24-4. ネットワ−ク構築はエンドレス (1) サイバ−攻撃への守りを改めて * メ−ルサ−バへの攻撃と守り InterScan の状況でパッチは、バ−ジョンは、新しい機能は。仮想マシンで作ってそのま まではいけない。時たまトレンドマイクロから来るメ−ルを、一度よく読んでどうするか 検討しないといけない。そろそろ最新バ−ジョンにしないと。 PostgreSQL の肥大化はど うなっている。これはよくある話で、 PostgreSQL を入れたソフトを使っている人はバキ ュ−ムの事を知っているようだ。InterScan で標的型攻撃ヘの対応について改めて調べて みること。トレンドマイクロから何度か電話がかかってきた。`2d/08 頃。 標的型サイバ −攻撃を迎え撃つカスタム ディフェンスという戦略ないしコンセプト。 オ−ダメイドの 対策をしますよ、要は中核製品の Deep Discovery はいかがですかということか。 * パスワ−ドクラックへの疑問 しらみつぶしにパスワ−ドの文字列を変えて行って、パスワ−ドを見つけるという話。そ んなこと本当にできるのか。たいがいのマシンでは、パスワ−ドは3回とか5回とか間違 えると、しばらくパスワ−ド入力そのものができなくなる。普通のパソコンでもだいたい そんなことになっている。パスワ−ドのファイルに対してはパスワ−ドを解析するソフト がある。ZIP 形式の圧縮ファイルには Pika Zip というのがあり、総当たりで照合してい く。8文字ぐらいなら、そこそこのパソコンで数十秒で割り出してしまう。UNIX系の /etc/passwd、/etc/shadow には John the Ripper というのが昔からある。パスワ−ドが 短いというのが危険であるか、解析に数ヶ月かかるとかでなければ関係ないかも知れない。 * 侵入防御装置での守りと限界 その時々でどういう判断をすべきか。UTMのIPS機能も使うべきか。使えるのか。簡 易的にはいいだろう。拠点や部門用のUTMとして設置するなら。メインのファイアウォ −ルとしてUTMを導入するのでは、IPSは使わない方がいいと思う。IPSはIPS 専用機に任せる。UTMメ−カの営業の人にぶっちゃけどうなのよと聞いた、やはり問題 ありとみた方がいいようだった。実はファイアウォ−ルだけでもきちんと設定して十分に 安定して機能するか怪しい。特にDMZがあるインタ−ネット接続では注意が必要である。 FortiGate のIPSはいかに。 予備のインタ−ネット回線側に FortiGate を設置して好 きなように触ってみるか。FortiAnalyzer も連動するようにして実際に使ってみるか。 * 流行のネットワ−クの見える化 ヤマハの新製品発表会のお知らせ。ヤマハから 2012/11/07 きたメ−ル、差出人はソフト バンク クリエイティブ セミナ−事務局。【12/14 名古屋開催】スマホ・タブレット導入 で野良電波や悪意ある不正アクセスポイントが存在 どう対処すべきか?。"■□ヤマハ新 製品発表&LAN見える化セミナ−、ヤマハ無線 LAN-AP とファイアウォ−ルで実現する ビジネスに求められるセキュアな無線LAN環境の構築とネットワ−クの可視化"。セミナ− に出て聞いた話を。2013年春に製品を出荷する。無線LANアクセスポイント。無線 LANコントロ−ラはファイアウォ−ル製品がやるとのこと。無線APはトンネル接続機 能はあるかと尋ねた、ないとの返答だった。VLANで制約を設けるという話をしていた。 どうかな使えるのかな。実績のあるシスコやアルバといった製品との住み分けはいかに。 * 今だったら Palo Alto にしたかも `2c/02半ばのこと、名古屋のとあるホテルでのSI業者のセミナ−と展示会にて。アプリ ケ−ションファイアウォ−ル製品の Palo Alto、展示コ−ナ−に出ていました。1Uの長 いのは100万円、こちらからこれで500人から1000人位ですかねと尋ねた。気持 ち700人か800人までか、イコ−ル パソコンの台数ですが。 ハ−フサイズのは40 万円で300から400人ぐらいと、展示コ−ナ−の説明の人が答えていた。去年の秋ぐ らいからこの製品は売れ出したとのこと。Skype をちゃんと制御するという、Skype のフ ァイル転送だけ禁止することができる。しかしだ Palo Alto、ファイアウォ−ルの置き換 えに使えるのか、DMZに置くことはできるのか。基本的なことを聞いてみないと。 * InterScan の機能が一部麻痺した InterScan で隔離メ−ルが表示できない状態になっていた。InterScan の imssmgrデ−モ ンだけを kill で殺して /usr/trend/imss/script/S99MONITOR start をやり imssmgrmon を起動し直した。これで InterScan の状態が緑に変わった、再表示やった。InterScanに 溜まっていた管理者宛のメ−ルが一斉に自分に来た。ひょっとしてメ−ルのDoS攻撃が あったのか。ログを見たら普段の10倍ぐらいのメ−ルが外部から来ていて、 InterScan の RDBMSソフトの PostgreSQL のデ−タベ−スが一時的に麻痺したらしい。こんなことは 初めて起こった話である。その時にメモしていたことには、一部デ−タの抜けが生じたみ たいだと自分で書いていたが。どうしてそう思ったのか、当時のことは忘れてしまった。 * 改めてネットワ−ク監視を整備 セキュリティ装置を設置して稼働。安全を維持して行くためには、管理運用が重要になる。 ル−チンワ−クとして点検する人なりチ−ムが必要である。日頃から流れているパケット の様子を時たま見るようにする、MRTG を改めて設置しよう。 パケットのトラフィックの 状況を可視化しよう、FortiAnalyzer と FortiGate で。 いざという時に怪しそうなネッ トワ−クの所に FortiGate を透過型で設置して FortiAnalyzer でパケットをみる。それ に DefensePro を改めて分かるようにしよう。UTMの FortiGateをくまなく設置しよう。 工場の工作機械のラインとのネットワ−クの繋ぎの部分が候補に挙げられる。工作機械の 制御盤の組込型の Windows OS、 機械の制御や稼働状況を監視したりするパソコンで動 く古い Windows OSのソフトが危ない。FortiGate を透過型かNAT型でかます。 * インタ−ネットでの事件や話題 2012/10 遠隔操作で爆破予告をなりすまされる事件が。ITセキュリティ会社のラックの 西氏がテレビで解説していた。掲示板の書き込みでも何でもできてしまう。別な人がスマ −トフォンを遠隔操作していた、美女の画像をダウンロ−ドしただけで感染してしまった。 もう何でもありに突入したと言っていい。西と言えばアスキ−の西氏を思い出すが。 メ−ルの改竄で被害が実際に起きている。`2d/7/21、元ラックの幹部だったセキュリティ 専門家のブログを見ていて。メ−ルを仕掛けた中継サ−バに来るようにして、そこでメ− ルの内容を書き換えてしまう。テストで FortiMail を透過型で設置してみて、 メ−ルを 中継させるのはまるで難しくないことが分かった。 CIA職員によるアメリカ政府による組織的な情報収集活動が暴露された。インタ−ネッ トに流れる個人情報を収集していたことが明るみになった。アメリカの軍事目的の通信傍 受のエシュロンは相当前からあるようだ。東北の方の自衛隊基地にある丸いド−ムがしば しば写真で見る。これも通信傍受の施設と関係しているらしい。 Gmail の2段階認証が破られた 2013/7/22。通常のアカウントで認証さらにワンタイムパ スワ−ドの認証コ−ド6桁を携帯電話にメ−ルや SMS(ショ−トメッセ−ジメ−ル)で送る。 以前から Gmail のパスワ−ドが破られたというニュ−スはしばしばあった。一時期Gmail は企業や学校で導入と話題になったが、昨今はほとんど聞くことがない。普通になった?。 CheckPoint 社が巻き返しにかかっている。いつからかメ−ルが来るようになった。 名古 屋であったセミナ−、2013年1月25日、 名古屋駅近くの貸し部屋で結構いっぱい集まって いた。CheckPoint Security Tour 2013 大阪6月5日と名古屋6月7日で開催。しかしその後、 日本の CheckPoint の社長が他UTMメ−カに行ってしまったという話も耳にした。 Skype は企業ではやめようよ、ファイアウォ−ルでパケットフィルタリングがかかってい ても、できるだけ通信をしようとする。Skype よりも最近は LINE が危ないかも。若い人 は皆使っている。LINE は自分の電話帳みたいな通話相手を登録したのを、LINE のサ−バ 側に吸われることになっている。これは会社の取引先情報が外部にでる訳で、いかんぞ。 トピックスと言うほどのことでもないが。お手軽そうに見えるNASは気を付けないとい けないよという話。バッファロ−のNASには BitTorrent P2P というソフトが稼働して いる。