ネットワークセキュリティ 肖 云上.

Slides:



Advertisements
Similar presentations
第 7 章 ネットワークセキュリティ 大久保 恭太. 7.3 ネットワークスキャン 攻撃者はネットワークを攻撃するにあたって 、 攻撃対象のネットワークの 様々な情報を取得していく 。 ・ドメイン情報の取得 ・ホストに関する情報の取得 ・パスワードの奪取.
Advertisements

TCP / IP の基礎 ネットワーク管理者入門. インターネットを支える技術 ISO の 7 階層プロトコルと TCP / IP の実装 階層機能関連する TCP / IP プロ トコル アプリケーション層電子メールやファイルの転送 といった、具体的なアプリ ケーションが使用する規約 TELNET.
NetAgent P2P検知技術 NetAgent.
Global Ring Technologies
情報基礎A 情報科学研究科 徳山 豪.
安全なログオン手順 2004/08/26 Port139 伊原 秀明.
揮発性情報 2003/05/25 伊原 秀明(Port139).
ファイルキャッシュを考慮したディスク監視のオフロード
第一回 プロキシサーバーを駆使したセキュリティシステムの構築
セキュリティ機構のオフロードを考慮した仮想マシンへの動的メモリ割当
第1回.
コンピュータウィルスと脆弱性 メディアコミュニケーション論Ⅲ 7/18/08.
受動的攻撃について Eiji James Yoshida penetration technique research site
IaaS 仮想マシン(VM)をネットワーク経由で提供 負荷に応じてVM数や性能を変更できる ハードウェアの導入・管理・維持コストの削減
安全・安心なネット生活を送るためのネットワークセキュリティ
Zeusの動作解析 S08a1053 橋本 寛史.
第14回 今日の目標 §4.3 情報セキュリティー 情報化社会の特徴を社会的な面から概観する 情報に関わる危険の要因を示す
ネット時代のセキュリティ2(脅威の例) 2SK 情報機器工学.
CGI Programming and Web Security
キャンパスクラウドによる 実験環境の構築 情報ネットワーク特論 講義資料.
「コンピュータと情報システム」 07章 インターネットとセキュリティ
Webサイト運営 09fi118 橋倉伶奈 09fi131 本間昂 09fi137 三上早紀.
第2章 第1節 情報通信の仕組み 4 暗号技術と情報の保護 5 コンピュータとネットワークの管理
於:県立中村高等学校 同朋学園本部事務局 河邊憲二
インターネット社会の脅威 (インターネット社会のセキュリティ) 開始 再生時間:5分20秒.
第5章 情報セキュリティ(前半) [近代科学社刊]
セキュリティ・チェックリスト解説 【5~10分】
第13回 今日の目標 §4.3 情報セキュリティー 情報化社会の特徴を社会的な面から概観する 情報に関わる危険の要因を示す
トランスポート層.
サーバ構成と運用 ここから私林がサーバ構成と運用について話します.
(B2) 親: minami, kazuki 多様な認証機器に対応する 認証システム (B2) 親: minami, kazuki.
情報コミュニケーション入門 総合実習(1) 基礎知識のポイント(2)
GoNET 競合比較 POPCHAT 2015年04月 アイビーソリューション株式会社.
不正アクセス       ーrootkitについてー              環境情報学部              3年 櫻井美帆.
情報基盤センター 分散システムセキュリティ支援掛 2000年4月18日
セキュリティ(5) 05A2013 大川内 斉.
情報の収集と共有 第3章 3節  ネットワーク社会のルールとマナー 2 情報の安全性確保 p68~p71.
Linux リテラシ 2006 第4回 ネットワーク CIS RAT.
DNSトラフィックに着目したボット検出手法の検討
ウイルスについて I98N044 久野耕介 I98N114 藤田和久
7. セキュリティネットワーク (ファイアウォール)
パケットキャプチャーから感染種類を判定する発見的手法について
セキュリティ(6) 05A2013 大川内 斉.
分散IDSの実行環境の分離 による安全性の向上
ウイルス対策 ウイルスから他人と自分を守る 玉川医師会 (医)小倉病院 縄 嘉津記
サイバーセキュリティ バッファオーバフロー
リモートホストの異常を検知するための GPUとの直接通信機構
インターネットにおける真に プライベートなネットワークの構築
セキュリティ 05A2013 大川内 斉.
岡村耕二 トランスポート層 岡村耕二 情報ネットワーク.
Cisco Umbrella のご紹介 2018 年 1 月.
セキュリティ(2) 05A2013 大川内 斉.
VIRUS.
クラウドにおけるIntel SGXを用いた VMの安全な監視機構
岡村耕二 トランスポート層 岡村耕二 情報ネットワーク.
DNSクエリーパターンを用いたOSの推定
Intel SGXを用いた仮想マシンの 安全な監視機構
軽量な仮想マシンを用いたIoT機器の安全な監視
C11: 不正アクセスパケットの可視化 シャボン
コンピュータ リテラシー 担当教官  河中.
コミュニケーションと ネットワークを探索する
仮想環境を用いた 侵入検知システムの安全な構成法
第一回 情報セキュリティ 05A1027 後藤航太.
Cell/B.E.のSPE Isolationモードを用いた監視システム
IDSとFirewallの連携によるネットワーク構築
仮想マシンに対する 高いサービス可用性を実現する パケットフィルタリング
CO-Client Opeartion 1.1 利用履歴データベースの設計 (スキーマ バージョン 対応)
TCP/IPの通信手順 (tcpdump)
情報モラル06 情報 セキュリティ.
ユーザ認証の盗聴 2002/9/10 峯 肇史 牧之内研究室「インターネット実習」Webページ
Presentation transcript:

