Presentation is loading. Please wait.

Presentation is loading. Please wait.

ネットワーク検知技術の最適化への ハイブリッド・アプローチ

Published byありおき つちかね Modified 約 7 年前

Similar presentations

Presentation on theme: "ネットワーク検知技術の最適化への ハイブリッド・アプローチ"— Presentation transcript:

1 ネットワーク検知技術の最適化への ハイブリッド・アプローチ
By David Meltzer

2 序文 紹介するツールのダウンロード先:

3 常にリアルタイムに確認できるツールが手元にあると
前提  ネットワーク上のデバイスの最新データを 常にリアルタイムに確認できるツールが手元にあると 本当に重宝するだろう。

4 論題 ネットワーク検知 「能動的」 vs 「受動的」 ハイブリッド検出 PAPMapの紹介 実演 結論

5 ネットワーク検知の定義: 以下の質問に答えるもの: ネットワーク上のホストは? オープンポートは? 実行中のサービスは? 実行中のサービスの設定状況は? 望むだけ深く探れる…

6 仮定 ホストベースのツールがない ルータやスウィッチへのアクセスがない ネットワークの変更

7 能動的: デバイスにパケットを送信して直接デバイスを調査する nmap. 受動的: ネットワークトラフィックを静かに待機する
能動的検知 vs 受動的検知 能動的: デバイスにパケットを送信して直接デバイスを調査する nmap. 受動的: ネットワークトラフィックを静かに待機する スニファ、 IDS、 p0f など 市販ツールも使用

8 受動的検知の歴史 RealSecure IDSにおける受動的な脆弱性シグネチャ – 1997年、Meltzer氏によって開発
“受動的脆弱性検出” – 1999年、Gula氏によって開発 “ターゲット・ベースIDS” - 2000年、Roesch氏によって開発 “脆弱性検出システム (VDS)” 年、Meltzer氏によって開発 “受動的脆弱性スキャナ (PVS)” - 2003年、Gula氏によって開発 “受動的ネットワーク検知システム (PNDS)” – 2004年、Roesch氏によって開発

9 検知技術の比較 測定指標: 汚損度 ネットワーク/ホストに対する破壊性 速度 検出時間 検知可能範囲 何を見分けられるか? 正確性 誤探知:偽陽性(誤検出)/偽陰性(見逃し)?

10 受動的検知分析: 汚損度 待機は(ほとんどの場合)安全 IDSが好まれる理由 受動的なものが好まれる理由

11 受動的検知分析: 速度 リアルタイム だが… 先制的に使用すべき

12 受動的検知分析: 検知可能範囲 ‘基本’を検知するのに好適 ‘詳細’を検知するのに不適 受動的(にのみ/のほうが良く) 検知されるもの
受動的でも能動的でもほぼ同様に検知されるもの 多く は能動的な場合にのみ検知される

13 受動的検知分析: 正確性 状況次第…     検知可能範囲が狭くても構わないなら    完全に正確な受動的スキャンが可能

14 能動的検知と受動的検知が補完的な技術であることを認識する…
ハイブリッド検知のアプローチ  能動的検知と受動的検知が補完的な技術であることを認識する… それでも、どちらかを選ぶ必要があるか?

15 単一システムに統合された能動的技術と受動的技術の双方を使用したネットワーク・インベントリデータの収集
ハイブリッドネットワーク検知の定義 単一システムに統合された能動的技術と受動的技術の双方を使用したネットワーク・インベントリデータの収集

16 互いに独立した能動的/受動的検知エンジン:
ハイブリッドの利点 互いに独立した能動的/受動的検知エンジン: 2倍の骨折り 汚損度は実質的に上昇 資源の無駄 競合は手動で解決 ハイブリッドアプローチ: 単一構成 能動的エンジンだけよりも使用する帯域が狭い 単一出力

17 ハイブリッド検知: PAPMapの紹介 ネットワーク検知のための受動的・能動的 スキャン技術の融合 nmapに取って代わるものとして機能 能動的検知にnmapを活用 完全かつ機能的なハイブリッド・スキャナ

