Download presentation
Presentation is loading. Please wait.
1
ポートスキャンログ分析からみたインターネットセキュリティの一考察
常時接続におけるネットワーク セキュリティの脅威 ソフトウェアコンサルタント 鈴木裕信 2001/6/14 SEA ソフトウェアシンポジューム 2001
2
主旨 H2NP.NETサイトにおける外部からのポートスキャンのログを解析することにより、アタックのトレンドを考察する
セキュリティログをPretty Printするツールclscanの紹介 Clscanをベースに拡張した広域におけるポートスキャン解析システムの提案 Clscanは各種ルータ、TCP_WRAPPER、IP Filterなどのログをparseし、共通のフォーマットに変換、その後、表や簡単な統計を作るツールである。 2001/6/14 SEA ソフトウェアシンポジューム 2001
3
バックグラウンド ダイアルアップから常時接続へ 24hours in a day / 7 days in a week
CATVやxDSLの普及 24hours in a day / 7 days in a week 本格的なインターネット環境へ ~1993: 先端的研究部門への普及 ~1995: 大企業への普及 ~2000: ビジネスの現場への普及 2000~: 小規模サイト・小中学校・家庭へ普及へ 今日(2001年6月現在)いわゆる「ブロードバンド時代」へ突入する入り口にいる段階である。 2001/6/14 SEA ソフトウェアシンポジューム 2001
4
問題点 常時接続環境においては大企業のサイトも一般家庭のサイトも規模は違えど本質的には何も変わらない まったく同じ問題を抱えている
ソフトウェアの脆弱性 ネットワークサービスのセットアップミス 不十分な管理 無防備なシステム 一般家庭にまでブロードバンドが広がる時代ににさしかかっている今日でも、コンピュータは今までと同質の問題を抱えている。しかも、プラットフォームの多様性は乏しく、同じ問題を抱えたシステム(パソコン、サーバふくめて)が大量に存在している。つまり、プラットフォーム共通の問題を1つ見つけたということは、数十万台、数百万台という単位で、同じ問題を抱えるコンピュータがあるという意味である。 2001/6/14 SEA ソフトウェアシンポジューム 2001
5
その結果… 無防備なシステムは自動的にスキャンされ、攻撃を受けることになる rpc.statd (111) LPRng(515)
NFSに使うデーモン LPRng(515) 新しいlpd 911 Worm(137,138,139) Windowsを狙って増殖 smurf, land (ICMP) ICMP Echoなどの設定ミス 多くのUNIX BOXではNFSを動かしているはずである。つまりrpc.statdの問題を持つUNIX BOXは(rpc.statdの問題を最初に発見した時は)、莫大な数になるはずである。 LPPrn(lpd)も同様である。Windows系では911 Wormがある。また組込みであってもTCPスタックを組み込んでいればsmurfやlandを引き起こす可能性がある。どのシステムでも同じように脅威は存在することを忘れてはならない。 2001/6/14 SEA ソフトウェアシンポジューム 2001
6
ファイアウォール 本論文での定義 ファイアウォールとして最初にすること 内部ネットワークを保護するプロテクションシステムの総体
インターネットと直接接続するルータでのIPパケットフィルタリング マシン側でアクセス制御する方法もある TCPWAPPER BlackIce DMZなどはネットワークセグメント全体で1つのファイアウォールを形成しているといえる。ルータレベルでIPパケットのフィルタリングにより不必要なパケットの到達を防ぐ場合もあるし、到着したIPパケットをフィルタリングするという方法もある。 2001/6/14 SEA ソフトウェアシンポジューム 2001
7
利用環境 Internet Linux Based Network Web,DNS,Mail,etc Router Logging
Server Filtered Log Internal Router これは筆者のオフィスのコンピュータ環境である。インターネットに接続されるルータのログは、もっとも保護されている内部ネットワーク内にあるマシンで記録される。たとえDMZ内部に侵入されても、ログを破壊して形跡を消すというのは非常に難しい構成になっている。 Internal network DMZ 2001/6/14 SEA ソフトウェアシンポジューム 2001
8
IPフィルタログの分析 期間 記録数 ポートスキャンとして扱う対象 ポートスキャン数 2000年7月1日~2001年1月31 6714