ネットワークセキュリティ 肖 云上

7.3 ネットワークスキャン 攻撃者はネットワークに攻撃するにあたって、先ず、様々な 情報を収集します。 ドメイン情報を取得する   攻撃者はネットワークに攻撃するにあたって、先ず、様々な 情報を収集します。 ドメイン情報を取得する ホストに関する情報を取得する パスワードを奪取

7.3 ネットワークスキャン 7.3.1 ドメイン情報の取得 whoisを利用し、ネットワークの管理者を割り出す。 7.3.1 ドメイン情報の取得  whoisを利用し、ネットワークの管理者を割り出す。 知り得た情報を活用し、何方法で組織内の人と接触して、 ネットワークに関する情報を取る。 3. nslookupを使って、ネットワークに関する情報の取得を試みる。   Nslookupとは、DNSへ接続し、FQDNからIPアドレス(もしくはその逆の情報)を取得するためのツール。   主要機能は以下: ホストまたはドメイン名及びIPアドレスの一覧表示 ドメイン内のホストの一覧表示 ドメイン名からIPアドレス、及びIPアドレスからドメイン名を検索 DNSサーバーのバージョン番号を取得

7.3 ネットワークスキャン 7.3.1 ドメイン情報の取得 DNSサーバーの望ましい運用 ◆不要な情報をDNSに保管しない 7.3.1 ドメイン情報の取得  DNSサーバーの望ましい運用 ◆不要な情報をDNSに保管しない  ・内部向けDNSが外部向けDNSにサーバーを待ち受けるように設定しない  ・イントラネットにおいても連絡先の名称、電話番号などはリスト表示させない ◆ゾーン転送を制限する  ・ゾーン転送は信頼関係の間に限定する  ・内部向けであっても、端末から不用意に参照できないようにする ◆ドメイン名、サーバー名に必要以上の情報を与えない  ・fw1.example.net(FW製品の名前が推測できてしまう)  ・mysql1.example.net(sqlサーバーの種類が推測できてしまう) ゾーン:   DNSドメインに属するすべてのホストに関する情報はDNSゾーンと呼ばれる。

7.3 ネットワークスキャン 7.3.1 ドメイン情報の取得    社外向けのDNSと社内向けのDNSを別々用意する場合、DNSに関するFWのフィルタリングルールは以下のようにするのが望ましい ・社外DNSは社内DNSに問い合わせに行かない ・外部への問い合わせは、社外DNSのみとする(社内DNSは社外DNSを利用する)

