仮想環境を用いた 侵入検知システムの安全な構成法

Slides:



Advertisements
Similar presentations
九州工業大学 塩田裕司 光来健一.  仮想マシンは必要なときだけ動かす使い方が一般 的 ◦ 一台の計算機上に複数の計算機を仮想的に作成できる ◦ デスクトップ  異なる OS を使用するため作成 ◦ サーバ  最大負荷に合わせた数の仮想マシンを作成  長期間使わない仮想マシンも存在する VM.
Advertisements

九州工業大学大学院 情報工学府 情報創成工学専攻 塩田裕司.  仮想マシン( VM )は必要なときだけ動かすこと が多い ◦ クラウドでもデスクトップでも ◦ 長期間使わない VM が存在する  VM の再開時に攻撃を受ける可能性が高くなる ◦ 停止中に OS やアプリケーションの脆弱性が発見されるこ.
プロセスの依存関係に基づく 分散システムのセキュリティ機構
ファイルキャッシュを考慮したディスク監視のオフロード
セキュリティ機構のオフロードを考慮した仮想マシンへの動的メモリ割当
クラウド上の仮想マシンの安全なリモート監視機構
クラウドにおける ネストした仮想化を用いた 安全な帯域外リモート管理
IaaS 仮想マシン(VM)をネットワーク経由で提供 負荷に応じてVM数や性能を変更できる ハードウェアの導入・管理・維持コストの削減
中村孝介(九州工業大学) 光来健一(九州工業大学/JST CREST)
KVMにおけるIDSオフロードのための仮想マシン監視機構
ファイルシステムキャッシュを 考慮した仮想マシン監視機構
仮想計算機を用いたファイルアクセス制御の二重化
OSが乗っ取られた場合にも機能するファイルアクセス制御システム
侵入検知システム(IDS) 停止 IDS サーバへの不正アクセスが増加している
第13回 今日の目標 §4.3 情報セキュリティー 情報化社会の特徴を社会的な面から概観する 情報に関わる危険の要因を示す
ファイルシステムキャッシュを 考慮したIDSオフロード
ネストした仮想化を用いた VMの安全な帯域外リモート管理
帯域外リモート管理の継続を 実現可能なVMマイグレーション手法
VMマイグレーションを可能にするIDSオフロード機構
クラウドの内部攻撃者に対する安全なリモートVM監視機構
アスペクト指向プログラミングを用いたIDSオフロード
サスペンドした仮想マシンの オフラインアップデート
サーバ負荷分散におけるOpenFlowを用いた省電力法
型付きアセンブリ言語を用いた安全なカーネル拡張
SAccessor : デスクトップPCのための安全なファイルアクセス制御システム
踏み台攻撃だけを抑制できる VMMレベル・パケットフィルタ
仮想マシンを用いて既存IDSを オフロードするための実行環境
KVMにおける仮想マシンの 内部監視機構の実装と性能評価
7. セキュリティネットワーク (ファイアウォール)
特定ユーザーのみが利用可能な仮想プライベート・ネットワーク
Xenによる ゲストOSの監視に基づく パケットフィルタリング
セキュリティ(6) 05A2013 大川内 斉.
分散IDSの実行環境の分離 による安全性の向上
仮想マシンモニタによる きめ細かい パケットフィルタリング
VM専用仮想メモリとの連携による VMマイグレーションの高速化
IaaS型クラウドにおける インスタンス構成の動的最適化手法
リモートホストの異常を検知するための GPUとの直接通信機構
シャドウデバイスを用いた 帯域外リモート管理を継続可能なVMマイグレーション
インターネットにおける真に プライベートなネットワークの構築
仮想メモリを用いた VMマイグレーションの高速化
複数ホストに分割されたメモリを用いる仮想マシンの監視機構
仮想計算機を用いたサーバ統合に おける高速なリブートリカバリ
第7回 授業計画の修正 中間テストの解説・復習 前回の補足(クロックアルゴリズム・PFF) 仮想記憶方式のまとめ 特別課題について
クラウドにおけるIntel SGXを用いた VMの安全な監視機構
クラウドにおけるVMリダイレクト攻撃を防ぐためのリモート管理機構
クラウドにおけるVM内コンテナを用いた 自動障害復旧システムの開発
未使用メモリに着目した 複数ホストにまたがる 仮想マシンの高速化
クラウドにおけるVM内コンテナを用いた 低コストで迅速な自動障害復旧
複数のオーバレイネットワークを制御するためのプライベートなネットワーク環境
インターネットにおける パーソナルネットワークの構築
仮想マシンを用いた 既存IDSのオフロード
Intel SGXを用いた仮想マシンの 安全な監視機構
軽量な仮想マシンを用いたIoT機器の安全な監視
複数ホストにまたがって動作する仮想マシンの障害対策
セキュリティ機構のオフロード時の 性能分離
VMMのソフトウェア若化を考慮した クラスタ性能の比較
VPNとホストの実行環境を統合するパーソナルネットワーク
信頼できないクラウドにおける仮想化システムの監視機構
Cell/B.E.のSPE Isolationモードを用いた監視システム
仮想マシンの監視を継続可能なマイグレーション機構
IDSとFirewallの連携によるネットワーク構築
仮想マシンに対する 高いサービス可用性を実現する パケットフィルタリング
Cell/B.E. のSPE上で動作する 安全なOS監視システム
VMリダイレクト攻撃を防ぐための 安全なリモート管理機構
強制パススルー機構を用いた VMの安全な帯域外リモート管理
IPmigrate:複数ホストに分割されたVMの マイグレーション手法
特定ユーザーのみが利用可能な仮想プライベート・ネットワーク
Virtual Machine Introspectionを可能にするVMCryptの拡張 田所秀和 光来健一 (九州工業大学)
強制パススルー機構を用いた VMの安全な帯域外リモート管理
管理VMへの キーボード入力情報漏洩の防止
Presentation transcript:

