Presentation is loading. Please wait.

Presentation is loading. Please wait.

ポートスキャンログ分析からみたインターネットセキュリティの一考察

Published byみそら にかどり Modified 約 7 年前

Similar presentations

Presentation on theme: "ポートスキャンログ分析からみたインターネットセキュリティの一考察"— Presentation transcript:

1 ポートスキャンログ分析からみたインターネットセキュリティの一考察
常時接続におけるネットワーク セキュリティの脅威 ソフトウェアコンサルタント 鈴木裕信 2001/6/14 SEA ソフトウェアシンポジューム 2001

2 主旨 H2NP.NETサイトにおける外部からのポートスキャンのログを解析することにより、アタックのトレンドを考察する
セキュリティログをPretty Printするツールclscanの紹介 Clscanをベースに拡張した広域におけるポートスキャン解析システムの提案 Clscanは各種ルータ、TCP_WRAPPER、IP Filterなどのログをparseし、共通のフォーマットに変換、その後、表や簡単な統計を作るツールである。 2001/6/14 SEA ソフトウェアシンポジューム 2001

3 バックグラウンド ダイアルアップから常時接続へ 24hours in a day / 7 days in a week
CATVやxDSLの普及 24hours in a day / 7 days in a week 本格的なインターネット環境へ ~1993: 先端的研究部門への普及 ~1995: 大企業への普及 ~2000: ビジネスの現場への普及 2000~: 小規模サイト・小中学校・家庭へ普及へ 今日(2001年6月現在)いわゆる「ブロードバンド時代」へ突入する入り口にいる段階である。 2001/6/14 SEA ソフトウェアシンポジューム 2001

4 問題点 常時接続環境においては大企業のサイトも一般家庭のサイトも規模は違えど本質的には何も変わらない まったく同じ問題を抱えている
ソフトウェアの脆弱性 ネットワークサービスのセットアップミス 不十分な管理 無防備なシステム 一般家庭にまでブロードバンドが広がる時代ににさしかかっている今日でも、コンピュータは今までと同質の問題を抱えている。しかも、プラットフォームの多様性は乏しく、同じ問題を抱えたシステム(パソコン、サーバふくめて)が大量に存在している。つまり、プラットフォーム共通の問題を1つ見つけたということは、数十万台、数百万台という単位で、同じ問題を抱えるコンピュータがあるという意味である。 2001/6/14 SEA ソフトウェアシンポジューム 2001

5 その結果… 無防備なシステムは自動的にスキャンされ、攻撃を受けることになる rpc.statd (111) LPRng(515)
NFSに使うデーモン LPRng(515) 新しいlpd 911 Worm(137,138,139) Windowsを狙って増殖 smurf, land (ICMP) ICMP Echoなどの設定ミス 多くのUNIX BOXではNFSを動かしているはずである。つまりrpc.statdの問題を持つUNIX BOXは(rpc.statdの問題を最初に発見した時は)、莫大な数になるはずである。 LPPrn(lpd)も同様である。Windows系では911 Wormがある。また組込みであってもTCPスタックを組み込んでいればsmurfやlandを引き起こす可能性がある。どのシステムでも同じように脅威は存在することを忘れてはならない。 2001/6/14 SEA ソフトウェアシンポジューム 2001

6 ファイアウォール 本論文での定義 ファイアウォールとして最初にすること 内部ネットワークを保護するプロテクションシステムの総体
インターネットと直接接続するルータでのIPパケットフィルタリング マシン側でアクセス制御する方法もある TCPWAPPER BlackIce DMZなどはネットワークセグメント全体で1つのファイアウォールを形成しているといえる。ルータレベルでIPパケットのフィルタリングにより不必要なパケットの到達を防ぐ場合もあるし、到着したIPパケットをフィルタリングするという方法もある。 2001/6/14 SEA ソフトウェアシンポジューム 2001

7 利用環境 Internet Linux Based Network Web,DNS,Mail,etc Router Logging
Server Filtered Log Internal Router これは筆者のオフィスのコンピュータ環境である。インターネットに接続されるルータのログは、もっとも保護されている内部ネットワーク内にあるマシンで記録される。たとえDMZ内部に侵入されても、ログを破壊して形跡を消すというのは非常に難しい構成になっている。 Internal network DMZ 2001/6/14 SEA ソフトウェアシンポジューム 2001

