ネットワーク検知技術の最適化への ハイブリッド・アプローチ By David Meltzer

序文 紹介するツールのダウンロード先: http://www.cambia.com/papmap

常にリアルタイムに確認できるツールが手元にあると 前提 　ネットワーク上のデバイスの最新データを 常にリアルタイムに確認できるツールが手元にあると 本当に重宝するだろう。

論題 ネットワーク検知　「能動的」 vs 「受動的」 ハイブリッド検出 PAPMapの紹介 実演 結論

ネットワーク検知の定義: 以下の質問に答えるもの: ネットワーク上のホストは? オープンポートは? 実行中のサービスは? 実行中のサービスの設定状況は? 望むだけ深く探れる…

仮定 ホストベースのツールがない ルータやスウィッチへのアクセスがない ネットワークの変更

能動的: デバイスにパケットを送信して直接デバイスを調査する nmap. 受動的: ネットワークトラフィックを静かに待機する 能動的検知 vs 受動的検知 能動的: デバイスにパケットを送信して直接デバイスを調査する nmap. 受動的: ネットワークトラフィックを静かに待機する スニファ、 IDS、 p0f など 市販ツールも使用

受動的検知の歴史 RealSecure IDSにおける受動的な脆弱性シグネチャ – 1997年、Meltzer氏によって開発 “受動的脆弱性検出” – 1999年、Gula氏によって開発 “ターゲット・ベースIDS” - 2000年、Roesch氏によって開発 “脆弱性検出システム (VDS)” - 2002年、Meltzer氏によって開発 “受動的脆弱性スキャナ (PVS)” - 2003年、Gula氏によって開発 “受動的ネットワーク検知システム (PNDS)” – 2004年、Roesch氏によって開発

検知技術の比較 測定指標: 汚損度 ネットワーク/ホストに対する破壊性 速度 検出時間 検知可能範囲 何を見分けられるか? 正確性 誤探知：偽陽性（誤検出）/偽陰性（見逃し）?

受動的検知分析: 汚損度 待機は（ほとんどの場合）安全 IDSが好まれる理由 受動的なものが好まれる理由

受動的検知分析: 速度 リアルタイム だが… 先制的に使用すべき

受動的検知分析: 検知可能範囲 ‘基本’を検知するのに好適 ‘詳細’を検知するのに不適 受動的(にのみ/のほうが良く) 検知されるもの 受動的でも能動的でもほぼ同様に検知されるもの 多く　は能動的な場合にのみ検知される

受動的検知分析: 正確性 状況次第… 　　　　検知可能範囲が狭くても構わないなら 　　　完全に正確な受動的スキャンが可能

能動的検知と受動的検知が補完的な技術であることを認識する… ハイブリッド検知のアプローチ 　能動的検知と受動的検知が補完的な技術であることを認識する… それでも、どちらかを選ぶ必要があるか?

単一システムに統合された能動的技術と受動的技術の双方を使用したネットワーク・インベントリデータの収集 ハイブリッドネットワーク検知の定義 単一システムに統合された能動的技術と受動的技術の双方を使用したネットワーク・インベントリデータの収集

互いに独立した能動的/受動的検知エンジン: ハイブリッドの利点 互いに独立した能動的/受動的検知エンジン: ２倍の骨折り 汚損度は実質的に上昇 資源の無駄 競合は手動で解決 ハイブリッドアプローチ: 単一構成 能動的エンジンだけよりも使用する帯域が狭い 単一出力

ハイブリッド検知: PAPMapの紹介 ネットワーク検知のための受動的・能動的 スキャン技術の融合 nmapに取って代わるものとして機能 能動的検知にnmapを活用 完全かつ機能的なハイブリッド・スキャナ

PAPMap v1.0 の要件 要件-1. nmapと同じコマンドラインを使用する 要件-2. nmapとほぼ同様の出力を形成する 要件-3. TCPポートのオープン/クローズの変更が検知される時は常に、Nmapスキャンを実行し、後に受動的待機モードに切り替えて出力を更新する

PAPMap v2.0 の要件 v1.0 に加えて… 要件-1. Linux版 要件-2. UDPポート検知 要件-3. 受動的アプリケーション層サービス検知 要件-4. ハイブリッド機能: a. 統合された能動的ポートスキャン b. 統合された能動的サービス検知 c. 定期的な能動的再スキャン d. 最適化された能動的再スキャン e. 受動優先モード

PAPMapの歴史 V2.0のリリース…まさに今 V1.0が2004年７月@ ruxcon.auよりリリース “機能検証(POC)” Windows版のみ TCPポート検知のみ V2.0のリリース…まさに今 今後の人気が期待される…

PAPMapの基本的使用法: パート I nmap: % nmap –oX nmap-results.xml 192.168.1.0/24 % papmap –oX nmap-results.xml 192.168.1.0/24

PAPMapの基本的使用法: パート II nmapを起動する NmapのXML出力をインメモリデータベースへ読み込む ネットワーク上で無差別に待機を開始する

PAPMapの基本的使用法: パート III ポートの新しいステータスを示す標準出力へのライン出力 マップしているネットワークのリアルタイムの状況を反映するため、Nmap XML fileを更新する(だがディスク障害を避けるために更新情報はキャッシュに保存される) ユーザが停止しない限りモニタリングを続ける

PAPMapの機能: TCP ポート検知 ポートが受信待機しているのは… SYNがポートへ送信され、且つ ポートからSYN/ACK応答が返された場合 ポートが受信待機していないのは… ポートからRST 応答が返された場合 SYNへの応答が無いのは: ポートがクローズしているか? パケットを取りこぼしたか? SYNが不正な形式だったか? ファイアウォールか?

PAPMapの機能: UDP ポート検知 UDPには困難がつきまとう… Portがアクティブなのは… トラフィックがポートから来る場合 しかし 受信待機しているのか、それともただのクライアントか? また、クローズしている場合にそれを知る方法は? 証拠… ICMPが到達不可能 複数のあて先への送信 能動的なプローブの結果

PAPMapの機能: サービス検知 1. TCPストリームの再構築 2.クライアント側コマンドを実行する前の最初のバナー情報を捕捉 3. Nullプローブ用シグネチャデータベースと照合 4.クライアント側コマンドをクライアントプローブ用コマンドデータベースと照合 5. 次に返されるバナーを捕捉 6.　プローブ用シグネチャデータベースと照合 7. まるでnmapがプローブを実行しているかのように、同じ形式で特定されたサービスを出力 Nmapがサービスを調査するのと同じファイル形式を使用する

PAPMapの機能: ハイブリッド・ホスト/ポート・スキャン 新しいホストが受動的に検知されると… オープンポートを判別するためにホストに対してnmapスキャンを開始する 新しいポートが受動的に検知されると… サービスを特定するためにポートに対してnmapサービス検知を開始する

PAPMapの機能: 能動的再スキャン 一定の時間間隔で… 最新の活動情報で更新するためにnmapを再開し再スキャンする 最適化…

PAPMapの機能: 受動優先/限定モード nmapによる能動的スキャンを最初に実行せず、受動的検知モードで検知データベースの構築を開始する 能動的再スキャンと組み合わせて用いるか、純粋に受動的ツールとして使用する

PAPMap v2.0 の実演

PAPMapの現況 バージョン2.0をPacsec ’04にてリリース 現在ソースとバイナリは以下から自由に入手可能: http://www.cambia.com/papmap

質問 ?