Comments
Transcript
Page 1 インターネットサーバのセキュリティに関する現状調査 A Field
インターネットサーバのセキュリティに関する現状調査 岡田 正* 松本隆三** A Field Survey of a Present Security Situation of the lnternet Servers Tadashi OKADA’‘ and Ryuzo MATSUMOTO*“ The lnternet servers such as DNS, mail and ww ones play an important role in the lntemet connection. A security situation of these servers has attracted interest recently. We examine the security situation of the servers attached to our college and a neighboring enterprise. The security situation is checked by open tools of COPS, SATAN (SAINT) and mail relay check site. We report collecting results of our check, then discuss for the conditions to realize a secure server. Keywords, the lnternet, the lntemet server, network security, secure server 1.はじめに インターネット(the Internet)はもともと学術 用のネットワークとして発展してきたため,悪意を 持った利用者への対応は万全ではない面があった. しかし,昨今のインターネットの急速な普及に伴い, 不正アクセスや破壊活動を行おうとする者でも容易 に利用できるようになり,インターネソトのセキュ リティが注目を浴びている1)。インターネットの安 定な運用は,各種サーバが正しい情報を適切かつ正 確に提供し合うことで実現されている.この意味で, インターネットセキュリティの基本は,インターネ ットサーバの安全性にあるといえる. 安全なインターネットサーバを実現するために は,セキュリティホールを持たないサーバOSが適 切に設定されていて,その上で動作するサーバアプ リケーションの設定が正しく行われており,サーバ 上の利用者が高いセキュリティ意識を持つ必要があ る.本研究は,稼働中のインターネットサーバにつ いて,その安全性を調査し現状と問題点をまとめる ことを目的としている. 本論文では,一般に公開されているセキュリティ 調査ツールを利用し,サーバ自身の状況,外部から のアクセスに対する検査,電子メールの中継を取り 上げて調査したので,これらの内容を報告する.調 査対象として,本校で運用しているサーバとともに, 地域企業のサーバも取り上げた.セキュリティに関 する問題は複雑多岐に渡り,小さな企業では十分な 対応がとりにくいことがある、こうしたところに地 域協力の一貫として情報を提供するとともに,我々 自身はもとよりインターネット全体の安全性を高め る目的もある.本論文の最後では,調査結果に基づ き,安全なサーバを構築するための留意点をまとめ ている.なお,本論文で扱うインターネットサーバ はUnix系OSのものに限定し, Windows系OSは 扱わない. 2.調査目的と内容 インターネットを支える仕組みの根本は,コンピ ュータ間で自律的に情報交換できるところにある. このために,各種のサーバが分散配置されていて, 適切な情報を提供するようになっている.例えば, DNSサーバはホスト名+ドメイン名とIPアドレス の対応を返すことでアクセス先を特定し,メールサ ーバは電子メールの配送を行い,WWWサーバはマ ルチメディアコンテンツを提供する.従って,イン ターネットサーバに障害や不備があると,アクセス が正常に行えなかったり,不正な情報を送ったり, 誤った情報を提供したりと言うことが発生する. 一方で,インターネットは,自由なコミュニケー ションによるオープンな情報共有を目的として発展 した歴史を持ち,広範な情報公開がなされている. 例えば,インターネソトを支える技術情報はRFC 原稿受付平成12年8A31日 (Request for Comments)2>として公開されているし, *情報工学科 フリーソフトウェアであればOSカーネルやサーバ 用プログラムのソースコードまで嘉にはいる.これ らの技術情報は誰でも自由に入手でき,悪意を持つ **専攻科電子・情報システム工学専攻修了生(現,(財)津山 慈風会勤務) 一35一 津山高専紀要第42号 (2000) た人間が不正行為を行う目的で利用することが起こ 設定上の問題がないかを調べるツール りうる. がある.我々は,(1)のためにCOPSを,(2) のためにSATANを利用した.次に,電子メールの 上記のようなインターネットの特質を考えると, 不正アクセスを許さないための配慮をしたサーバで なければ,インターネットに接続すべきではない. 管理者は,単に正しい情報を提供する設定を行うだ けでなく,不正アクセスを許さないようなセキュリ ティに配慮したサーバ構築を行う義務がある.