8 IPフィルタログの分析 期間 記録数 ポートスキャンとして扱う対象 ポートスキャン数 2000年7月1日~2001年1月31 6714
syslogに記録されたルータのIPフィルタ設定で破棄された記録) ポートスキャンとして扱う対象 26種類 ポートスキャン数 4898 インターネットに接続したルータのフィルタリングにより破棄されたIPパケットの記録である。Syslogでは同じ記録が繰り返されると省略されるわけだが、この場合(破棄されたパケットの数を数えるのではなく)1つの事象を記録したと捉えたという扱いにする。筆者はOCNエコノミーに接続しているが、この数が多いか少ないかは他のサイトと比較したことがないのでわからない。 2001/6/14 SEA ソフトウェアシンポジューム 2001

9 対象ポート 注)domainやsmtpなどは存在していないアドレスへのアクセス
ftp(21/tcp), telnet(23/tcp), smtp(25/tcp), domain(53/tcp), httpd(80/tcp), linuxconf(98/tcp), pop2(109/tcp), pop3(110/tcp), sunrpc(111/tcp), netbios_ns(137/tcp), netbios_ns(137/udp), netbios_dgm(138/tcp), netbios_dgm(138/udp), netbios(139/tcp), netbios_ssn(139/udp), imap(143/tcp), printer(515/tcp), linux_mountd(635/tcp), socks(1080/tcp), Sub7(1243/tcp), MS_SQL_S(1433/tcp), ingreslock(1524/tcp), squid(3128/tcp), pcanywheredata(5631/tcp), wwwproxy(8080/tcp), NetBus(12345/tcp), BackDoor_G(27374/tcp), Hackatack(31789/udp), rpcbind(32773/tcp) これはclscanに登録してあるリストである。これ以外のポートだとunknownとして処理する。Smtp、domain、httpd、alt-httpdなど広く公開されているポートに関しては存在しない(使われていない)アドレスへのアクセスである。 2001/6/14 SEA ソフトウェアシンポジューム 2001

10 統計分析データ 2001/6/14 SEA ソフトウェアシンポジューム 2001
Netbios関連は意図的な攻撃だけではなく不用意なパケットの送信も含まれている。ただし、このような不用意なパケットが発信されること自体が問題だという指摘もある。 2001/6/14 SEA ソフトウェアシンポジューム 2001

11 月別変化 2000年10月が突出しているのがわかる。続く11月も多い。 2001/6/14 SEA ソフトウェアシンポジューム 2001

12 月別変化 NetBIOS編 MS00-047 (Jul27) MS00-066 (Sep11) MS00-091 (Nov30)
Netbios-ssn:139 / Session service Netbiso-ns:137 / Nameserver MS00-047: NetBIOS Name Server Protocol Spoofing Vulnerability(NT4.0 2K) MS00-066: Malformed RPC Packet Vulnerability(2K) MS00-091: Incomplete TCP/IP Packet Vulnerability(NT Me 98s) 2001/6/14 SEA ソフトウェアシンポジューム 2001

13 NetBios編 用語説明 Netbios-ssn Netbiso-ns MS00-047 ポート番号139 MS00-066
Windowsのポートサービス Netbiso-ns ポート番号137 Windowsのネームサーバ MS00-047 NetBIOS Name Server Protocol Spoofing Vulnerability (NT4.0 W2K) MS00-066 Malformed RPC Packet Vulnerability(W2K) MS00-091 Incomplete TCP/IP Packet Vulnerability(NT Me 98s) 2001/6/14 SEA ソフトウェアシンポジューム 2001

14 月別変化 BugTraq Nov15 Socks remote ベスト10 (netbiosを除く) exploit code posted
CA CA CA CA CA : Two input Validation problems in FTPD CA : Input Validation Problem in rpc.statd CA : Multiple Denial-of-Servioce Vulnerability in ISC BIND CA :Input Validation Problem in LPRng 2001/6/14 SEA ソフトウェアシンポジューム 2001

