1 / 183

インターネットセキュリティ中級

インターネットセキュリティ中級. 株式会社リナックスアカデミー http://www.linuxacademy.ne.jp. 本講座の項目 . インターネットにおけるセキュリティ コンピュータウィルスとその対策 セキュリティホールとその対策 IP プロトコルに対するセキュリティ ネットワーク設計におけるセキュリティ対策 ファイアウォールの仕組み (1/2). 本講義の項目 . ファイアウォール構築実務 ネットワーク脆弱性調査 侵入検知システムの概要 侵入検知システムの構築 (1) 侵入検知システムの構築 (2)

kacy
Télécharger la présentation

インターネットセキュリティ中級

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. インターネットセキュリティ中級 株式会社リナックスアカデミー http://www.linuxacademy.ne.jp

  2. 本講座の項目  • インターネットにおけるセキュリティ • コンピュータウィルスとその対策 • セキュリティホールとその対策 • IPプロトコルに対するセキュリティ • ネットワーク設計におけるセキュリティ対策 • ファイアウォールの仕組み • (1/2)

  3. 本講義の項目  • ファイアウォール構築実務 • ネットワーク脆弱性調査 • 侵入検知システムの概要 • 侵入検知システムの構築(1) • 侵入検知システムの構築(2) • ソーシャルエンジニアリング対策、個人情報の流出とその対策 • (2/2)

  4. 1章 インターネットにおけるセキュリティ • ファイアーウォールによるセキュリティ設計- - • セキュリティ法整備- - • セキュリティポリシーの策定- -

  5. ファイアウォールによるセキュリティ設計 • 企業や、組織がインターネットに接続する場合に、情報資産を守る目的で、ネットワークを設計、構成 • 内部ネットワークと、インターネットを隔離するための機器がファイアウォール • ルーターや、Linuxなどでも、簡単なファイアウォールを構成可能

  6. 図: ファイアーウォールによるセキュリティ設計

  7. セキュリティ法整備 • 情報セキュリティに関連する国内法規は、下記の通り(主なもの)- 刑法- 不正アクセス禁止法- 個人情報保護法- 著作権法- 特定商取引法- 民法- 電子署名認証法 • 不正な行為、取引に対する処罰を定めたものと、電子情報に対する信用を定めたもの

  8. 刑法 • 刑法が定めるのは、人間が他の人間に行った犯罪行為です(例、殺人、強盗、詐欺) 以前の刑法では、コンピューターを利用した破壊行為や、詐欺が取り締まれませんでした • 1987年 刑法改正- コンピュータ犯罪防止法 ・ コンピューターや電子データを破壊する行為 ・ コンピューターを利用した詐欺行為 ・ コンピューターを利用した業務妨害行為

  9. 不正アクセス禁止法 • コンピュータ犯罪防止法では、立件要件が成立していない不正行為が取り締まれません (例、サーバーへの侵入など) • 2000年 不正アクセス禁止法施行- 下記の行為を禁止 ・ パスワードなどの窃盗 ・ 他人のパスワードの公開、および販売 ・ アクセス権のないサイトへの侵入 ・ アクセス権のないシステムの利用 ・ サイトの弱点を公にする行為(必要なセキュリティ対策を取っている事が条件)

  10. 個人情報保護法 • 個人情報の保護に関する法律 企業や、組織から流出した情報を元にする犯罪行為が多発(オレオレ詐欺、悪徳リフォーム等) • 2005年施行- 対象: 事業者、個人、組織 ・ 半年間に、5千件以上の個人情報を持つものが対象 ・ 個人情報とは、名前以外のメールアドレス、性別、住所、電話番号、携帯番号など ・ 本人の同意を得ず個人情報を第三者への提供禁止 ・ 利用目的の告知義務 ・ 本人からのデータ開示への対応義務

