Comments
Description
Transcript
見る/開く
JAIST Repository https://dspace.jaist.ac.jp/ Title ファイル共有ソフトウェアの検出法の更新 Author(s) 上埜, 元嗣 Citation 国立大学法人北陸先端科学技術大学院大学技術サービ ス部業務報告集 : 平成22年度: 15-18 Issue Date 2011-08 Type Presentation Text version publisher URL http://hdl.handle.net/10119/10026 Rights Description Japan Advanced Institute of Science and Technology ファイル共有ソフトウェアの検出法の更新 上埜元嗣 情報社会基盤研究センター 概要 本学ではセキュリティポリシーによりファイル共有ソフトウェアの利用を禁止しており、以前より使用者 を検出してきた。技術の進歩に伴い検出方法も変わってきており、本年度、機器の更新に伴い検出方法が変 わり、現在は運用しながら精度や効率を高めている。本稿ではそれに伴う問題点や課題について述べる。 l はじめに 2002年より以前から試行していたファイル共有ソフトウェアの検出を正式に始めた。また、 2003年にはセ キュリティポリシーも策定され、その中でもファイル共有ソフトウェアの使用禁止に関する条項はもりこま れた。ファイル共有ソフトウエアの使用を禁止するためにはファイヤーウオールで、の通信を遮断することで 使用不可とすることも可能で、あったが行わなかった。当時は技術的にファイル共有ソフトウェアの通信のみ を遮断することは難しく、そのほかの通信に支障をきたすことも十分あったうえ、本学は研究機関であるた め研究目的での使用もあるためである。そのため、通信の検出からユーザを特定し、ユーザに注意喚起とい う手段をとっている。検出機器も更新しながら行っており、今年度はちょうど更新した。本稿ではいくつか o r t i N e t杜 F o r t i G a t e 3 9 5 0 Bの更新に伴う問題点や課題について更新作業中であるが報告す の機器更新のうち F る 。 2 機器の更新 2002年より始めた検出では tcpdumpによりネットワークのパケットをキャプチャしその中でファイル共有 ソフトウェアの通信に使われる p o r tを使用したパケットをカウントしカウントの多い I P a d d r e s sを利用者と断 定していた。しかしながら解析しなければならないデータが膨大なことや解析に時聞がかかるために即座に 検出することができないことが問題で、あった。その後の機器の更新では Lancope社 S t e l t hWatchSystemを導 入しネットワークのトラフイツク管理によって検出を行った。このシステムでは n e t f l o w , s f l o wによりトラフ イツクデータを収集し分析までおこなえ、グラフイカルにそのデータを閲覧できた。検出のための作業効率 はよくなった。今回の更新ではファイヤーウオールとして F o r t i N e t杜 F o r t i G a t e 3 9 5 0 B 、 トラフィック管理と して G e n i e十 土G e n i e 6 3 3 3 -T、パケットキヤプチャとして FL UKEnetworks十 土 、 NetworkTimeMachineE x p r e s s 3を 導入した。それぞれはファイル共有ソフトウェアの通信の検出が目的ではなくそれぞれに主の目的があり機 能としてファイル共有ソフトウェアの通信の検出が可能である。 2 . 1 F o r i G a t e 3 9 5 0 B F o r t i N e t杜 F o r t i G a t e 3 9 5 0 Bはファイヤーウオールの機器更新に伴い導入された。主な目的はもちろんファイ ヤーウオールで、あり機能も当然ファイヤーウオールとしての機能が充実している。主な特徴としては ・ 高性能ハードウェア ・ モジュラー型の拡張性 ・ 複合脅威セキュリティー 最大 20Gbps (本学仕様)のパフォーマンス 1 5 会 イ f γ j 邸主 否決 ぬ " ' me Q 沼 "ηkw ? と" 持 出 meaium wea v津信ロ i 郡白 も'iミ~Ci bw w!:ttJ ヨ o h . . J i T 1 告 さ じm C-S"羽毛 meLm 雪5 c. ame r r ' ' : : トd iwm 告さじ m q. am ξ fC'号 キC λU で 識 刃む を ア エ Thl ー I し しV し 1321n e - 、 V 占 目晶晶 図3 . F o r t i G a t e 3 9 5 0 Bのログ ute-oC : : e 5 " " , 町, ウ EI 12 討を P ad:etLQg 沼山岳&蹴誠一一 o r t i G a t e 3 9 5 0 Bに対し上記の条件 図 2は F フ ソ の Se s 剖 00T τ工 E 1 1 3 b !