セキュリティインシデントの 現状とネットワーク環境にお けるセキュリティ保全 すずきひろのぶ [email protected] 2001 Sep 27 Linux Conference 2001 1 内容 • セキュリティインシデントの現状分析 – – – – ネットワーク構成 過去12ヶ月の分析から CLSCANの紹介 WCLSCANの提案 • ネットワーク環境におけるセキュリティ保全 2001 Sep 27 Linux Conference 2001 2 ファイアウォールのログ • インターネットとDMZを区切るルータによる IPフィルタリングのログ • IPフィルタリングは最小のコストで最大の防 御ができる • ネットワーク空間を分割する役割を果たす 2001 Sep 27 Linux Conference 2001 3 ネットワーク構成 Linux Based Network Internet Web,DNS,Mail,etc Router Logging Server Filtered Log Internal Router Internal network DMZ 2001 Sep 27 Linux Conference 2001 4 過去12ヶ月の記録 • 2000.10.9~2001.9.23 • リジェクトされた接続 – 210.145.219.248/29 – 68ポート(TCPのみ) – 35106エントリ(TCPのみ) 2001 Sep 27 Linux Conference 2001 5 過去12ヶ月 注)TCPのみ 18000 16000 14000 12000 10000 8000 6000 4000 2000 0 Oct00 2001 Sep 27 Nov00 Dec00 Jan01 Feb01 Mar01 Apr01 Linux Conference 2001 May01 Jun01 Jul01 Aug01 Sep01 6 トップ10 16000 14000 ftp domain httpd sunrpc auth netbios lpd socks squid webcache 12000 10000 8000 6000 4000 2000 0 Oct- Nov- Dec- Jan- Feb- Mar00 00 00 01 01 01 2001 Sep 27 Apr- May- Jun01 01 01 Linux Conference 2001 Jul01 Aug- Sep01 01 7 トップ9 10000 1400 1200 ftp ftp domain domain sunrpc sunrpc auth auth netbios netbios lpd lpd socks socks squid squid webcache webcache 1000 1000 800 100 600 400 10 200 10 Oct- NovNov- DecDec- JanJan- FebFeb- MarMar- AprApr- MayMay- JunJun- Jul-01 Jul-01 AugAug- SepSepOct00 00 00 01 01 01 01 01 01 01 01 00 00 00 01 01 01 01 01 01 01 01 2001 Sep 27 Linux Conference 2001 8 tp d au ne su th tb nrp ios c -s sn ft so p do cks we ma bc in ac he lpd sq ui sm d tp po p te 3 lin lne ux t co n ht f tp Ba s ck 80 Do 00 o M r-G S C h N WB ee et T se Bu wo s rm ht トップ20 100000 10000 1000 100 10 1 2001 Sep 27 Linux Conference 2001 9 01 2001 Sep 27 Linux Conference 2001 Sep-01 Sep-01 Aug-01 Aug-01 Jul-01 Jul-01 Jun-01 Jun-01 May-01 May-01 Apr-01 Apr-01 Mar-01 Mar-01 Feb-01 Feb-01 Jan-01 Jan-01 Dec-00 Dec-00 Nov-00 Nov-00 Oct-00 Oct-00 Port 80 100000 16000 14000 10000 12000 10000 1000 8000 100 6000 4000 10 2000 10 CLSCAN • Common Log SCAN – 既にsyslogに記録される数々のセキュリティ情報は存 在しているが人間が簡単に読める形ではない – セキュリティログのプリティプリント • HTML, Text – 簡単な統計情報 – 各種SOHO向けルータ、TCPWAPPER、IP filterなどのロ グに対応 – http://h2np.net/clscan 2001 Sep 27 Linux Conference 2001 11 2001 Sep 27 Linux Conference 