これでファイルをダウンロ−ドできる。オ−プンソ−スのソフトウェアのファイル を公開する機能もありと、説明書きが。外にファイルを送るのに使えるということ。 DNSサ−バへの攻撃と守りは。これはとりあえずいいか。IPSでどんなシグネチャが 効いているかぐらいか。日本レジストリサ−ビスから、2013/08/12からメ−ルが来るよう になった。月曜か火曜、毎週のように来ている。幕張のInterop で名刺を出したからかな。 ともかくこのメ−ルを見ると、BIND のソフトを頻繁にメンテナンスした方がいいみたい。 ついでにもう1つメ−ルストアの InterScan のこと。InterScanでメ−ルが止められた事。 添付ファイルが pptx などのメ−ルで起きた。実体は ZIP形式の圧縮ファイル。展開する と数百とか多くの XML ファイルになる。docx, xlsx も同様と分かった。バイナリ形式で はなく OpenXML(OOXML) というXMLベ−スの形式になっている。全く困った仕様だ!。 NTP を悪用した DDoS 攻撃が発生した、2014/02/11〜13 のこと。NTP refrection attack。 400 Gbps 以上の大量パケットが発生したという。atmarkITサイトの記事では、DNSよりも 高い増幅率の「理想的なDDoSツ−ル」:NTP増幅攻撃で史上最大規模を上回る DDoS 攻撃発 生、米国時間の2014年2月10日に NTP の脆弱性を悪用した DDoS攻撃が確認された。 「Software Design」2014/04, P.114〜119,"セキュリティ実践の基本定石 みんなでもう一 度見つめなおそう【第十回】根深くはびこる DDoS攻撃の脅威"、すずきひろのぶ氏。マル マルウェア感染型 DDoS攻撃。SYN Flood攻撃の説明。今の脅威は DNS と NTP 利用の攻撃。 2014年2月時点、ピ−ク時で 400 Gbps という史上最大級の DDoS 攻撃が発生中。 オ−プンソ−スの OpenSSL の脆弱性について。1.0.1 から 1.0.1f それに 1.0.2-βから 1.0.2-β1。1.0.1g で修正されている。1.0.1 で新規に採用された機能でバグが見つかっ た。OpenSSL 1.0.1 は 2012/03/14にリリ−スされている。DefensePro、PacketBlackHole 等あらゆるアプライアンスで OpenSSL が内部で使われているが、問題はないようである。 不正送金の被害がどんどん拡大。LACのメ−ルマガジンでも注意喚起あり。 件名:[LAC メルマガ20140414]不正送金対策に関する注意喚起情報を公開しました!、 対策の肝はネ ットバンキング利用者の意識と対策。緊急対策セミナ−がラック社、セキュアブレイン社、 Doctor Web Pacifil社により東京で 2014年4月16日3社により開催された。 * マイクロソフトのファイルが攻撃? `2e/02 半年ぐらい前 InterScan で xlsx 形式のファイルが止められた、 調べたら内部に何百と 言うXMLファイルがあって引っかかった。今回、InterScan で検索の不能になって隔離 されたメ−ルは 1MB 程度の添付ファイルだった。添付ファイル file1.zip を解凍したら file1.xlsx (2,759KB) ができ、更に解凍したら sheet1.xml (18,259KB) という元から6 倍ものでかいファイルが出てきた。これはファイルの膨張攻撃と表現していいぞ。 InterScan [ポリシ−]->[検索の除外]->{セキュリティ設定違反} xlsx というのはXMLを ---------------------------------------------------------- 使った汎用的なフォ− |メッセ−ジの合計サイズが次の値を超える [10 ]MB | マット。 Windows 7で |受信者の総数が次の値を超える [500 ]人 | は xlsx がExcel の標 |圧縮ファイル内の埋め込み層の総数が次の [20 ]層 | 準形式になったらしい。 | 値を超える | |いずれかの1つのファイルの解凍後の合計 [15 ]MB << これで止められた。20 にし | サイズが次の値を超える たら上のメ−ルは通った。 |圧縮ファイル内のファイルの総数が次の値 [900 ]ファイル | | を超える | * DDoS 攻撃の余波を受けたみたい 2014年2月のこと、インタ−ネットの一部サイトが表示できなくなった。 メ−ルも一部の ところから届かなくなった。SSL-VPN アクセスができなくなったり。それもしばらくして 直ったり、またなったり。不安定な状態になった。もう1つのプロバイダ回線にパソコン をつないだら、特におかしいことはなかった。右往左往すること結局3日間つぶした。 どうもインタ−ネットの経路情報がおかしくなっているのでないか。大量のパケットがや ってきて通信が不安定になっているのでないか。自社だけ、あるいは自社のプロバイダだ けが何らかの攻撃を受けているのでないか。ニュ−スになるような攻撃が日本や世界で起 きていないか。DoS で検索したら1件、NTP を悪用した攻撃が起きていると出てきた。 プロバイダとやりとりしている内、そのプロバイダのバックボ−ン回線あたりで NTPでの DDoS 攻撃が発生していることが分かってきた、NTP refrection attack。さくらインタ− ネットは "【重要】NTPの脆弱性について"。ぷららは会員向けのところに、攻撃があった とお知らせがあった模様。IIJ の営業にも聞いたけど、特に知らないと言っていた。 多分プロバイダの契約者、企業など組織ユ−ザのサイトが NTP の DDoS攻撃の標的にされ たらしい。世界から NTP の応答パケットが押し寄せた。上流経路制御の BGP もそれで不 安定になった。もうそうなると上流でパケットを制御する仕組みを設けてないプロバイダ はお手上げである。こんなことが続くようだと、この先やっていけないと真っ青だった。 * 参考 「標的型攻撃セキュリティガイド」 2013/3/28、ソフトバンククリエイティブ発刊。 参考 まで amazon.co.jp 調べで価格 2,940円。標的型何がしの本はこれしかない `2e/06。 IPAプレス発表2013年8月29日,『標的型メ−ル攻撃』対策に向けたシステム設計ガイド の公開。全70ペ−ジ、5.6 MB。 IPAのセミナ−資料より、2012年10月19日大阪であった "Email Security Conference"。 標的型サイバ−攻撃に立向う為に 〜攻撃の流れを把握し、総合的な対策を〜。 (2) ネットワ−ク構築はエンドレス `2d/10〜 * ネットワ−クあれこれ FortiOS 5.0 クラウドのサ−バへアクセスするのに、 社内の FortiGate で認証させると いう話。FortiGate-80C はできる。FortiGate-50B はできないみたい。どういうことだっ たか。話の出所を忘れてしまった。 ヤマハからのメ−ルで。ヤマハル−タニュ−ス 2013/09/18 送信分。最新ファ−ムウェア のリリ−ス情報。L2TPv3 を用いた L2VPN および、VPNクライアントソフトYMS-VPN8に 対応しました。なんじゃこれは。L2VPN なんて聞いたことがない。何ができるの。 IPSec VPN は FireWall-1 で外のパソコンから社内にアクセスする設定をしようとトライ したが、設定の繁雑さと不安定さに断念したことがある。 そのため IPSec VPN について は自身、理解半ばなところがある。すんません。 無線LANの設計。無線LANの SSID は無線APごとに異なる SSID を付ける?。無線 LAN用のセグメントの設置。ただのVLANとタグLANの違い。1つの無線APに作 ることができる SSID の数。社内無線LANの整備をまとめること。ゲスト用とかも。 VMware はだいぶ変わった。3年位前に入れたHPの仮想サ−バの VMwareはもうその当時 のままで使い続けることにした。それはそれで十分安定しているので特に新しいものにす る必要はない。ライセンス体系がすこぶる分かりにくいので手が出せないというのもある。 最近の VMWare は。VMware Horizon Suite に Horizon Workspace はリソ−スへのアクセ ス制御、Horizon View はデスクトップ仮想化、Horizon Mirage はWindows イメ−ジを階 層型で統合管理。イメ−ジを階層型で統合管理とは、どういうこと?。 IIJ インタ−ネット回線の運用管理でのこと、こんな手続きもたまにある。社長が交代し たとか、部署名が変わったとか、管理者の副が変わるとか、請求書送付先を変えるとかは 書類でないとできないこともある。IIJ Service Online、https://help.iij.ad.jp/ 参考。 プロキシサ−バ、メ−ルストア、ファイアウォ−ル、レイヤ3スイッチなどで静的経路が どうなっているか。