しか し,セキュリティの問題は多岐に渡り,小さな企業 では十分な知識を持った人材を確保することが難し い.このため,本研究では,インターネットサーバ のセキュリティを調査するに当たり,本校の運用し ているサーバだけでなく地域企業のサーバも取り上 げる.得られた結果を地域企業に提供することで, インターネット全体の安全性を高めることを目指す ためである. インターネットサーバのセキュリティに関して多 数の考慮すべき点がある3)が,本研究では重要で基 第三者中継に?いては,これをチェックするサイト を利用した.実際に使用したサイトは現在アクセス できないので,ここでは別の同機能のサイト8)を紹 介しておく. 本章の最後に,調査対象のサーバを説明する. (1)と(2)については,先に述べたように,本 校の運用しているサーバと地域企業のサーバを対象 とした.後者は,インターネット接続が業務として 重要な役割を担う企業において,インターネットに 常時接続されたサーバである.当然のことながら調 査することを事前に了解していただき,許可を得て 調査した後にその結果をお知らせした.実際の調査 対象となったのは,学内4台と学外2台のサーバで あり,各サーバがどのようなOSを使用して運用さ れているかをTable 1に示す. 本的な次の3つを取り上げる. (1)サーバ内部のセキュリティ ディレクトリやファイルのパーミッション,ユ ーザアカウントの状態など,サーバとしての基本 設定に関すること (2)ネットワークセキュリティ Table 1 Objective servers of our investigation Place our college our college 1 SunOS 4.1.4 1 FreeBSD 3。2 1 FreeBSD 2.2.6 1 FreeBSD 2.2.7 2 (outside) ポートの状態など,ネットワークアクセスに関す our college ること なものに, ’ COPS (Computed Oracle and Password System)4) Number (inside) RPCやNFSといったネットワーク機能,利用 (3)電子メールの第三者中継 インターネットアプリケーションの代表である 電子メールに関し,受信者も送信者もそのサーバ に関係ないメールを中継させる第三者中継を許す かどうか これら3つの調査を行うために,セキュリティ上 の問題点をチェックするための公開ツールを利用し た.システム上の問題点を検出するツールの代表的 OS Name and Version SunOS 4.1.4 (outside) our college (outside) neighboring enterprise また,(3)の調査はインターネソト接続してい る全国高専のメールサーバを対象とした.該当する サーバは,調査した平成11年2.月時点で87台あっ た. アクセス権限が適切に設定されているかなど, システムの弱点をチェックするツールのパッケー ジ ’ SATAN (Security Administrator Tool for Analyzing なお,以下に述べる結果は調査当時のものであり, 現在では問題点は解消されている場合が多い.また, 固有名詞等の明確にすべきでない情報については, 最小限の記述にとどめている. Networks)5):OSのバグや設定など既知のセキュ リティホールに基づいた攻撃を実際に試みること で,システムの問題点を解析するツール* ・Tiger:Texas A&M大学が集積したセキュリティ ツールパッケージTAMU7)に含まれ,システムに 3.サーバ内部のセキュリティ状況 マルチユーザOSであるUnixでは,ディレクト リやファイルのパーミッションが適切でな.いと,不 正な閲覧・書き換え・破壊が行われる可能性があ *現在SATANはバージョンアップ1し, SAINT(Security Admi。i、t,、t。rl、1。t。9r、t。d N。tw。,k T。。1)6)に変わってV・るが, る.さらに,ユーザアカウントを詐取されると,な りすましや盗聴により不正が行われる.特に,イン 本論文ではSATANで統一する. 一36一 インターネットサーバのセキュリティに関する現状調査 岡田・松本 ターネットサーバのroot権限を詐取されると,シ ステム状態を自由に設定できるようになり,踏み台 攻撃用のツールを仕掛けられたり,DoS(Denial of をFig.1に示す. Service)攻撃の基地にされたりと,重大な脅威とな 一方,学外とつながっている本校の残りのサーバ と地域企業のサーバについては,問題は発見されな かった.本校のサーバは管理者アカウントしか存在 る. せず,企業のサーバには約30人のユーザが登録さ れているが,適切に管理されていると判断できる. セキュリティ検査ツールCOPSは,広範囲にわ たるUnix用のセキュリティ試験システムから構i成 されるシェルであり,次のプログラム群がら成る. ・プログラムの疑わしい変更を発見するためにフ ァイルをチェックするプログラム ・基本的なシステムとユーザファイルに対する許 可をチェックするプログラム ・問題を引き起こすような方法でシステムソフト ウェアが利用されたかどうかを監視するための プログラム これらを使って,次のようなチェックが可能であ る. ・システム関連ファイル・ディレクトリ・デバイ スのアクセス権 ・rootおよび一般ユーザアカウントの各種設定フ 4.