7.3 ネットワークスキャン 7.3.2 ホストのスキャン    攻撃者は、DNSなどから得られる情報をもとに、ネットワークの構成を獲得します。この情報をもとに、各ホストに関する情報を収集し、特定のホストの攻撃に移ります。   まず攻撃者は、ICMPを用いたスキャニングを行う。知り得たホストの存否に基づき、対象とするホストに対してポートスキャンを行う。その際、OSやネットワークサーバーソフトウェア(Apache など)の名前やバージョン番号などの情報も取得する。これも知り得て、既知の脆弱性を攻撃して、侵入や破壊できる。

7.3 ネットワークスキャン 7.3.2 ホストのスキャン IMCPを用いたスキャン 7.3.2 ホストのスキャン  IMCPを用いたスキャン   IMCPとは、ネットワークシステム管理者がネットワークの到達性などを調査する際に使用するプロトコル。以下のようなタイプのメッセージが定義されている。 ・type0:エコー応答 ・type8:エコー要求 ・type11:時間超過

7.3 ネットワークスキャン 7.3.2 ホストのスキャン IMCPを用いたスキャン pingコマンド: 7.3.2 ホストのスキャン  IMCPを用いたスキャン pingコマンド: ICMPのtype8のエコー要求メッセージを宛先に送る。 受け取って宛先の端末は、ICMPのtype0のエコー応答メッセージを返す。 送信元は、この応答メッセージを受け取って、通信が可能かどうかを確認できます。   pingコマンドを使用して、到達可能かどうかだけでなく、様々なエコー対応するステークスの確認と統計値を調べてネットワークの状態の計算もできる。 pingスイプ:   攻撃者は、目的ネットワークセグメント内のすべてのホストへpingを行い、ネットワークセグメント内のホスト群の存否を検索する。

7.3 ネットワークスキャン 7.3.2 ホストのスキャン IMCPを用いたスキャン Trancert/tranceroute 7.3.2 ホストのスキャン  IMCPを用いたスキャン Trancert/tranceroute TTLを1に設定してICMPパケットを送信します。 一番目のルーターがこのパケットを受け取った時点でTTLが1に減算されて0になって、ICMPのtype11が返されます。 これを受けて、TTLを2にしてICMPパケットを送信します、そして、目的地までの経路上の2番目のルーターの情報を入手します。 これを繰り返すことで、最終目的のホストまでの経路情報を取得します。   攻撃者はTrancert/trancerouteを用いて、攻撃対象のネットワークセグメントの構成を取得する可能性がある。

7.3 ネットワークスキャン 7.3.2 ホストのスキャン ポートスキャン 7.3.2 ホストのスキャン  ポートスキャン   攻撃対象のホストのポートに様々なパケットを送信し、応答パケットを利用して稼働中のサービスを調査する。 TCPスキャニング: (ホスト側にログが残る)  ・TCPの3ウェイハンドシェイクを行ってTCPを確立する方式  ・SYNパケットのみの送信で接続を止めるハーフスキャン方式 ステルススキャニング: (ホスト側にログが残らない)  ・TCPフラグによる逆スキャン  ・Ackフラグによるプローボスキャン  ・TCP断片化によるスキャン

7.3 ネットワークスキャン 7.3.2 ホストのスキャン ポートスキャン対策 開いているポートへのアクセスをブロックする FWがある場合 7.3.2 ホストのスキャン  ポートスキャン対策 開いているポートへのアクセスをブロックする FWがある場合   フィルタリングルールを設定して内部サーバーの接続を必要な特定のサービスのみ限定することg重要です。 FWがない場合   プラットフォームでポートを閉じるだけではなく、不要なサービスをすべて停止することが重要です。

7.3 ネットワークスキャン 7.3.3 パスワードを奪取    攻撃者はパスワード(利用者IDを含む)を得ることによってホストに侵入し、さらなる攻撃のステップとする。 パスワードの奪取方法  ・ブルートフォース攻撃(総当たり)  ・アカウント管理ファイルの奪取  ・ネットワーク上のパスワード奪取  (遠隔からのログインする利用者を狙う)

7.3 ネットワークスキャン 7.3.3 パスワードを奪取 ブルートフォース攻撃 7.3.3 パスワードを奪取  ブルートフォース攻撃 利用者IDもしくはパスワードのいずれかを固定して、他方を無作為に総当たりで試み方法。   利用者IDを固定してパスワードをブルートフォース攻撃する場合、回数制限などによるロックアウトが対策となる。   パスワードを固定して利用者IDをブルートフォース攻撃する(逆ブルートフォース攻撃)には、今のところ打つ手はない。