無線LANが社内にどんどん導入され、タグVLANでセグメントが どんどん増えてくる。昨今の様相は無線LAN導入2次元年と言ってもいいかも知れない。 プロキシサ−バ、メ−ルストアはLANの全セグメントの静的経路を持っている必要があ る。ファイアウォ−ルでは安全のため必要なパケットだけを通すようにした方がいい。社 内のパソコンに感染したボットが外部にメ−ル送信しようとしているかも知れない。 LinkProof をあらためて設置するというのはどうか。DMZのサ−バは関係しないという ことにして。回線の負荷分散とバックアップだけに使う。DMZのサ−バ達はもうクラウ ドを利用すればいい。そうすればシンプルに LinkProof を設置することができる。 JPRS からのメ−ルで。IP Anycast という技術を用いて、一つのホスト名で複数のネ−ム サ−バが運用されている。という記事があった。JPRSサイトに"DNSのさらなる信頼性向上 のために 〜IP Anycast技術とDNS〜" というのが "IP Anycast" で検索したらあった。 仮想化のことで OpenStackというのは何。L2ファブリックって何じゃこれは。SDNや OpenFlow とは違うもんみたい。 L2ファブリックというのはブロケ−ド社の営業が話し ていたように思う。OpenStack はクラウド基盤を構築するOSS(Open Source Software)。 DNSサ−バを今後も社内に持つとして、 DNS1次サ−バのマシンを複数配置し冗長化す る。JPNIC にDNS1次を増やす手続きをすればできる。DNS2次はプロバイダにこれまで通 りである。複数のDNS1次はラウンドロビンで他からは問い合わせを受けることになる。 * オ−バ−レイ型の仮想ネットワ−ク 「日経コミュニケ−ション」2014/01,P.60〜61,"Monthly Report NTTコムがオ−バ−レ イ活用したVPN既存ネット上に即座に閉域網を構築"。2014年3月新型のVPNサ−ビス Arcstar Universal One Virtual を開始する(UNO Virtual)。 SDNの要素技術のオ−バ レイネットワ−クを用いている。IPアドレスの重複もかまわない。専用アダプタ−1台 1500円/月、またはパソコンの専用ソフト250円/月。インタ−ネットVPNを置き換える。 「日経コンピュ−タ」2014/03/06, P.15, News & Trend 東洋製かんが100拠点のWAN 統合に着手、SDNでDC内ネット運用費を3分の1削減した。多分これから、このよう な事例の記事が増えてくるだろう。SDNはネットワ−ク構成を柔軟にする、ネットワ− クIPアドレスが同じでも構わないとか。ホストのIPアドレスがかちあっても大丈夫と か。それがWANでもやられないはずはない。そう思っていた矢先の日経の記事だった。 * Twice NAT と言うヤマハの技術 Twice NAT 始点と終点IPアドレスを書き換える。ヤマハの RTX なんかに実装。 2つの 拠点で同じIPアドレスの場合に役立つ。 VPNトンネルに NAT をかけて対処したとい う話もネットにでていた。RTX1200 が手元に2台ある。これでテスト環境を作ってみても いいな。問題は何かあるのか。たぶん1方向になるのでないか。A社が親会社、B社が子 会社で。B社はA社の一部になるとする。WAN回線で。 IP-VPN か広域イ−サネットで。 A社からB社のサ−バへアクセスするのはできないのでないか、NATを使う場合の基本で。 --------------------- --------------------- 2つのパタ−ンあり。 | 1 | 1 双方にできるのか?。 □ → □ できそうな気がする。 | 1 | 2 --------------------- --------------------- --------------------- --------------------- | 1 | 1 □ ------- → □ ------ 2 | 2 | 1 2 | 2 | 3 ------------------- ------------------- * FortiGate でのポリシ−ル−ティングのこと □DNS2次 □Web UTMの FortiGate や SonicWALL でやれる インタ−ネット |A.d | 方法。ポリシ−ル−ティングという機能を用 / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\ いる。Proxy からインタ−ネットホ−ムペ− \________________/ ジ WebへのアクセスはプロバイダBの方を通 ◎Aプロバイダ ◎B すようにする。ブラウザからの HTTPとHTTPS 仮想 1次 : : パケットはNAT として B.2からの発信となる。 MR DNS : : これで社内から外へのWeb利用は速くでき ◇ ◇ ■Router ■ る。多分劇的な改善がみられるはずである。 | | |A.1 |B.1 ---------------- --------- AD(Active Directory)のDNSはフォワ−ド A.3 | | 指定は A.3。しかし実際に何か利用できるの IPS□ | かと言えば、このパソコンからの外への URL MR DNS |A.2 |B.2 での ping 疎通確認ぐらいしかない。 □ □ --------------- NAT | | | | NetCache では URLの Rerwite を利用してた。 ------------| FortiGate | IWSS(Trend Micro InterScan Web Security) | | には URL書き換えのメニュ−が見当たらない。 PC MS --------------- Proxy AD ○ □ | □ □ ProxyとAD サ−バの | | |.2 |.5 | DNSはA.3 を指定。 ----------------------------------------- プロキシサ−バを経由するパケットのDNSの名前解決は、プロキシサ−バからの発信に なることに注意。パソコンの TCP/IP の設定でDNSサ−バのIPアドレスを記述してい ても見なくなる。Proxy のIPアドレス .5 からのパケットはB回線経由にする。ただし DNSパケットはA回線の方へ行かせる。そうしないと自社のDNSを見るのにB経由で インタ−ネットからAに来る。ぐるっと回ってしまいDNSの応答が遅くなってしまう。 外へのWebアクセスで HTTPや HTTPS を無条件でB回線に誘導するというのも考えられ る。しかしそうしてしまうと、何か外のWebにアクセスがおかしいという場合、プロキ シサ−バを通さないでA回線経由でアクセスしてみて確認したい。そんなこともあるだろ う。全部の HTTP、HTTPS パケットを対象にしてしまうと、それができない。 ある特定サ イトには従来回線を通したいということも、ひょっとするとあるかも知れない。 取り引き先のホ−ムペ−ジへのアクセスで、自社のIPアドレスを登録しチェックする所 がある。ファイアウォ−ルで NAT するので、登録IPアドレスは A.2 ということになる。 それがプロキシを通していくと新しい回線の方に誘導される。そうなると発信IPアドレ スは B.2 となる。プロキシを介さずに直接アクセスできるように、 ファイアウォ−ルで 制御すること。該当するオブジェクトを作って、直接いけるようにル−ルを追加する。 外へのWebアクセスは通常B経由でやる。B回線が不通になった場合、FortiGate でB 回線経由の設定したのを無しにすれば、これまでのA回線1本になるということ。これは 手作業でやる。FortiGate の設定はポリシ−のところを3ヶ所ぐらい変更するだけである。 でも手作業なんかでやるのはやめたい、自動でないといけないというのであれば回線冗長 化装置の出番となる。LinkProof しかない、やはり LinkProof かということになる。 ここでのIPSは1個のセグメントしかみることができない。複数セグメントをみること ができるのは1千万円とかしたので、1つだけのモデルにしたのだった。DefensePro-202 をA回線側にこれまでのまま透過型で設置。B回線側は内から外への HTTP,HTTPS を許可 するだけで、外から内やDMZへはいっさいアクセスを許可しない。B回線側での外への アクセスはWWWのフレ−ム0攻撃などがある、決して安全でない事は認識しておきたい。 [ 動作確認 ] B回線を FortiGate に繋がないで、直接B回線にパソコンを繋いだ。 パソコンのDNS 設定はA回線側の A.3 を指定。 http://www.yahoo.co.jp/ とか外のサイトにはアクセス できなかった。DNSの応答が返ってこない。オ−プンリレ−な状態にならないように自 分がだいぶ前に設定したのだ。オ−プンリゾルバ DNS Open Resolve という奴。 