ポートスキャンログ分析からみたインターネットセキュリティの一考察

Slides:

Advertisements

Similar presentations

Iptables の設定と動作確認方法野口哲. 1. はじめに近年では、ウイルスなどでネットワーク上の近年では、ウイルスなどでネットワーク上の危険が非常に多くなっている。また、個人情報などを入手するために不正に他人のパソコンに侵入する人なども増えている。本研究では、このような被害を受けないようにするため.

Advertisements

第１章ネットワークとコミュニケーション第２節ネットワークのしくみ２ネットワークを支える技術（教科書 p36 ～ p37) 今日の用語  モデム (modulator/demodulator:modem)  IP アドレス (internet protocol address)  ドメインネーム.

TCP ／ IP の基礎ネットワーク管理者入門. インターネットを支える技術 ISO の 7 階層プロトコルと TCP ／ IP の実装階層機能関連する TCP ／ IP プロトコルアプリケーション層電子メールやファイルの転送といった、具体的なアプリケーションが使用する規約 TELNET.

Global Ring Technologies

W e b 2.0 メディアコミュニケーション論Ⅲ 第４回.

情報実験：ネットワークコンピューティング入門

セキュリティインシデントの現状とネットワーク環境におけるセキュリティ保全

SOHOシステムの構築と運用東北NTユーザ会新潟勉強会資料.

コンピュータウィルスと脆弱性メディアコミュニケーション論Ⅲ 7/18/08.

（株）アライブネット RS事業部企画開発G 小田誠

Android と iPhone （仮題）情報社会とコンピュータ第１３回

受動的攻撃について Eiji James Yoshida penetration technique research site

Ibaraki Univ. Dept of Electrical & Electronic Eng.

前回の課題 IPv6アドレス IP ARP ICMP NAT インターネット層 2003年12月4日情報ネットワーク論新村太郎.

IGD Working Committee Update

片岡広太郎 Modem Watch Dog 片岡広太郎

安全・安心なネット生活を送るためのネットワークセキュリティ

セッション追跡によるプロトコルアノーマリの検知と対処

第14回今日の目標 §４．３情報セキュリティー情報化社会の特徴を社会的な面から概観する情報に関わる危険の要因を示す

ネット時代のセキュリティ２（脅威の例）２ＳＫ　情報機器工学.

CGI Programming and Web Security

TCP (Transmission Control Protocol)

「コンピュータと情報システム」 07章インターネットとセキュリティ

会社名：氏名：日付：.

インターネット社会の脅威（インターネット社会のセキュリティ）開始再生時間：５分２０秒.

第５章情報セキュリティ（前半）［近代科学社刊］

WindowsNTによるLAN構築ポリテクセンター秋田情報・通信系.

XenによるゲストOSの解析に基づくパケットフィルタリング

インターネット早期広域攻撃警戒システム WCLSCAN

輪講：詳解TCP/IP ACE B3 suzuk.

第13回今日の目標 §４．３情報セキュリティー情報化社会の特徴を社会的な面から概観する情報に関わる危険の要因を示す

Telnet, rlogin などの仮想端末 ftp などのファイル転送 rpc, nfs

まとめと補足ネットワークシステムⅠ 第１５回.

第2章第1節情報通信の仕組み 1 ネットワークの仕組み 2 通信プロトコル 3 認証と情報の保護

情報検索概説II（99秋）第3回　1999/10/21 インターネットの仕組み(2).

Ibaraki Univ. Dept of Electrical & Electronic Eng.

コンピュータとネットワークの利用国際経営学科牧野ゼミ３年足立龍哉.

学校におけるネットワークの運用と技術解説編.

セキュリティ（５） 05A2013 大川内　斉.

Linux リテラシ 2006 第4回ネットワーク CIS RAT.

第２章ネットサービスとその仕組み（後編）［近代科学社刊］

ウイルスについて I98N044 久野耕介 I98N114 藤田和久

7. セキュリティネットワーク（ファイアウォール）

DiffServにおけるクラスの新しい設定方法の提案

セキュリティ（６） 05A2013 大川内　斉.

分散IDSの実行環境の分離による安全性の向上

Java Bytecode Modification and Applet Security

ネットワークの基礎知識電子制御設計製図Ⅰ 　　2014年5月2日　Ⅲ限目.

インターネットにおける真にプライベートなネットワークの構築

セキュリティ 05A2013 大川内　斉.

セキュリティ（２） 05A2013 大川内　斉.

各種ルータに対応する P2P通信環境に関する研究

情報通信ネットワークの仕組み.

