- - PR -
管理者泣かせのソフトウェア
投稿者 | 投稿内容 | ||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2003-12-30 08:07
おはようございます。
このスレもしばらく見ない間に、感情論から徐々に具体的な対策検討の議論に変わってき ましたね。今は、製作者のホームページもセキュリティ問題やネット管理者に配慮した内容 になってますが、公開当時はこのソフトの導入メリットが”ネット管理者にも許可なく”など、 いかにも悪意みえみえの説明であったのと、バックがIPAということで、世の(私を含め) ネット管理者が感情的に反発したんでしょうね。 IPAの指示の元、いったん公開停止にしたのは”国家権力に屈した”みたいなあほな議論も 一部で見ましたが、いったん頭を冷やすという意味でよかったと思います。 で、私もこのソフトの使用ケースと管理者サイドでの対策方法を考えてみました。 まず、このSoftEtherを使ったときの脅威となるケースを検討してみました。 ケース1.情報漏洩(1) SoftEtherを使って、悪意あるユーザが社内ネット上にある業務データをファイアウォール を飛び越えて、外部へ持ち出す。 →SoftEther固有の問題ではない。教育、運用、監視を今まで同様に行う。 ケース2.情報漏洩(2) SoftEtherを使って、悪意あるユーザ(ネット管理者)が社内ネット上のサーバに仮想HUBを 仕込んで退職する。以後、自宅のPCから企業LANを不正に監視しつづける。または、踏み台 にし(他企業へも含め)ハッキング行為を行う。 →SoftEther固有の問題ではない。ネット管理者の問題。それなりの技術を要すためマレと 思われる。ネット管理者を1人にしないよう経営者側が配慮する。 ケース3.ハッキングのための踏み台 悪意あるユーザが社内からインターネット上の公開仮想HUBを次々と経由して、IPを隠した うえで特定のサイトへ不正アクセス行為を行う。 →それなりの技術を要すためマレと思われる。今までと同様に、問題があった場合にログ 解析と使用者追跡ができるよう対応しておく。 ケース4.外部からの不正アクセス(または踏み台) 部外者がインターネットから企業内LANへ不正アクセスする。または、DMZ上に仮想HUBを 仕込しこんで踏み台にする。 →今までのセキュリティ概念(ファイアウォール)で対応可能。きちんと対応しておれば SoftEtherでも不可。 ケース5.ウィルス版SoftEther SoftEtherの概念を取り込んだウィルスが登場する。 →SoftEtherはデバイスドライバレベルで動作するため難しいかな?でたとしても、 ウィルスチェッカで対応可能か。 ケース6.社内でファイル共有ソフトやネットゲームなどを使用 自宅のネットは遅い、IPを隠したいなどの理由でWinnyなどのファイル共有ソフトやネット ゲームを社内LANから使用する。 →おそらくこれが一番多いのでは? とりあえず、以上のケースを考えてみました。その中でケース6が一番ありえる脅威かな と思います。製作者ホームページでもパワーユーザは制限のあるネットワークに不満がある というが、企業ネットは業務使用を考慮したネット構成(使用制限)にしているのであって、 結局なんだかんだ奇麗事を言って、ファイル共有やゲームなど業務外の使用をしたいのだと 思う。 (製作者を含め)このソフトを便利だ何だと褒め称える人もあるようですが、技術的には 面白いが私にとってはクソソフトである考えは変わりない。おっとっと、いかんいかん また感情論に・・・。失礼しました。 で、ケース6についての対策を検討してみました。が、セキュリティソフトメーカに頼る しかなさそうですね。 こんな仕様のファイアウォールソフトを作ってください(誰にいってるんだ・・・?) 1.外部から内部への通信は今までどおりのフィルタリングやパケット解析などの機能を持つ 2.内部から外部への通信は時間辺りの接続先/接続元別の接続時間の統計を取る。 監視ポート、サンプリング時間は設定可能とする。 3.設定時間当たりの接続時間が長い接続先/接続元はロギングする。 4.項目3でロギングされた接続先へ、SoftEtherプロトコルでログインを試みる。 5.SoftEtherプロトコルの反応があればロギングを行いネット管理者へ通報する。 6.項目4で行う接続チェックのアルゴリズム(プロトコル)パターンはウィルスチェッカ 定義ファイルのように、最新の脅威や亜種にも対応できるように定期的に配布される。 7.業務時間外の時間に内部から外部へ通過した通信は上記項目の条件をシビアに設定する ことが可能。時間設定は任意で可能とする。 8.内部から外部への接続時間等のログは月別・日別・接続先・元別に集計できる。 どうでしょう。 [ メッセージ編集済み 編集者: maru 編集日時 2003-12-30 08:30 ] | ||||||||||||||||||||