  11. 著作権法・特定商品取引法 • 著作物(手紙、書籍、レコード、放送内容)などに、著作権を定める。基本的に個人が対象(法人への規定も)(例、許諾なき修正・複製および配布の禁止) • 特定商品取引法(特定商取引に関する法律) ・ 訪問販売などに対して、制限を設ける目的で制定 ・ H21 改正 ・ 全ての商取引に適用 ・ 許諾ない相手への広告メールを禁止 ・ クーリングオフに関する規定を明確化 ・ 返品についての条項が明示ない場合にも返品が可能(通信販売、8日間)

  12. 民法・電子署名認証法 • 民法 個人、法人間の売買契約や、債務不履行の場合の損害賠償、不法行為においての損害賠償について規定(例、サーバーの動作が異常であるのに、管理責任を放置した等) • 電子署名認証法 (電子署名および認証業務に関する法律) ・ 電子署名に、印鑑や署名と同じ効力を規定 ・ 電磁的記録(電子データ)は、本人の電子署名で、従来の署名に代替可能 ・ 電子署名に関して、認証業務に関する一定の水準を満たせば、国の認定を受けることが可能

  13. セキュリティポリシーとは • 企業、組織などにおける情報資産の情報セキュリティー対策について、総合的、具体的に定めたもの ・ 情報セキュリティ基本方針 ・ 情報セキュリティ対策基準 (情報セキュリティ実施手順) • 情報セキュリティ基本方針- 組織において、情報セキュリティの対策についての考え方を定めたもの

  14. 情報セキュリティ対策基準と実施手順 • 情報セキュリティ対策基準- 基本方針で定めた、遵守事項は判断についての基準を定めるもの ・ 何をしなければならないか ・ どこまでしなければならないか • 情報セキュリティ実施手順- 情報システムあるいは、業務において、具体的に、どのような手順で実施するのかを定めたもの

  15. セキュリティポリシーの内容 • どの情報は、誰にアクセスさせて、誰にはアクセスさせてはならないか • 外部からの侵入に対して、どのような対策をとるか • コンピューターウイルスなどについての対策をどのようにとるか • 以上の対策をどのように維持するか

  16. セキュリティポリシーの継続的改善 • PDCAサイクルと呼ばれる継続的改善を実施 ・ 策定 セキュリティポリシーを規定 ・ 導入 教育の実施、設備の導入など ・ 運用、監視 ポリシーを展開し、事態に対して対策を実施 ・ 評価、改善 情報システムの監査、実施状況を評価。ポリシーを改善

  17. 演習 経営者の視点

  18. 演習 経営者の視点(2)

  19. 1章のまとめ • 物理的な対策- ネットワークの設計- 必要な設備の導入 • セキュリティ侵害に対する法規の知識- 不正アクセス行為 → 処罰- 国内法規では限界 • 組織においてのセキュリティポリシーの展開- セキュリティポリシーの位置づけ- 被害があった場合にどうなるか

  20. 2章 コンピューターウイルスとその対策 • コンピューターウイルスの分類・事例- 被害事例- ウイルスの分類 • ウイルス対策実例- 対策の方法 • ウイルス対策運用- セキュリティポリシーでの運用

  21. コンピューターウイルスとは • コンピューターに取り付き、感染、増殖するプログラム、不正なサイトへの誘導や、ネットワークを停止させる目的で放たれることが多い • 誰が作れるか- セキュリティホールの知識があり、プログラムが作成できるもの- 面白半分に、感染が広がるのを楽しむ場合も多い

  22. コンピューターウィルスの届出数(国内)

  23. コンピューターウイルスの分類・事例 • ウイルス- プログラムを書き換えて、そのファイルに侵入する機能を持つ • ワーム- ネットワークのセキュリティホールを利用して侵入するネットワークプログラム • トロイの木馬- プログラムの内部に、不正機能が含まれているもの • ロジックボム- 時限式、決められた時刻にシステムを破壊し、自滅するタイプ • ボット- 不正プログラムの機能を組み合わせたタイプ、新種

