プロセスの依存関係に基づく 分散システムのセキュリティ機構

Slides:



Advertisements
Similar presentations
モバイルエージェントシステムの実装 エージェント移動(状態とコードの一括移送) エージェント移動の特徴 システム構成 エージェントプログラム
Advertisements

安全なログオン手順 2004/08/26 Port139 伊原 秀明.
Ibaraki Univ. Dept of Electrical & Electronic Eng.
セキュリティ機構のオフロードを考慮した仮想マシンへの動的メモリ割当
クラウド上の仮想マシンの安全なリモート監視機構
(株)アライブネット RS事業部 企画開発G 小田 誠
クラウドにおける ネストした仮想化を用いた 安全な帯域外リモート管理
IaaS 仮想マシン(VM)をネットワーク経由で提供 負荷に応じてVM数や性能を変更できる ハードウェアの導入・管理・維持コストの削減
CGI Programming and Web Security
「コンピュータと情報システム」 07章 インターネットとセキュリティ
Webサイト運営 09fi118 橋倉伶奈 09fi131 本間昂 09fi137 三上早紀.
ファイルシステムキャッシュを 考慮した仮想マシン監視機構
メモリ暗号化による Android端末の盗難対策
OSが乗っ取られた場合にも機能するファイルアクセス制御システム
第5章 情報セキュリティ(前半) [近代科学社刊]
担当:青木義満 情報工学科 3年生対象 専門科目 システムプログラミング システムプログラミング プロセス間通信(パイプ) 担当:青木義満
XenによるゲストOSの解析に 基づくパケットフィルタリング
第13回 今日の目標 §4.3 情報セキュリティー 情報化社会の特徴を社会的な面から概観する 情報に関わる危険の要因を示す
システムプログラミング 第11回 シグナル 情報工学科  篠埜 功.
ネストした仮想化を用いた VMの安全な帯域外リモート管理
サーバ構成と運用 ここから私林がサーバ構成と運用について話します.
クラウドの内部攻撃者に対する安全なリモートVM監視機構
アスペクト指向プログラミングを用いたIDSオフロード
第8章 Web技術とセキュリティ   岡本 好未.
不正アクセス       ーrootkitについてー              環境情報学部              3年 櫻井美帆.
型付きアセンブリ言語を用いた安全なカーネル拡張
SAccessor : デスクトップPCのための安全なファイルアクセス制御システム
Linux リテラシ 2006 第4回 ネットワーク CIS RAT.
Ibaraki Univ. Dept of Electrical & Electronic Eng.
ネットワークアプリケーションと セキュリティ
踏み台攻撃だけを抑制できる VMMレベル・パケットフィルタ
7. セキュリティネットワーク (ファイアウォール)
特定ユーザーのみが利用可能な仮想プライベート・ネットワーク
Xenによる ゲストOSの監視に基づく パケットフィルタリング
仮想計算機を用いて OSを介さずに行う安全な ファイルアクセス制御
セキュリティ(6) 05A2013 大川内 斉.
分散IDSの実行環境の分離 による安全性の向上
仮想マシンモニタによる きめ細かい パケットフィルタリング
リモートホストの異常を検知するための GPUとの直接通信機構
シャドウデバイスを用いた 帯域外リモート管理を継続可能なVMマイグレーション
インターネットにおける真に プライベートなネットワークの構築
セキュリティ 05A2013 大川内 斉.
複数ホストに分割されたメモリを用いる仮想マシンの監視機構
セキュリティ(2) 05A2013 大川内 斉.
クラウドにおけるIntel SGXを用いた VMの安全な監視機構
非対称リンクにおける ジャンボフレームの性能評価
クラウドにおけるVMリダイレクト攻撃を防ぐためのリモート管理機構
未使用メモリに着目した 複数ホストにまたがる 仮想マシンの高速化
複数のオーバレイネットワークを制御するためのプライベートなネットワーク環境
インターネットにおける パーソナルネットワークの構築
アスペクト指向言語のための 独立性の高いパッケージシステム
Intel SGXを用いた仮想マシンの 安全な監視機構
VMMのソフトウェア若化を考慮した クラスタ性能の比較
VPNとホストの実行環境を統合するパーソナルネットワーク
仮想環境を用いた 侵入検知システムの安全な構成法
Cell/B.E.のSPE Isolationモードを用いた監視システム
IDSとFirewallの連携によるネットワーク構築
gate登録システム: 設計ポリシーから使い方まで
仮想マシンに対する 高いサービス可用性を実現する パケットフィルタリング
VMリダイレクト攻撃を防ぐための 安全なリモート管理機構
強制パススルー機構を用いた VMの安全な帯域外リモート管理
異種セグメント端末による 分散型仮想LAN構築機構の設計と実装
IPmigrate:複数ホストに分割されたVMの マイグレーション手法
特定ユーザーのみが利用可能な仮想プライベート・ネットワーク
システムプログラミング 第11回 シグナル 情報工学科  篠埜 功.
ソケットの拡張によるJava用分散ミドルウエアの高信頼化
tcp wrapper 2002年9月24日 大橋 巧 牧之内研究室「インターネット実習」Webページ
強制パススルー機構を用いた VMの安全な帯域外リモート管理
管理VMへの キーボード入力情報漏洩の防止
ユーザ認証の盗聴 2002/9/10 峯 肇史 牧之内研究室「インターネット実習」Webページ
Presentation transcript:

プロセスの依存関係に基づく 分散システムのセキュリティ機構 光来健一*  千葉滋**  益田隆司* *東京大学 **筑波大学・さきがけ研究21

インターネットからの攻撃 サービスを外部に提供しているホストは常に攻撃の危険にさらされている セキュリティホールを利用した攻撃 注意深くコーディングされていないプログラムを悪用する バッファをオーバフローさせ任意のコードを実行させる PATH環境変数をうまく設定して、相対パスで指定されたsystem関数に任意のプログラムを実行させる ユーザになりすまして侵入 ネットワークを流れるパスワードを盗聴する パスワードを類推する

防衛ラインモデルによる対策 信頼できるホストと信頼できないホストの境界でアクセス制限するセキュリティモデル ファイアウォールの構築 外部からのパケットを制限して攻撃を未然に防ぐ StackGuard[Cowan et al. 98] バッファオーバフローを検出できるように関数呼び出しの際にスタックに印をつける 通信路の暗号化・ワンタイムパスワード ネットワーク上を素のパスワードが流れないようにしてパスワードの盗聴を防ぐ

防衛ラインモデルの欠点 防衛ラインを一旦突破されると、それ以降の攻撃に対して無力になる ファイアウォールマシンに侵入された時 ファイアウォールの設定を変更されると無意味になる パスワードを知られた時 正規ユーザと区別できなくなる 防衛ライン 侵入! 無力化 外部ホスト 攻撃 内部ホスト

行動追跡モデル 防衛ラインを突破されても侵入者の行動を追跡してアクセス制限するセキュリティモデル 防衛ラインモデルと相補的 侵入者が行った通信を追跡 侵入者が起動したプロセスを追跡 防衛ラインモデルと相補的 侵入! 外部ホストZ inetd sh rlogin inetd 内部ホストA 内部ホストB 防衛ライン

Compactoシステム 行動追跡モデルを実現するシステム 各プロセスが侵入経路に関する情報を保持する プロセス間で侵入経路情報を伝播させる 侵入経路は一般的にグラフになる プロセス間の通信 プロセスの親子関係 プロセス間で侵入経路情報を伝播させる 伝播先のプロセスの侵入経路情報とマージされる 侵入経路情報を基にアクセス制限を行う 高速にアクセス権限を検査できる ネットワーク接続が切れても問題ない cf. ログに基づく追跡

侵入経路情報を用いた アクセス制限の例 踏み台攻撃の防御 ホストBのinetdはrloginによるログインを拒否できる 侵入経路情報により外部ホストZから侵入してきていることがわかるため 侵入経路情報 Z Z A A B 侵入! 外部ホストZ inetd sh rlogin inetd 内部ホストA 内部ホストB 防衛ライン

侵入経路情報の伝播 通信したプロセス間での伝播 プロセスの親子間での伝播 OSリソースを介して伝播させる プロセスからリソースへ リソースにも侵入経路情報を記録する プロセスからリソースへ データを書き込んだ時 リソースからプロセスへ データを読み込んだ時 プロセスの親子間での伝播 親プロセスから子プロセスへ 子プロセスを生成した時 プロセスA リソース ソケット パイプ ファイル : プロセスB

侵入経路情報を扱う上での問題 侵入経路情報は非常に大きくなる可能性がある プロセス間で侵入経路情報を伝播させるオーバヘッドが大きくなる 特に多数のホストと通信するサーバが侵入経路に含まれる場合 侵入経路情報を検査するオーバヘッドが大きくなる 侵入経路に含まれるホストを一つ一つ調べなければならない 侵入経路情報を圧縮する必要がある

