セキュリティインシデントの現状とネットワーク環境におけるセキュリティ保全

Presentation on theme: "セキュリティインシデントの現状とネットワーク環境におけるセキュリティ保全"— Presentation transcript:

1 セキュリティインシデントの現状とネットワーク環境におけるセキュリティ保全
すずきひろのぶ 2001 Sep 27 Linux Conference 2001

2 内容 セキュリティインシデントの現状分析 ネットワーク環境におけるセキュリティ保全 ネットワーク構成 過去１２ヶ月の分析から
CLSCANの紹介 WCLSCANの提案 ネットワーク環境におけるセキュリティ保全 2001 Sep 27 Linux Conference 2001

3 ファイアウォールのログ インターネットとDMZを区切るルータによるIPフィルタリングのログ
ネットワーク空間を分割する役割を果たす 2001 Sep 27 Linux Conference 2001

4 ネットワーク構成 Internet Linux Based Network Web,DNS,Mail,etc Router Logging
Server Filtered Log Internal Router Internal network DMZ 2001 Sep 27 Linux Conference 2001

5 過去１２ヶ月の記録 ～ リジェクトされた接続 /29 68ポート（TCPのみ） 35106エントリ（TCPのみ） 2001 Sep 27 Linux Conference 2001

6 過去１２ヶ月 注）TCPのみ 2001 Sep 27 Linux Conference 2001

7 トップ10 2001 Sep 27 Linux Conference 2001

8 トップ９ 2001 Sep 27 Linux Conference 2001

9 トップ20 2001 Sep 27 Linux Conference 2001

10 Port 80 2001 Sep 27 Linux Conference 2001

11 CLSCAN Common Log SCAN 既にsyslogに記録される数々のセキュリティ情報は存在しているが人間が簡単に読める形ではない
セキュリティログのプリティプリント HTML, Text 簡単な統計情報 各種SOHO向けルータ、TCPWAPPER、IP filterなどのログに対応 そもそもは自分で使うために作ったツールである。GPL2で公開し、色々な方から情報や拡張したコード頂いた。MN128、YAMAHA RT、CISCO 等などをサポートしている。詳しい情報は上記URLにあるので、それを参照していただきたい。 2001 Sep 27 Linux Conference 2001

12 LIST STAT 2001 Sep 27 Linux Conference 2001

13 WCLSCAN Database Pre-processing by clscan library Secure Message
Statistics Processing 1) Clscanのライブラリを利用し各々のセキュリティログを標準フォーマット化 2) データを暗号化し、データベースへ送る 3) 広域からの情報に対し統計処理を行う 3‘) データ－マイニングの手法を用いてトレンドを発見したり、あるいは新しいパターンを見つける 2001 Sep 27 Linux Conference 2001

14 ネットワーク環境におけるセキュリティ保全
GNU/Linux環境における戦略 2001 Sep 27 Linux Conference 2001

15 フェイルセーフ 多重に防御する 問題をシンプルに切り分けることができる構成にする 単体システムの機能のみに頼らない
All-In-Oneは避ける 「何でもできる」は「何にもできない」と同じ 2001 Sep 27 Linux Conference 2001

16 いくつかの誤解 ファイアウォールソフトを入れれば安全 NATを使えば安全 暗号化すればよい パケット選別はルータレベルですべき
バッファオーバーフローには対応できない NATを使えば安全 外部に接続する否かが問題 暗号化すればよい 通信データ保全とシステム保全とは別問題 2001 Sep 27 Linux Conference 2001

17 いくつかの誤解 LinuxはWindows NTより安全だ ユーザがブラックボックスとして使う限り同じである プラットフォーム数の違いである
POP/IMAP, Telnetd, linuxconf, などなど事例にはことかかない プラットフォーム数の違いである ある規模になるとセキュアなアップデートが困難になる 2001 Sep 27 Linux Conference 2001

18 トータルな防御方法 ファイアウォールの定義 内部ネットワークを保護するプロテクションシステムの総体 ネットワーク単位で守る
2001 Sep 27 Linux Conference 2001

19 5W1Hを明確にする WHAT: 何の情報を守るのか WHO: 誰から守るのか WHOM: 誰の情報を守るのか
WHY: 　　なぜその情報を守るのか WHERE: 守る情報はどこにあるのか HOW: 　　どうやって守るのか 2001 Sep 27 Linux Conference 2001

20 GNU/Linuxのアドバンテージ 金銭的な負担が少ない 目的別にマシンを用意する ×高額なソフトウェア ×高価なハードウェア
必要なソフトウェアのみで稼動させる 問題の切り分けが明確になる ブラックボックスとして使わない Web DNS MAIL etc. 2001 Sep 27 Linux Conference 2001

21 ゾーン・ディフェンス サブネット化などをしてネットワーク的なゾーンを作る サーバが集中するゾーン 直接外部からアクセスされないゾーン
境界ネットワーク（DMZ） 直接外部からアクセスされないゾーン 通常のユーザが使う範囲 インターネット側から遠いゾーンが必ずしも安全とは限らない 内部からの攻撃・トロイの木馬・ウィルス.etc 2001 Sep 27 Linux Conference 2001

22 スクリーンド・サブネット方式 ブランチ型 DMZ DMZ 2001 Sep 27 Linux Conference 2001

23 GNU/LinuxでIPフィルタリングBOX
Linux BOXに複数NICカードをつければできあがり！ りぬくす工房の組込み向けSi-Linux Iptables Ipchain・ipfadmの後継 強力なルールが適用できる 2001 Sep 27 Linux Conference 2001

24 本質的な問題は… 適切なパケットフィルタリングのルールを作ることができるか？ ネットワークの論理設計ができる技量が必要だろう 検証が難しい
本格的に行うならばFormal Specification （形式的仕様記述）のアプローチが必要だろう 2001 Sep 27 Linux Conference 2001

25 個別のマシンに関して TCP_WRAPPERによる制御 Iptabesを使って厳しくパケットをコントロールする
ゾーン（サブネット）単位でアクセスを管理 個別のマシン毎にアクセスを管理 外部からのアクセスをほぼシャットアウト SSHを使ってのログインとポートフォワーディングのみ許す Iptabesを使って厳しくパケットをコントロールする 最低限のサービスしかパケットを出さない コンソールログイン以外許さない 2001 Sep 27 Linux Conference 2001

26 Libsafe バッファオーバーフローはパケットフィルタリングでは防げない 最新のGCCでプログラムをサイト毎に再コンパイルする
不可能ではないが無理がある 多くのバッファオーバーフローはLibsafeで回避できる 2001 Sep 27 Linux Conference 2001