syslogに記録されたルータのIPフィルタ設定で破棄された記録) ポートスキャンとして扱う対象 26種類 ポートスキャン数 4898 インターネットに接続したルータのフィルタリングにより破棄されたIPパケットの記録である。Syslogでは同じ記録が繰り返されると省略されるわけだが、この場合(破棄されたパケットの数を数えるのではなく)1つの事象を記録したと捉えたという扱いにする。筆者はOCNエコノミーに接続しているが、この数が多いか少ないかは他のサイトと比較したことがないのでわからない。 2001/6/14 SEA ソフトウェアシンポジューム 2001
9
対象ポート 注)domainやsmtpなどは存在していないアドレスへのアクセス
ftp(21/tcp), telnet(23/tcp), smtp(25/tcp), domain(53/tcp), httpd(80/tcp), linuxconf(98/tcp), pop2(109/tcp), pop3(110/tcp), sunrpc(111/tcp), netbios_ns(137/tcp), netbios_ns(137/udp), netbios_dgm(138/tcp), netbios_dgm(138/udp), netbios(139/tcp), netbios_ssn(139/udp), imap(143/tcp), printer(515/tcp), linux_mountd(635/tcp), socks(1080/tcp), Sub7(1243/tcp), MS_SQL_S(1433/tcp), ingreslock(1524/tcp), squid(3128/tcp), pcanywheredata(5631/tcp), wwwproxy(8080/tcp), NetBus(12345/tcp), BackDoor_G(27374/tcp), Hackatack(31789/udp), rpcbind(32773/tcp) これはclscanに登録してあるリストである。これ以外のポートだとunknownとして処理する。Smtp、domain、httpd、alt-httpdなど広く公開されているポートに関しては存在しない(使われていない)アドレスへのアクセスである。 2001/6/14 SEA ソフトウェアシンポジューム 2001
10
統計分析データ 2001/6/14 SEA ソフトウェアシンポジューム 2001
Netbios関連は意図的な攻撃だけではなく不用意なパケットの送信も含まれている。ただし、このような不用意なパケットが発信されること自体が問題だという指摘もある。 2001/6/14 SEA ソフトウェアシンポジューム 2001
11
月別変化 2000年10月が突出しているのがわかる。続く11月も多い。 2001/6/14 SEA ソフトウェアシンポジューム 2001
12
月別変化 NetBIOS編 MS00-047 (Jul27) MS00-066 (Sep11) MS00-091 (Nov30)
Netbios-ssn:139 / Session service Netbiso-ns:137 / Nameserver MS00-047: NetBIOS Name Server Protocol Spoofing Vulnerability(NT4.0 2K) MS00-066: Malformed RPC Packet Vulnerability(2K) MS00-091: Incomplete TCP/IP Packet Vulnerability(NT Me 98s) 2001/6/14 SEA ソフトウェアシンポジューム 2001
13
NetBios編 用語説明 Netbios-ssn Netbiso-ns MS00-047 ポート番号139 MS00-066
Windowsのポートサービス Netbiso-ns ポート番号137 Windowsのネームサーバ MS00-047 NetBIOS Name Server Protocol Spoofing Vulnerability (NT4.0 W2K) MS00-066 Malformed RPC Packet Vulnerability(W2K) MS00-091 Incomplete TCP/IP Packet Vulnerability(NT Me 98s) 2001/6/14 SEA ソフトウェアシンポジューム 2001
14
月別変化 BugTraq Nov15 Socks remote ベスト10 (netbiosを除く) exploit code posted
CA CA CA CA CA : Two input Validation problems in FTPD CA : Input Validation Problem in rpc.statd CA : Multiple Denial-of-Servioce Vulnerability in ISC BIND CA :Input Validation Problem in LPRng 2001/6/14 SEA ソフトウェアシンポジューム 2001
