OSが乗っ取られた場合にも機能する ファイルアクセス制御システム 滝澤裕二 光来健一 柳澤佳里 千葉滋 (東京工業大学) SPA X 1 不正ファイルアクセスの増加 メールの添付ファイル ウィルスが実行ファイルを書き換えて感染 P2Pソフトを利用 顧客情報などの機密データの流出 SPA X 2 従来:OSのファイルアクセス制御に よる防御 OSが不正ファイルアクセスを防いできた ファイルシステムによる制御 一般ユーザは管理者のファイルを書き換えられ ない 例:ウィルスが実行ファイルを書き換えるのを防げる サンドボックス サンドボックス外のファイルへのアクセスを防ぐ 例:情報漏えいを防げる SPA X 3 OSの乗っ取りによる ファイルアクセス制御のバイパス OSが攻撃を受けて乗っ取られるとアクセ ス制御が機能しなくなる 認証をバイパス 管理者になりすまされる アクセス制御のバイパス 全てのファイルに無条件にアクセスされる 一般ユーザが管理者権限を得られる脆弱性 任意のコードを実行できる脆弱性 SPA X 4 提案:SAccessor OSが乗っ取られても認証とファイルアク セス制御が機能するシステム VMを用いてアクセス制御を分離 アクセス制御を提供するセキュアな認証OS アプリケーションを動かす作業OS 従来のアクセス制御を補完 乗っ取られるまでは通常の OSの制御も機能 SPA X マシン 認証 OS VM 作業 OS VM 5 SAccessorのアーキテクチャ 認証OSに物理的に繋がれた デバイスを通して認証を行う 認証の分離 ユーザは作業 OSで作業 作業OS 操作 ファイル要求 認証OS ディスク データ転送 デスクトップPC ユーザ ユーザには作業OSの画面が 見えている 作業OSは認証OSと通信し てファイルアクセスを行う アクセス制御の分離 6 認証OSによる認証 作業OSのVMのウィンドウの上に認証 OSが認証ダイアログを表示 認証OSのウィンドウ 作業OSの画面 SPA X 7 認証OSによる認証 ユーザにパスワードを入力させて認証 認証に成功したらファイルアクセスを許可 作業OSからは認証できない 作業OSからはダイアログにアクセスできな い 認証を求められた ファイル名 パスワード入力欄 SPA X 8 パスワード盗聴の防止 認証ダイアログにシーク レット文字列を表示 ユーザのみが知ってい るシークレット文字列 作業OSが出した偽のダ イアログと区別 パスワードが作業OSの攻 撃者に盗まれるのを防ぐ マシンに直接アクセスされ ても認証できない SPA X 9 認証OSによる ファイルアクセス制御 ポリシーファイルに基づいてアクセス制御 ファイルグループごとに認証 ファイルやディレクトリをまとめたファイル グループを定義 ユーザ単位よりきめ細かい制御が可能 パーミッションと認証の有効期間を設定 認証を行ったら、有効期間内ではそのファイル グループに対する認証を省略 SPA X 10 ポリシの記述例 パーミッションと 有効期間 グループ名 <business> (rw) (600) /home/takizawa/projectA/ <secret> (rw) (60) /home/takizawa/secretfiles/ SPA X 11 SAccessorで防げる不正アクセス ユーザの一般のファイルへの不正アクセス ユーザが使っていないファイルへの認証を 求められたら不正アクセスと判断して拒否 ただし、認証の有効期間内のファイルは守れない 利便性とトレードオフ 有効期間を短く、ファイルグループを小さくすれば セキュリティは上がるが、認証の頻度が増す 12 判断の難しい不正アクセス ユーザの設定ファイル、システムファイル は判断が難しい アプリケーションがどのファイルにアクセスす るかは一般ユーザには分からないことが多い ウィルススキャン、バックアップ等を 不正アクセスと区別するのは難しい ユーザのファイルへの身に覚えの無いアクセス ウィルススキャンやバックアップは認証OSで SPA X 13 実装 VMMとしてXen OSはLinux2.6.12.6をベース 認証サーバを作成 カーネル内のNFSv3サーバを改造 認証ダイアログを出す VNCを使用して作業OSの画面を表示 SPA X 14 アクセス制御機構の実装 ドメイン0 認証ダイアログを表示 ドメインU 認証OS 作業OS 認証の結果 を返す 認証サーバ 認証を要求 ディスク ファイル要求 NFSD NFS Xen SPA X 15 実験:オーバーヘッドの測定 測定内容 ファイルに対するread,writeのスループット 一度に書き込むデータブロックサイズ 1KB, 2KB, 4KB, 8KB 実験対象 VMを使用しないローカル ファイルシステム SAccessorを使用した場合 ポリシー数 0, 100, 500 SPA X CPU :Pentium D 3.0GHz メモリー : 1GB VMM:Xen 3.0.2 OS:Linux 2.6.12.6 作業OSに割り当てたメモリ は256MB 16 readのスループットの比較 ファイルキャッシュ無 10%~27% のオーバーヘッド ポリシ数に比例 throughput(MB/sec) LocalFileSystem 100 policies 0 policy 500 policies 40 30 20 10 0 0 1 2 3 4 5 6 data block size(KB) ファイルキャッシュ有 ブロックが4KBまでは 本システムが優勢 4KBからは本システ ムが劣勢 8 キャッシュ無 2000 throughput(MB/sec) 7 1500 1000 500 0 SPA X 0 1 2 3 4 5 6 data block size(KB) 7 8 17 キャッシュ有 writeのスループットの比較 オーバーヘッドは 約10% VMを使う オーバーヘッドのみ ポリシー数による 変化は少ない LocalFileSystem 100 policies 0 policy 500 policies 40 throughput(MB/sec) 30 20 10 0 作業OSのキャッシュ にwriteするため 0 1 2 3 4 5 6 7 8 data block size(KB) SPA X 18 議論:ファイルキャッシュ(1/2) 作業OSからキャッシュ上のファイルに常 にアクセスできてしまう 対策:認証の有効期間が過ぎたら作業OSに フラッシュさせる キャッシュは常に認証の有効期間内のものだけ VM VM 認証OS 作業OS フラッシュ キャッシュ ディスク SPA X 19 議論:ファイルキャッシュ(2/2) NFSサーバへの書き戻しの遅延の問題 アプリケーションのセマンティクスに影響 キャッシュへの書き込みは成功、 NFSサーバへの書き戻しは失敗 対策:ファイルのopen時か最初のwrite時に 認証を行う VM VM 認証OS 作業OS ディスク キャッシュ SPA X 20 関連研究 従来のNFSサーバ Plan9 [ Bell Labs ] クライアントOSが乗っ取られるとなりすまし可能 管理者権限での操作はファイルサーバに物理的に 接続されたコンソールからのみ 守るのは管理者権限だけ SIDS [ ’03 John D.Strunk et al. ] OSから独立してディスクで侵入検知 管理者に警告するだけ SPA X 21 まとめ・今後の課題 SAccessorを提案 OSの制御を奪われてもファイルアクセス制 御を強制できる VMを用いてファイルアクセス制御機構を 攻撃対象OSから分離 今後の課題 ファイルキャッシュ対策 専用のファイルシステムを作成して 性能・安全性の向上 SPA X 22 SPA X 23 画面の構成 認証OSの画面 作業OSの画面 SPA X 24
© Copyright 2024 ExpyDoc