B回線側にパソコンをつないで。DNSをプロバイダの A.d指定。プロバイダAのサイト だけは表示できた。http://www.yahoo.co.jp/ など他のサイトにはアクセスできなかった。 異なるプロバイダのDNSは使えないようにしているのが一般的といえる。プロバイダA のサイトだけ表示できたのは、せめてこれ位はと気を利かせたということだろう。 * FortiGate のHA構成とポリシ−ル−ティング FortiGate-310B のHA構成にて。2台で冗長化。 計画停電があって安全のため止めるこ とにした。ラックに重ねて上がメインで1番、下がサブで2番。Web画面でシャットダ ウンした。そして筐体の電源スイッチを2番、1番と切った。起動は1番、2番とやった。 1番のあるポ−トを WAN2 としてポリシ−ル−ティングで HTTP 系パケットをB回線経由 としてある。プロキシサ−バのマシンのIPアドレスからのパケットを WAN2 へ向けてい る。装置が起動したら、メインとサブが逆になっていた。それでプロキシ経由のインタ− ネットのアクセスができなくなっていた。B回線側のネットワ−クケ−ブルを2番の同じ ポ−ト番号に繋ぎ変えたら通った。FortiGate のHA構成がちゃんと機能したことが分か ったが、このままではいけない。 これまではWANル−タに FortiGate 1番のみケ−ブ ルをつないでいた。2番の方もそのままケ−ブルをつないで大丈夫なのだろうか。 2台の電源スイッチを切って入れて、どちらの装置がマスタ−になるのか。2台の装置の 電源スイッチを同時に入れるというのは難しい。もし少しでも早く電源が入った方がマス タ−になるというと困る。300秒の猶予があるらしい。2台目の電源を入れるのが5分 以内であれば、同じ時期に電源が入ったとみなされる。マスタ−になるアルゴリズムがあ って2番目のル−ルでは稼働時間の長い方、つまり安定稼働している方をマスタ−にする。 プライオリティ値を見るのは3番目のル−ルである。プライオリティ値の大きい方がマス タ−になる。1番目のル−ルはよく分からない。どうも2番目のル−ルも実質関係しない ような気がする。上記のトラブルは設計書と実際のプライオリティ値が逆転していたため だった。ケ−ブルは両方ともWANル−タのLANポ−トに繋いで問題ないはずである。 * DDoS 攻撃に対処するには 一見正常そうなパケットが来るので、それなりの機能をもったセキュリティ装置でなけれ ば対応できないのでないか。大量パケット攻撃であると認識できても、やれることはその まま破棄することだけである。それしかないはずである。へたに拒否ということで応答す ると、その分のパケットも発生してしまうことになる。玄関口でハ−イと答えないこと。 管があってその中は100本の細い管があるとしよう。50個のインチキパケットがそれ ぞれ細い管を通ってやって来て、拒否するようにしていると残り50本に応答パケットが 流れる。これで管は一杯になり、他の正常なパケットが入り込む余地がなくなる。100 個以上のインチキパケットが来たら、もう処理することができない。 インチキパケットをいかに認識して破棄するか。一日の長があるのは、侵入防御装置であ る DefensePro だろうと思う。 しかもビヘイビア DoS という機能を有効にしたものであ る。下位機種の DefensePro-202 では機能はあっても、負荷がかかるので利用は勧めてな かったはず。それにオプション扱いで別途ライセンスと保守費用が必要だったと思う。 有効な対策はプロバイダでそもそも自社のネットワ−クに DDoS パケットが流れ込まない ようにしてもらうこと。IIJ はオプションでサ−ビスがある。そんなに昔からあるように は記憶してないが。調べたら2005年からだった。IIJ はISPとしてインタ−ネット のバックボ−ンの運営を行なっているのでできる。そうでないと出来ない芸当である。 IIJ では上位プロバイダとつながるゲ−トウェイで DDoS パケットの制御をする訳である。 自社がつながるプロバイダの口で制御しても、パケットが既に押し寄せて来ている。しか しここで DDoS 対策装置を入れれば不正パケットに応答しないようにはできるので、不正 パケットが回線容量を超えてしまうまでは一定の効果はあるはずである。 DefensePro を設置し DDoS 対策するのが、先ずはやれることだが、DefensePro はそうお 安くない。UTMの FortiGate での DDoS 対策はどうか。2011年9月の FortiGateの資料 ではIPSの説明に "DOSセンサ -- flooding などのDOS攻撃を検知、遮断可能"。2013年 5月の FortiOS 5.0 の新機能の資料はIPSの項目に "DoSポリシ−の向上" とあった。 FortiGate はポリシ−ル−ティングができる。もう1本インタ−ネット回線を引いて、そ っちに社内から外へのWebアクセスを誘導する。 もう1本の方のプロバイダへも DDoS パケットが来てたらダメだけど。DMZ上のサ−バのサ−ビスはこの際諦める、嵐が過ぎ るのを待つ。それもダメというなら、回線冗長化装置の LinkProof なら対処できる。 2014/05/E。名古屋でSI業者によるセミナ−にて。A10ネットワ−クス(株) の装置 EXシ リ−ズを初めて知った。マルチホ−ミング・リンクロ−ドバランス機能でインタ−ネット 回線の2重化ができる。これで DDoS 攻撃に対処する?。アプリケ−ションと回線で帯域 制御ができる。アノマリベ−スのIPS機能標準搭載。 差出人: F5 Networks [f5j-event.info@f5.com、件名: 「DDoS対策に本腰を入れよう!」 と思ったら知っておきたい事、送信日時: 2014/05/29。DDoS対策の基本解説 [コチラから どうぞ!]、クリックしたら W.マイナビニュ−ス【連載】今さら聞けない「ロ−ドバラ ンサの基本」(3)アプリケ−ションの巧妙な攻撃には、BIG-IPが効果的。 * NTP での DDoS 攻撃ヘの対処 NTP での DDoS 攻撃とは。外から脆弱性のある ntp サ−バに問い合わせる、 発信元IP アドレスを偽って。答えをそのIPアドレスに返す。問い合わせパケットよりも応答パケ ットの量が格段に多いということで DoS 攻撃になる。 そういうのがたくさん集まったの が DDoS 攻撃ということになる。JPCERT/CC が 2014/01/15 にアナウンスしていた、 NTP サ−バのモニタリング機能を悪用した攻撃、DNSのDoS攻撃よりもパケットの増幅率が高い。 ・DMZにある装置では先ずは ntp サ−バは動かさないこと。 ・ntp サ−バを動かす場合は ntpd 4.2.7p26 以降にすること。 ・外から内への UDP パケットをファイアウォ−ルで通さない。 ・OpenNTPD にする、非特権ポ−トでの通信に対応している。 ・送信元アドレス検証に対応するISPやデ−タセンタ−を利用。 ファイアウォ−ルでは時刻合わせのパケットは社内から外部へ通すだけにしているのが普 通だと思う。社内の装置が外の NTP サイトへアクセスして時刻同期している。 こうした 装置が外から攻撃を受けることはできない。攻撃を受けるとすれば、DMZにある装置と ファイアウォ−ル。ひょっとしてインタ−ネット回線用のル−タか。家庭向けのル−タで NTPポ−トを空けているという話は聞くが、企業等での設置ル−タではそれはないだろう。 社内にボットが入って、そこから外の NTPサ−バへ攻撃を仕掛けるということも考えられ る。標的をインタ−ネットのどこかのサイトにして。発信元IPアドレスを偽造する訳だ から、そういうパケットは IP Spoofing Packet である。ファイアウォ−ルで止められる はずである。UTMの FortiGateでも特に確認はしてないがデフォルトでそうなっている はずである。ヤマハのル−タでも昔から疑似パケットの spoofing attack 対策があった。 (3) セキュリティ装置の状況と対策 * セキュリティ装置の稼働の状況 InterScan VirusWall はちゃんと動いているか。 たまには InterScan のWeb画面を見 てみること。`2d/12 初め、スパムメ−ルが何か増えてきているような気がする。 侵入防 御装置もちゃんと動いているか、これはよう分からんところだ。今一度みること。 InterScan Web Security もちゃんと動いているか。 社内から外へアクセスするのに危険 なサイトへは行けないようにしている。ログを見れば分かるのか。その前にログはちゃん と取れているか。プロキシサ−バのログはボットなどの侵入の有無が分かるかも。 トレンドマイクロから来るメ−ルも、一度ちゃんと見てみないと。InterScan Web のソフ トもバ−ジョンアップせないかんとか、パッチのこれこれは必ずあてておいた方がいいと か。でもメ−ルストアは Solaris 9 から FortiMail にするから、まあいいか。 