15 ベスト10 用語説明 CA-2000-13 CA-2000-17 CA-2000-20 CA-2000-22
Two input Validation problems in FTPD CA Input Validation Problem in rpc.statd CA Multiple Denial-of-Service Vulnerability in ISC BIND CA Input Validation Problem in LPRng 2001/6/14 SEA ソフトウェアシンポジューム 2001

16 月別変化 sunrpc IN-2001-01 CA-2000-17 2001/6/14 SEA ソフトウェアシンポジューム 2001
CA : Aug 18 : Input Validation Problem in rpc.statd IN : Jan 18: Ramen 2001/6/14 SEA ソフトウェアシンポジューム 2001

17 Sunrpc 用語説明 CA-2000-17: Aug 18 IN-2001-01: Jan 18
Input Validation Problem in rpc.statd IN : Jan 18 Ramen Worm toolkit 2001/6/14 SEA ソフトウェアシンポジューム 2001

18 CLSCAN Common Log SCAN 既にsyslogに記録される数々のセキュリティ情報は存在しているが人間が簡単に読める形ではない
セキュリティログのプリティプリント HTML, Text 簡単な統計情報 各種SOHO向けルータ、TCPWAPPER、IP filterなどのログに対応 そもそもは自分で使うために作ったツールである。GPL2で公開し、色々な方から情報や拡張したコード頂いた。MN128、YAMAHA RT、CISCO 等などをサポートしている。詳しい情報は上記URLにあるので、それを参照していただきたい。 2001/6/14 SEA ソフトウェアシンポジューム 2001

19 リスト形式での表示をした場合 2001/6/14 SEA ソフトウェアシンポジューム 2001

20 簡単な統計をサポート 2001/6/14 SEA ソフトウェアシンポジューム 2001

21 CLSCANをより広域へ 現在のCLSCANは個々のサイトのログを統計処理しているだけ なんとなくトレンドはわかる
しかし統計的には偏りが大きいはずである もっと広域の情報を集めれば、さらにトレンドがはっきりする? ポートスキャンとアタックの関係をもっとフィールドワークする必要がある 2001年6月(来週)にフランス・ツゥールージュで行われるFIRSTカンファレンスでは韓国政府関連団体KISA(Korean Information Security Agency)が作った広域ポートスキャン監視ツールの論文発表がある。これはWCLSCANと同様なコンセプトである。 2001/6/14 SEA ソフトウェアシンポジューム 2001

22 WCLSCAN Database Pre-processing by clscan library Secure Message
Statistics Processing 1) Clscanのライブラリを利用し各々のセキュリティログを標準フォーマット化 2) データを暗号化し、データベースへ送る 3) 広域からの情報に対し統計処理を行う 3‘) データ-マイニングの手法を用いてトレンドを発見したり、あるいは新しいパターンを見つける 2001/6/14 SEA ソフトウェアシンポジューム 2001

23 誰か一緒にやりませんか? WCLSCANは広域の情報を集めるツールであって、それは手段である。その集めた情報から何が見えてくるのか、これが筆者の興味であり、目的である。まだ誰も広域データの分析をしたことがない。誰も知らないことを知りたいと思いませんか? WCLSCANは広域の情報を集めるツールであって、それは手段である。その集めた情報から何が見えてくるのか、これが筆者の興味であり、目的である。実際には誰もデータの分析をしたことがない。誰も知らないことを知りたいとは思いませんか? 2001/6/14 SEA ソフトウェアシンポジューム 2001

24 まとめ SOHOレベルでもたくさんのポートスキャンがある システムへの侵入を前提としたポートスキャンであると強く示唆するものもある
ブロードバンド時代では一般家庭レベルでも問題になるだろう さらに今後も観察を続ける必要がある 1サイトのログだけではなく、広域のデータを集めることができれば、さらに新しい発見が可能かも知れない やはりこの手の分析には地道なフィールドワークが必要である。 2001/6/14 SEA ソフトウェアシンポジューム 2001

Download ppt "ポートスキャンログ分析からみたインターネットセキュリティの一考察"

Similar presentations

Iptables の設定と 動作確認方法 野口 哲. 1. はじめに 近年では、ウイルスなどでネットワーク 上の 近年では、ウイルスなどでネットワーク 上の 危険が非常に多くなっている。また、個人 情報 などを入手するために不正に他人のパソコ ンに 侵入する人なども増えている。本研究では、 このような被害を受けないようにするため.