|
投稿日時: 2003-12-30 09:15
それと、もうひとつ問題があります。
製作者とIPAは今後、今回作ったSoftEtherのソースとプロトコルを公開すべきか?です。 ”技術面をお上が制限するべきでない””公開しなくてもそのうち同様のものがでる”と の話もありますが、ツールの公開は良いとしても、私はソースとプロトコル公開には反対です。 ※ここで反対といってもどうにもならんだろうがと突っ込まれそうですがひとつの意見です。 やはり、これだけセキュリティが社会問題となり、モラルのないネットユーザや技術もなく ツールを使うしか脳のないハッカー気取りのヤツらがいる中で、このソフトのソースまで を公開したときの社会的影響と経済損失と、公開したときのユーザメリットを天秤にかけ、 IPAというセキュリティ対策やITをベースに経済を活性化させるべく団体が資金支援という 形で税金を使って作ったものを公開するべきなのか? 確かに、このツールは便利かもしれない。便利なツールを提供したいというのであれば、 ソース公開までは必要ないはず。 同類のツールはそのうちでるかもしれないがすぐに出るとは限らない。 このソースを公開することで、こういった分野の技術の活性化を狙っているなら、そのこと による影響はかなりの物であることをIPAは心しておくべきではないでしょうか? 製作者の”公開は慎重に行う”という説明だけで公開するのでなく、IPAのこのソフトに 対する考え方と対応、対策も含めた説明をしてほしいし、説明責任があるとおもうので、 IPAはなんか言ってほしいですね。 ソース公開するなら、(特定企業に公開するのはいいのかという問題もあるが)セキュリ ティ専門の企業のみに公開するなど、当面はソースコードのそれなりの管理ができるよう にしてほしいですね。ほとぼり冷めたら前面公開してもいいが。 ちなみに、こういった脆弱性が存在するという問題提起という意味でこの製作者には尊敬 してます。 #しつこいようだが、以下ソフトは出来上がった物がWinnyを超える完全匿名ファイル共有 ソフトだった場合、IPAはどう弁護するのだろうか? http://www.ipa.go.jp/NBP/15nendo/15youth/gaiyou/02-023.htm [ メッセージ編集済み 編集者: maru 編集日時 2003-12-30 09:22 ] | ||||||||||||||||||||
|
投稿日時: 2003-12-30 10:44
こんにちは、あにゃです。
そろそろ妻の実家@大阪に行くので、非常にためになるこのスレッドをしばらくのぞけません(もしかしたら実家のPCを使わせてもらうかもしれません(^^) さて私が思うに、ケース3「社内からインターネット上の公開仮想HUBを次々と経由して、IPを隠したうえで特定のサイトへ不正アクセス行為を行う。 」は、ちょっと解析がややこしいですね。 特定のサイトのログには、公開仮想HUBが接続されているLANの外部向けのNATされたIPアドレスが記述されるはずですよね。それを2段、3段、n段・・とやられると手がつけられなさそうで・・。 また、インターネットプロバイダなどは、どこまでパケットの記録を残しているんですかね?。すべてのIPパケットを保管しているとしたらものすごい量かと思うのですが・・。 社内の人間が加害者だったというのは、最後の最後に、対象のサイトで被害が発覚してすべてのログを(相手のサイトにて)追って気づくものですから社のシステム管理者が予防することは単なる社内の通信ログ解析では難しいですね。。 maruさんのFirewall仕様も、 「softetherプロトコル」 が汎用的なものでないので微妙・・。手順を替えられたらまずいかな。 アイデア自身は非常に勉強になります。 では、皆さんよいお年を! | ||||||||||||||||||||
|
投稿日時: 2003-12-30 12:41
こんにちは。