FortiGate のライセンスそれにシグネチャを取って来るの。DNSの指定IPアドレスが 変わったとか、パケットがかわったとか。どうも変な気がするのだが。FortiGate はシグ ネチャとは言わなかったのでないか。 FortiGate-310B をセ−ブしたコンフィグレ−ション・ファイル、 これを FortiGate-80C にそのまま入れることができるのか。バックアップとして使えるかということ。HA構成 にしているので、そう簡単にファイアウォ−ルとして機能を停止することはないと思う。 * セキュリティ装置の昨今の動向 Palo Alto ががんばっている。セミナ−もよく開いている。安い機種も出てきたようでお 試しで買ってみるのもいいぞ。20万円以下で買えるのもあるみたいである。 Palo Alto か PaloAlto か、どっち。これまで Palo Alto と書いてきたから、Palo Alto とこれからも書くとするか。パロアルト研究所とぱっと頭に浮かぶ人この指止まれ。 FireEye が話題に登るようになってきた。マクニカが扱っている。幕張で初めて見た時は 参考出品だった。1千万円以上するのでないか。LAC社が扱うようになっている模様。 ここ数年のIPS製品はどうなっている。最近あまり聞かないな。日経の雑誌位にしか記 事は載りそうだが記事を見ない。IntruShield はどうなった、ここのとこ全く聞かない。 FortiAnalyzer があるので、これをもう一度さわってみようか。Palo Alto でできること は FortiAnalyzer でもできるという人がいた。確かめてみたい。 InterScan Messaging Security Suite 7.0 Solaris 版がサポ−ト終了。2014年3月31日に 新規のウィルスパタ−ンファイルなどが提供されなくなる。 * DefensePro は機嫌よく動いているか DefensePro の動作状況の確認。ファ−ムウェアが最新になっているか。 シグネチャが最 新になっているか。APSolute Insite ソフトを見てログは取得できているか、レ−ダ−チ ャ−トはでているか。ログは著しく減ってないか増えてないか。もしレ−ダ−チャ−トに 何も表示されていない、No Events と出たままならシグネチャが最新に更新されていない 可能性がある。ただし更新停止時点でのシグネチャでは稼働していることになる。シグネ チャの状況は [APSolute OS]->[Security Updates]->[Upload Attacks File] を見る。 シグネチャは管理用パソコンの APSolute Insite が自動でラドウェア社サイトに HTTPア クセスしてパソコンにいったんダウンロ−ドして装置に送る。あるいは貴方がHTTPか FTP でラドウェア社にアクセスして取って来て、装置に手動で入れることもできる。シグネチ ャは DefensePro の G1 ポ−ト経由で入る。最新シグネチャは日本時間の月曜日の朝6時 に更新されるとの話。この他、緊急用のシグネチャが出ることがある。 APSolute Insite はライセンスを購入してないと、自動でシグネチャはアップされないということ。 [Connect & Protect] 画面の [Network Protections] の {Intrusion Prevention} の所、 "NIX-Profile" で "Client side (708)"、"Server side (927)" と最初設定されたとする。 シグネチャがアップしていくと、これらどうなるのか。個々の内容がより検知するよう変 えられていくのか。あるカテゴリで、あるアタックについて数が増えていくのか。ラドウ ェアに尋ねたらそういうことだった。しばらくシグネチャの更新ができてなくて、いきな り最新のシグネチャを適用すると、目立って誤検知が増えることが起きるかも知れない。 APSolute Insite とWeb画面でやれることの違いは。レ−ダ−チャ−トやグラフの視覚 的なところだけWeb画面で出ないと思っていいみたい。Web画面で誤検知の際の設定 変更はできるとのことである。契約切れなどした Insite は使えないというか、使わない 方が無難みたいである。Insite の挙動が不完全になるのでないか。 実際は多くの攻撃を 検知して止めているにも関わらず、アタックの検知ログの出方がおかしくなるとか。それ に Insite を動かすパソコンは無停止でスタンバイモ−ドとかにしない方がいいと思う。 * DefensePro のログの出方が少ない? 出てくるログは1日に5個とか無しとか、"Attack Name" で "L4 port zero" というのは たまに出る。"Dashboard" で "History 3 hours" とすると、 グラフに検知ログが出てく ることもある。でも DefensePro のログの出方がいかにも少ない気がする。 FireWall の ル−ルは確認したが問題なかった。 APSolute Insite を入れたパソコンで windump を動 かしてパケットを見た。161 番のパケットはぼちぼち流れている。これでパケットの流量 がグラフに出ているのでないか。162 番のパケットはじっと見ているとたまに出てくる。 APSolute Insite を入れたパソコンはスタンバイモ−ドになっている。パソコンの資産管 理ソフトで制御されている。15分位で画面が消える。マウスを動かすなりするとログオ ン画面が出てくる。ということは電源が切れるとかでなく、スクリ−ンセ−バ−バによる パスワ−ド・ロックだ。DOS画面を出しておいて windump コマンドを打ってみた。 モ ニタ画面が暗くなっている間もパケットをキャプチャしていた。ノ−トパソコンなので省 電力モ−ドとかあって、モニタ画面が暗くなっている間、止まっているのかと疑った。 DP 161/UDP PC Radware Techinical Update のブログ .2 □ ----------> □ .3 192.168.1.x http://blog.radware.co.jp/ ----------> 162/UDP トラップ PC> windump -n udp port 162 という ので、しばらく監視してみるのもいい。 PC> windump -n src 192.168.1.2 IP 192.168.1.2.2088 > 192.168.1.3.2088: UDP IP 192.168.1.2.161 > 192.168.1.3.1649: Get Response(103) * これは完全保存版の雑誌だな 「日経コンピュ−タ」2014/03/06。恐ろしい話がかかれている。P.11,News & Trend 過去 最大400ギガビット/秒の攻撃「時刻同期サ−バ−」が踏み台に、2014年2月中旬、前 例のない規模の DDoS 攻撃があった。 P.36〜39,「特集1:動かないコンピュ−タ 特別編 米国家安全保障局(NSA)」自らマル ウェアを開発していた。Juniper 製品の BIOS 等ファ−ムウェアに仕込まれたのが目立つ。 ファ−ムウェアの更新ができないようにしていた。外部から操作するバックドアを設置。 P.32, 日本航空のマイレ−ジサ−ビスを狙ったもの。パスワ−ドが数字6桁だったのを狙 われた。パスワ−ドを固定してIDを変えながらログインを試行する「逆総当たり攻撃」 でやられた。ログイン回数制限に引っかからない。逆総当たり攻撃、初めて聞いた。 * いろいろトピックのメモ 冷蔵庫が迷惑メ−ルを送信、2014/01/22。`2e/04ネットで改めて調べたら Symantec 社の ブログに誤報だったという記事があった。でも今後も有りえない話ではないとのこと。 動画ソフト GOM Player でウィルス感染、2014/01/24。アップデ−トしようとしたら他の サイトに誘導されマルウェアにパソコンが感染。一般的に使われている動画ソフト。 匿名 Proxy ソフト "Tor Win32 Service" という tor.exe、ト−アという。これで迷惑メ −ルを身元を隠して送る。常時接続の家庭のパソコンにこのソフトが入れられる。 水飲み場型攻撃、LACのメルマガによく書かれている。新しい標的型攻撃の手法らしい。 タ−ゲット企業がよくアクセスするサイトを乗っ取り、罠を仕掛けるという。 (4) 従来のセキュリティ対策の限界 * IEブラウザの脆弱性の危険 IEのバ−ジョン6から11で脆弱性が発見される、2014/04/29。まあ次から次へとセキ ュリティホ−ルが出て来ること。どうなっているんだ。プログラミング言語に構造的な欠 陥があるのでないか。見ただけで感染するとか。どういうように危ないのか。遠隔操作が できるようになるみたい。これは最もひどいケ−スである。 IWSS でWebレピュテ−シ ョンでほとんど防御できるのでないか。トレンドマイクロ社の見解はいかに。 このバグには結局、どこの組織も全部のパソコンでマイクロソフトが緊急で出したパッチ を当てることになった。