Passive Network Discovery Systems Martin Roesch

Slides:



Advertisements
Similar presentations
TCP / IP の基礎 ネットワーク管理者入門. インターネットを支える技術 ISO の 7 階層プロトコルと TCP / IP の実装 階層機能関連する TCP / IP プロ トコル アプリケーション層電子メールやファイルの転送 といった、具体的なアプリ ケーションが使用する規約 TELNET.
Advertisements

最新ファイルの提供を保証する代理FTPサーバの開発
クラウド上の仮想マシンの安全なリモート監視機構
クラスタ分析手法を用いた新しい 侵入検知システムの構築
(株)アライブネット RS事業部 企画開発G 小田 誠
クラウドにおける ネストした仮想化を用いた 安全な帯域外リモート管理
B4向け研究グループ紹介 セキュリティ&村岡セキュリティプロジェクト
受動的攻撃について Eiji James Yoshida penetration technique research site
Ibaraki Univ. Dept of Electrical & Electronic Eng.
IaaS 仮想マシン(VM)をネットワーク経由で提供 負荷に応じてVM数や性能を変更できる ハードウェアの導入・管理・維持コストの削減
安全・安心なネット生活を送るためのネットワークセキュリティ
セッション追跡によるプロトコルアノーマリの検知と対処
– Tales From the Trenches
ネットワーク検知技術の最適化への ハイブリッド・アプローチ
(別紙1)プロフェッショナルサービスの概要
「コンピュータと情報システム」 07章 インターネットとセキュリティ
Webサイト運営 09fi118 橋倉伶奈 09fi131 本間昂 09fi137 三上早紀.
第5章 情報セキュリティ(前半) [近代科学社刊]
“All your layer are belong to us” 君達の「階層」は全て我々が戴いた
トランスポート層.
ネストした仮想化を用いた VMの安全な帯域外リモート管理
ネットワーク機器接続 2SK 情報機器工学.
認証と負荷分散を考慮した ストリーミングシステムに関する研究
ファイアウォール 基礎教育 (2日目).
「コンピュータと情報システム」 06章 通信ネットワーク
UTM SS5000で社内ネットを一括管理 簡単に、安全な、ネットワークセキュリティ-システムを構築 UTM 無 UTM 有
Ibaraki Univ. Dept of Electrical & Electronic Eng.
セキュリティ(5) 05A2013 大川内 斉.
型付きアセンブリ言語を用いた安全なカーネル拡張
ネットワークアプリケーションと セキュリティ
7. セキュリティネットワーク (ファイアウォール)
セキュリティ(6) 05A2013 大川内 斉.
分散IDSの実行環境の分離 による安全性の向上
Why SonicWall? ~SonicWall UTM製品が選ばれる3つの理由~ 特許技術の”RFDPI” マルチコアアーキテクチャ
インターネットにおける真に プライベートなネットワークの構築
セキュリティ 05A2013 大川内 斉.
複数ホストに分割されたメモリを用いる仮想マシンの監視機構
Linux リテラシ 2006 第5回 SSH と SCP CIS RAT.
セキュリティ(2) 05A2013 大川内 斉.
TCP/IP入門          櫻井美帆          蟻川朋未          服部力三.
各種ルータに対応する P2P通信環境に関する研究
Ibaraki Univ. Dept of Electrical & Electronic Eng.
クラウドにおけるIntel SGXを用いた VMの安全な監視機構
DNSクエリーパターンを用いたOSの推定
個人の動画配信のためのWebサーバ構築 06A1058 古江 和栄.
Intel SGXを用いた仮想マシンの 安全な監視機構
軽量な仮想マシンを用いたIoT機器の安全な監視
片方向通信路を含む ネットワークアーキテクチャに於ける 動的な仮想リンク制御機構の設計と実装
ウィルスって どの位感染しているのかな? 菊池研究室  小堀智弘.
コミュニケーションと ネットワークを探索する
P2P ネットワーク上で 実時間ストリーミングを実現するための 分散制御プロトコルの提案
仮想環境を用いた 侵入検知システムの安全な構成法
第一回 情報セキュリティ 05A1027 後藤航太.
Peer-to-Peerシステムにおける動的な木構造の生成による検索の高速化
Security Centerビデオアーキテクチャ
ネットワークのセキュリティを向上する最新技術を搭載! プロファイル形式によるIPsec VPN設定
IDSとFirewallの連携によるネットワーク構築
トラフィックプロファイラAGURIの設計と実装
仮想マシンに対する 高いサービス可用性を実現する パケットフィルタリング
VMリダイレクト攻撃を防ぐための 安全なリモート管理機構
サイバー攻撃シミュレーション サービス Cisco Cyber Range (シスコ サイバー レンジ)サービス
ユビキタスコンピューティングの ための ハンドオーバー機能付きRMIの実装
Microsoft® Office® 2010 トレーニング
強制パススルー機構を用いた VMの安全な帯域外リモート管理
異種セグメント端末による 分散型仮想LAN構築機構の設計と実装
特定ユーザーのみが利用可能な仮想プライベート・ネットワーク
情報ネットワーク 岡村耕二.
ベイジアンネットワークと クラスタリング手法を用いたWeb障害検知システムの開発
強制パススルー機構を用いた VMの安全な帯域外リモート管理
管理VMへの キーボード入力情報漏洩の防止
Presentation transcript:

Passive Network Discovery Systems Martin Roesch

侵入検知の現状

NIDS とは? ネットワーク侵入検知システム(NIDS)は、リアルタイムにトラフィックを監視します。また、疑わしいアクティビティを検知した場合、警告を発します。

なぜ NIDS が重要なのか? アクセス制御 (ファイアウォール設定) は、セキュリティ ソリューションの一部でしかありません。このため、企業の安全を完全に確保するにはネットワーク監視技術 (階層型セキュリティ) が必要になります。

補足的なセキュリティ手段 ネットワーク侵入検知システム(NIDS)は、ファイアウォールやその他のセキュリティ インフラを補足し、強化します。 ファイアウォールを飛び越えられたり、構築ミスがある場合の “保証” を提供 内部の人間によるセキュリティ上の脅威を防止 環境や脅威のベクトル値の変更に対して、コンピュータ犯罪科学の分析を提供

NIDS に異常が? 思ったように 侵入検知システム(IDS) が機能しない。 この数年、宣伝は過剰なのに実際の品は供給不足で、業界自体が最大の敵になっている。 侵入検知システム(IDS)の実際の目的は何なのか? 認識 - ネットワークがどのように機能しているか。セキュリティ インフラがどのように機能しているか? 分析 - 異変が起きた場合、何が発生しているのか。また、どうすれば再発を防止できるか? 従来の侵入検知ステム(IDS) は、ネットワークを防御せず、このためネットワークの防御がどのように機能しているか、また、ネットワークがダウンしたときに何が発生したのかが理解できるようになっている。

IDS の実装に関する問題 実装に関する問題 一部、構成が必要 “IP を認識していないとは、どういうことか?!” システム ポリシーの管理 NIDS ソリューションのほとんどが、信頼できるデータ管理ソリューションを備えていない 調整は、終わることのない継続的な処理 “IP を認識していないとは、どういうことか?!” 侵入検知システム(IDS) から値を取得するためには、適切なトレーニングが必要 侵入検知システム(IDS) の出力値を分析するには、  高度の技術や知識が必要 システム ポリシーの管理 分散型のセンサー検知構成の管理は手動による処理

IDS の実装に関する問題 概念上の問題 検知の失敗 データ管理 プタセク氏とニューシャム氏の論文には、侵入検知システム(IDS) が解決できない曖昧さを利用してIDS を無効にする方法についての代表的なガイドが記載されている 多数の (すべての?) IDS で使用されているアプローチの根本的問題 データ管理 侵入検知システム(IDS) を調整してスタッフのトレーニングが済むと、今度はデータ管理lという問題に遭遇する IDSは莫大な情報を生成するため、この情報を管理する必要がある データ管理も (元からIDSにある困難さに負けず劣らず) 非常に困難な問題 IDS が生成するデータは、さまざまな理由により主観的なものであるため、ユーザはコンテキストに追加しない

曖昧な関連性 しかし、どうやって?