7.3 ネットワークスキャン 7.3.3 パスワードを奪取 アカウント管理ファイルの奪取 7.3.3 パスワードを奪取  アカウント管理ファイルの奪取 何方法でOSの外部からアカウントを管理しているファイルを奪い取る。   攻撃者は解読ツールによるそれらのハッシュ値を解読できます。   レインボーテーブル:単純なハッシュ値と平文の対応表ではなく、還元関数という特殊な関数を利用してサイズを圧縮したものです。   この攻撃に対しては、古いOSの利用を避けセキュリティパッチを適用することとパスワードの定期変更が対策となります。

7.3 ネットワークスキャン 7.3.3 パスワードを奪取 ネットワーク上のパスワード奪取 7.3.3 パスワードを奪取  ネットワーク上のパスワード奪取 遠隔からログインを試みる利用者からパスワードを奪う。 LM(DESを利用) NTLMv1(DESとMD4を利用) NTLMv2(HMAC-MD5を利用) Kerberos

7.4 セッションハイジャック 正規の2者間のネットワーク通信におけるセッションを当事 者以外が乗っ取る攻撃をセッションハイジャックと呼ぶ。   正規の2者間のネットワーク通信におけるセッションを当事 者以外が乗っ取る攻撃をセッションハイジャックと呼ぶ。 ARP Poisoning攻撃 通信ホストのARPデーブルを攻撃者の都合の良いように書き換えて、正規の2者間の通信をすべて取得する攻撃。 攻撃者がARP情報を書き換える

7.5 マルウェア対策 7.5.1 コンピュータウイルスとワーム コンピュータウイルス (宿主となるプログラムを必要とする) 7.5.1 コンピュータウイルスとワーム  コンピュータウイルス (宿主となるプログラムを必要とする) ・自己伝染機能:自己を複製し、他のコンピュータに広げる機能 ・潜伏機能:特定の条件になるまで、活動を待機する機能 ・発病機能:破壊などの活動を行う機能 ワーム (メモリ上で単体でも活動する) ・単独で侵入し、感染し、活動を行うプログラム ・攻撃対象のセキュリティホールを利用して侵入 ・宿主となるプログラムが必要なものは、「ワームウイルス」となる ボット   コンピュータに感染し、インターネットを通じてそのコンピュータを外部から操ることを目的とする ボット   コンピュータに感染し、インターネットを通じてそのコンピュータを外部から操ることを目的とする トロイの木馬 一見不正なものとは思えないソフトウェアに同封されていたりする トロイの木馬 一見不正なものとは思えないソフトウェアに同封されていたりする トロイの木馬 一見不正なものとは思えないソフトウェアに同封されていたりする スパイウェア 個人情報やアクセス履歴などを盗む

7.5 マルウェア対策 7.5.2 対策 ・OS、ライブラリ、ミドルウェア、アプリケーションを最新のものにしておく 7.5.2 対策  ・OS、ライブラリ、ミドルウェア、アプリケーションを最新のものにしておく ・セキュリティパッチを適用する ・コンピュータウイルス対策ソフトを最新のものに更新しておく ・定期的に脆弱性のスキャンを行う ・怪しいWebサイトや不審なメールに注意する ・万が一のためにデータをバックアップする   一般の利用者のセキュリティ意識向上を狙う教育や、マルウェアを招き入れないシステム利用ガイドラインの策定も必要

7.5 マルウェア対策 7.5.3 進化するマルウェアの現実形態 ポリモーフィック型マルウェア 7.5.3 進化するマルウェアの現実形態  ポリモーフィック型マルウェア   コンピュータウイルス対策ソフトは、マルウェアを検知する際、対象とするプログラムコードの特徴点のパターンと、あらかじめ登録してあるマルウェアの特徴点のパターンを比較して、同じであるか否かで判断します。これをパターンマッチングといいます。   マルウェアの作成者は、マルウェアのプログラムコードの一部を暗号化することで、パターンマッチング手法による検知を回避する手法を導入しました。