マイクロソフトはサポ−トを終了した Windows XP にも特別対応 でパッチを出した。Windows XP へのパッチ当てはなんか遅くて2日がかりになった。 マ イクロソフトが Windows XP のサポ−トを終了させた直後だったので、余計話題になった。 官公庁がIEの利用を禁止するアナウンスが流れたり、世間の注目が集まってしまった。 "トレンドマイクロ サポ−トインフォメ−ション"、2014/04/30 からのメ−ルでは。今週 のINDEXの最初の記事に"【1】Internet Explorerにゼロディ脆弱性発見!すでに、標的型 攻撃も!!"。Microsoft は2014年4月26日(米国時間)に、セキュリティアドバイザリでIE で確認された新たなゼロディ脆弱性についての記述した。攻撃者の管理下にあるWebサ イトをみるとPC上でコ−ドをリモ−トで実行できるようになる。という説明があった。 * Peer-to-Peer 型ソフトの危険 Peer-to-Peer(P2P)型のソフトウェア、アプリが増えている。 サ−バ経由型という言い方 をしているのもある。インタ−ネット上にある中継サ−ビスのサ−バを介して。双方から HTTP ないし HTTPS で接続するので安全ということだが。つながってしまえばトンネルが 張られることになる。ひょっとするとだいぶ危ないのでないか。ネットワ−ク管理者の預 かり知らぬところでいつの間にか利用されている。ひょっとすると、もうどこの企業でも やられているとみなして間違いない。これをクラッカ−達が見逃すはずがない。 しかしどういうように攻撃してくるだろう。イメ−ジが湧かない。 Peer-to-Peer でトン ネルが形成されているところに、どうなるか。思い起こすのはケビン・ミトニックのセッ ションハイジャックだが。とりあえずできることは Peer-to-Peer 型のソフトウェアの様 子を調べること。セキュリティホ−ルが見つかってないかとか。部屋にメモをおいておく。 外から人はやってきてそのメモを持ち出すイメ−ジか。それだけではないな。もう少し複 雑なことをやっているのでないか。パソコンのテレビ会議も Peer-to-Peer 型のがある。 CACHATTO 法人向けリモ−トアクセスサ−ビス。これって Peer-to-Peer型のソフトウェア なのか?。社内に専用のサ−バを設置する。 CACHATTO 専用ブラウザのソフトを自分のパ ソコンに入れる。専用のサ−バが代理サ−バとなって社内のメ−ルサ−バ、ファイルサ− バなどにアクセスする。インタ−ネット上にある CACHATTO アクセスポイントに外出でア クセスする。CACHATTO アクセスポイントを介さず、DMZ上の SSL-VPN 装置を経由して、 社内に設置した CACHATTO サ−バにアクセスしてやるやり方もある。 * FireEye サンドボックス製品 2008年5月の東京の展示会で、マクニカが参考出品していた FireEye Botwallである。 名称がただの FireEye に変わっているようである。 サンドボックスの初めてのアプライ アンスだった。 ともかく装置の中に Windows の幾つものバ−ジョンやパッチのOSを稼 働させて、実際にボットなどのウィルスを遊ばせて振る舞いを調べるという。ブ−スで説 明を聞いた時、そこまでやるかと思った。そして値段はさておき、ともかくこの製品をネ ットワ−クにかませば何とかなる、安全になる、そんなように思ったのだが。 独自の仮想実行エンジン MVX( Multi-Vector Virtual eXecution engine ) というサンド ボックスがある。この中で仮想Webサ−バ、仮想DNSサ−バというのを稼働させ、ボ ットが外部と通信をあたかもしているようにできる。これでC&Cサ−バのありかを突き 止めるという。これまで、これでボットネットを見つけたとセミナ−では話していた。そ の情報は FireEye社のクラウド上の情報サ−バに送り、FireEye ユ−ザは世界中でC&C サ−バの情報を共有する。情報サ−バは Dynamic Threat Intelligence Cloud という。 製品としては1種類あるだけと思っていた。2013/06/14にもらっていたパンフレットを見 たらメ−ル、Web、ファイルの防御と製品が別れていた。安価な製品が出てきたという ので期待したけど、50人程度では内では使えない。パンフレットにはラインナップを拡 充して名称も一新したと。その小規模環境向けの新製品は FireEye NX900 で約160万円弱、 1Uアプライアンス、50人程度を想定、2014/01/15。販売代理店はマクニカ。パ−トナ −はCTCやネットワン。SCSKも扱うが EXシリ−ズ はホ−ムペ−ジに出てない。 EmailMPS -> EXシリ−ズ メ−ルの添付ファイル WebMPS -> NXシリ−ズ FileMPS -> FXシリ−ズ 標的型攻撃を防ぐには原理的にこの種の製品、ソフトしかない。サンドボックスのソフト はだいぶ前からあるみたい。「日経NETWORK」2014/05, P.37 の記事によれば、サ ンドボックスでのボットの検知には数分から1日検知にかかる。これはどういうことか?。 ウィルスはすぐに活動を始めるとは限らないということか。時間、日にちをおいて動くか、 ハ−ダ−の指示を待っているかも知れない。検知に1日もかかったのではゼロディ攻撃に 対処できない。FireEye はどうなのか。リアルタイムで検知するものだと思っているが。 2014/05/12、FireEye を扱っているSI業者の営業さんに少し話を聞いた。詳しいことは 知らないようだったが、そんな簡単には使えないらしいことは分かった。社内の管理者が FireEye のログなんかを見て、おかしいと思ったらインタ−ネットの管理センタ−?にメ −ルする。その後にシグネチャができて装置に配信されるという。え−、そんなまだるっ こい仕組みなの?。全然だめじゃん。パンフレット見てもそこら辺り肝心な説明は出てな い。ボットネットを駆逐するのに力を貸したというのは載っていたが、これでは遅い!。 * シマンテック社のメ−ルから 2014/05/15 に来たメ−ル。"件名:アンチウィルスだけでは防げない脆弱性攻撃、対策は? /TCOを47%削減できる二要素認証。本文に「 Symantec Endpoint Protection」ウィルス対 策だけでなく、脆弱性攻撃をブロックする「IPS(侵入防止)」を標準搭載"。パソコン用の セキュリティ対策ソフトである。標的型攻撃ヘの対策は、IEで見つかったゼロディの脆 弱性ヘの対策は。これらに対応できるとホ−ムペ−ジで派手に宣伝している 標的型攻撃を5段階で検知するという。第1世代:パタ−ンマッチング、第2世代:ヒュ− リスティック、第3世代:IPS(脆弱性対策)、第4世代:リアルタイム挙動分析、第5世代: アプリ安全性評価。"ヒュ−リスティック"の説明で、サンドボックスと呼ばれる限定的な 仮想マシン上でマルウェアの動きを検出。第2世代は1998年からで、ここまでを従来のセ キュリティとする。"リアルタイム挙動分析"は他のサンドボックスの意味合のようである。 サンドボックスの動作や意味は。どうもシマンテックの説明が混乱の元になっているので ないか。業界で意味が固まっていなくて自分自身も混乱している。ヒュ−リスティックに は静的と動的があるらしい。ヒュ−リスティックは発見的というのが日本語訳である。動 的タイプのが疑似実行ということでサンドボックスと言うことがあるようだ。ヒュ−リス ティックスキャンは静的なサンドボックスによる検査と言っているところもある。 * 「Fortinet Days 2014」にて なかなか有益なセミナ−だった、2014/05/15。名古屋駅のミッドランドのホ−ルがほぼ参 加者で埋っていた。Fortinet 社は勢いを感じられる。いいんじゃないかな。 サンドボッ クスもお任せできる気がするし。FortiMail の設定と運用でここ2ヶ月程、外に出ていな かった。セミナ−なんかに出ていなかった。標的型攻撃の様相がどうも変わってきている みたいで、今一度調べてみないといけないと思っていた。 新製品 FortiSandbox の紹介があった。FireEye 製品との比較に力を入れて説明していた。 FortiSandbox はオンプレミス製品で6月〜8月位に出すとか。FortiCloud Sandbox はク ラウドサ−ビス。最新のマルウェアの対策はこれで。ボットネットの真の脅威は加害者に なること、セミナ−資料より。ファイアウォ−ルの市場では Fortinet と CheckPoint と Cisco で大方を占める。PaloAlto と Juniper は2社で10%ぐらしかない。 ボットは社内のパソコンなどに入って活動する。自分からインタ−ネット上のハ−ダ−に 問い合わせ、指示のお尋ねにいく。ハ−ダ−の方からボットにはアクセスしない、という かできない。ファイアウォ−ルで外から内へのアクセスはできない。