Comments
Description
Transcript
PDF(佐藤先生分) - 九州工業大学 尾家・塚本研究室
ネットワークにおけるセキュリティ技術 ネットワークアーキテクチャ特論 九州工業大学 情報科学センター 佐藤 彰洋 1 目次 • ネットワークにおけるセキュリティの重要性 – マルウェア,不正アクセス,脆弱性 – 利用者・管理者の双方の対策が必要 • 九工大で発生したインシデント – 被害にあった代表的な攻撃 – ネットワークを保護する仕組み • セキュリティに関する研究の取り組み 2 セキュリティに関するニュース • コンピュータ・ネットワークが身近になった分 様々な脅威にさらされている 3 マルウェアとは • 不正かつ有害な動作を行う意図で作成された 悪意のあるソフトウェアや悪質なコードの総称 – ウイルス:動的に活動せずファイルからファイルへと静的に感染する – ワーム:自身を複製して他のシステムに拡散する性質を持つ – スパイウェア:利用者に関する情報を収集し,作成者に送信する マルウェア トロイの 木馬 アドウェア ウイルス ワーム スパイウェア 4 1年間のマルウェア検出数(ウイルス) 総検出数は20万程度 Mydoomは減少しているが 他は数に大きな変化無し 5 1年間のマルウェア検出数(その他) 総検出数は10万以上 時々の増減を繰り返すが 長期間横ばい インターネットには膨大な量のマルウェアが長期間存在 6 不正アクセスとは • 正規のアクセス権を持たない人が,ソフトウェアの 不具合などを悪用して不正にサービスを利用すること 教育・研究・公的機関の 割合が非常に多い セキュリティの低さから大学のネットワークは 多くの攻撃者に狙われ続けている 7 不正アクセスの被害内容 マルウェア DoS 不正 アクセス 攻撃成功後は他のネットワークを攻撃するために利用 ⇒ 被害を受けるネットワークが更に増加 8 脆弱性とは • コンピュータまたはネットワーク全体のセキュリティに 弱点を作り出すソフトウェアの欠陥や仕様上の不備 ⇒ マルウェアや不正アクセスに利用される 3ヶ月で1000程度の脆弱性が新しく発見されている 9 脆弱性の深刻度 深刻度が高い脆弱性が 多数発見されている 脆弱性の深刻度に伴いマルウェアや不正アクセスの脅威が増加 10 脆弱性体験学習ツール • 脆弱性ってよくわからなくないですか? – 理屈はなんとなく理解できるけど… – クロスサイトスクリプティングやバッファオーバーフロー って本当にできるの? – 脆弱性を突くと攻撃対象をどこまで制御できるの? 11 ここまでのまとめ マルウェア 膨大な量のマルウェアが長期に渡って存在 不正アクセス 成功後は他への不正アクセスやマルウェアの配布に利用 脆弱性 深刻度の高い脆弱性が多数発見 脅威 利用者と管理者の双方で対策を講じることが重要 12 2. 九工大で発生したインシデント 被害にあった代表的な攻撃 • DNSアンプ攻撃 • 総当り攻撃 • ドライブバイダウンロード攻撃 ネットワークを保護する仕組み • ダークネット観測 13 2. 九工大で発生したインシデント 被害にあった代表的な攻撃 • DNSアンプ攻撃 • 総当り攻撃 • ドライブバイダウンロード攻撃 ネットワークを保護する仕組み • ダークネット観測 14 DNS(ドメインネームシステム)とは • 役割:IPアドレスとホスト名を変換する仕組み • 権威DNSとキャッシュDNSに分類 – 権威DNS:階層構造を構成する – キャッシュDNS:階層構造をたどる ホスト名:人間が利用する形式 例) www.kyutech.ac.jp DNSにより相互に変換 IPアドレス:機械が利用する形式 例) 221.247.59.78 15 DNS(ドメインネームシステム)とは DNS .(root) domain jpドメインのDNSサーバ について問い合わせ 利用者 DNS DNS ac.jpドメインのDNSサーバ について問い合わせ jp domain www.kyutech.ac.jp について問い合わせ kyutech.ac.jpドメインの DNSサーバについて問い合わせ DNS ac.jp domain www.kyutech.ac.jp について問い合わせ DNS kyutech.ac.jp domain 16 DNS(ドメインネームシステム)とは DNS キャッシュDNS 権威DNS .