  24. Code Red • - 2001年7月 発見- 作者不明- Microsoft IISサーバーに感染Microsoft IISのセキュリティホールを利用(セキュリティパッチは提供されていたが、あてていないサイトが多かった)- ワームが発信するトラフィックで、インターネットが麻痺(インターネットが麻痺したのは、この日のみ)- その後のウィルス対策導入のきっかけ

  25. Nimda(ニムダ) • - 2001年9月 発見- 作者不明- Windowsクライアント、サーバーに感染 ・ 電子メール ・ ファイル共有 ・ 感染したWebサイトへのアクセス ・ Microsoft IISのセキュリティホールを利用 ・ バックドア- 電子メールから感染するので、元がたどりにきくい(アドレス帳の全てのアドレスに対して送出)

  26. Badtrans • - 2001年11月 発見- 作者不明- ウイルス、トロイの木馬の機能を持つ- Outlook/Outlook Express/IEの特定バージョンの組み合わせで動作- 電子メールをプレビューすると、IEのコードを実行して、さらにメール送信

  27. Netsky • - 2004年3月 発見- 作者不明- ウイルス、トロイの木馬の機能を持つ- 電子メールの送信失敗というメールを偽装添付ファイルを開くと、メールを送信しはじめるメーリングリストに送信されたウイルスメールがウイルス判定され、エラーメールが返るこのエラーがメーリングリストに送信され、メールシステムが渋滞

  28. クライアントにウイルス対策 • アンチウイルス ・ ファイルのダウンロード、メールの受信時に内容をパターンファイルと比較 ・ パターンファイルを最新にしないと無意味 • 多機能なもの ・ Webのブラウジングもチェック ・ メールの送信 ・ Webブラウジング ・ ネットワーク接続 など、様々なチェックを装備

  29. メールサーバーにウイルスチェック機能を実装メールサーバーにウイルスチェック機能を実装 • - LinuxのPostfixに、Clam AntiVirusを連携Linuxのアンチウイルスソフトウェア- Clam AntiVirus # yum install clamd –yPostfixで受け取ったメールを、amavisdを通して、Clam AntiVirusでチェック「ClamAV メールサーバー」で検索

  30. ウイルス対策運用 • 全てのクライアントにアンチウイルス導入- クライアントのリスト ・ 導入した記録を保存(紙/電子ファイル) ・ 導入日付 • メールサーバーにアンチウイルスを導入- サーバー管理者に通知設定ウイルスを検知したら、記録に保存 → 対策が立てやすく

  31. その他のマルウェア • スパイウェア- システムに対する不正はしないものの、入力情報や、アクセス情報を外部に送信 • キーロガー- キーボードの入力を記録し、外部に送信破壊行為がないため、見つかりにくいが、一度仕掛けられると退治が難しい- ソフトウェアをユーザーにインストールさせない運用- インストールされたアプリケーションを報告するシステム

  32. 演習 被害想定と対策コスト

  33. 2章のまとめ • 21世紀に入って、コンピューターウイルスが、インターネットの安全な利用の重大な脅威となった • 無責任なコンピューターの利用がウィルスの温床 • 2006年をピークに、届出件数は減っているものの、脅威が減ったわけではない • スパイウェアのような発見しにくい不正プログラムが増加 • ウィルス対策の徹底と、運用管理が重要

  34. 3章 セキュリティホールとその対策 • セキュリティホールの仕組み- バッファオーバーフロー攻撃- セキュリティホール・安全情報の取得 • ソフトウェアのバージョンアップ- OSのバージョンアップ- アプリケーションのバージョンアップ- セキュリティパッチの適用 • セキュリティホール・安全情報の取得- オープンリレーサーバーの利用- メールアドレスの収集- フィッシングサイトの作成

  35. セキュリティホールの仕組み • ネットワークプログラムに含まれる脆弱性- バッファオーバーフロー ネットワークからのデータをバッファ領域にコピーする際に、サイズをチェックしていない- 想定していない操作で、任意のコードが実行可能なことも • Webアプリケーションに含まれる脆弱性- SQLインジェクション- クロスサイトスクリプティング(XSS) - その他多数