そのとおりです。私が言いたいのはケース3の場合、例えば被害サイトが被害届を出したり して警察が動いた場合、いもづる式に公開仮想HUBをたどって行き(ロギングされているのが 前提)、いざ警察が「あなたのところから不正なアクセスがあるようです」といわれたときに、 ログを解析してそのときの使用者を特定できるように、自分のところはきちんとロギング しておきましょうということです。これは、SoftEtherに限ったことではなく、今までの 多段プロ串と同様の考え方です。それまでの途中の公開仮想HUBでロギングされていなければ その仮想HUBの管理者の責任です。 予防のための解析ではなく、なんかあった場合に解析できる材料(ログ)を準備しておきま しょうということです。 あと、こういうのはSoftEther以前に、普段から自分の会社に悪意あるユーザがいるか(マニ アックでモラルなさそうな社員がいるか)、アンテナを張っとくことでしょうね。
仕様は説明のとおりケース6を前提にしています。ようは私的には、技術もないのにハック ツールを使うことしか脳のないハッカー気取りのあほ連中が、お手軽に使えるSoftEtherを 使って会社(大学)からWinnyやったりネットゲームやったりしてネットに負荷をかけたり、 業務効率が低下したり、手違いで情報漏洩したり、逆にトラブルに巻き込まれたりすること が大きな脅威かなと思ってます。 そういうやつらはソフト改造する能力もないため、こういう場合おそらく公開仮想HUBを 使うか、自宅に仮想HUBを立ち上げるでしょう。ま、自宅のネット環境が遅いやIP隠したい と理由であれば、自宅には仮想HUB立てずに公開仮想HUBを利用するでしょうね。 SoftEtherのプロトコルは公開される予定なので、ファイアウォールにはその仕様に沿って ログインプロトコルだけ(またはそれ以上の)実装してやって、それを使ってログインチャ レンジを行い、プロトコルの反応があれば仮想HUBに対して通信しているものと判定すれば いいと思います。 また、SoftEtherを改造して亜種プロトコル仕様にした場合、その亜種プロトコルで使用 できるSoftEtherは始めのうちは使用範囲は限られてくるので、被害範囲は狭くなると思 います。 逆にそこまでするヤツは明らかに不正アクセスを目的に行っているだろうから、被害内容 は深刻になるかもしれませんが。ただ、このレベルになってくるとSoftEther以前の問題 でしょう。SoftEtherでなくてもいくらでも不正を行う手段はあるので。 亜種プロトコル仕様のSoftEtherや類似品が出回っても、ウィルス定義ファイルのように 亜種や類似にも対応したプロトコルチェック定義ファイル(勝手に名前付けた)を用意して やればOKかな? SoftEtherの場合はその性質上、感染して一気に広まるので定義ファイルを適用する時間 との戦いのウィルスとは違い、亜種が出ても一気に広まる物でもないと思われるので、ソフト メーカも時間をかけてプロトコル解析してプロトコルチェック定義ファイルを作れるのでは ないでしょうか? あと、仕様追加で、 9.公開仮想HUBのIPアドレスを収集機能を持つ。 検知された仮想HUBのIPをソフトメーカにも送り、メーカが一括管理する。その公開仮想HUB 一覧ファイルを定期的にそのファイアウォールに転送する。 ・・・を追加しときます。 あと、ファイアウォール型でなく、イーサネットモニタみたいなパケットキャプチャ型に してもらえれば、今のファイアウォールをそのまま流用して、DMZ上でファイアウォールの パケットをキャプチャできるPCにこのソフトを入れればOK。 このソフト、SoftEtherの製作者、作ってくれないかな?作ってくれてSoftEtherとあわせて 無償配布してくれたなら、SoftEtherの価値はものすごく評価するんだけどね。 あっ!大掃除をサボってあっという間に時間が・・・! てなわけで、今年もあとわずかですね。実家に帰えられる方は、事故には気をつけてくださ いね。私は先日、事故っちゃいました。 では、良いお年を! [ メッセージ編集済み 編集者: maru 編集日時 2003-12-30 14:55 ] | ||||||||||||||||||||
|
投稿日時: 2003-12-31 22:12
nmap は機能の本質が「分析すること」であって、その結果を攻撃にも 防御(予防)にも利用できる、というものですが... これに対して、SoftEtherはただファイアウォールに穴を開けるだけです。 なんの分析にも使えません。防御に役立つことは全く無いかと。 そういうわけで、評価の基準が違ってきます。
余談ですが、ほぼ完璧な匿名性を有する通信路をインターネット上に 設定する技術は存在しますよね。あれを利用したファイル交換ソフト なんてのはあるのかしらん?