(root) domain DNS 利用者 DNS jp domain DNS 問い合わせの繰り返し で階層構造をたどる ac.jp domain DNS kyutech.ac.jp domain 17 DNS(ドメインネームシステム)とは • UDPを用いたコネクションレス型の通信 通常時のDNSの通信 DNS 利用者 www.kyutech.ac.jp について問い合わせ 送信元を偽装した時のDNSの通信 DNS 攻撃者 www.kyutech.ac.jp について問い合わせ 偽装された 送信元に回答 18 DNSアンプ攻撃の概要 • 目的 – 攻撃対象が提供するサービスを利用不能にする • 仕組み – 送信元を偽装したDNSへの問い合わせにより 攻撃対象の回線を混雑させる DNS • 想定する状況 DNS DNS 攻撃対象 利用者 サービスを利用 19 DNSアンプ攻撃 攻撃者 攻撃者はDNSを介して多量の パケットを攻撃対象に送信する DNS DNS DNS DNS ネットワークの混雑のため サービスを利用できない 利用者 DNS 攻撃対象 20 DNSアンプ攻撃 攻撃者 DNS DNS 通信の詳細に注目 DNS DNS DNS 攻撃対象 21 DNSアンプ攻撃 攻撃者 DNS 攻撃者 攻撃対象 DNS (A) DNS 送信元を偽装した問い合わせ DNS DNS 送信元の偽装のため, 攻撃対象に返答 DNS (B) 「(A) < (B)」のため通信量が増加 攻撃対象 22 DNSアンプ攻撃の対策 • 管理者側の対策 – キャッシュDNSの利用を制限する • 自信の管理するネットワーク内に属する機器のみ (イコール) オープンリゾルバにしない – ネットワーク内のオープンリソルバの有無を調査する 23 2. 九工大で発生したインシデント 被害にあった代表的な攻撃 • DNSアンプ攻撃 • 総当り攻撃 • ドライブバイダウンロード攻撃 ネットワークを保護する仕組み • ダークネット観測 24 総当り攻撃の概要 • 目的 – とあるサービスに対して不正アクセスの実現 • 方法 – データベースに登録してあるパスワードを片っ端から試行 • 想定する状況 利用者 Web VPN パスワードの入力 SSH 自宅ネットワーク サービスの利用 (例:Web,SSH,VPNなど) 九工大ネットワーク 25 総当り攻撃 従来の不正アクセス ・脆弱性に関する豊富な知識 ・脆弱性を突く高い技術力 を有する ① サービスやネットワーク に関する情報を調査 攻撃者 ② サービスの脆弱性を突くことで 不正にアクセスを試みる 利用者 Web VPN パスワードの入力 SSH 自宅ネットワーク サービスの利用 (例:Web,SSH,VPNなど) 九工大ネットワーク 必要な手間・時間の割には効果が低い 26 総当り攻撃 総当り攻撃による不正アクセス データベース (A) あらゆる文字列 (B) ありがちなパスワード 攻撃者 (C) 他サイトから入手したパスワード ① データベースのパスワードで 不正にアクセスを試みる 利用者 Web VPN パスワードの入力 SSH 自宅ネットワーク サービスの利用 (例:Web,SSH,VPNなど) 九工大ネットワーク 簡単な方法だが高い効果が得られる 27 総当り攻撃のデータベース (A) あらゆる文字列 – (48[キーの数] x 2[ShiT])^8[文字列の数] パータン ⇒ 比較的安全と思われる (B) ありがちなパスワード – アカウントと同じ文字列 (例:www, smtp, Tp) – 想定が容易な文字列 (例:test, pass) – キーの位置が連続した文字列 (例:123456, qazwsx, asdfgh) ⇒ 不正アクセスの主な原因である (C) 他サイトから入手したパスワード – 他サービスと同じ文字列 ⇒ パスワードが流出した場合に莫大な被害をもたらす危険性がある 28 総当り攻撃の対策 • 利用者側の対策 – 大文字・数字・記号混じりのパスワードを利用する – 複数のサービスで同じパスワードを設定しない • 管理者側の対策 – 複雑なパスワードのみを許可する – パスワード解析ツールを使った定期的な調査 29 2. 