SC：対策技術 - 防御・侵入検知のバックアップ(No.7) - .NET 開発基盤部会 Wiki

[ トップ ] [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

「.NET 開発基盤部会 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

戻る

目次 †

目次
概要
- 防御
- 侵入検知
詳細
- 防御
- 侵入検知

概要 †

防御 †

ホスト要塞化
脆弱性検査
トラステッドOS

侵入検知 †

F/W、WAF

IDS（不正侵入検知システム）
IPS（不正侵入防止システム）

サンドボックス

詳細 †

防御 †

ホスト要塞化 †

サーバーの脆弱性を塞ぐ。

実施項目

パーティション分割
- OS
- プログラム
- データ
- ログ

セキュアなファイルシステム
- アクセス制御
- 暗号化

OSインストール
- 最新版
- パッチ適用

アカウントと権限
- コンピューターに必要なアカウントのみ追加
- リソースに必要なアカウント / 権限のみ追加
- 不要なアカウント / 権限の削除
- 不要なリソースの削除

デフォルト・ロックダウンからの、
- 必要なサービスの有効化（最新版）
- 必要なソフトウェアの追加（最新版）
- サービス/ ソフトウェアのバージョンアップ
- サービス/ ソフトウェアへパッチ適用

※ 必要に応じて不要なサービスを停止する。

各種ポリシ設定
（グループポリシーなどで設定）

監査ログのポリシ

パスワードポリシ
「文字数 / 文字種、ロックダウン回数、パスワードの定期変更」の指定
「初期値、ユーザIDと同じ、辞書とパスワード辞書、名前、生年月日」の拒否

, etc.

脆弱性検査 †

ソフトウェア内部の脆弱性（パッチが未提供のもの）
- OS、ミドル
- Webアプリケーション

検査の手法
- ホワイト・ボックス
- ブラック・ボックス（通常コチラ）
  以下の様な呼称もある
  - セキュリティ・スキャン
  - セキュリティ・ホール検査
  - 侵入検査、ペネストレーション・テスト
  - ファジング（予測不可能な入力データを与える）

検査の手段

手動
- ツールでは検出困難な検査が出来る。

自動（ツール）
- 検出能力に限界がある。
- 複数の脆弱性を組み合わせた攻撃などは検出できない。
- 検査結果の分析とサイトに合った対策などは人手が必要。

比較

#	項目		OS、ミドル	Webアプリケーション
1	検査対象		インストールしたソフトの脆弱性サーバ設定の脆弱性	開発したアプリケーションのソースコードの脆弱性
2	検査項目		OS、ミドルの脆弱性	開発したアプリケーションの脆弱性
3	実施時期		新規構築時、設定変更時、定期的	ページ / アプリケーションの追加時 / 稼働前
4	実施方法	ホワイト・ボックス	設計書レビュー	ソースコード・レビュー
4	実施方法	ブラック・ボックス	人手での侵入・攻撃テストツールによるスキャン、結果分析	人手での各種インジェクション・テストツールによるスキャン、結果分析
5	対処方法		バージョンアップ、パッチ適用、定期的検査	修正、類似見直し、再発防止

トラステッドOS †

トラステッドOS
- 軍用システムで用いられる。
- 「TCSEC」の「B Division」に定義されている規約を満たす。
- Common Criteria（CC）内で規定されたセキュリティ機能要件を実装する。

システムの設定方法や扱いが非常に難しく、大変に高価

セキュアOS
- Trusted OSの高度なセキュリティ機能を実装しながら、
  民間にも導入しやすいようにいろいろな工夫を施したOS。
- Trusted OSの豊富なセキュリティ機能から、
  民間市場が要求する機能だけを実装するように開発。

SELinux (Security-Enhanced Linux)
- トラステッドOSではなく、セキュアOS
- Linuxディストリビューションではない。
- Linuxに強制アクセス制御 (MAC) 機能を付加するモジュール
- アメリカ国家安全保障局 (NSA) がGPL下で提供している。
- Linux(UNIX)は、
  root が乗っ取られると、システム全体に致命的な被害を及ぼす。
  そのため、以下の仕組みを導入し、rootに権限が集中することを防いでいる。
  - Flaskアーキテクチャ（セキュリティーサーバーとアクセスベクターキャッシュ）
  - HTTP、FTPといったプロセスごとにアクセス制限をかける Type Enforcement(TE)
  - rootも含む全てのユーザに関して制限をかけるロールベースアクセス(RBAC)

規格
- ISO/IEC 15408
  TCSEC（Trusted Computer System Evaluation Criteria）など
  を元に策定されたCommon Criteria（CC）と呼ばれる評価基準を定めている。

TCSEC（Trusted Computer System Evaluation Criteria）
- 米国国防総省のNCSCによって1983年に策定されたセキュリティ評価基準
- コンピュータシステムの信頼性を図るための指標として用いられている。
- A1 - D の division、classに分類されたセキュリティ要求レベル
- レインボーシリーズ : 技術的文書とポリシー文書のセット

Common Criteria（CC）の主要な概念

プロテクションプロファイル (PP, Protection Profile)
セキュリティ要件（要求仕様）を特定する文書（利用者が書く）。

セキュリティターゲット (ST, Security Target)
製品のセキュリティ性能を特定する文書（利用者が書く）。
製品を評価・認証するための基礎として使用する。

評価対象 (TOE, Target Of Evaluation)
簡単に言えば、ST にセキュリティ主張が記述された製品。

セキュリティ機能要件 (SFR, Security Functional Requirements)
製品が提供する個々のセキュリティ機能を規定する条文。
標準カタログとして PP や、ST を書くときに使用する。

