Microsoft PowerPoint ppt [互換モード]

Transcription

1 情報セキュリティ 第 11 回 2009 年 6 月 19 日 ( 金 ) 1/29

2 今後の予定 第 11 回 :6 月 19 日 サーバサイドセキュリティ 第 12 回 :6 月 26 日 理論 : 計算論, 暗号プロトコル 第 13 回 :7 月 3 日 企業 組織のセキュリティ :ISMS, 個人情報保護法 第 14 回 :7 月 10 日 第 2 回レポート課題のプレゼンテーション ( 若干名 ), おさらい問題 (7 月 17 日は月曜日の授業 ) 第 15 回 :7 月?? 日 ( 試験期間中 ) 試験 2

3 本日学ぶこと サーバサイドセキュリティ Web サーバのセキュリティ 不正な入力への対応 ファイアウォール セキュア OS 3

4 なぜ, サーバサイドのセキュリティを考えるのか サーバが攻撃されると ネットワークが機能しなくなる サービス ( 顧客など, 外からのアクセス ) に対応できない! LAN の外にアクセスできない! 知らないうちに加害者になることも 踏み台攻撃,DDoS (Distributed Denial of Service) 攻撃 報道などにより, 社会的信頼が低下する 踏み台攻撃のイメージ 4

5 DoS 攻撃 ( 復習 ) 送信 受信 敵 DoS = Denial of Service 可用性を脅かす 5

6 DDoS 攻撃 ( 復習 ) 敵 敵 送信 受信 敵 敵 DDoS = Distributed Denial of Service 可用性を脅かす 敵 6

7 典型的な Web サーバ環境 Apache PostgreSQL PC (Windows) UNIX MSQL MySQL Oracle 入力 問い合わせ クライアント 出力 (HTML, 画像など ) 検索結果 SSL HTTP Web サーバ SQL データベースサーバ CGI Servlet 7

8 SSL 利用の留意点 サーバ証明書は自作できるが, その分, 信頼性がない オレオレ証明書 サーバ認証 ( とクライアント認証 ) はできても, ユーザ認証はしていない 8

9 Web アクセスでのアクセス制御 ユーザ認証 アクセス制御やユーザ認証をしていないと だれでもコンテンツにアクセス可能 Googlebot (crawler) などがコンテンツを取っていくかも リンクを張ってないから は言い訳にならない crawler 9

10 Web のユーザ認証 ユーザが適切なユーザ名とパスワードを入力すればアクセス可能になる 不特定のアクセスを排除できる. 方式 認証に必要なファイル ( パスワードファイル ) は /etc/passwd と別物.Web でアクセスできないところに置く. Basic 認証 :HTTPの認証方式の一つ. ユーザ名 パスワードは暗号化されない. Digest 認証 :HTTPの認証方式の一つ. ユーザ名 パスワードは暗号化される. アプリケーションによる認証 :HTML のフォームなどを用いた認証方式. ユーザ名 パスワードは暗号化されない. SSL/TLS と組み合わせれば, 通信は暗号化されるので, 盗聴 改ざんの心配がない. 10

11 Web のアクセス制御 どこからのアクセスを許可 拒否するか サーバ内のどの情報へのアクセスを許可 拒否するか 設定ファイル (Apache) httpd.conf, apache.conf など 編集には一般に root 権限が必要 対象ディレクトリまず拒否許可する接続元ホスト名許可する接続元 IPアドレス アクセス制限の記述例 <Directory /home/*/public_html> order deny,allow deny from all allow from.wakayama-u.ac.jp ac allow from / </Directory> 11

12 サーバサイドスクリプトとセキュリティ サーバサイドスクリプトは, リクエストに応じて HTTP サーバがファイルを実行 解釈し, その出力をクライアントに送る. 静的なアクセスでは, ファイルそのものを送る. CGI では, レスポンスを生成する ( ようなプログラムを書く ). PHP, eruby などは,HTML の中にプログラムを埋め込む. スクリプトファイルの中に, 秘密にすべき値 ( パスワードなど ) を格納してはならない. サーバ設定ミスにより, プログラムそのものが送られてしまう可能性に対処 プログラムから参照するファイルは, 同じディレクトリではなく, Webアクセスで見えない場所に置く. 12