パケットの記録はまず取らないと思うです。 接続の記録は取ってると思いますが。 # それでもたちまち何千万行にもなります(w
うーん、微妙なところなのですが。 たとえば、SSLソケットを使うところでちょっとひねりを加えると、 それだけで内容の解析はほぼ不可能になりますよね。 となると、通信経路上でできることといえば量を分析するくらいで。 そういうソフトが主流になる可能性もあるかと。 まあ、そういうのは、
ということなのかもしれませんが。 何人かの方が指摘されていますが、インストール時点を抑える方針が 妥当なのではないかなあと思うです。 [ メッセージ編集済み 編集者: ぽんす 編集日時 2003-12-31 22:15 ] | ||||||||||||||||||||
|
投稿日時: 2003-12-31 23:34
こんばんは。大掃除も終わり、年越しそばも食べ終えて、ただいま年越し可能状態です。
説明が下手なのか、私の言っている仕様は、SoftEtherパケットの内容を解析するわけでなく、 内側から外側へファイアウォールを経由して長時間(指定時間以上)のセッションを張って いる端末を監視して(ようはぽんすさんが言われているように通信量を監視する)、長時間 セッション張っている端末があれば、その接続先とポートに対してSoftEtherのプロトコル に準じてログインを試みて、SoftEtherプロトコルの反応があれば、それは仮想HUBと通信 している物と判断して、ネット管理者にメール等で通報するという物です。 (実験してないので実際のところは不明ですが)このSoftEtherは、おそらく仮想HUBに ログインするとセッション張りっぱなしになると思われます。 そして、セッションを張っている時間を接続元/先別で統計を取るのは、ネットワーク監視 ツールで良くある技術で珍しい物ではありません。 そして、ネット管理者の設定した閾値以上の時間のセッションを張っているものは”とりあ えずあやしい”と判断して、SoftEtherのログインプロトコルでその接続先にログインチャ レンジするのです。ログインプロトコルは、ログインの手順であって、IPパケットのデータ 部が暗号化されているどうこうは関係ないと思います。 手順に従った何らかの反応(ログイン失敗など)はあると思います。そのSoftEtherプロト コルも今後公開予定ですし。 亜種がでても、その亜種のログイン手順のみを解析してやれば、その新しい脅威にも対応 できるかなと思ってます。そのログイン手順の部分を、定義ファイルのように定期的に 最新版が自動配布されるのです。
そうかなぁ・・・。インストール時点を抑えるほうが大変なような気がするけど・・・? [ メッセージ編集済み 編集者: maru 編集日時 2003-12-31 23:39 ] | ||||||||||||||||||||
|
投稿日時: 2004-01-01 01:29
私はインストールを抑える件に賛成です。
状況を見ると結局は不正なソフトの使用による不正な通信が問題対象です。 会社のPCは会社の所有物である訳ですから、 道の脅威には、こういった管理から見て行くのがこの手の対策では有効でしょう。 特に今回はソフトウェアとしてVirtulなネットワークを作成し使用するには インストールが非常に大きな鍵となっている以上、必須ではないでしょうか? クライアントPCに対する対応は確かにコスト的、手間的にも大変でしょうが、 ここら辺もあわせて会社のセキュリティをどうして行くのか? どこまでの手間とお金をかけて、どのように対応していくのか? 結局セキュリティはサイクルを作成し、 スパイラル形式にあげて(運用して)いくのが現状の理想なのですから、 この対策もXXXの設定が....