TOPIC 2004 年 4 月 21 日に公開された TCP の脆弱性! Transmission Control Protocol: TCP について! 脆弱性発見の背景! 脆弱性情報の流通過程! 脆弱性の内容について! 実際の脆弱性への対応脆弱性の対象となる製品脆弱性の回避策と対策公開情

Size: px

Start display at page:

Download "TOPIC 2004 年 4 月 21 日に公開された TCP の脆弱性! Transmission Control Protocol: TCP について! 脆弱性発見の背景! 脆弱性情報の流通過程! 脆弱性の内容について! 実際の脆弱性への対応脆弱性の対象となる製品脆弱性の回避策と対策公開情"

みさえのじま
5 years ago
Views:

1 プロトコルの脆弱性の実例 TCP の脆弱性から 2004 年 10 月 5 日 ( 火 ) JPNIC JPCERT/CCセミナー 2004 JPCERT/CC 鎌田敬介 KAMATA Keisuke 1

2 TOPIC 2004 年 4 月 21 日に公開された TCP の脆弱性! Transmission Control Protocol: TCP について! 脆弱性発見の背景! 脆弱性情報の流通過程! 脆弱性の内容について! 実際の脆弱性への対応脆弱性の対象となる製品脆弱性の回避策と対策公開情報 2004 年 5 月 13 日に公開された IEEE の脆弱性まとめ : プロトコルの脆弱性について 2

3 Transmission Control Protocol TCP について -1 オリジナル仕様は RFC793 にて定義! 1981 年 9 月に出された RFC! インターネットの前身である米国 DoD の ARPA ネットワークで使われていたものがベース! コネクション型で信頼性の高い通信を実現! Internet Protocol (IP) の上位層に位置するプロトコル TCP の主な構成要素! ポート番号 (Port Number)! シーケンス番号 (Sequence Number)! 確認応答番号 (Acknowledgment Number)! ウィンドウサイズ (Window)! フラグ (URG,ACK,PSH,PST,SYN,FIN) 3

4 Transmission Control Protocol TCP について -2 TCPセグメントはIPデータグラムにカプセル化される上位層のプロトコル(HTTP,FTP,SMTPなど) の下位に位置する実際の電気信号の伝達等は下位層に任せる上位層 TCP IP 下位層 IP データグラム TCP セグメント IP ヘッダ TCP ヘッダ TCP データ 4

5 Transmission Control Protocol [TCP セグメント ] TCP について -3 Source Port (16bit) Destination Port(16bit) Data Offset ヘッダ長 4bit Sequence Number( シーケンス番号 ) 32bit Acknowledgment Number( 確認応答番号 ) 32bit Reserved 予約済み 6bit URG ACK PSH Checksum チェックサム 16bit PST SYN FIN オプション部 Window ウィンドウサイズ 16bit Urgent Pointer 緊急ポインタ 16bit データ部オプションが指定されない限りヘッダは通常 20 バイト 5

6 Transmission Control Protocol TCP について -4 パケットキャプチャ結果を用いた解説 6

7 脆弱性発見の背景コーディネーションの背景セキュリティの研究者による指摘論文の発表が目的製品開発ベンダとのモチベーションの違い昔から指摘されている既知の問題ネットワークの高速化による攻撃の現実化 OS やアプリケーションの設計の問題 window サイズの増加シーケンス番号や送信元ポートの規則性現実社会のインターネットへの依存度の高まり既知の問題が再び脚光を浴びるマスコミによる報道実際の攻撃の危険性 7

8 脆弱性情報の流通過程概要図パートナーシップに基づく情報交換研究者情報の提供英国 NISCC 情報の提供 JPCERT/CC 対策の作成対策の作成国際製品開発者国際製品開発者日本国内製品開発者日本国内製品開発者国際製品開発者国際製品開発者日本国内製品開発者日本国内製品開発者 8