仮想環境を用いた 侵入検知システムの安全な構成法 光来健一* 廣津登志夫** 佐藤孝治** 明石修** 福田健介** 菅原俊治** 千葉滋* *東京工業大学 **NTT未来ねっと研究所 

侵入検知システム(IDS) ホストへの攻撃の徴候を検出・報告する ホスト型IDS(HIDS) ネットワーク型IDS(NIDS) ホストやネットワークの監視を続けなければならない ホスト型IDS(HIDS) ユーザの挙動、ファイルなどを監視 ネットワーク型IDS(NIDS) ネットワーク上を流れるパケットを監視

従来のIDS構成 ホスト型IDS ネットワーク型IDS IDSがサーバプロセスと同じ実行環境下で動く HIDS httpd NIDS sshd

攻撃によるIDSの停止 IDSの停止 攻撃方法 IDSプロセスの停止 IDSのルールを変更 IDSのルール漏洩 サーバプロセスの通信チャネルから侵入 IDSの利用する通信チャネルから侵入 管理者になりすまして侵入

アップデート時のIDSの停止 IDSの停止 綿密なテストが必要 アップデート時の不手際 新しいIDSの不具合 別個に同じ環境を作るのは大変 既存の環境で共存させるのは危険 ディレクトリやネットワークポートを変更

新しいIDS構成法 IDSを仮想環境の中で動かす 構成要素 IDSを攻撃から守る アップデートを安全に行う 監視用ポートスペース サーバ用ポートスペース サーバプログラムを動かす ベース環境 ホスト サーバ用 ポートスペース 監視用 ポートスペース サーバ IDS ファイル システム ベース環境 ベースネットワーク

ポートスペース [光来ら’03] 仮想的な実行環境 ファイルシステム空間 ネットワーク空間 プロセス空間 ベース環境のファイルシステムを継承できる 一から構築しなくてよい ネットワーク空間 ベース環境と同じIPアドレスが使える 専用のIPアドレスが必要ない プロセス空間 シグナルの送信を制限できる プロセス ネットワーク スタック

監視用ポートスペース サーバ用ポートスペースを監視できる VPNのみを利用する 他の監視用ポートスペースと通信できる ファイルシステム ネットワークインタフェース VPNのみを利用する 他の監視用ポートスペースと通信できる 閉じたネットワークを形成する 監視 IDS サーバ用 ポートスペース 監視用 ポートスペース VPN