九工大で発生したインシデント 被害にあった代表的な攻撃 • DNSアンプ攻撃 • 総当り攻撃 • ドライブバイダウンロード攻撃 ネットワークを保護する仕組み • ダークネット観測 30 ドライブバイダウンロード攻撃の概要 • 目的 – ウェブを閲覧している利用者に気付かれることなく マルウェアをインストールさせる • 仕組み – 表示サイズを0にすることで 脆弱性を突く過程を利用者に気付かせない • 想定する状況 攻撃者 不正アクセスの成功 サイトの改ざん 利用者 Web ウェブの閲覧 自宅ネットワーク 九工大ネットワーク 31 ドライブバイダウンロード攻撃 従来のマルウェア感染 ドライブバイダウンロード攻撃 攻撃者 Web ① サイトの改ざん Web ④ 確認画面の表示 【実行・保存・キャンセル】 ② サイトの閲覧 利用者 ③ リンクをクリック ⑤ マルウェアに感染 ② サイトの閲覧と当時に マルウェアに感染 利用者 32 ドライブバイダウンロード攻撃 攻撃者 Web 攻撃者 攻撃者 サイトの改ざん ネットワーク B ネットワーク A 九工大ネットワーク 九工大ウェブページ サイトの閲覧 表示サイズが ゼロで見えない 脆弱性のあるプラグイン (例:Java, PDF, Flash) 利用者 マルウェアの配布と実行 33 ドライブバイダウンロード攻撃の対策 • 利用者側の対策 – マルウェア検出ツールを利用する – OSやブラウザ,プラグインを最新のバージョンに更新する • 管理者側の対策 – ウェブ改ざん検出ツールを利用する 34 2. 九工大で発生したインシデント 被害にあった代表的な攻撃 • DNSアンプ攻撃 • 総当り攻撃 • ドライブバイダウンロード攻撃 ネットワークを保護する仕組み • ダークネット観測 35 ネットワークとIPアドレス空間 • ネットワーク内の全ての機器にはIPアドレスが割り当てられる ⇒ 通信時の「送信元・送信先」として利用される SSH Web Mail DNS VPN 九工大ネットワーク Web SSH 36 ネットワークとIPアドレス空間 • IPアドレス空間:各組織(九工大)がもつIPアドレスの総数 – 九工大が保有する具体的な数は13万以上 IPアドレス空間に注目 SSH Web DNS Mail 九工大のIPアドレス空間 VPN 九工大ネットワーク Web SSH 37 ネットワークとIPアドレス空間 • IPアドレス空間の取り得る状態 – 使用済み:機器が存在し通信が発生する – 未使用:何も存在しないため通信は発生しない ⇒ 未使用のIPアドレス空間を「ダークネット」と呼ぶ 使用済み 未使用 使用済み 使用済み 九工大のIPアドレス空間 38 ダークネット観測 • 観測される通信 – 機器の存在しないアドレス(存在しないサービス)に対する通信 ⇒ 不正な行為・活動に起因するもの マルウェア感染 の疑いがある 外部からの通信 内部からの通信 サービス Aに対する 攻撃の前兆かもしれない 九工大のIPアドレス空間 攻撃の警戒や被害の発見に役立てられる 39 3. セキュリティに関する研究の取り組み 被害にあった代表的な攻撃 • DNSアンプ攻撃 • 総当り攻撃 • ドライブバイダウンロード攻撃 ネットワークを保護する仕組み • ダークネット観測 40 3. セキュリティに関する研究の取り組み 被害にあった代表的な攻撃 • DNSアンプ攻撃 • 総当り攻撃 • ドライブバイダウンロード攻撃 ネットワークを保護する仕組み • ダークネット観測 41 はじめに • 検出対象 – SSHに対する総当り攻撃 • SSHの特徴 – 遠隔のコンピュータを操作するサービス 例)自宅から九工大にあるコンピュータを操作 – 暗号化されるため第三者が通信内容を知ることはできない 利用者 SSH 暗号化 自宅ネットワーク 九工大ネットワーク 途中で通信を計測しても その内容が解らない 42 はじめに • 想定する状況 – 外部から九工大ネットワークへ向けた通信 – 九工大ネットワークの出入り口で通信を計測 ⇒ ネットワーク全体を保護するため ⇒ 検出に通信内容を利用できない ネットワークの 出入り口で計測 SSH SSH 攻撃者 研究室 B 研究室 A SSH SSH 研究室 C SSH 利用者 工学部 情報工学部 九工大ネットワーク 43 既存の検出方法 • 基本的なアイディア – 攻撃者:パスワードデータベースに基づいた不正アクセスを試みる – 利用者:自信のパスワードでコンピュータを遠隔で操作する入力する ⇒ 時間あたりの通信頻度に大きな差がでる 個々のコンピュータの 通信回数のみを計測 攻撃者 SSH SSH SSH 利用者 SSH SSH 九工大ネットワーク 通信内容を調査することなく総当り攻撃の検出が可能 44 既存の検出手法における問題 • 分散総当り攻撃の出現 – 攻撃者は膨大な数のコンピュータ群(ボット)を操作 – ボットが協調して総当り攻撃を行う ⇒ 各ボットの通信頻度が大幅に低減する 通信回数の計測と比較 ボットの操作 攻撃者 ボット ボット ボット ボット SSH ボット SSH SSH 利用者 SSH SSH 九工大ネットワーク 既存手法では分散総当り攻撃が検出できない 45 既存の検出手法における問題 • 分散総当り攻撃を検出するための要件 – 各々の通信のみから得られる情報を利用 – ボットのみに観られる特徴を明確化 ボットの操作 攻撃者 ボット ボット ボット ボット SSH ボット SSH SSH 利用者 SSH SSH 九工大ネットワーク ボットと利用者のひとつの通信を比較する 46 分散総当り攻撃の検出手法 • ボットと利用者の通信の比較 ボット SSH 利用者 SSH 制御情報の交換 パスワードの送信 ユーザの認証 送信時間に 違い有り パスワードの送信 47 分散総当り攻撃の検出手法 • 調査結果 – 制御情報の交換:通信の特徴に大きな差が無い – ユーザ認証:パスワード送信時間にのみ差が有り • パスワード送信時間の差 – 攻撃者:自動でパスワードを入力 – 利用者:手動でパスワードを入力 48 分散総当り攻撃の検出手法 • 基本的なアイディア – 「制御情報の交換」から「パスワードの入力」を選択 – 「パスワードの入力」の時間から攻撃を検出 ボット SSH 利用者 SSH 制御情報の交換 ここは同じ パスワードの送信 ユーザの認証 送信時間に 違い有り パスワードの送信 49 3. セキュリティに関する研究の取り組み 被害にあった代表的な攻撃 • DNSアンプ攻撃 • 総当り攻撃 • ドライブバイダウンロード ネットワークを保護する仕組み • ダークネット観測 50 はじめに • ダークネット観測の目的 – 九工大に対する攻撃についての情報の収集 • 想定する状況 – 外部から九工大ネットワークへ向けた通信 こちら側の通信にのみ注目 マルウェア感染 の疑いがある 外部からの通信 内部からの通信 サービス Aに対する 攻撃の前兆かもしれない 九工大のIPアドレス空間 51 はじめに • ダークネット観測における問題 – 狙われるサービスは把握できるが,その詳細までは把握できない 例)新しい攻撃なのか?どのような脆弱性を突くのか? ⇒ 収集できる情報が不十分 攻撃者 通信しようとした ことしか解らない 機器があるため応答を返す (通信が行われる) 利用者 九工大のIPアドレス空間 52 既存研究 • nicter – 「どのようなアドレスの順番で」「どのようなサービスに対して」通信が 観測されるかにより,マルウェアを推定する 53 既存研究 • nicter (相関分析システム) – マルウェアの動作を予め解析 – 通信順①②③と解析済みのマルウェアの動作を比較 – マルウェアの特定 攻撃者 ① ③ ② 九工大のIPアドレス空間 54 既存研究 • nicter (可視化機能) 55 既存研究 • nicter (可視化機能) 56 能動型ダークネット観測システム • 基本的なアイディア – ダークネットに対する通信の観測時に提案システムが応答 – 応答は予め収集してあるデータセットに基づいて自動的に生成 提案システムが生成した応答が適切か否かを 攻撃者との通信が続くか否かで判断する 提案システム 攻撃者 送信元を詐称した応答 九工大のIPアドレス空間 57 まとめ • ネットワークにおけるセキュリティの重要性 – インターネットにおいて悪意のある通信が増大 ⇒ 身を守るためには利用者・管理者の双方の対策が必要 • 九工大で発生したインシデント – 被害にあった代表的な攻撃 – ネットワークを保護する仕組み • セキュリティに関する研究の取り組み – 九工大の事例を解決する方法について検討 58