という部分に固執するのではなく、 全体ができる範囲(できる限り)のセキュリティを施し、それぞれの担当分野毎、相互にセキュリティを形作っていく土台とそれぞれの意識を持って対応しないと、毎回足元をさらわれる事になります。 これはトータルに見て社内セキュリティの問題です。 F/Wだけで、あるいはIDS、あるいはアンチウィルスソフトといった物だけで全体のセキュリティをまかなっていると信じているような対策方法や、 これから出てくる新しい脅威に対して、ひとつの技術が対応しきれていない現状に対していちいち感情的に反論する問題ではないと思います。 (脅威や新しい技術に対して敏感であることは反論いたしません。) これは今までも、そしてこれからも続くことです。 すこし勉強されたことがある方なら、そのITセキュリティの脅威とされる範囲は決して不正アクセスやウィルスといった問題だけでなく、自然や人のモラルといったものからバグ、偶発的なミスも含めあらゆる分野に及ぶのはお分かりであることかと思います。 現状を今まで見ていると、おのずとわれわれが平均的に今できる事と、 技術的にカバーできる部分、セキュリティサイクルとして埋めてゆく部分、 多少注意が必要な部分や、見送らざるを得ない部分等、 ある程度明確になってきたと思います。 これらのソフトの不正使用をF/WやIDSで検出したい! という確固たる目標があるのでしたら、それをどうするかは技術的な要素に絞って話してゆけばいいでしょう。(それ用の対策ソフトを自主作成するのかもしれません。) ま、いたちごっこというやつです。 _________________ | ||||||||||||||||||||
|
投稿日時: 2004-01-01 07:12
確かにnmapは弊害よりも利用価値の評価が高いから非難されないのだと思います。問題なのは、現状、SoftEtherは未だ利用価値の評価が定まっていないということだと思います。 例えば、企業のネットワーク管理者という、インターネットコミュニティーの極一部のユーザーから見ると有害なソフトですが、他の大多数ユーザーは弊害よりも利用価値が高いと言うかもしれません。(勿論勤務先のF/Wに不正に穴を開ける以外の用途で) 利用価値の評価が固まっていないソフトについて、セキュリティーを破るのに利用できるという理由で悪いソフトウェアだとしてしまうと(ましてや配布するべきでないとしてしまうと)、弊害と利用価値のバランスを考慮した評価が出来ないのではないかと思ったのです。
多くのネットワーク管理者が、SoftEtherのようなソフトへの対応を(ルールを含めた)社内セキュリティ全体で対処する必要がある問題だと考えない原因には、こういったソフトへの対応という問題を、ネットワークだけの問題と誤解している経営層の問題があるのではないかと思います。 (少なくとも自分の知っている環境では)経営層は直接利益を生み出さない部門にコストを掛けたがりません。セキュリティポリシーの策定なんて、必要な関係者の確保も考えると、夢のまた夢です。セキュリティ意識やそれに必要なコスト意識の低い経営層に、どうやって必要性を認知して貰えばいいのか、困り果てている管理者は多いのではないでしょうか。 で、結局、ルールによるセキュリティ確保が期待できなければ、技術でどこまでカバーできるかという話にならざるをえないのだと思います。 ただ、SoftEtherは亜種も考えるとクライアントPCのインストールが制御出来ない限りネットワーク技術だけでは防ぎようがなさそうなので、ネットワーク層だけではセキュリティが維持できない実例として、Layer7,8も含めて社内セキュリティーを全体を考えて貰う、いい機会なのかもしれません。 |