18 PAPMap v1.0 の要件 要件-1. nmapと同じコマンドラインを使用する 要件-2. nmapとほぼ同様の出力を形成する 要件-3. TCPポートのオープン/クローズの変更が検知される時は常に、Nmapスキャンを実行し、後に受動的待機モードに切り替えて出力を更新する

19 PAPMap v2.0 の要件 v1.0 に加えて… 要件-1. Linux版 要件-2. UDPポート検知 要件-3. 受動的アプリケーション層サービス検知 要件-4. ハイブリッド機能: a. 統合された能動的ポートスキャン b. 統合された能動的サービス検知 c. 定期的な能動的再スキャン d. 最適化された能動的再スキャン e. 受動優先モード

20 PAPMapの歴史 V2.0のリリース…まさに今 V1.0が2004年7月@ ruxcon.auよりリリース “機能検証(POC)”
Windows版のみ TCPポート検知のみ V2.0のリリース…まさに今 今後の人気が期待される…

21 PAPMapの基本的使用法: パート I nmap: % nmap –oX nmap-results.xml 192.168.1.0/24
% papmap –oX nmap-results.xml /24

22 PAPMapの基本的使用法: パート II nmapを起動する NmapのXML出力をインメモリデータベースへ読み込む
ネットワーク上で無差別に待機を開始する

23 PAPMapの基本的使用法: パート III
ポートの新しいステータスを示す標準出力へのライン出力 マップしているネットワークのリアルタイムの状況を反映するため、Nmap XML fileを更新する(だがディスク障害を避けるために更新情報はキャッシュに保存される) ユーザが停止しない限りモニタリングを続ける

24 PAPMapの機能: TCP ポート検知 ポートが受信待機しているのは… SYNがポートへ送信され、且つ
ポートからSYN/ACK応答が返された場合 ポートが受信待機していないのは… ポートからRST 応答が返された場合 SYNへの応答が無いのは: ポートがクローズしているか? パケットを取りこぼしたか? SYNが不正な形式だったか? ファイアウォールか?

25 PAPMapの機能: UDP ポート検知 UDPには困難がつきまとう… Portがアクティブなのは… トラフィックがポートから来る場合
しかし 受信待機しているのか、それともただのクライアントか? また、クローズしている場合にそれを知る方法は? 証拠… ICMPが到達不可能 複数のあて先への送信 能動的なプローブの結果

26 PAPMapの機能: サービス検知 1. TCPストリームの再構築 2.クライアント側コマンドを実行する前の最初のバナー情報を捕捉
3. Nullプローブ用シグネチャデータベースと照合 4.クライアント側コマンドをクライアントプローブ用コマンドデータベースと照合 5. 次に返されるバナーを捕捉 6. プローブ用シグネチャデータベースと照合 7. まるでnmapがプローブを実行しているかのように、同じ形式で特定されたサービスを出力 Nmapがサービスを調査するのと同じファイル形式を使用する

27 PAPMapの機能: ハイブリッド・ホスト/ポート・スキャン 新しいホストが受動的に検知されると…
オープンポートを判別するためにホストに対してnmapスキャンを開始する 新しいポートが受動的に検知されると… サービスを特定するためにポートに対してnmapサービス検知を開始する

28 PAPMapの機能: 能動的再スキャン 一定の時間間隔で… 最新の活動情報で更新するためにnmapを再開し再スキャンする 最適化…

29 PAPMapの機能: 受動優先/限定モード nmapによる能動的スキャンを最初に実行せず、受動的検知モードで検知データベースの構築を開始する
能動的再スキャンと組み合わせて用いるか、純粋に受動的ツールとして使用する

30 PAPMap v2.0 の実演

31 PAPMapの現況 バージョン2.0をPacsec ’04にてリリース 現在ソースとバイナリは以下から自由に入手可能:

32 質問 ?