13 Web アクセスでの不正な入力 ディレクトリトラバーサル SQL インジェクション クロスサイトスクリプティング クロスサイトリクエストフォージェリ バッファオーバーランバ 13

14 ディレクトリトラバーサル CGI を使って,Web アクセスで通常見ることのできないファイルが見えてしまう 対策 ファイル名を指定するような入力フォームは作らない../ といった入力を適切に検出し, エラーとして扱う ファイルを開く前に, 開いていいファイルか, パスから判断する ( /etc/passwd, /var/www/data/file1) 14

15 SQL インジェクション 期待される入力と SQL 文 SELECT count(*) FROM users WHERE username='takehiko' AND password='abcd'; 悪意のある入力と SQL 文 SELECT count(*) FROM users WHERE username='takehiko' AND password='1' OR 'X'='X'; delete 文を埋め込んで, レコードをすべて削除してしまうかも 15

16 SQL インジェクションへの対策 入力中の特殊な文字をエスケープする ( サニタイジング ) ' ' など プレースホルダを使用する result = User.find_by_sql [ SELECT count(*) FROM users where username=? AND password=?, u,p] Rubyの ActiveRecordを用いたコード例 サニタイジングは, ライブラリルーチン ( 先人の知恵 ) に任せる用いたコード例 上の例で u が takehiko, p が 1' OR 'X'='X なら SELECT count(*) FROM users WHERE username='takehiko' AND password='1 ' OR 'X '= 'X'; 16

17 クロスサイトスクリプティング (XSS,CSS) 問題 ( 悪意 ) ある URL でアクセスすると,Cookie などブラウザの情報が漏洩することがある アクセス先のホスト (Web サーバ ) は, 企業などで, 悪意はない ただし現在では, 対策をしていないアプリケーションは脆弱性があると言ってよい URLにJavaScriptのコードが埋め込まれていることが多い 17

18 クロスサイトスクリプティングへの対策 サーバ側 サニタイジング < < &;, > >, " " など クライアント側 アクセスしようとする URL をよく確認する HTML メールはできれば使わない URL エンコーディング ( %3C など ) に注意 18

19 クロスサイトリクエストフォージェリ (CSRF) 利用者が, サイト S のページにアクセスする ( ログイン後に日記に書く, ショッピングサイトで商品を購入するなど ) とき 攻撃者が, サイト S にアクセスする悪意あるコンテンツ (HTML ファイル, フレーム,1 ピクセル画像などを用いて ) を作っておき, 利用者が, 悪意あるコンテンツを Web ブラウザで動かすと, 対策 サイト S へのアクセスが発生し, 利用者の意図しない操作 ( ぼくはまちちゃん と書く, 無用な商品を購入するなど ) をしてしまう! 利用者 : 不審な URL にはアクセスしない, ボタンを押さない. サーバ ( 開発者 ): 認証に関する適切な情報 ( クッキー, セッションID, トークンなど ) を管理し, やりとりする. 入力はGETではなくPOSTで受け取る. 19

20 バッファオーバーラン バッファオーバーフロー ともいう. CやC++ で, スタック上に確保した領域 ( 配列など ) の範囲外に情報を書き込み, 実行できてしまうことがある 対策 : Web サーバに限らず, クライアント PC などでも起こり得る セキュリティ上問題のないバージョンのアプリケーションを使う CGI プログラムなどを C か C++ で作る場合, 範囲外に書き込める危険な関数 (strcpy,sprintfなど) は使わない 20

21 アクセスログ ファイル例 (Apache2) p /var/log/apache2/{access,error,ssl,suexec}.log ログの例 ***.*** - - [18/Jun/2008:16:01: ] "GET /kankyou db/rss?num=10 HTTP/1.1" " "Mozilla/5.0 (Windows; U; Windows NT 6.0; ja; rv: ) 1 14) Gecko/ Firefox/ " 対応 やたら長いパスでアクセスしているのがあれば, バッファオーバーランを疑う 1 秒 ~ 数秒の間に異常な数のアクセスがあれば,DoS 攻撃またはDDoS 攻撃を疑う 21