A18 スパムサーバの調査～ボットを見抜けるか？～

DNSクエリーパターンを用いたOSの推定

Intel SGXを用いた仮想マシンの安全な監視機構

すずきひろのぶインターネット・セキュリティの現状すずきひろのぶ本プレゼンテーションは２００２年３月２０日に大阪で講演したものをベースにしています.

C11: 不正アクセスパケットの可視化シャボン

最低限インターネットネットワークにつなぎましょ!

後藤滋樹研究室の紹介現在のインターネットの課題敵を知り、己を知れば、百戦危うからず（孫子） 1

仮想環境を用いた侵入検知システムの安全な構成法

Cell/B.E.のSPE Isolationモードを用いた監視システム

IDSとFirewallの連携によるネットワーク構築

ユーザコンテキストを反映したセマンティックキャストの基盤技術

仮想マシンに対する高いサービス可用性を実現するパケットフィルタリング

４．３　IPとルーティングテーブル国際産業情報学科　２年大竹　雅子.

異種セグメント端末による分散型仮想LAN構築機構の設計と実装

ネットワークプログラミング 05A1302 円田　優輝.

ポートスキャン実習 2002年9月19日修士1年兼子譲牧之内研究室「インターネット実習」Webページ

ユーザ認証の盗聴 2002/9/10 峯肇史牧之内研究室「インターネット実習」Webページ

Presentation transcript:

ポートスキャンログ分析からみたインターネットセキュリティの一考察常時接続におけるネットワークセキュリティの脅威ソフトウェアコンサルタント鈴木裕信 Hironobu@h2np.net 2001/6/14 SEA ソフトウェアシンポジューム 2001

主旨 H2NP.NETサイトにおける外部からのポートスキャンのログを解析することにより、アタックのトレンドを考察するセキュリティログをPretty Printするツールclscanの紹介 Clscanをベースに拡張した広域におけるポートスキャン解析システムの提案 Clscanは各種ルータ、TCP_WRAPPER、IP Filterなどのログをparseし、共通のフォーマットに変換、その後、表や簡単な統計を作るツールである。 2001/6/14 SEA ソフトウェアシンポジューム 2001

バックグラウンドダイアルアップから常時接続へ 24hours in a day / 7 days in a week CATVやxDSLの普及 24hours in a day / 7 days in a week 本格的なインターネット環境へ～1993：先端的研究部門への普及～1995: 大企業への普及～2000: ビジネスの現場への普及 2000～: 小規模サイト・小中学校・家庭へ普及へ今日（２００１年６月現在）いわゆる「ブロードバンド時代」へ突入する入り口にいる段階である。 2001/6/14 SEA ソフトウェアシンポジューム 2001

問題点常時接続環境においては大企業のサイトも一般家庭のサイトも規模は違えど本質的には何も変わらないまったく同じ問題を抱えているソフトウェアの脆弱性ネットワークサービスのセットアップミス不十分な管理無防備なシステム一般家庭にまでブロードバンドが広がる時代ににさしかかっている今日でも、コンピュータは今までと同質の問題を抱えている。しかも、プラットフォームの多様性は乏しく、同じ問題を抱えたシステム（パソコン、サーバふくめて）が大量に存在している。つまり、プラットフォーム共通の問題を１つ見つけたということは、数十万台、数百万台という単位で、同じ問題を抱えるコンピュータがあるという意味である。 2001/6/14 SEA ソフトウェアシンポジューム 2001

その結果… 無防備なシステムは自動的にスキャンされ、攻撃を受けることになる rpc.statd (111) LPRng(515) NFSに使うデーモン LPRng(515) 新しいlpd 911 Worm(137,138,139) Windowsを狙って増殖 smurf, land (ICMP) ICMP Echoなどの設定ミス多くのUNIX BOXではNFSを動かしているはずである。つまりrpc.statdの問題を持つUNIX BOXは（rpc.statdの問題を最初に発見した時は）、莫大な数になるはずである。 LPPrn(lpd)も同様である。Windows系では911 Wormがある。また組込みであってもTCPスタックを組み込んでいればsmurfやlandを引き起こす可能性がある。どのシステムでも同じように脅威は存在することを忘れてはならない。 2001/6/14 SEA ソフトウェアシンポジューム 2001