  36. セキュリティホール・安全情報の取得 • JPCERT/CC - 日本語での脆弱性情報の報告 • CERT/CC - セキュリティ関連の情報がまとめられている(英語) • BUGTRAC - セキュリティ関連のメーリングリスト(英語)BUGTRAC in Japanese(日本語) • DOE-CIRC(米国エネルギー省)- 旧CIAC 脆弱性情報を報告

  37. 演習 JPCERT/CCからの情報収集

  38. ソフトウェアのバージョンアップ • ソフトウェアのバージョンアップ区分

  39. パッケージシステムによる更新 • 更新が可能なパッケージを確認# yum check-update • カーネルも含めた一括アップデート# yum update • カーネルを除外する場合# vi /etc/yum.confexclude=kernel*

  40. ソースコードからのアップデート • Linux Kernelwww.kernel.orgから、該当するソースコードを取得# mv linux-2.6.36.tar.bz2 /usr/src/ # tar jxvf linux-2.6.36.tar.bz2 # mv /usr/src/linux-2.6.36 /usr/src/linuxコンパイラと、必要なパッケージをインストール# yum install gcc ncurses-devel # cd /usr/src/linux

  41. ソースコードからのアップデート(続き) • カーネルソースの初期化# make mrproper # make menuconfig (カーネルオプションの設定)# makeカーネルモジュールのインストール# make modules_install # mkinitrd /boot/initrd-2.6.36.img 2.6.36 # installkernel 2.6.36 arch/i386/boot/bzImage System.map # cat /boot/grub/grub.conf

  42. 事例研究(フィッシングサイトの構築) • フィッシングサイトがどのように詐欺行為を行うのか • どのように対策したらよいか考える

  43. オープンリレーサーバー • メールサーバーの設定として、どこからでも転送可能な設定があるオープンリレーサーバーを探す手法 ・ アドレススキャン ・ ポートスキャン ・ 25番ポートがオープンであれば、メール送信 ・ メールが送られるかチェック

  44. メールアドレスの収集 • 目標となるネットワークのメールアドレスを収集メールアドレスの売買は違法だが、簡単に入手可能 ・ Webに公開されているアドレスを収集 ・ P2Pを利用する方法 • フィッシングメールの作成- 目標となるアカウントと類似したメールアドレス- 興味を引くようなタイトル、本文- フィッシングサイトへのリンク

  45. フィッシングサイトの作成 • 本物そっくりのログインサイト • アカウント(ユーザ、パスワード)を奪取 • フィッシングメールの送信- メール送信プログラムを実行

  46. 3章のまとめ • クラッカーは、ネットワークシステムの脆弱性を攻撃 • 脆弱性が見つかったら、ソフトウェアのバージョンアップ • フィッシングと呼ばれる巧妙な詐欺行為も増加 • フィッシングでは、オープンリレーサーバーを利用 • スパムメールに反応しない • インターネットは危険であることを認識

  47. 4章 TCP/IPプロトコルに対するセキュリティ • TCPの仕様と攻撃方法- TCPの仕様- SYNフラッド攻撃 • IPアドレスのセキュリティリスク- IPv4アドレス • サーバー侵入手順- 典型的な攻撃方法 • TCPにおける不正アクセス技術 • IPにおける不正アクセス技術

  48. TCPの仕様と攻撃方法(1) • TCP - IPネットワークで、1対1の接続を実現するプロトコル- セッションを単位に、上位のプロトコルの通信手順を実現(HTTP/FTP/Telnet/SSHなど) • 3ウェイ・ハンドシェイク- 要求元がSYNパケットを送信- SYNを受信したら、SYN ACKパケットを送信 (同時に、接続のための記憶領域を準備)- SYN ACKを受信したら、ACKパケットを送信

More Related