22 ファイアウォール ファイアウォールとは 組織内のコンピュータネットワークへ外部から侵入 ( 不正アクセス ) されるのを防ぐシステム パケットフィルタリングとは 送られてきたパケットを検査して, 通過させるかどうか判断する, ファイアウォールの一つの機能 パケットヘッダに含まれている情報ッダに含まれている情報 : プロトコル, 送信元 先のIPアドレス, ポート番号など Linuxでパケットフィルタリングをするには iptables 22

23 iptables Linux でのパケットフィルタリングツール どこからのアクセスを許可 拒否するか どのインタフェースのアクセスを許可 拒否するか どのポート番号のアクセスを許可 拒否するか NAT (Network Address Transformation) の機能もある OK NG 23

24 iptables の利用方法の基本 落とす 外からのアクセス (INPUT) は基本的にDROP, 必要に応じて ACCEPT 通す lo (localhost に関するインタフェース ) は ACCEPT インタフェースは /sbin/ifconfig を実行すればわかる LAN など, 信頼できるネットワークからのアクセスはすべて ACCEPTでもよい 外からのアクセスに必要最小限なポートも ACCEPT ssh (22),http (80),https (443), smtp (25) など 一律 ACCEPT ではなく, 本当に必要なもののみにする! ACCEPTのルールに当てはまらないものは,LOGをとるのもよい 24

25 ブロードバンドルータはセキュリティに役立つ? 手っ取り早く, 外からのアクセスを遮断するという点で, 役立つ PC (Windows でも PC-UNIX でも ) をインターネットに直結するのは, 攻撃やウイルス感染のもと! ブロードバンドルータの LAN 内でウイルスが蔓延したり, 外に発したりするかも 利用すべき機能, 利用しないほうがいい機能 外からのアクセスを受け入れたいなら, バーチャルサーバ なバ などの機能を使う DMZ (DeMilitarized Zone) 機能はなるべく使わない. 使うときは, アクセス先計算機のファイアウォールをきちんと設定してから. 25

26 UNIX の安全性 root は全能の神 root 権限を奪われる ( 権限昇格 ) と, 何でもされてしまう セキュア OS 既存の OS と互換性は保ちつつ, 神のような強大な権限をなくす 強制アクセス制御(Mandatory Access Control, MAC) と 最小特権 を持つ Linux におけるセキュア OS SELinux (Security Enhanced Linux) LIDS (Linux Intrusion Ditection System) 26

27 本日のまとめ 暗号通信がセキュリティのすべてではない 不正なアクセスや入力のパターンを知り, それを防止する 機密性と可用性のバランスをとるには, アクセス制限 次回予告 理論 計算理論,P=NP とセキュリティ暗号プロトコルとその安全性など第 2 回レポート課題 ( 第 2 段階 ) は 6 月 25 日 ( 木 ) まで, メールにて 27

28 補足 1: 英語綴り CGI = Common Gateway Interface ディレクトリトラバーサル = directory traversal サニタイジング = sanitize, sanitizing クロスサイトスクリプティング = Cross Site Scripting クロスサイトリクエストフォージェリリ = Cross Site Request Forgery 28

29 補足 2:2 種類の 2 種類の攻撃 受動的攻撃 (passive attack) 他の計算機などの行動 ( 送信など ) のあとに, 攻撃する. 能動的攻撃 (active attack) 自分から他の計算機にアクセスを行うことで, 攻撃を始める. 本日の授業の立場. またレポート課題 1 の原文 ( 紅色ダイヤ ) でも, この意味の受動的攻撃が行われている. 受動的攻撃 (passive attack) 盗聴などにより情報を取得する. 能動的攻撃 (active attack) Diffie-Hellman 鍵交換におけるman-in-the-middle 攻撃は, 能動的? 受動的? なりすまし通信, リプレイ攻撃, 改ざんなど, 送信も行う. IPsecにおいてよく見られる分類. 29E