15
ベスト10 用語説明 CA-2000-13 CA-2000-17 CA-2000-20 CA-2000-22
Two input Validation problems in FTPD CA Input Validation Problem in rpc.statd CA Multiple Denial-of-Service Vulnerability in ISC BIND CA Input Validation Problem in LPRng 2001/6/14 SEA ソフトウェアシンポジューム 2001
16
月別変化 sunrpc IN-2001-01 CA-2000-17 2001/6/14 SEA ソフトウェアシンポジューム 2001
CA : Aug 18 : Input Validation Problem in rpc.statd IN : Jan 18: Ramen 2001/6/14 SEA ソフトウェアシンポジューム 2001
17
Sunrpc 用語説明 CA-2000-17: Aug 18 IN-2001-01: Jan 18
Input Validation Problem in rpc.statd IN : Jan 18 Ramen Worm toolkit 2001/6/14 SEA ソフトウェアシンポジューム 2001
18
CLSCAN Common Log SCAN 既にsyslogに記録される数々のセキュリティ情報は存在しているが人間が簡単に読める形ではない
セキュリティログのプリティプリント HTML, Text 簡単な統計情報 各種SOHO向けルータ、TCPWAPPER、IP filterなどのログに対応 そもそもは自分で使うために作ったツールである。GPL2で公開し、色々な方から情報や拡張したコード頂いた。MN128、YAMAHA RT、CISCO 等などをサポートしている。詳しい情報は上記URLにあるので、それを参照していただきたい。 2001/6/14 SEA ソフトウェアシンポジューム 2001
19
リスト形式での表示をした場合 2001/6/14 SEA ソフトウェアシンポジューム 2001
20
簡単な統計をサポート 2001/6/14 SEA ソフトウェアシンポジューム 2001
21
CLSCANをより広域へ 現在のCLSCANは個々のサイトのログを統計処理しているだけ なんとなくトレンドはわかる
しかし統計的には偏りが大きいはずである もっと広域の情報を集めれば、さらにトレンドがはっきりする? ポートスキャンとアタックの関係をもっとフィールドワークする必要がある 2001年6月(来週)にフランス・ツゥールージュで行われるFIRSTカンファレンスでは韓国政府関連団体KISA(Korean Information Security Agency)が作った広域ポートスキャン監視ツールの論文発表がある。これはWCLSCANと同様なコンセプトである。 2001/6/14 SEA ソフトウェアシンポジューム 2001
22
WCLSCAN Database Pre-processing by clscan library Secure Message
Statistics Processing 1) Clscanのライブラリを利用し各々のセキュリティログを標準フォーマット化 2) データを暗号化し、データベースへ送る 3) 広域からの情報に対し統計処理を行う 3‘) データ-マイニングの手法を用いてトレンドを発見したり、あるいは新しいパターンを見つける 2001/6/14 SEA ソフトウェアシンポジューム 2001
23
誰か一緒にやりませんか? WCLSCANは広域の情報を集めるツールであって、それは手段である。その集めた情報から何が見えてくるのか、これが筆者の興味であり、目的である。まだ誰も広域データの分析をしたことがない。誰も知らないことを知りたいと思いませんか? WCLSCANは広域の情報を集めるツールであって、それは手段である。その集めた情報から何が見えてくるのか、これが筆者の興味であり、目的である。実際には誰もデータの分析をしたことがない。誰も知らないことを知りたいとは思いませんか? 2001/6/14 SEA ソフトウェアシンポジューム 2001
24
まとめ SOHOレベルでもたくさんのポートスキャンがある システムへの侵入を前提としたポートスキャンであると強く示唆するものもある
ブロードバンド時代では一般家庭レベルでも問題になるだろう さらに今後も観察を続ける必要がある 1サイトのログだけではなく、広域のデータを集めることができれば、さらに新しい発見が可能かも知れない やはりこの手の分析には地道なフィールドワークが必要である。 2001/6/14 SEA ソフトウェアシンポジューム 2001
Similar presentations
© 2024 slidesplayer.net Inc.
All rights reserved.