乏し ogg !ng 通信の検出はログをとる Ir三羽閉すr a f f l CSh ョpn ,ョ コRev rseD 乏 ハリ Optio 闘S は遮断しない 00 行丁目ff!. cS n a p i ; ng ファイル共有ソフトウェアの通信 土 A ζ旬 00 , t . .p p l i c a t i o n トウェアはすべて検出する 約 Cョ r 告g ori 登録されているファイル共有ソフ て TV つ エ 目冒 1 6 ア ウ 士 ハ 図2 . F o r t i G a t e 3 9 5 0 B A p p l i a t i o nC o n t r o l の設定画面 ログは F o r t i G a t e本体に記録しておくこと フ ソ 有 目 ログラムを作成した。 目 いので、集計するプ ー 司山首わAI1-nvvFla QUVDRur口 ハィUPTAn﹂庁〆1ρ I 中 A C白 刊U FA・ロ一日4L PA Ahu,可A 十 4 司 F白 -一一一, a ﹄ 守 円 t f n k u e m 凶わl-Ahv-一一一一 a p ヴIFhuop n,1iAり+bP oa 7111よ ニ ハU r ' 1qa+しFbpn ,一r1i,P 白V1iow 仰 の b 且n y rhUFAny=λ u --+し一ρ v f f J H ハUVハ﹂戸﹂ m 山口Mn= h 白 し ﹁ u一わ 晶 司 U H .PBn=p 内リb-,一日vd nuanUC11+U -一一一7ri-EE-E21p mp内b,op --YA4nra +b+しりlU1ょF, ,、仏U・︿HU'n 14UFhunUHF -4宮内りつりh且ηb 一 'n//P ヴ I1lnuauHH 日 urFhu--M一一 一+し1iv=+U 唱Eムハ﹂一一月ρ vp白 14-c=pl nuFr+UY1i ηbpEE+b一 =a,ーlEp e--nTlp +beAA+Ul--a ap//Ent, zqYMN340EU ¥/+しn'rηf 内口'二1ipA 内口見守poo,的6 14nuuooN 均中 u ﹁ f t n v A h V A A μ h / 九n 。 凸 r FhuffJb ﹁ Jηbg=UHA告 内hVハHU,+UHハuv -AUυHr=14 nUEuhhop-つ山口UJ/hyU1Lrk1iMn一口a , "ιEU わA 可4 ハu V唱Au二q己 c邑 FA A μ 一 一 一 下 I r 41唱1Idqee/J 1“ ム一色,1lEUH 中 λ η A h u ' n 白 g b n A告 白 UFhunt-4一一 I g﹁ D - - ' Ol ﹁u 9u'nUFbr白V 百 一 ・9hu二ハィUP--ムm Euql、d1ょ,1ム,一 h 向U 4 E i A-w一-4Ei 一 -nU74A口市AU-nunuzE1よEul+UAEuqICりbynt14nua-Eucu ultOslo 内リ円H臼+UAU1i1ic内リ90a=o' ・・nb,+UAιτp-E s vnHvnuUHoo-ょ,E 一 円UEU+し唱dnLna--つり o ' ・P P M-4円uonnU1q一一 品 ハ H v h h i ゎ l A h v ハ u u n u μ 刊 一 品一一H1inJ/ 白 :14J口二ハU=141 ?141JUつりE00+b u - - v n 旧白凸 C '庁JIAU'ququ内hV岳山叫一 日 ucn1inEUt u- 1 口 V ? " ttiV ln+u=+し M414e+し=日En nu﹂ua+し﹂uceη b ' 旧n ' l r - するわけにはし、かな , ' p d d 辛脅 P三E PLP p20 c. a 明 乞 meaiur可 図1. F o r t i G a t e 3 9 5 0 B A p p l i c a t i o nl i s t レy ノ イ にぬをせフのトど以し'有げ 別 w ムさはらスな0識問共つ h レ﹁抗 は、テ携おれコ上判認 I を刊イむ 化油供連仇そり向 バシと曲、よのて信 y アで 一スのル而がに性し通 m フ識 オチど一Jるれ害との W の認 ウンなオたあそ障部ンい外を 一ァ S ウきで、耐一ヨ人材一一一一口 ヤ﹄一てルり、。のシ切即通 イスグヤし一お減る能一﹀ど アルンイ御オて軽い機ケ λ ﹀ア フィリア制ウつ荷てのリるソエ はウタフで一持負つらプき訓ウ 来チルしとヤを、たれアで m ト 従ンイ入こイ能減うこの御町フ アフ導るア機削を上制町ソ ログ 3 . 2 F o r t i G a t e 3 9 5 0 Bの設定 3 . 1 複合脅威セキュリティー 2 . 2 3 設定およびソフトウェアの検出 今回は更新作業の初段階ということから F o r t i G a t e 3 9 5 0 Bがどれくらい玉確にファイル共有ソフトウェアを 検出できるかに重点を置いて設定した。 以下のポイントを踏まえ設定した。 で、設定を行っているところである。 もできるがサイズの制限があるためログ、サーバに転送することにした。本学のシステム全般のログを収集し ているログサーバに転送する設定をした。図 3にて実際のログを示す。 ログからはファイル共有ソフトウェアを使用している I P a d d r e s sや相手先の I P a d d r e s s使用ポート使用ソフ 0 0万行程度あり、それらのを I行づっ分析 トウェアなどが記述されている。このようなログが 1日あたり 4 3 . 3 集計プログラム ログデータの中で今回必要なものを挙げる ・ 学内で使用している IPaddress(sorce,distnationの どちらの場合も) . 