パスワードをネットワーク経由で入力すると危な い – ネットワーク上を流れる情報は、盗み見可能 – 通信業者内は、point-to-pointなので漏れる可能性が 小 » 通信の秘密保持義務もある – 大学内ネットワークなど、LAN (Local Area Network) が一番危ない » 管理が不十分なマシンがある 日本数学会事件 » LAN上でデータが見放題の場合がある 危ない/危なくないLAN shared network – 電気的に一つのメディア (e.g. 銅線)を複数のコン ピュータで共有 – バス型又はスター型(ハ ブ) – よい点:1台あたりのコスト が比較的安い – 悪い点:伝送帯域も共有な ので混んでくると遅くなる – もっと悪い点:1台の送信 データが他のすべてのコン ピュータでも見える – 実習用LAN:薄緑色ケーブ ル switched network – 一つのメディアは1台のコン ピュータが占有、スイッチ に接続 – スター型(スイッチ) – 悪い点:1台あたりのコスト が比較的高い – よい点:伝送帯域も占有な ので混んできても遅くなら ない – もっとよい点:1台の送信 データは特定の相手でし か見えない – 実習用LAN:水色ケーブル 実習(1) SPAM対策ができているかどうか – SPAMとは、頼んでもいないのに送ってくる (unsolicited)ダイレクトメール(commercial mail) – 送信元を隠すために、無条件にメール転送を 行うコンピュータを中継用踏み台にする – SPAMを嫌うあまり、中継を行っているサイト (大学等)からのメールをも受け取らない場合 がある 実習(2) システムの脆弱性に関する情報の扱いに ついて – TAを同じくするグループのメンバ全員で、TA も交えて議論してください。 – その議論(結論が出ていなくても結構)を踏ま えて、自分の意見をレポートに書いてください。 実習(3) shared networkがいかに危ないか、実感す る – 実習用計算機は、shared network につなぎ変 えてある – 同じshared networkに管理用計算機をつなぎ、 ネットワーク上のデータを収集 – TAから収集されたデータを受け取り、確認す る レポート 実習2をふまえて、自分の考えを記す。 実習内容はWebに書いてあります。 例によって http://ks.ms.u-tokyo.ac.jp/ からたどってください。
© Copyright 2024 ExpyDoc