9 脆弱性情報の流通過程 2004 年 2 月下旬! 英国 NISCCよりJPCERT/CCに情報が入る! この時点での情報の公開日は7 月に設定! JPCERT/CC から日本国内製品開発者へ連絡を開始 2004 年 3 月下旬! 英国 NISCC より公開日変更の連絡英国時間で 4/21 に設定! 日本国内にて製品開発者を集めたミーティング 2004 年 4 月 : 特に BGP を対象とした回避策 (TCP MD5) の情報提供! JPCERT/CC Weekly Report での紹介! ネットワークの運用グループ (AS ホルダ ) を集めたミーティング 2004 年 4 月 21 日! 情報の公表日が英国時間で 4/21 と設定されていたが情報リークによりマスコミの報道があり 4/20 に早まる ( 日本時間 4/21) 調整の期間はおよそ 2 ヶ月 9

10 脆弱性の内容概要! 10

11 脆弱性の内容概要図正常な通信通信の切断偽装データの挿入安定した通信の阻害ファイル転送が途中で切れてしまうログイン中のセッションが途切れてしまうオンラインショッピングが完了できない 11

12 1:RST セグメントによる攻撃攻撃者ホスト A Port=5555 ホスト B Port=6666 正常な通信 SEQ=777 [RST] SEQ=780 LEN=0 上手い具合に RST を飛ばすと受信側ホストが受理してしまう 12

13 2:SYN セグメントによる攻撃攻撃者ホスト A Port=5555 ホスト B Port=6666 SEQ=500 LEN=500 [ACK] ACK=1001 [SYN] SEQ=1500 LEN=0 [RST] ACK=1501 上手い具合に SYN を飛ばすとセッションが切れてしまう 13

14 3: データの差し込み攻撃者ホスト A Port=5555 ホスト B Port=6666 DATA SEQ=500 [ACK] ACK=501 DATA SEQ=501 上手い具合にデータセグメントを飛ばすとデータの差し込みが行えてしまう 14

15 脆弱性の内容実際の攻撃方法攻撃の成立には以下の情報が必要! IPアドレス対! ポート番号対! セッションで使用中のシーケンス番号シーケンス番号は総当たり! windowが大きいのでそれほど困難ではない! ネットワークが高速! マシンの性能も高い 15

16 脆弱性の内容実際の攻撃方法パケットキャプチャ結果を用いた解説 16

17 脆弱性の内容対象になりやすいサービス経路情報を流している BGP! 経路情報を送受信するルータの IP アドレス対! 受け側ルータは 179/tcp 送り側は?? 番! シーケンス番号は?? 番リモートログイン (telnet や ssh など )! ログイン先の IP とログイン元の IP! ログイン先のポート番号は22/tcp ログイン元は?? 番! シーケンス番号は?? 番 DNS(TCP) や IRC, 果てはオンラインゲームなど長時間に渡るセッションを張るようなサービスが対象となる 17

18 脆弱性の検証結果実際に切断することの出来た OS (IP アドレス対ポート番号がわかっている SSH のログインセッションを対象としてシーケンス番号総当たり )! NetBSD1.5! Darwin (MacOS X 10.3)! Linux Window サイズが大きいことを利用してシーケンス番号総当たり的に RST セグメントを投げ続けて 90 秒以内で切断攻撃の対象とするサービスが決まれば src_port も総当たりで攻撃可能 OS によって範囲がある程度推測可能 OpenBSD 2.5, 3.5 は切断できず 18

19 脆弱性の対象となる製品対象となるのはプロトコルの実装部分! TCPのプロトコルスタックそのもの! 多くの場合 OSレベルの実装に影響! 具体的にはルータやOSそのものなど複数のベンダに影響の及ぶ脆弱性! OS だけでなくハードウェアベンダもプロトコルスタックとして社外製品を利用している場合は実際に製品を販売している社で対応しきれない場合がある 19

20 脆弱性の回避策 TCP MD5 Signature Option! RFC2385 にて定義! BGP セッションを保護するために考えられた! TCP ヘッダのオプションフィールドへの拡張! 相手から送られてきたパケットの認証機構 GTSM(Generalized TTL Security Mechanism)! RFC3682 にて定義! IP パケットの TTL 値を用いた一種の認証方法 IPSec! RFC2401 など多数の RFC で定義! 通信の暗号化相手の認証も可能 20

21 TCP MD5 の構造 Kind=19 MD5 値続き MD5 値続き MD5 値続き Length=18 MD5 値 (Last 4 bit) MD5 値 (128bit=16bytes) MD5 digest を TCP オプションとして格納 TCP オプションフィールドの kind( タイプ ) は 19 length( データ長 ) は 18(=1+1+16)bytes 後ろに MD5 digest (16 バイト ) を付ける 32 21