サーバ用ポートスペース ベースネットワークを利用する 複数のサーバ用ポートスペースを使える インターネットからアクセスできる サーバプロセス宛てのパケットを転送する ベース環境とサーバ用ポートスペースの間 複数のサーバ用ポートスペースを使える サーバ用 ポートスペース サーバ サーバ 転送 ベース環境 インターネットへ ベースネットワーク

IDSの保護 サーバ用ポートスペースからはアクセスできない インターネットから直接アクセスできない ファイル、ネットワーク、プロセスのいずれにも サーバプロセス経由で侵入されても大丈夫 インターネットから直接アクセスできない VPNが必要 131.112.40.1 監視用 ポートスペース IDS 131.112.40.1 サーバ用 ポートスペース

IDSの多重化 複数の監視用ポートスペースでそれぞれIDSを動かす 万一の場合でも監視を続けることができる サーバ用 ポートスペース サーバ 監視 IDS

IDSの安全なアップデート 別々の監視用ポートスペースの中で古いIDSと新しいIDSを同時に動かす アップデートが完了したら古いポートスペースは破棄 分散IDSも一括してアップデートできる 新しいIDS サーバ サーバ 古いIDS

継承を用いたアップデート 古いIDSの動いているポートスペースを継承 必要なファイルだけ変更 アップデート完了時に古いIDSプロセスを停止 サーバ 継承 古いIDS

実装 FreeBSD 4.7にポートスペースを実装 ファイルシステムの仮想化 ネットワークの仮想化 監視機構

ファイルシステムの仮想化 ベース環境の/.filespace/<id>を利用 unionマウント 継承を実現 IDSのチェックを容易に 読み出し 書き込み /.filespace/1 / unionファイルシステム

ネットワークの仮想化 VPNにはIPsecを用いる 監視用ポートスペース サーバ用ポートスペース IPsecのSPIの値でパケットを分離 ポート番号でパケットを分離 外部ホストと通信する時は 動的NAPTのように変換 サーバ用 ポートスペース 監視用 ポートスペース httpd popd IDS1 IDS2 port=80 port=110 SPI=1 SPI=2 非IPsec IPsec ベース環境 ベースネットワーク

ファイルシステムの監視 サーバ用ポートスペースのファイルシステムをマウント unionマウント /.serverfs/<id>でアクセスできる /.filespace/<id>だけをマウントすることもできる 変更部分のみ ポートスペース1の unionファイルシステム /.filespace/1 監視するための unionファイルシステム / /.serverfs/1 /.filespace/2 / ポートスペース2の unionファイルシステム

ネットワークの監視 ベース環境のネットワーク インタフェースにアクセス パケットフィルタ(BPFなど)を通して 全てのパケットを取得できる システム全体に対する攻撃も監視 サーバ用 ポートスペース 監視用 ポートスペース IDS BPF ベース環境

実験:Tripwire ファイルの改ざんを監視 全てのファイルをチェック オーバヘッド ベース環境にて 監視用ポートスペースからサーバ用ポートスペース 全てのファイルをチェック ファイルに変更はなし オーバヘッド 15% 変更部分だけチェックすれば高速化できる PentiumIII-S 1.4GHz メモリ 512MB

実験:Snort ネットワークパケットを監視 UDPパケットを大量に送信 オーバヘッド ベース環境にて 監視用ポートスペースにて 2,200パケット/秒 オーバヘッド 0.9%多くとりこぼした 100baseT スイッチ NIC Intel Pro/100+

実験:thttpdウェブサーバ サーバ用ポートスペースのオーバヘッド測定 オーバヘッド ApacheBench 継承なし: 9.5% 継承あり: 4.3%

関連研究(1) IDSをカーネル内で動かす IDSを別のホストで動かす ホストに侵入されても停止させられにくい 制御用のシステムコール経由の攻撃 専用のIDSが必要 IDSを別のホストで動かす サーバホストの影響を受けにくい アップデートで多重化がしやすい ネットワーク型IDSのみ対応できる

関連研究(2) VMI [Garfinkel et al.’03] サーバプロセスを仮想マシンの中で動かす IDSが直接攻撃を受ける ホスト 仮想マシン サーバ 監視 IDS

まとめ IDSをポートスペースの中で動作させるIDS構成法を提案 今後の課題 IDSの安全性を確保 IDSのアップデート時に監視を継続 IDSに対するDoS攻撃への対処 IDSを多重化させた時の負荷対策