2001 12 WCLSCAN Database Pre-processing by clscan library Secure Message Statistics Processing 2001 Sep 27 Linux Conference 2001 13 ネットワーク環境におけるセ キュリティ保全 GNU/Linux環境における戦略 2001 Sep 27 Linux Conference 2001 14 フェイルセーフ • 多重に防御する – 単体システムの機能のみに頼らない • 問題をシンプルに切り分けることができる 構成にする – All-In-Oneは避ける – 「何でもできる」は「何にもできない」と同じ 2001 Sep 27 Linux Conference 2001 15 いくつかの誤解 • ファイアウォールソフトを入れれば安全 – パケット選別はルータレベルですべき – バッファオーバーフローには対応できない • NATを使えば安全 – 外部に接続する否かが問題 • 暗号化すればよい – 通信データ保全とシステム保全とは別問題 2001 Sep 27 Linux Conference 2001 16 いくつかの誤解 • LinuxはWindows NTより安全だ – ユーザがブラックボックスとして使う限り同じで ある • POP/IMAP, Telnetd, linuxconf, などなど事例にはこと かかない – プラットフォーム数の違いである • ある規模になるとセキュアなアップデートが困難に なる 2001 Sep 27 Linux Conference 2001 17 トータルな防御方法 • ファイアウォールの定義 – 内部ネットワークを保護するプロテクションシ ステムの総体 • ネットワーク単位で守る 2001 Sep 27 Linux Conference 2001 18 5W1Hを明確にする • • • • • • WHAT: 何の情報を守るのか WHO: 誰から守るのか WHOM: 誰の情報を守るのか WHY: なぜその情報を守るのか WHERE: 守る情報はどこにあるのか HOW: どうやって守るのか 2001 Sep 27 Linux Conference 2001 19 GNU/Linuxのアドバンテージ • 金銭的な負担が少ない – ×高額なソフトウェア – ×高価なハードウェア • 目的別にマシンを用意する – 必要なソフトウェアのみで稼動させる • 問題の切り分けが明確になる • ブラックボックスとして使わない – Web DNS MAIL etc. 2001 Sep 27 Linux Conference 2001 20 ゾーン・ディフェンス • サブネット化などをしてネットワーク的なゾーンを 作る • サーバが集中するゾーン – 境界ネットワーク(DMZ) • 直接外部からアクセスされないゾーン – 通常のユーザが使う範囲 • インターネット側から遠いゾーンが必ずしも安全 とは限らない – 内部からの攻撃・トロイの木馬・ウィルス.etc 2001 Sep 27 Linux Conference 2001 21 スクリーンド・サブネット方式 ブランチ型 DMZ DMZ 2001 Sep 27 Linux Conference 2001 22 GNU/LinuxでIPフィルタリングBOX • Linux BOXに複数NICカードをつければでき あがり! – りぬくす工房の組込み向けSi-Linux • http://www.si-linux.com • Iptables – Ipchain・ipfadmの後継 – 強力なルールが適用できる 2001 Sep 27 Linux Conference 2001 23 本質的な問題は… • 適切なパケットフィルタリングのルールを作 ることができるか? – ネットワークの論理設計ができる技量が必要 だろう – 検証が難しい • 本格的に行うならばFormal Specification (形式的仕 様記述)のアプローチが必要だろう 2001 Sep 27 Linux Conference 2001 24 個別のマシンに関して • TCP_WRAPPERによる制御 – ゾーン(サブネット)単位でアクセスを管理 – 個別のマシン毎にアクセスを管理 – 外部からのアクセスをほぼシャットアウト • SSHを使ってのログインとポートフォワーディングのみ許す • Iptabesを使って厳しくパケットをコントロールする – 最低限のサービスしかパケットを出さない – コンソールログイン以外許さない 2001 Sep 27 Linux Conference 2001 25 Libsafe • バッファオーバーフローはパケットフィルタ リングでは防げない • 最新のGCCでプログラムをサイト毎に再コ ンパイルする – 不可能ではないが無理がある • 多くのバッファオーバーフローはLibsafeで 回避できる – http://www.gnu.org/directory/libsafe.html 2001 Sep 27 Linux Conference 2001 26
© Copyright 2024 ExpyDoc