ファイアウォール本論文での定義ファイアウォールとして最初にすること内部ネットワークを保護するプロテクションシステムの総体インターネットと直接接続するルータでのIPパケットフィルタリングマシン側でアクセス制御する方法もある TCPWAPPER BlackIce DMZなどはネットワークセグメント全体で１つのファイアウォールを形成しているといえる。ルータレベルでIPパケットのフィルタリングにより不必要なパケットの到達を防ぐ場合もあるし、到着したIPパケットをフィルタリングするという方法もある。 2001/6/14 SEA ソフトウェアシンポジューム 2001

利用環境 Internet Linux Based Network Web,DNS,Mail,etc Router Logging Server Filtered Log Internal Router これは筆者のオフィスのコンピュータ環境である。インターネットに接続されるルータのログは、もっとも保護されている内部ネットワーク内にあるマシンで記録される。たとえDMZ内部に侵入されても、ログを破壊して形跡を消すというのは非常に難しい構成になっている。 Internal network DMZ 2001/6/14 SEA ソフトウェアシンポジューム 2001

IPフィルタログの分析期間記録数ポートスキャンとして扱う対象ポートスキャン数２０００年７月１日～２００１年１月３１６７１４ syslogに記録されたルータのIPフィルタ設定で破棄された記録）ポートスキャンとして扱う対象２６種類ポートスキャン数４８９８インターネットに接続したルータのフィルタリングにより破棄されたIPパケットの記録である。Syslogでは同じ記録が繰り返されると省略されるわけだが、この場合（破棄されたパケットの数を数えるのではなく）１つの事象を記録したと捉えたという扱いにする。筆者はOCNエコノミーに接続しているが、この数が多いか少ないかは他のサイトと比較したことがないのでわからない。 2001/6/14 SEA ソフトウェアシンポジューム 2001

対象ポート注）domainやsmtpなどは存在していないアドレスへのアクセス ftp(21/tcp), telnet(23/tcp), smtp(25/tcp), domain(53/tcp),　httpd(80/tcp), linuxconf(98/tcp), pop2(109/tcp), pop3(110/tcp),　sunrpc(111/tcp), netbios_ns(137/tcp), netbios_ns(137/udp), netbios_dgm(138/tcp), netbios_dgm(138/udp), netbios(139/tcp),　netbios_ssn(139/udp), imap(143/tcp), printer(515/tcp),　linux_mountd(635/tcp),　socks(1080/tcp), Sub7(1243/tcp), MS_SQL_S(1433/tcp), ingreslock(1524/tcp), squid(3128/tcp), pcanywheredata(5631/tcp), wwwproxy(8080/tcp), NetBus(12345/tcp), BackDoor_G(27374/tcp), Hackatack(31789/udp), rpcbind(32773/tcp) これはclscanに登録してあるリストである。これ以外のポートだとunknownとして処理する。Smtp、domain、httpd、alt-httpdなど広く公開されているポートに関しては存在しない（使われていない）アドレスへのアクセスである。 2001/6/14 SEA ソフトウェアシンポジューム 2001

統計分析データ 2001/6/14 SEA ソフトウェアシンポジューム 2001 Netbios関連は意図的な攻撃だけではなく不用意なパケットの送信も含まれている。ただし、このような不用意なパケットが発信されること自体が問題だという指摘もある。 2001/6/14 SEA ソフトウェアシンポジューム 2001

月別変化２０００年１０月が突出しているのがわかる。続く１１月も多い。 2001/6/14 SEA ソフトウェアシンポジューム 2001

月別変化 NetBIOS編 MS00-047 (Jul27) MS00-066 (Sep11) MS00-091 (Nov30) Netbios-ssn:139 / Session service Netbiso-ns:137 / Nameserver MS00-047: NetBIOS Name Server Protocol Spoofing Vulnerability(NT4.0 2K) MS00-066: Malformed RPC Packet Vulnerability(2K) MS00-091: Incomplete TCP/IP Packet Vulnerability(NT4.0 95 98 Me 98s) 2001/6/14 SEA ソフトウェアシンポジューム 2001

NetBios編用語説明 Netbios-ssn Netbiso-ns MS00-047 ポート番号139 MS00-066 Windowsのポートサービス Netbiso-ns ポート番号137 Windowsのネームサーバ MS00-047 NetBIOS Name Server Protocol Spoofing Vulnerability (NT4.0 W2K) MS00-066 Malformed RPC Packet Vulnerability(W2K) MS00-091 Incomplete TCP/IP Packet Vulnerability(NT4.0 95 98 Me 98s) www.microsoft.com 2001/6/14 SEA ソフトウェアシンポジューム 2001