知識がないと致命的な結果に 侵入検知システム(IDS)は、ネットワーク状況とは無関係に稼動します。 ネットワーク トポロジーに関する知識がない ネットワークの資産に関する知識がない 資産の重要性に関する知識がない 効果的な優先順位付けは、コンテキストがなければ不可能です。 優先順位は見る人次第で異なる 自動応答は非常にリスクが高い 100% 効力のある検知は、コンテキストがなければ不可能です。 IDS は、ネットワークのトポロジーや構成について、頻繁に仮定しながら推定する必要がある 誤った仮定は、フォルス ポジティブあるいはフォルス ネガティブに至る アタッカーがターゲットに関する情報を NIDS より多く持っていれば、利用されることになります。 IDS にはコンテキストがない。

ネットワーク状況と無関係: 優先順位 ••• 例: Linux web サーバは、CodeRed に対して脆弱ではありません。 回線上に有効なアタックがあったが、重大なものではないか、このコンテキストでは関係のないものでした。 これはフォルス ポジティブにもフォルス ネガティブにもなりませんが、デフォルトの優先順位 (たとえば、重大な) がアタックされたターゲットに関するコンテキストにではなく、イベント タイプに割り当てられます (用語を作るために “非テキスト” )。 上記のようなことが日に何千回も発生し、IDS からのデータの価値が薄くなります。 注意: 情報の有用性が効力のある IDS の鍵です。 Linux Web サーバ インターネット CodeRed アタック ••• IDS アタック!!

ネットワーク状況と無関係: ホスト コンテキスト の欠如 ネットワーク状況と無関係: ホスト コンテキスト の欠如 ホスト (OS IP スタック) はパケットを個別に処理します。このため次のオーバーラップが発生します。 複製物 再送 構成オプション OS がアタックされていて NIDS が機能しないことをアタッカーが知っていれば、回避が生じます。 AD 受信したオーバーラップ パケット : I A M BE CO NTEN T! 1. ハッカーがパケット ストリームに意図的にオーバーラップを投入 2. IDS/IDP は、‘一般的な’ケースを適用してパケットを処理するため、ターゲットから大きく異なることになります。 さまざまな解釈が可能であるため: CO BE M NTEN T! I A AD 両方を受け入れる CO M NTEN T! I A D B どちらも受け入れない CO BE M NTEN T! I A D 最初のものを受け入れる CO AD M NTEN T! I A B 最後のものを受け入れる

ネットワーク状況と無関係: ネットワーク コンテキストの欠如 セッション コンテンツは下位に変更できます。 TTL (有効期限) の満了により IDS/IDP 回避が可能になる MTU (最大伝送ユニット) ポリシーの変化により IDS/IDP 回避が可能になる 適正なトラフィック分析には、トポロジーの知識が重要 TTL=1 ANAT OMYS TACK ••• ANAT OMYS TACK TTL=3 ANAT OMYS TACK TTL=2 IDS TTL=1 ••• ••• インターネット ルータ ルータ ファイアウォール/IPS TTL=0 ••• ••• ANAT OMYS TACK AN AT TACK ルータ OMYS ターゲット

この問題を解決するには? 良い状態になっている場合、コンテキストをネットワーク侵入検知の内部で稼動させる必要があります。 コンテキストに必要な要素とは? ネットワーク コンテキスト トポロジー ホスト コンテキスト ホスト OS ホスト サービス 起こりうる脅威のコンテキスト 脆弱性分類はネットワークに対して利用可能

コンテキストを構成するための現在のツール アクティブなスキャナ ネットワーク プロファイルの断続的な状況 ラップトップはネットワークに接続されていないことが多い 複数のオペレーティング システムを稼動させているマシンが多い 支障のあるサーバは、簡単にアクティブなスキャナの有効範囲外に隠される 範囲が限定されている すべてのプロトコルではない すべてのポートではない すべての資産ではない サービス配信の有力な可能性 ネットワーク帯域幅の使用量 結果はバイナリ値になり、その精度は 100% 正しい、あるいは 100% 不正になる ホストベースのテクノロジ 未知のホストやサービスは検知できない 管理上の負担が非常に大きくなる