だから内から外への ボットの動きを観察すればいい。 FortiSandbox のまとめとして。サンドボックスは iOS と Windows 8 用はどこのメ−カもまだ出してない。Android 用は FireEye は出している。 セミナ−の配布資料の中に1枚「FortiGate による Windows XP 環境のマルウェア対策」 というのがあった、【製造工場での導入例】という絵あり。社内の無線LANもセキュリ ティ対策が必要との話あり。タブレット自体に悪意をもった感染はしないけど、社内ネッ トワ−クにつないだ時に、マルウェアが Windows パソコンに移っていく。 タブレットを 媒介、中継装置として利用するということである。 2014/05/E の別な製品のセミナ−にて。Fortinet のサンドボックスの説明もあった。 メ −ルの侵入とWeb経由での侵入の割合は4:6ぐらい。 Web経由でのボット感染の方が 多い。FortiSandbox 装置の検知は JavaScript、Flash、PDF などOSに依存しない。 ク ラウドでの検知は Windows/MacOS/Linux など。 装置とクラウドサ−ビスで同じサンドボ ックスの機能かと思った。このセミナ−で違うことを知った。これは重要なことである。 サンドボックスの中でのボットの検知の時間を早めることができないか。リアルタイムで ボットの挙動を調べる、何がしかの攻撃パケットが出ている。そういうのを検知するには、 たとえば 0.1 秒で1ヶ月の時間を調べるとか。 装置の内臓クロックを早い話し、早回し すればできるのでないかと思った。セミナ−が終わって話をした人に尋ねてみた。そした ら FortiSandbox はそういうことをやっていますとのことだった。やはりそうだったか。 * 新たな脅威が次から次に起こって IEの脆弱性に OpenSSL の脆弱性など世間を賑わす問題が次から次へと起きる。 こうい う時に侵入防御装置を入れていれば全然問題ありませんと言えればいいのだが。なかなか そういう訳には行かない。メ−カから何らかのコメントが出ているのか。このファ−ムウ ェアのバ−ジョン、パッチ、シグネチャ、パタ−ンファイルでIEの脆弱性を突く攻撃を ブロックする。そういう明確な知らせが欲しい。自分で一生懸命調べないと分からないと いうのでは困る。こうしたセキュリティ装置は最初に設置してよしという訳には行かない。 適宜、装置の状態を調べて機嫌よく稼働するよう面倒みていく必要があるのである。年に 一度の装置の状態のチェック、ファ−ムウェアのアップ、新しい攻撃ヘの対処の設定。車 検みたいにできないものか。設置設定のSI業者のサポ−トが問題である。SI業者に対 応するサポ−トのメニュ−とか体制がない。このよい子を書き始めた頃から出入りのSI 業者に話してきたことである。IT機器のホ−ムドクタ−が各組織には必要である。いっ そ本当に病院みたいな事にするか。訪問以外に向こうから担当者に来てもらうのである。 (5) 引続き FortiMail でスパム対策 * ウィルス対策の新たなステ−ジ 組織のセキュリティ対策の見直しをすべき時が来た。今やウィルスはボット型の標的型が 普通になった。メ−ルに添付されてくる形態とメ−ルの文面の中のURLクリックによる フィッシングによりウィルスが入って来る形態がある。標的型攻撃のメ−ルは巧妙なオレ オレ詐欺であり、自社の実在の役職名や名前でメ−ルが届いたら思わず開けてしまうぞ。 標的型攻撃のメ−ルを減らすには、先ずは手持ちの装置やソフトでスパムメ−ルをできる だけ減らすことである。しかしスパムメ−ルの検知を強化しようとすると誤検知が増えて くる。その兼ね合いが難しい。 とりあえず FortiMail で設定した誤検知がほとんど無い 状態をベ−スとしよう。これからすり抜けるスパムをいかに減らすかである。 ウィルス ---- 愉快犯 |-- 悪意 マルウェア ---- 通信機能なし |-- ボット 通信機能あり C&Cサ−バにアクセス どうもウィルスチェックソフトはだんだん役に立たなくなっているらしい。日々発生する ウィルスはパタ−ンマッチングできる数ではなくなった。劇的にウィルス入りメ−ルが増 えているとのことだ。少々大げさな表現だけど、Slashdotサイトの記事で、シマンテック いわく「ウィルス対策ソフトウェアはもう死んでいる」、2014年05月07日。 ウィルスチェックする持ち駒は InterScan と DefensePro もある。以前の DefenseProで はウィルスチェックもやっていた。当時、添付ファイルまではチェックしてたか、いや仕 様でできなかった模様。あやふやである。前はウィルスチェックをするという設定でずっ とほかっていた。それで誤検知がおきたことはなかったと思う。 DefensePro のウィルスメ−ルフィルタの利用は、 社内のメ−ルサ−バに入ってくるおか しなメ−ルの数を少しでも減らすというのには役立つかもしれない。FortiMail でダブル チェックという意味もあるが。しかし内へ来るウィルス入りメ−ルは1日に1通とか、た まにたまげたげに10通とか。ともかくスパムメ−ルに較べて数が極めて少ない。 * スパムメ−ルをできるだけ減らす InterScan ではどれぐらいスパムメ−ルがすり抜けていたか、ざくっと調べてみよう。ほ とんど来てなかったような気がしていた。変なメ−ルはぱっとみてすぐに消していたので、 ほとんどスパムを意識してなかった。でも調べたら自分で月に20通位はあった。メ−ル ソフトの削除済みアイテムのところも一応見た、ほとんどこっちには無かった。 FortiMail の SPFチェックを利用するのはどうか。そもそもメ−ルストアで利用できるの か。どうもメ−ルリレ−でないと仕組み的に SPFチェックはできない気がずっとしていた。 メ−ルのヘッダ−部にどこからきたか書かれているのだから、SPF のチェックはできるの でないか。自社のDNSを SPF の確認ができるよう設定されていればできるのでないか。 ここに http://www.fortinet.co.jp/support/fortiguard_services/antispam_info.html、 スパムメ−ル検知の技術的な概要がある。スパムリストからの削除の説明などがある。ブ ラックリスト検索でIPアドレス、URL、メ−ルアドレスいずれかで検索する。アンチ スパムのログのメッセ−ジ、製品のシリアルナンバ−を添えてメ−ルを送って解除する。 -------------------------------------------------------------------------------- | http://www.fortiguard.com/static/ip_lookup.html | |------------------------------------------------------------------------------| | __ | || | FortiGuard Center | | \/ Threat Research & Response | | | |------------------------------------------------------------------------------| | Home | Botnet | Virus | Web Filtering | App Control | Intrusion & Vulnerab.. | |------------------------------------------------------------------------------| |IP & Signature Lookup | | | | To check whether an IP address is blacklisted in our IP reputation database,| | or whether a URL or email address is in our signature database, | | please enter IP, URL or email address: | | | | Enter a URL: [ikken@tcp.or.jj ] | | Enter Code: r N G s Z [ ] [>>SERACH ] | | | | "ikken@tcp.or.jj" is not blacklisted in the signature database. | -------------------------------------------------------------------------------- "Enter a URL" にメ−ルアドレスを入れて、 "Enter Code" に表示されているいびつなア ルファベット CAPTCHA を入れて、[>>SERACH ] をクリックする。 すぐに結果がその下の ところに出てきた。誤検知になったメ−ルアドレスを何を入れてもブラックリストには載 ってませんとでてきた。"