月別変化 BugTraq Nov15 Socks remote ベスト10 (netbiosを除く) exploit code posted CA-2000-13 CA-2000-17 CA-2000-20 CA-2000-22 CA-2000-13: Two input Validation problems in FTPD CA-2000-17: Input Validation Problem in rpc.statd CA-2000-20: Multiple Denial-of-Servioce Vulnerability in ISC BIND CA-2000-22:Input Validation Problem in LPRng 2001/6/14 SEA ソフトウェアシンポジューム 2001

ベスト10 用語説明 CA-2000-13 CA-2000-17 CA-2000-20 CA-2000-22 Two input Validation problems in FTPD CA-2000-17 Input Validation Problem in rpc.statd CA-2000-20 Multiple Denial-of-Service Vulnerability in ISC BIND CA-2000-22 Input Validation Problem in LPRng www.cert.org 2001/6/14 SEA ソフトウェアシンポジューム 2001

月別変化 sunrpc IN-2001-01 CA-2000-17 2001/6/14 SEA ソフトウェアシンポジューム 2001 CA-2000-17: Aug 18 : Input Validation Problem in rpc.statd IN-2001-01: Jan 18: Ramen 2001/6/14 SEA ソフトウェアシンポジューム 2001

Sunrpc 用語説明 CA-2000-17: Aug 18 IN-2001-01: Jan 18 Input Validation Problem in rpc.statd IN-2001-01: Jan 18 Ramen Worm toolkit www.cert.org 2001/6/14 SEA ソフトウェアシンポジューム 2001

CLSCAN Common Log SCAN 既にsyslogに記録される数々のセキュリティ情報は存在しているが人間が簡単に読める形ではないセキュリティログのプリティプリント HTML, Text 簡単な統計情報各種SOHO向けルータ、TCPWAPPER、IP filterなどのログに対応 http://h2np.net/clscan そもそもは自分で使うために作ったツールである。GPL2で公開し、色々な方から情報や拡張したコード頂いた。MN128、YAMAHA RT、CISCO 等などをサポートしている。詳しい情報は上記URLにあるので、それを参照していただきたい。 2001/6/14 SEA ソフトウェアシンポジューム 2001

リスト形式での表示をした場合 2001/6/14 SEA ソフトウェアシンポジューム 2001

簡単な統計をサポート 2001/6/14 SEA ソフトウェアシンポジューム 2001

CLSCANをより広域へ現在のCLSCANは個々のサイトのログを統計処理しているだけなんとなくトレンドはわかるしかし統計的には偏りが大きいはずであるもっと広域の情報を集めれば、さらにトレンドがはっきりする？ポートスキャンとアタックの関係をもっとフィールドワークする必要がある２００１年６月（来週）にフランス・ツゥールージュで行われるFIRSTカンファレンスでは韓国政府関連団体KISA(Korean Information Security Agency)が作った広域ポートスキャン監視ツールの論文発表がある。これはWCLSCANと同様なコンセプトである。 2001/6/14 SEA ソフトウェアシンポジューム 2001

WCLSCAN Database Pre-processing by clscan library Secure Message Statistics Processing 1) Clscanのライブラリを利用し各々のセキュリティログを標準フォーマット化 2) データを暗号化し、データベースへ送る 3) 広域からの情報に対し統計処理を行う 3‘) データ－マイニングの手法を用いてトレンドを発見したり、あるいは新しいパターンを見つける 2001/6/14 SEA ソフトウェアシンポジューム 2001

誰か一緒にやりませんか？ WCLSCANは広域の情報を集めるツールであって、それは手段である。その集めた情報から何が見えてくるのか、これが筆者の興味であり、目的である。まだ誰も広域データの分析をしたことがない。誰も知らないことを知りたいと思いませんか？ WCLSCANは広域の情報を集めるツールであって、それは手段である。その集めた情報から何が見えてくるのか、これが筆者の興味であり、目的である。実際には誰もデータの分析をしたことがない。誰も知らないことを知りたいとは思いませんか？ 2001/6/14 SEA ソフトウェアシンポジューム 2001

まとめ SOHOレベルでもたくさんのポートスキャンがあるシステムへの侵入を前提としたポートスキャンであると強く示唆するものもあるブロードバンド時代では一般家庭レベルでも問題になるだろうさらに今後も観察を続ける必要がある１サイトのログだけではなく、広域のデータを集めることができれば、さらに新しい発見が可能かも知れないやはりこの手の分析には地道なフィールドワークが必要である。 2001/6/14 SEA ソフトウェアシンポジューム 2001