外部アクセスに対するセキュリティ状況 ネットワーク経由でのセキュリティ上の弱点が存 在すると,そこを通してさまざまな不正アクセスが 行われる可能性がある.その結果,次のような被害 を受ける可能性がある. ・不正なコマンドを実行され,その結果パスワー ドファイルなどのセキュリティ上重要なファイ ルや情報を持ち出される. ・システムに不正侵入される. ・不正なプログラムを送り込まれ,不正アクセス の踏み台となる. ネットワークアクセスのセキュリティホールは, そのサーバが被害を受けるだけでなく,踏み台とな ァイルのアクセス権 ●/etc/9rouPや/etc/passwdの内容 ・cronの設定内容 ・setuidプログラム ・パスワードの脆弱性 COPSを使用するには,まず,調査対象となるサ ーバヘインストールする必要がある.今回はCOPS 1.04を用いて,各サーバのOSに適した設定を行っ た上でroot権限でインストールし実行した. 調査したサーバの内,最も多くの警告が出たのは Table 1最上段の学内専用サーバであった.このサ ーバには学生・教職員約500人が登録されており, メールサーバやWWWサーバとして動作している. ってインターネット全体に大きな迷惑を与える可能 性があるので,正しい処置をしなければならない. SATANは,標的とするコンピュータ,あるいは そのコンピュータが属すネットワーク上にあるコン ピュータ群に対し,以下の機能に関するネットワー クセキュリティを総括的に検査する. ・ RPC (Remote Procedure Call) ・ NIS (Network lnformation Service) ・ NFS (Network File System) ・リモートコマンド(rlogin, rshなど) ・ sendmail ・ TFTP (Trivial File Transfer Protocol) ・ X (X Window System 一 Graphical User lnterface) ーミッションについて,3%はパスワードとパーミ ッションの両方についてであった.この警告の割合 SATAN 1.1.1を研究室のサーバにインストール し,そのサーバ自身と学内サーバにアタックをかけ Classfieation of warning た.さらに,SATANのインストールされたサーバ 幽 COPSを実行すると,10人のパーミッションにつ いての問題と,55人のパスワードについての問題 が発見された.警告件数は登録人数の約12%に上 り,警告の84%はパスワードについて,12%はパ ElsEh 検査した結果問題が見つかれば,「どのような問 題であるか」「どのような影響が考えられるか」「ど のようにして解決できるか」などが表示される. を一時的にインターネット接続して,許可を得て地 Permission t3% 口Permission va Password ロBoth Passwcrd 84% 域企業の2台のサーバにアタックをかけた. 研究室のサーバおよび学外と地域企業のサーバで は問題なかった.しかし,Table1最上段の学内専 用サーバには1つ問題があった.内容はNFSによ る問題で,あるディレクトリが誰にでもアクセスし 利用できるようになっているという警告であった. このディレクトリは,学内の人にCD−ROMデータ を利用してもらうために用意されたもので,管理者 Fig.1 Rate of warning 一37一 津山高専紀要第42号 (2000) も知った上で運用しているので問題ないものであっ た.このように実用上問題ない場合もあるが,問題 を解決しなければならない場合には,表示された解 決法の指示に従うと良い. Thiid−patty mail relay・’ Feject recotntnend t’elay E other また,インターネットサーバ上でどのようなサー ビスが提供されているかを,網羅的に調査するポー トスキャンも行った.サービスポートにセキュリテ ィホールが予想されると,攻撃対象とされることが ある9).幸い,今回の調査対象サーバにいずれから 〈L一一丁一一.一一一 31L / teject 響聾と乱難 teject telay 5“. sl/ も,この問題は発見されなかった. Fig.2 Sendmail version vs third−party mail relay/ 5.電子メールの第三者中継 reject setting 電子メールは本来一対一の通信であり,受信者も 送信者もそのサーバに関係ないメールを中継する第 三者中継を,一般サイトのメールサーバは許すべき ではない.第三者中継を悪用された場合,サーバお よび回線資源を不当に使用されるだけでなく,非合 法な内容のメールの発信者と見なされ,最終的な受 も,可能な限り新しいバージョンのsendmailを使 い,設定ファイルを適切に記述することが第三者中 継を防ぐ基本である. そこで,全国高専のメールサーバ87台(内,3 台は調査不可能)について「メール中継の有無」「プ ログラムのバージョン」について調査した.この調 信者からの苦情が来て組織の信用を失うことがあ 査結果をTable 2とFig.2に示す. る.さらに,不正中継サーバリストへ登録されると, 調査できた84台の中で,メールの中継を拒否し ているものは49台(58%),許可しているものは35 台(42%)あった.