コンテキストの構成に理想的な状態 受動ネットワーク検知システム (PNDS) が、唯一の実行可能なアプローチです。 ネットワークに組み込まれているものすべてを監視 すべてのプロトコル すべてのポート すべての資産 情報が途切れない リアルタイム 常時 さまざまな技法の利用や結合が可能 パケット分析 フロー分析 プロトコル分析 信頼度モデル ネットワーク操作を中断させない 最小限の “可動部品”

脆弱性の分析 推量による VA (脆弱性診断) 起こりうる脅威のコンテキストを理解する必要があります。 ホストやホストのプロファイルに関する知識は、脆弱性や脆弱性の悪用、および改善のための処理に直接結びつきます。 ネットワークでのターゲットの探索にパケットは使われず、まったく受動です。 受動アプローチによって、脆弱性を常時監視することができます。 起こりうる脅威のコンテキストを理解する必要があります。 信頼性モデルは、 NIDS の向上により適しています。

リアルタイムの検知変更 新しいネットワーク資産 (および脆弱性) 新しいネットワーク サービス (および脆弱性) ポリシー違反 新しいネットワーク資産 (および脆弱性) ラップトップ サーバ 許可なしで設置されたデバイス ワイヤあり (ケーブル接続式) ワイヤレス 未認証のユーザ 新しいネットワーク サービス (および脆弱性) ポート プロトコル サービス ポリシー違反 デバイス オペレーティング システム アプリケーション アタックによって起こりうる影響を理解しておく必要があります。

受動ネットワークディスカバリー システムの利点

IDS: コンテキストなし

IDS: コンテキストあり IDS にホスト コンテキストとネットワーク コンテキストを提供 ターゲットベースの IDS! PNDS

イベント->脆弱性/対応関係の変更 起こりうる影響に基づいた優先順位付け 何にも関連していないイベントには関心が無い 脆弱性に関連するイベントには、より関心が強い 脆弱性に関連していて、変更に影響するイベントには、非常に関心が強い 段階的な優先順位付け 関連性 脆弱性 資産の感知性 アタックの有効性

自動調整 ランダムなアタックを検知するだけでなく、ネットワークを保護 ! セキュリティ ポリシーの動的実装 プロトコル オペレーティング システム サービス アプリケーション ランダムなアタックを検知するだけでなく、ネットワークを保護 !

フォルス ポジティブ/ネガティブを解消する ネットワーク トラフィック (パケット) エンド ホストとまったく同じ IDS/IPS でのモデル トラフィック マルチプロトコル セッション 取得 RNA リポジトリ RNA イベント ホスト プロファイル 処理 方式 = … OS/バージョン n0 OS/バージョン n1 OS/バージョン IP デフラグ OS/バージョン IP デフラグ TCP ステート マシン (ストリーム 再結合) TCP ステート マシン (ストリーム 再結合) ネットワーク ホスト プロトコル 復号化 ルールベースの 検証

コンテキスト型の応答を可能にする IDP テクノロジには、応答方法が多数あります。 警告のみ 更新ポリシー (ファイアウォール、ルータなど) ブロック セッション ブロック トラフィック (インライン型フィルタリング) コンテキストによってターゲット固有の応答が可能になります。 応答処理モジュール ターゲット ? インターネット 警告 更新 ブロック 警告 更新 警告 のみ 従業員 データベース 商取引 サーバ Web サーバ

結論

NID の発展の必要性についての概念 アルゴリズムでは不充分 フォルス ポジティブの事態は、過去 10 年、飛躍的な向上はしていない パケット/プロトコルの保護は破綻したモデル

PNDS こそが正しい解決方法 脆弱性スキャナは問題を解決してはいますが、この 1 点だけは解決しきれません。 防御側より攻撃者のほうがターゲットに関してより多くの情報を持っている環境で、的確な侵入検知の提供は見込めません。 PNDS は、広く高度に変更可能な環境に適した方法で、コンテキストの生成にまつわるすべての問題に対処します。 市場初の PNDS が 12 月に (Sourcefire 社より) 発売されます。

質疑応答