Iptables の設定と 動作確認方法 野口 哲. 1. はじめに 近年では、ウイルスなどでネットワーク 上の 近年では、ウイルスなどでネットワーク 上の 危険が非常に多くなっている。また、個人 情報 などを入手するために不正に他人のパソコ ンに 侵入する人なども増えている。本研究では、 このような被害を受けないようにするため.
第1章 ネットワークとコミュニケーション 第2節 ネットワークのしくみ 2 ネットワークを支える技術 (教科書 p36 ~ p37) 今日の用語  モデム (modulator/demodulator:modem)  IP アドレス (internet protocol address)  ドメインネーム.

第1章 ネットワークとコミュニケーション 第2節 ネットワークのしくみ 2 ネットワークを支える技術 (教科書 p36 ~ p37) 今日の用語  モデム (modulator/demodulator:modem)  IP アドレス (internet protocol address)  ドメインネーム.
TCP / IP の基礎 ネットワーク管理者入門. インターネットを支える技術 ISO の 7 階層プロトコルと TCP / IP の実装 階層機能関連する TCP / IP プロ トコル アプリケーション層電子メールやファイルの転送 といった、具体的なアプリ ケーションが使用する規約 TELNET.

TCP / IP の基礎 ネットワーク管理者入門. インターネットを支える技術 ISO の 7 階層プロトコルと TCP / IP の実装 階層機能関連する TCP / IP プロ トコル アプリケーション層電子メールやファイルの転送 といった、具体的なアプリ ケーションが使用する規約 TELNET.
Global Ring Technologies

Global Ring Technologies
W e b 2.0 メディアコミュニケーション論Ⅲ 第4回.

W e b 2.0 メディアコミュニケーション論Ⅲ 第4回.
情報実験:ネットワークコンピューティング入門

情報実験:ネットワークコンピューティング入門
セキュリティインシデントの現状とネットワーク環境におけるセキュリティ保全

セキュリティインシデントの現状とネットワーク環境におけるセキュリティ保全
SOHOシステムの構築と運用 東北NTユーザ会新潟勉強会資料.

SOHOシステムの構築と運用 東北NTユーザ会新潟勉強会資料.
コンピュータウィルスと脆弱性 メディアコミュニケーション論Ⅲ 7/18/08.

コンピュータウィルスと脆弱性 メディアコミュニケーション論Ⅲ 7/18/08.
(株)アライブネット RS事業部 企画開発G 小田 誠

(株)アライブネット RS事業部 企画開発G 小田 誠
Android と iPhone (仮題) 情報社会とコンピュータ 第13回

Android と iPhone (仮題) 情報社会とコンピュータ 第13回
受動的攻撃について Eiji James Yoshida penetration technique research site

受動的攻撃について Eiji James Yoshida penetration technique research site
Ibaraki Univ. Dept of Electrical & Electronic Eng.

Ibaraki Univ. Dept of Electrical & Electronic Eng.
前回の課題 IPv6アドレス IP ARP ICMP NAT インターネット層 2003年12月4日 情報ネットワーク論 新村太郎.

前回の課題 IPv6アドレス IP ARP ICMP NAT インターネット層 2003年12月4日 情報ネットワーク論 新村太郎.
IGD Working Committee Update

IGD Working Committee Update
片岡広太郎 kotaro@sfc.wide.ad.jp Modem Watch Dog 片岡広太郎 kotaro@sfc.wide.ad.jp.

片岡広太郎 Modem Watch Dog 片岡広太郎
安全・安心なネット生活を送るためのネットワークセキュリティ

安全・安心なネット生活を送るためのネットワークセキュリティ
セッション追跡によるプロトコルアノーマリの検知と対処

セッション追跡によるプロトコルアノーマリの検知と対処
第14回 今日の目標 §4.3 情報セキュリティー 情報化社会の特徴を社会的な面から概観する 情報に関わる危険の要因を示す

第14回 今日の目標 §4.3 情報セキュリティー 情報化社会の特徴を社会的な面から概観する 情報に関わる危険の要因を示す
ネット時代のセキュリティ2(脅威の例) 2SK 情報機器工学.

ネット時代のセキュリティ2(脅威の例) 2SK 情報機器工学.

Similar presentations

Ads by Google