セキュリティ保証要件 (SAR, Security Assurance Requirements)
セキュリティ機能性の主張に製品が準拠していることを保証するために、
製品開発の間にとられる施策を規定する条文。

評価保証レベル (EAL, Evaluation Assurance Level)
製品の開発過程全般をカバーする保証要件のパッケージ、7段階の厳格さに対応する。

ファイアウォール（F/W） †

種類

パケット・フィルタリング型ファイアウォール
TCP/IP以下のレイヤでパケット・フィルタリング

Webアプリケーション・ファイアウォール（WAF）
- L4スイッチ的なもの、L7スイッチ的なもの。色々ある。
- Arrayシリーズなどの統合アプライアンスに機能追加したようなタイプのものもある。

上記の2つの機能を持つハイブリッド型ファイアウォールもある。

構成例

BBルータ的な構成

ルータなのでNAPT機能を持つ。
内部IPを晒さずセキュアになるので、
F/Wのコンテキストで説明される。

非武装セグメント（DMZ）

「ノーガード」
外部公開サーバが野晒

「三脚境界」
DMZ上の外部公開サーバに必要な
インバウンド・アウトバウンド通信をルーティング

「2台のF/Wに挟まれた」
三脚境界はF/Wが1台だが、F/Wを2台にすることで、
異なるベンダのF/Wにできるのでセキュリティが強化される。

「レベルによって分割された」
言うなれば「4～脚境界」。
レベルに応じた分割・設定が可能。

アクセス制御リスト（ACL）

ポジティブ・セキュリティ・モデル
- 別名ホワイト・リスト
- 基本的にすべての通信をdrop(deny)
- 必要に応じて、高優先度のacceptを追加。
- 特定クライアント＆通信のアクセス制御に利用される。

ネガティブ・セキュリティ・モデル
- 別名ブラック・リスト
- 基本的にすべての通信をaccept
- 必要に応じて、高優先度のdrop(deny)を追加。
- コンテンツフィルタなど、不特定のクライアント＆通信のアクセス制御に利用される。

防御出来ない攻撃
- DoS系の攻撃
- マルウェア侵入後の攻撃
- ソフトウェア側の脆弱性を突いた攻撃

各種拡張機能
- ハイパフォーマンス、ギガビット対応
- マルチホーミング（複数のWAN接続経路）
- IPv6、VPN機能、QoS機能

UTM（統合脅威管理）
- IDPS機能
- ゲートウェイ型AV
- , etc.

負荷分散
F/W型の負荷分散はArrayシリーズなどの統合アプライアンスに組み込まれている。

HAクラスタ
- ウォーム・スタンバイ、ホット・スタンバイ
- F/Wの前後にスイッチやLBを配置する。

パケット・フィルタリング型ファイアウォール †

もともとはインバウンドのパケット・フィルタリング機能
最近はアウトバウンドのパケット・フィルタリングも行う。
ルータや、OS（パーソナル・ファイアウォール）などに付属している。

以下は設定項目（ACL : アクセス制御リスト）

No(優先順位)

方向 : in, out

srcアドレス, srcポート
srcポートにwell-knownを使うFTP(passive)などがある。

dstアドレス, dstポート
dstポートは、基本的にwell-knownになる。

プロトコル : TCP, UDP, ICMP
トランスポート層までのプロトコル

ACK : ON or Active OpenのNo.2のみ通す。

Action : accept, drop(deny), reject

Webアプリケーション・ファイアウォール（WAF） †

種類

サーキットレベル・ゲートウェイ型
L4スイッチ的に動作する。
- クライアントを認証し、TCP/IPのコネクションを確立して転送する。
- ペイロードをチェックしないが、UDPを対象にできる。
- クライアント・プログラムが、SOCKS拡張に対応している必要がある。
  （SOCKS は、サーキットレベル・ゲートウェイのデファクトスタンダード）

ダイナミック・パケットフィルタ型
L4スイッチ的に動作する。
- クライアントとTCP/IPのコネクションを識別して
- 当該コネクションに対応するACLを自動登録する。
- FTP(active)にも対応できる。

ステートフルインスペクション型
L4スイッチ的に動作する。
- ダイナミック・パケットフィルタ型より更に高機能。
- TCP/IPの通信フローまでをチェックできる。

アプリケーション・ゲートウェイ、アプリケーション・プロキシ型
L7スイッチ的に動作する。
- クライアントとTCP/IPのコネクションを確立、
- TCP/IPストリームのペイロードをチェックして、
- 対象プロトコルのコマンドやメソッドなどをフィルタする。
- TCP、UDP、または ICMP リクエストは処理対象ではないものが多い。

フィルタリング機能が高機能であるため、
- 結果的にACLが設定し易い。
- ACLの設定ミスも発生し難い。

侵入検知 †

#	種類		特徴
1	IDS（不正侵入検知システム）		各種、侵入や攻撃を検知
	-1	NIDS（ネットワーク不正侵入検知システム）	パケット・キャプチャでネットワーク上の...
	-2	HIDS（ホスト不正侵入検知システム）	ホストに常駐して、ホストへの...
2	IPS（不正侵入防止システム）		IDSに防御機能を追加
	-1	NIPS（ネットワーク不正侵入防止システム）	通信を遮断するためのインライン構成をとる。
	-2	HIPS（ホスト不正侵入防止システム）	パーソナル・ファイアウォール的な機能を持つ
3	サンドボックス		サンドボックス上でヒューリスティック法でウィルスを検知する。

IDS（不正侵入検知システム） †

IPS（不正侵入防止システム） †

サンドボックス †