このうち中継禁止の設定がで これを利用してSPAMメールを受け取らないよう にしている相手先からメールの受信を拒否されるこ ともある. 多くのサイトでは,電子メールの配送にsendmail lo)を使っている. sendmailでメール配送の制限を きないバージョンのサーバは,わずか4台であった. この結果から,二つの問題が指摘できる.一つは, 行うには,バージョン8,7以前ならソースコードに 手を入れる必要があり,バージョン8.8以降であれ ばsendmail.cfの設定を行えばよい.ただし,8.8.5 より古いバージョンには不正な操作を許すセキュリ ティホールが報告されているので,8.8.6以下の最 全サーバ数の42%が不正中継に利用される可能性 がある.今一つは,37%のサーバは推奨されるバ ージョンを使用してるにもかかわらず,中継を行わ ないような適切な設定が行われていない.逆に,そ のままでは第三者中継制限の設定ができない古いバ ージョンであっても,3台のサーバは適切な処理が 新バージョンを使用する必要がある.いずれにして なされていた. 6.調査結果の検討と留意点 Table 2 Sendmail version vs third−party mail relay/ reject setting Version non−recommend recommend Relay インターネットサーバのセキュリティ状況の調査 結果を踏まえて,問題点の分析と検討を行う.まず, nothing 3.で明らかになったユーザ教育の重要性と,5. の結果から指摘できる管理者の問題を取り上げる. 4.2 2 5.x 1 5.6 1 8.6 3 1 8.7.3 4 2 8.7.4 3 8.8.4 1 8.8.8 13 8.9.1 8.9.2 7 最後に,調査において問題点は出なかったものの, サーバのセキュリティ確保の面で留意すべき事項を 整理して述べたい. 6.1 ユーザ教育の重要性 10 3 8.9.0 other Reject 27 2 4 3.の結果から明らかなように,一一般ユーザのパ ーミッションとパスワードに問題があった,この問 題を解決するには,ユーザにこのことが重要な問題 であることを理解させる必要がある.例え一人でも 単純なパスワードを使っていて解読されれば,なり すまし行為が可能となり,その後,さまざまな不正 一38一 インターネットサーバのセキュリティに関する現状調査 岡田・松本 な行為が行われる可能性があるからである.また, ファイルのパーミッションを適切に設定しないと, 不正に書き換えられたり盗み見られることになる. 管理者は利用前にユーザ教育を行うとともに,こ まめにチェックし,問題点を発見したときには,そ のユーザに知らせ,問題点の重要1生を伝えるという 活動を行う必要がある.さらにパスワードに関して 言えば,パスワードファイルを隠したり,期限付き パスワードとしたり,危険なパスワードを自動でチ ェックするツールを導入するなど,セキュリティを 高める工夫を行わなければならない. このような対策を完全に行えないサーバ(例えば, 3.の学内専用サーバ)は,直接インターネットに 接続すべきではない.危険の残るサーバはファイア ウォS一一一一ル内部に置き,インターネットに接続される サーバでは教育の行き届いた必要最小限のユーザ登 録のみとすべきである. 6.2 管理者によるサーバの適切な設定 5.の結果で分かるように,安全なインターネッ トサーバの構築には,管理者の正しい知識と適切な 設定が不可欠である.サーバプログラムの設定以外 の事項を含めて,管理者として注意すべきことは次 の通りである。 ・セキュリティホールを持たないプログラムの利用 OSやサーバプログラムはバグ解消や機能拡張 のため,バージョンアップやパッチの提供が行わ れる.もし,セキュリティ上の弱点を持つことが 分かれば,直ちに最新版にバージョンアップしな ければならない. ・正しい設定の実現 いかに適切なバージョンのプログラムを使って いても,設定が正しくないとセキュリティホール を作る.どのような機能を使わなければならない かを理解し,正しい設定を行う必要がある. ・セキュリティ情報の入手 管理者には,上記のような安全なプログラムや 正しい設定についての情報を,積極的に入手する 努力が要求される.セキュリティに関する各種の 情報が,CERT Coordination Center11)・コンピュ ータ緊急対応センター12)やOSのWebページ13) などに掲載されている.こうした情報を定期的に 閲覧して,常に最新の情報を入手するように心が けなければならない.また,セキュリティ情報を 提供するメーリングリストへ登録することも有益 ければならないネットワークサービスを洗い出 し,不要なネットワークサービスを停止させる. さらに,提供するサービスについても,運用に支 障のない範囲で可能な限りアクセス制限をかけな ければならない.こうした設定を安全に行うため に,アクセス制限ツールを導入するのが有効であ る.TCP wrapper14)やxinetd15)のようなツール をインストールすれば,アクセスを制限できるだ けでなく,アクセスログを取得できたり,設定し た条件でアクセスがあった時に登録したコマンド を実行するブービートラップをかけることがで き,不正アクセス対策として効果的である. ・不要なアカウントの削除 システム導入時にデフォルトで用意されている アカウントに,容易に推測できるパスワードが設 定されていたり,あるいはパスワードが正しく設 定されていないシステムがある.