22 脆弱性への対策 1:RST Attack 1. 期待しているシーケンス番号の範囲外 (window の外 ) にある RST bit がセットされたセグメントが来た場合にはそのまま捨てる 2. RST bit がセットされており期待しているシーケンス番号そのもの (window 範囲内であっても不可 ) である場合にはコネクションをリセットする 3. RST bit がセットされており期待しているシーケンス番号ではないが window 範囲内である場合には ACK を返す 22

23 RST Attack 対策 1 について攻撃者ホスト A Port=5555 ホスト B Port=6666 ホスト A Port=5555 ホスト B Port=6666 [RST] SEQ=778 LEN=0 [RST] SEQ=777 [ACK] ACK=779 [ACK] ACK=778 [RST] SEQ=778 攻撃があった場合攻撃ではない場合 23

24 脆弱性への対策 2:SYN Attack 1. SYN bit がセットされたセグメントを受け取った場合にはシーケンス番号にかかわらず ACK を返すようにする 1/(2^32) の確率で問題が発生する詳細は付録 [6] の3.2 をご覧ください 24

25 SYN Attack 対策 2 について攻撃者ホスト A Port=5555 ホスト B Port=6666 ホスト A Port=5555 ホスト B Port=6666 SEQ=500 LEN=100 [ACK] ACK=1001 [SYN] SEQ=1011 LEN=0 CRASH SEQ=500 LEN=500 [SYN] SEQ=1500 [ACK] ACK=1001 [ACK] ACK=1011 [RST] SEQ=1001 攻撃があった場合攻撃ではない場合 25

26 脆弱性への対策 3: データの差し込みを防ぐ 1. 入力されたデータセグメントに関しては通常よりも厳重なチェックを行うようにする適切な ACK 値になっていることをチェックすることでシーケンス番号の推測だけでは攻撃が成立できなくなるという効果がある詳細は付録 [6] の 4.2 をご覧ください 26

公開情報 NISCC によるアドバイザリ http://www.uniras.gov.uk/vuls/2004/236929/index.

27 公開情報 NISCC によるアドバイザリ NISCCの情報公開ページから抜粋英国 NISCC より公開され世界的に注目された日本の製品開発者の情報も紹介各国各種メディアからの反応 27

28 公開情報 IETF によるインターネットドラフトこの問題を受けて IETF の tcpm のグループからドラフトが公開されている ( 付録 [6]) TCP の実装への対策方法に Cisco の特許が存在する可能性がある IETF60 での議論の末現在考えられている以外の対策も視野に入れ現在活動中ゆくゆくは RFC 化? 28

29 2004 年 5 月 13 日公開 IEEE DSSS 無線機器の脆弱性研究者の論文として発表低速モードで動作する無線 LAN 機器が対象! と b 及び 20Mbps 以下の低速で通信を行う g が該当 DSSS という変調方式自体の脆弱性! DoS が成立する! 無線 LAN を止めることができてしまう製品開発者のレベルでは対処不可能回避策は??! 重要なネットワークへの無線 LAN 利用の回避 29

30 まとめプロトコルの脆弱性についてプロトコルの脆弱性 = 標準仕様の脆弱性! 標準仕様の変更が必要になる上に完璧な対応は難しい! 製品を開発しているベンダでは直接対応しにくい! 回避策があっても妥当かどうかわからない十分な検証も難しい複数のベンダにまたがる問題である! 製品開発ベンダとの調整に時間がかかる! 問題が深いため各社内でも対応に時間がかかる! 社内にて脆弱性を取り扱う体制の構築を今後プロトコルの脆弱性は増える?! 発見者 ( 研究者?) のモチベーション! 製品開発ベンダのモチベーション 30

31 付録 : 外部情報へのリンク集 31

32 以上ですありがとうございました JPCERT コーディネーションセンター [Web] [Mail] 32

PowerPoint Presentation

PowerPoint Presentation コンピュータ科学 III 担当 : 武田敦志 http://takeda.cs.tohoku-gakuin.ac.jp/ IP ネットワーク (1) コンピュータ間の通信 to : x Data to : x y Data to : y z Data 宛先 B のパケットは z に渡す A 宛先 B のパケットは y に渡すルーティング情報