使用しているファイル共有ソフトウェア . 検出したログ数 . 接続先の I P a d d r e s s数 今回は、検出の玉確さに重点を置いているので、対象がどの ようなふるまいをしているかということも重要と考えて検出 の確かさを判断する。また、一つ一つのソフトウェアの挙動や 複数使用しているかどうかなどの判断のためにも学内で使用 P a d d r e s s とファイル共有ソフトウェアをキーにして している I 図4 .集計プログラムの出力例 e r lを使用し、ログサーバ上で、実行した。 それぞれの検出数を出した。プログラム言語は p 4 分析 集計結果をファイル共有ソフトウェアの使用割合で グラフにしたものを図 5に示す。ただし Skypeを除い た 検 出 数 の 多 い も の を グ ラ フ に し た 。 eDonkey、 務島ほれ匁上 B i t T o r r e n tがほとんどの割合を占めることがわかる O ま P a d d r e s sから本学 DNSサーバなどファ た、集計結果の I イル共有ソフトウェアをしようしていないはずの I P a d d r e s s からファイル共有ソフトウェアの通信を検出 していることが分かつた。 DNS サーバからの検出、 B i t T o r r e n t、eDonkey についてさらに分析をすすめてみ 図5 . ファイル共有ソフトウェアの割合 た 。 4 . 1 DNSサーノくからの検出 本学 DNSサーノくから S i n a. T V というファイル共有ソフトウェアの通信を検出した。図 4でもわかるが、最 問 s s( 15 0 . 6 5 .1 .130, 15 0 . 6 5 .1 .1 3 1, 15 0 . 6 5 .1 .1 )は本学の DNSキヤツ、ンュサーバで、ある。実際にファ 初の 3つの IPadd イル共有ソフトウェアを使用している可能性はない。そこで実際のログを確認したところあるきまった I P a d d r e s sの 5 3番ポートに対してのアクセスで、あった。やはりそのことからこの検出については DNSのキャ ッシュサーバとしての通信をそのように誤検出してしまったものと考えられる。 4 . 2 B i t T o r r e n t B i t T o r r e n tを検出した I P a d d r e s sでは多数のログまた多数の通信先を検出していた。これはファイル共有ソ i t T o r r e n tが検出された I P a d d r e s sからは B i t T o r r e n t以外のソフトウェア フトウェア通信の特徴である。また、 B i t T o r r e n tを使用するものがほとんどである。 I P a d d r e s sから使 も検出されている。それらのソフトウェアは B i t T o r r e n t を使用しているとは思つてはいな 用者を特定し使用しているソフトウェアなどを確認してみると B いが、そのほかの検出されたファイル共有ソフトウェアを使用していることを認めている。 17 4 . 3 eDonkey eDonkeyも検出割合では B i t T o r r e n tと同程度検出されている。しかしながら、特定の I P a d d r e s sからの検出 が多いわけではなく数多くの I P a d d r e s sからの検出が多くまた、それぞれの I P a d d r e s s検出数は少ない。これ と検出数の分布が似ているものに Skypeがあり、 I P a d d r e s sから使用者に確認を取ると Skypeのみの使用とい うことで、あった。また、検出時刻なども Skypeを使用していた時刻ではないが、常時 Skypeを起動している とのことであった。このことから Skypeの何らかの通信を eDonkeyと誤検出することが分かった。 5 考察 今回はファイル共有ソフトウェアの通信検出において F o r t i G a t e 3 9 5 0 Bの正確さを検証したわけであるが、 以下のことが問題点であることが分かつた。 • DNSサーバの特定サイトへの通信を誤検出してしまう。 • eDonkeyとしての検出はほぼ Skypeの何らかの通信を誤検出してしまう。 特定の I P a d d r e s sに対する問題点は F o r t i G a t e 3 9 5 0 Bの設定で除外することは可能であり、設定したい。また、 eDonkeyの問題は Skypeの挙動などを調査し何をどう誤認しているかを特定していきたい。統計データの方 からも関連性を詳しく長期にわたりだし、 Skypeとの関連が確かであれば Skypeと同様の扱いとしたい。 使用率の少ないソフトウェアに関しても検証が必要かと思われる。 6 まとめ まだ更新作業中であり F o r t i G a t e 3 9 5 0 Bの検出に関する精度を上げてし、かねばならない。そのほかの機器も 同様に活用し、合わせた検出法でさらに精度も上げていきたい。また、当然利用者にはファイル共有ソフト ウェアの使用禁止を啓蒙していく必要もあるわけであるが、 I P a d d r e s sからの利用者の割り出しにコストがか かっている点も改善したい。今回の作業でこれらの課題がわかり、これらの課題に対して作業を進めていき たい。 18