このようなアカ ウントが存在しないかどうかを確認し,不要なア カウントを使えないようにする.さらに,新規に 登録するユーザは最小限にとどめるとともに,利 用しなくなったユーザは速やかに削除することも 重要である. ・サーバログの定期的な確認 システムの運用ログを定期的に確認し,不正ア クセスが試みられていないか,不正侵入が成功し ていないかなどを確認する.定期的に確認作業を 行っておれば,サーバの定常状態での動作が把握 できるので,異常を速やかに検知できる.ログ監 視を自動化するため,ログファイル監視ツールの 導入も考えるべきである.例えば,swatch16)は 指定したログファイルを見張り,あらかじめ指定 しておいた文字パターンにマッチする文字列を検 出すると,管理者にメールを送信したり,ビープ を鳴らすなど,設定ファイルで指定しておいた行 動を実行することができる. ・システムの見直しと再構成 利用しているシステムは,しばらくすると機能 不足やバージョンアップのため更新しなければな らない.この機会をとらえて,それまでに集積さ れたセキュリティ関連情報を利用して,より安全 なサーバを実現することが望まれる.このとき, システム構成そのものを見直すことも必要とな る. 7.あとがき である. 6,3 安全なサーバ構築に必要な事項 上記に含まれないが,安全なサーバを運用するた めに必要な事項を示す. ・不要なネットワークサービスの削除 ネットワークに接続するサーバでは,提供しな 本論文は,本校と地域企業が運用しているインタ ーネットサーバのセキュリティ状況について,公開 ツールを利用して行った現状調査の結果と検討を述 一39一 津山高専紀要第42号 (2000) べた.調査したところ,外部からのアタックに対し ては問題なかったが,学内専用サーバでは一般ユー ザに関する問題が発見された.また,第三者中継を 許すメールサーバが多数存在しており,管理者の知 識不足が明らかになった.これらの結果に基づき, 安全なサーバを実現するための留意点を整理してい る. 1)WIDE Pr()ject編:インターネット参加利用の手引き(1996 年版),共立出版(1996)115. 2) Request for Comments (RFC) Editor Homepage: http://www. rfc−editor.org1 3)例えば,S. Garfmkel and G. Spafford(谷口訳)=UNIX&イ 今回報告したのは,ある時点のセキュリティ状況 にすぎず,状況は常に変化し続けている.従って, セキュリティ関連情報の収集,バージョンアップと パッチの適用,ログの監視というセキュリティ対策 の基本を,不断に行っていかなければならない.こ うした基本的な対策を行うだけで,ほとんどの不正 アクセスに十分対応できると言われている17). ンターネットセキュリティ,オライリー・ジャパン(1998−12). 4) COPS: ftp://ftp.cerias.purdue.edu/pub/tools/unix/scanners/cops/ 5) SATAN: http:f/www.fish.com/satan/ 6) SAINT: httpV/www.wwdsi.corrVsainti 7) TAMU: http://www.net.tamu.edu/ftp/security/TAMUI 8)第三者中継の調査:http://www.nanet.co.jp/rlytestirelaytest.ht m1 本論文で調査対象としたのは,一部のUnix系OS についてだけであり,他のUnix系OSやWindows 系サーバなどに対しての調査は行えなかった.また, サーバのセキュリティホール以外に,コンヒ。ユータ ウィルスやデータバックアップなど,セキュリティ に関する多くの課題も存在する3).もっと根本的に は,組織のセキュリティポリシーを定めて,これに 基づく活動が必要となる.こうした検討を含めて, 今後とも,我々自身のサーバセキュリティを向上さ せる活動を続けながら,必要な情報を地域の各種組 織に提供していきたい. 参 考 文 献 9)武田・磯崎:ネットワーク侵入検知,ソフトバンクパブリッ シング(2000)20. 10) Sendmail Home Page: http:/fwwur.sendmail.orgt 11) CERT Coordination Center: http:/fwww.cert.orgf 12) JPCERT/CC: http://www.jpcert.or.jp/ 13) The FreeBSD Project (Japan) : http://www.jp.free bsd.org1 14) Wietse’s tools and papers: ftp://ftp.porcupine.orgtpub/security/ index.htm1 15) xinetd: http://ww.synack.netixinetdi 16) SWATCH: The Simple WATCHer: http://ww.engr.ucsb.edu/ 907Eeta/swatch/ 17)榊原・森側:日経オープンシステム,No.67(1998−10)144. 一40一