Distributed Intrusion Detection System Keio University Takefuji Lab. SecurityTeam INAS Kensuke Naoe
Agenda 侵入検知システムの抱える問題と必要になる機能と機構 無線LANのセキュリティの問題 今後の方向性
侵入検知システムの抱える課題 未知の手法による攻撃の検出 ネットワークモニタリングの限界 NIDSの回避と攻撃 学習、プロファイル生成 ネットワークモニタリングの限界 暗号化トラフィック、スイッチハブ、HIDSの見直し NIDSの回避と攻撃 InsertionとEvasion、fragmentation、DoS攻撃(負荷分散、分散IDS) 監視ネットワークセグメント内に無線LANが存在する場合 ただし、ネットワークの負荷の問題が出るため、異なるセグメントにただ単にNIDSを導入するのではなく、各計算機が協調し合い、自律しているもの。 分散環境により適した侵入検知システムの開発
必要になってくる機構 大規模な環境で集中管理を必要としない 計算機が落とされてもIDSとしての機能を失わない 学習・蓄積する機構 究極はPCレベルを単位とする分散環境での侵入検知システム 従来のIDSは企業のような大規模な環境を対象に作られていて中央のホストで集中管理するため技術力やコスト面で負担が大きく、また管理しているホストが落とされるとIDSとしての機能を失ってしまう。私は侵入を検知するセンサと管理するマネジャを複数のホストに分散配置し、攻撃手法を蓄積・学習することで防御方法を半自動的に更新し負荷分散させた、個人や小規模ネットワークにも対応したIDSを作成する。
分散IDSとは もともと単一計算機で動作するIDSを拡張 幾つかのシステムにまたがった侵入を認識するために、監視する複数の計算機からログ情報を収集し、それらを解析して不正侵入検知を行なう NIDSとは焦点が違い、ネットワークの監視ではなくホストやOSである
そのセグメントに無線アクセスポイントが導入されるとどうなるのか 無線LANも監視対象に置くべきであろうか IDSの監視対象 ネットワークベースIDSはそのセグメント内を監視 ホストベースIDSはそのホスト自身の挙動、ホストの行なう通信の監視 そのセグメントに無線アクセスポイントが導入されるとどうなるのか 無線LANも監視対象に置くべきであろうか
無線LANとは 有線LANケーブルを電波に置き換えた 1998年ごろにIEEE802.11が規格化されてから本格化 当時は1M~2Mbps程度
無線LANの現状 、普及 通信機器の速度向上 ノートPC、PDAなどのモバイル端末の普及 IEEE802.11b規格>11Mbps,2.4GHz 値段もそこそこ 企業の約半数が無線LANを導入 家庭向け無線LAN製品も続々 ノートPCに標準搭載 街中でも無線LANが使える「ホットスポット」 喫茶店などの店内や駅構内など
無線ネットワークにおける セキュリティ LANからは有線ネットワークと同じ 問題解決のアプローチを有線LANと同じにすることは大変危険 有線のクラッキングの場合、物理的に近づく必要があった 無線のクラッキングの場合、アクセスポイントの通信可能範囲に入るだけ ジャミングなど無線ならではの不正アクセス手法
無線LAN独特の問題 隠れ端末問題 インフラストラクチャーモード アドホックモード
無線LANの危険性 外部から無線LANに侵入される 通信内容の第3者への漏洩 電波による交信が可能な範囲なら屋外からでも可能 第3者に漏洩する危険性がある
じゃ、破ってみよう ESSID NetStumbler WEP AirSnort
NetStumbler
WEPを破るツール AirSnort 2001.8.2 Using the Fluhrer, Mantin, and Shamir Attack to Break WEP 128bitの鍵長で暗号化した通信をおよそ2時間
WEP解析機能のあるAirSnort
問題点 ESSID 基本的に垂れ流しのID WEPキーの解析 暗号化方式に脆弱性あり デフォルト状態でのAP運用 実はかなり多い WEPなし、ESSID:ANY 無線ネットワークセグメントは無線LANのセキュリティで管理するのか、IDSの監視対象とするか 対象外?対象に入れるか 別のアプローチで対処
作成しようとするDIDSとは? (大雑把ですが) 検出部分のセンサと制御部分のマネジャを一括。ログ、シグネチャ、プロファイルなどの検出に必要なDBも分散配置 攻撃手法や不正アクセスのパターンを蓄積、学習。新しい攻撃は定義ファイルなどで配布可能 異常検出のアルゴリズムも採択することで誤警報率を抑制 シグネチャと攻撃手法、不正行為とプロファイルの比較を高速化(メタデータを生成)
嬉しいことは? 管理する計算機での処理は減る PCユーザで管理可能 ユーザが多ければ多いほどデータが取れる ネットワーク全体としてみたときに連携力があり堅牢になる PCユーザで管理可能 パーソナルFWに取って代わる? ユーザが多ければ多いほどデータが取れる ユーザレベルで定義ファイルを作成、UP 免疫がつく、個としては弱いが全体としては強い 感染、攻撃されてしまった計算機をネットワークから切り離せる>切り離してもシステムとして機能する
イメージ図
実装の問題点 Hikeshi ネットワーク監視部分はオープンソースのIDSがある メタデータの生成、やり取りが問題? Snort、Pakemon メタデータの生成、やり取りが問題? RDFでシグネチャやプロファイルデータを記述 RDF Query Lanugages、RDF Query Specification RDFで書かれたメタデータを知識ベースとして捕らえ知識表現や推論の技法を用いて検索を行なう手法 RDFで書かれたメタデータの検索にはさまざまな手法があります. これらは大別して次の二つに分類できます. SQL/XQLのようなアプローチ:RDFをリレーショナルデータベース,もしくはXMLデータベースとして扱う手法 RDFで書かれたメタデータを知識ベースとして捉え,知識表現や推論の技法を用いて検索を行う手法 IBMの"RDF Query Specification"がこのアプローチを採用しています. これを例に話を進めています. このアプローチはRDFのデータをRDBのように見ます. よってできることも基本的にSQLと同じです. "RDF Query Specification"の場合は次の操作ができます.