侵入経路情報の圧縮 汚染レベル 圧縮された侵入経路情報はプロセスがどのくらい攻撃を受けているかを表していると考えられる 侵入経路情報に含まれるホストの危険度の最大値 セキュリティ上は最も危険度の高いホストを考えることが重要になる 補助情報として危険度最大のホストのグループIDも併用する 現在の実装では合計16ビット 圧縮された侵入経路情報はプロセスがどのくらい攻撃を受けているかを表していると考えられる 汚染レベルの高いプロセスほど危険

汚染を用いたアクセス制限の例 ホストBのinetdは汚染レベルによりアクセス制限 汚染レベルが15の時は外部から侵入されてrloginを実行されているので拒否する 内部ホストAから直接rloginしてきた時は汚染レベルが1になるので許可する 汚染レベル 15 15 侵入! 外部ホストZ (危険度15) inetd sh rlogin inetd 内部ホストA (危険度1) 内部ホストB (危険度1) 防衛ライン

プロセス木を用いた追跡 各ホストではプロセス木を使って細かい粒度で追跡を行う 拡張プロセス木を保持する 正確な親子関係が必要 子プロセスを持つプロセスは終了しても情報を残す execする前のプロセスの情報も残す UNIXの プロセス木 拡張 プロセス木 init init ? httpd (sshd) exec (tcsh) fork (tcsh) exec httpd

アクセス制限の記述 システムコールレベルでアクセス制限を記述する 汚染を条件として利用 祖先プロセスの情報を条件として利用 プロセスの危険度が高い時は時刻の変更を許さない deny settimeofday at-plevel 2-15 祖先プロセスの情報を条件として利用 ftpで入ってきたらpasswdファイルは読ませない deny read “/etc/passwd” via-prog “ftpd” rootであってもユーザkouraiがsuした時以外はkouraiのホームディレクトリへの移動を許さない allow chdir “/home/kourai/” via-user kourai

ホスト間にまたがる汚染の伝播 パケットのプロトコルオプションを使って汚染情報を送る データ用パケットでピギーバック TCPオプションで4バイトの増加 受信側プロセスは受け取った汚染情報を基に汚染レベルを更新する 送信側 プロセス ヘッダ パケット データ 汚染情報 受信側 プロセス

実験 実験内容 実験環境 汚染伝播にともなうホスト間通信のオーバヘッド測定 ポリシーチェックのオーバヘッド測定 TCP/IPのレイテンシとスループットを測定 ポリシーチェックのオーバヘッド測定 getpidシステムコールの実行時間を測定 実験環境 PC(PentiumII/400MHz、メモリ128MB) 2台 100Mbpsのイーサネット Compactoシステム(Linux 2.2.11ベース)

実験結果 TCP/IPのレイテンシとスループットへの影響 ポリシーチェックのオーバヘッド レイテンシの増大は小さい 3.7%(1 byte) 1.0%(1430 bytes) スループットの低下は0.6%でほとんど影響しない ポリシーチェックのオーバヘッド ルールの有無をチェックするのに要する時間は40ns (getpidシステムコールの5.2%) 一般的なシステムコールではこのオーバヘッドの割合はもっと小さくなる

関連研究 Javaセキュリティ機構[Gong et al. 97] Deeds[Edjlali et al. 98] IDA[浅香97] メソッドの呼び出し元を追跡してアクセス権を検査する プロセスの親子関係の追跡に似ている Deeds[Edjlali et al. 98] リソースのアクセス履歴に基づきアクセス制御を行う 1つのプロセスの中で行動を追跡している IDA[浅香97] ログを基にログイン元の追跡を行いアクセス制限する ログの改竄などの問題がある

Compactoの限界 汚染を正しく伝播できない場合がある リモート管理が難しくなる 内部ホストのカーネルが書き換えられた場合 パケットの送信元アドレスや汚染情報が詐称された場合 リモート管理が難しくなる リモートログインしてサーバプロセスを起ち上げるとそのプロセスが汚染されてしまう その結果、サーバプロセスの権限が制限される

まとめ 侵入経路情報の伝播によって行動追跡モデルを実現するシステムCompactoを開発した 防衛ラインを突破されても侵入者の行動を追跡しアクセス制限できる 侵入経路情報を圧縮することによって、行動追跡モデルを効率よく実装した TCPオプションを用いてホスト間で汚染情報を伝播させる

今後の課題 TCP/IP以外のプロトコルでも汚染を伝播できるようにする 汚染の伝播をうまく抑制できるようにする 全く抑制しないと際限なく汚染が広がってしまい、実用的なシステムにならない パケットの送信元アドレスや汚染情報の詐称に対応できるようにする