Download ppt "ネットワーク検知技術の最適化への ハイブリッド・アプローチ"

Similar presentations

Iptables の設定と 動作確認方法 野口 哲. 1. はじめに 近年では、ウイルスなどでネットワーク 上の 近年では、ウイルスなどでネットワーク 上の 危険が非常に多くなっている。また、個人 情報 などを入手するために不正に他人のパソコ ンに 侵入する人なども増えている。本研究では、 このような被害を受けないようにするため.

Iptables の設定と 動作確認方法 野口 哲. 1. はじめに 近年では、ウイルスなどでネットワーク 上の 近年では、ウイルスなどでネットワーク 上の 危険が非常に多くなっている。また、個人 情報 などを入手するために不正に他人のパソコ ンに 侵入する人なども増えている。本研究では、 このような被害を受けないようにするため.
TCP / IP の基礎 ネットワーク管理者入門. インターネットを支える技術 ISO の 7 階層プロトコルと TCP / IP の実装 階層機能関連する TCP / IP プロ トコル アプリケーション層電子メールやファイルの転送 といった、具体的なアプリ ケーションが使用する規約 TELNET.

TCP / IP の基礎 ネットワーク管理者入門. インターネットを支える技術 ISO の 7 階層プロトコルと TCP / IP の実装 階層機能関連する TCP / IP プロ トコル アプリケーション層電子メールやファイルの転送 といった、具体的なアプリ ケーションが使用する規約 TELNET.
NetAgent P2P検知技術 NetAgent.

NetAgent P2P検知技術 NetAgent.
Ddによる複製 2004/05/24 伊原 秀明(Port139).

Ddによる複製 2004/05/24 伊原 秀明(Port139).
Curlの特徴.

Curlの特徴.
WinDBG6によるRTX5.5デバッグ RTX開発環境 WinDBG6.0 debugモードで起動 232Cクロスケーブル

WinDBG6によるRTX5.5デバッグ RTX開発環境 WinDBG6.0 debugモードで起動 232Cクロスケーブル
The Enterprise-class Monitoring Solution for Everyone

The Enterprise-class Monitoring Solution for Everyone
安全なログオン手順 2004/08/26 Port139 伊原 秀明.

安全なログオン手順 2004/08/26 Port139 伊原 秀明.
Ibaraki Univ. Dept of Electrical & Electronic Eng.

Ibaraki Univ. Dept of Electrical & Electronic Eng.
ファイルキャッシュを考慮したディスク監視のオフロード

ファイルキャッシュを考慮したディスク監視のオフロード
Chapter11-4(前半) 6311627 加藤健.

Chapter11-4(前半) 加藤健.
最新ファイルの提供を保証する代理FTPサーバの開発

最新ファイルの提供を保証する代理FTPサーバの開発
Anti-Spyware X-Cleaner 製品ラインアップ、導入例と製品比較

Anti-Spyware X-Cleaner 製品ラインアップ、導入例と製品比較
情報実験:ネットワークコンピューティング入門

情報実験:ネットワークコンピューティング入門
第1回.

第1回.
クラスタ分析手法を用いた新しい 侵入検知システムの構築

クラスタ分析手法を用いた新しい 侵入検知システムの構築
オペレーティングシステムⅡ 第11回 講師 松本 章代 VirtuaWin・・・仮想デスクトップソフト.

オペレーティングシステムⅡ 第11回 講師 松本 章代 VirtuaWin・・・仮想デスクトップソフト.
クラウドにおける ネストした仮想化を用いた 安全な帯域外リモート管理

クラウドにおける ネストした仮想化を用いた 安全な帯域外リモート管理
B4向け研究グループ紹介 セキュリティ&村岡セキュリティプロジェクト

B4向け研究グループ紹介 セキュリティ&村岡セキュリティプロジェクト
IaaS 仮想マシン(VM)をネットワーク経由で提供 負荷に応じてVM数や性能を変更できる ハードウェアの導入・管理・維持コストの削減

IaaS 仮想マシン(VM)をネットワーク経由で提供 負荷に応じてVM数や性能を変更できる ハードウェアの導入・管理・維持コストの削減

Similar presentations

Ads by Google