7.5 マルウェア対策 7.5.3 進化するマルウェアの現実形態 ポリモーフィック型マルウェア 7.5.3 進化するマルウェアの現実形態  ポリモーフィック型マルウェア ・マルウェアのプログラムコードの一部を暗号化することで、パターンマッチング手法による検知を回避する。 ・感染するごとに、暗号化される鍵をランダムに変えることで、マルウェアの特徴点のパターンが異なることになる ・暗号化されたマルウェアと復号ルーチンから構成される

7.5 マルウェア対策 7.5.3 進化するマルウェアの現実形態 メタモーフィック型マルウェア 7.5.3 進化するマルウェアの現実形態  メタモーフィック型マルウェア   自身を暗号化するのではなく、プログラムコードを分割して順序を入れ替えたり、実質的に何にもしない命令を挿入したり、オリジナルと同じ処理をする別の命令群に置き換えたりして、自身のプログラムコードを、感染時に書き替える手法。

7.5 マルウェア対策 7.5.3 進化するマルウェアの現実形態 ルートキット利用型マルウェア 7.5.3 進化するマルウェアの現実形態  ルートキット利用型マルウェア ・攻撃者が侵入したホストへ継続的にリモートアクセスするためのツール群 ・キーロガーやバックドアなどがある ・OSのコマンドやシステムコールなどを書き変えて動作中の不正なプロセスを隠蔽したり、ファイルやシステムデータを不正な作成、変更、削除を行うものもある

7.5 マルウェア対策 7.5.4 コンピュータウイルス対策ソフトの仕組み ・マルウェアを未然に防ぐためのソフトウェア 7.5.4 コンピュータウイルス対策ソフトの仕組み  ・マルウェアを未然に防ぐためのソフトウェア ・各サーバーで運用されるケースや組織内のネットワーク上にNISDとして運用されるケースがある 以下の2通りのタイミングでマルウェアの検査を行う ①PC端末の外部からデータを取得するとき、当該データを検査する ②定期的もしくは、PC端末の利用者が実行を指示したとき、新しいデバイスを追加したとき、OSから参照できるストレージを検査する。

7.5 マルウェア対策 7.5.4 コンピュータウイルス対策ソフトの仕組み コンペア手法 7.5.4 コンピュータウイルス対策ソフトの仕組み  コンペア手法 ・感染する前のオリジナルのデータをあらかじめ取得しておき、検査においてオリジナルと比較する ・オリジナルのファイルの情報が膨大になるので、ファイルの容量や ハッシュ値などで比較することもある

7.5 マルウェア対策 7.5.4 コンピュータウイルス対策ソフトの仕組み パターンマッチング手法 7.5.4 コンピュータウイルス対策ソフトの仕組み  パターンマッチング手法 ・マルウェアの特徴を保存したデータベースを用意し、そのデータと比較す。 ・パターンファイルは人間が作成するが、機械学習により特徴点を抽出、比較する方法もある ・パターンを常に最新のものにしなくてはならない ・脆弱性の情報が発見、公開されるまでの空白の時間帯は対処できない

7.5 マルウェア対策 7.5.4 コンピュータウイルス対策ソフトの仕組み ヒューリスティック手法 7.5.4 コンピュータウイルス対策ソフトの仕組み  ヒューリスティック手法 ・検査対象のプログラムを実際のOS上で動作させずに検査させる手法 ・マルウェア特有の命令が検査対象のプログラムに含まれているかどうか (静的ヒューリスティック) ・仮想マシン上で検査対象のプログラムを起動する (動的ヒューリスティック) ・正常なプログラムと区別するのが容易ではない

7.5 マルウェア対策 7.5.4 コンピュータウイルス対策ソフトの仕組み ビヘイビア手法 7.5.4 コンピュータウイルス対策ソフトの仕組み  ビヘイビア手法 ・実行しているアプリケーションプログラムをリアルタイムで監視し「不正な動作を要求するシステムコール」や「不正な削除、変更の実行」を検出し阻止する。 ・正常なプログラムとの区別が難しい。 (正常なプログラムでも削除、変更を行う為)

セキュリティニュース URL: http://www.security-next.com/088905