ikken@tcp.or.jj" でも "tcp.or.jj"と入れても変わらなかった。 一応検知されたとして誤検知を解除してもらうには、removespam@fortinet.com にフォ− マットに従って削除依頼のメ−ルを送る。検知の際のメ−ルのログを付けて送ると書かれ てあるが、そのログはどこにあるのか。こんなようなログらしいが "The email contains FortiGuard - AntiSpam blocking URL(s).(black url xx.xxx.xxx)"。見当たらないぞ。 * ブラックIPスキャン(2) にチェック 設定[1] だったのを[2]にして1日様子をみた。誤検知がひどい。 システム隔離に入った メ−ルは ブラックIPスキャン(2) で検知されたのだと思う。 誤検知されたメ−ルのアド レスを上記に入れてみた。たとえば ikken@tcp.or.jj であるとか tcp.or.jj とか。10 個位いれてみたけどブラックリストに登録されていない。どうなっているんだ。 懇意にしているエンジニアに教えてとメ−ルしようと思って、状況を整理してみようとや っている時、IPアドレスを入れてないなと気付いた。ビンゴだった。その様子は次のと ころで書いた。その人がアドバイスをくれたのが (1)(2)(3)をチェックすること。これだ けで十分スパム検知するよと、(4)(5)(6)は負荷がかかるので様子をみてやることと。 [1] [2] --▲スキャン設定------------- --▲スキャン設定------------- |〆▼FortiGuardスキャン (1) |〆▼FortiGuardスキャン ユ−ザ−隔離 | □ブラックIPスキャン (2) | 〆ブラックIPスキャン システム隔離 | 〆フィッシングURI (3) | 〆フィッシングURI システム隔離 |〆▼ディ−プヘッダ−スキャン (4) |〆▼ディ−プヘッダ−スキャン | 〆ブラックIPスキャン (5) | 〆ブラックIPスキャン システム隔離 | □ヘッダ−分析 (6) | □ヘッダ−分析 システム隔離に入ったメ−ルで、フィッシングURI で認識された以外は、全部ブラックリ ストで認識されたのかと思いきやそうではない。メ−ルの詳細でヘッダ−部を見ていくと "FortiGuard-AntiSpam: identified: spam ip: 2.2.2.2 score: 1" というようなのがあ り、下記の ip_lookup.html サイトで調べてもリストに無いと出た。どういうことか。 * それで結局この設定で安定稼働か --▲スキャン設定------------- |〆▼FortiGuardスキャン この設定でどうやら安定してきた。すりぬけメ−ルは | 〆ブラックIPスキャン かなり減った。1通も無い日も出てきた。ブラックリ | 〆フィッシングURI ストからの解除の申請をして解除しましたというメ− |□▼ディ−プヘッダ−スキャン ルも返ってきたし。"システム隔離"に入ったまともそ | □ブラックIPスキャン うなメ−ルを解除していけばいい。スパムリストに載 | □ヘッダ−分析 ってないメ−ルはホワイトリストで通すようにする。 [モニタリング]->[隔離]->{システム隔離} -------------------------------------------------------------------------------- |件名 From To Rcpt To 受信 |------------------------------------------------------------------------------- |MECニュ−ス MEC News ikken@nix.co.jj ikken@n.. 2014年6月2日14時34分22秒 JST -------------------------------------------------- |FortiMail |------------------------------------------------- |[-]件名: MECニュ−ス 最新セキュリティ対策の動向 | From:MEC News | Reply-To:mec_news@mec.con | 日付:2014年6月2日 月曜日 14時44分27秒 +0900 | To: ikken@nix.co.jj | [詳細なヘッダ−] << クリック。 |------------------------------------------------- | 以下本文 ----------------------------------------------------------------------------- |詳細なヘッダ−:906 |---------------------------------------------------------------------------- |Return-Path: |Received:from hostA.nix.co.jj ([192.168.2.1]) | by hostB.nix.co.jj with ESMTP id xxx;Mon,2 Jun 2014 14:34:19 +0900 |Received:from post36.alto.co.jj(post49.alto.co.jj [1.1.1.1]) << このIPアド | by hostA.nix.co.jj with SMTP id xxx レスに注目!。 | for ;Mon,2 Jun 2014 16:21:23 +0900 (JST) |MIME-Version: 1.0 |Subject:=?ISO-2022-JP?B?xxxx? |From:=?ISO-2022-JP?B?xxxxx?= |Reply-To:mec_news@mec.con |Content-Type:text/plain;charset=ISO-2022-JP |Content-Transfer-Encoding: 7 bit |Date:Mon, 2 Jun 2014 14:44:27 +0900 |To: ikken@nix.co.jj |Message-Id: |X-FEAS-SBL: 1.1.1.1 score 3 << ログのスパムでは "FortiGuard-AntiSpam: |X-FE-ORIG-ENV-RCPT: ikken@nix.co.jj identified: spam ip: 1.1.1.1 score: 3"。 |X-FE-ORIG-ENV-FROM: post12@return.abc.jj ブラックリスト、スパムリスト、IPレピュテ−ションのリスト。いろいろ言い方はある ようだが。これらの評価したのが score 値みたいである。"ブラックIPスキャン" でシス テム隔離に入ったメ−ルは全部 score 3 なのかと思ったが、よく見たら score 1 という のもあった。"FortiGuardスキャン" でユ−ザ−隔離に入ったメ−ルは score 1 はあるが score 3 というのはないようである。ちなみに score 2 というのは見当たらない。 -------------------------------------------------------------------------------- | http://www.fortiguard.com/static/ip_lookup.html | |------------------------------------------------------------------------------| | | | | Enter a URL: [1.1.1.1 ] << IPアドレス。 | Enter Code: W A O X X [ ] [>>SERACH ] << 小文字でも可。 | | | "1.1.1.1." is blacklisted in the IP reputation database. << 赤色での表示。 | | If you believe the above IP address or URL or email address is not | correctly listed, enter your comments and submit the IP address | or the signature for review. | | □ Check to submit the signature, generally reviewed and updated in 24 hours. | Enter your contact email address, to be notified of this signature update: | [ ] << 自分のメ−ルアドレスを記入した。 | Enter your comment: | [ ] [ submit ] ↑ ここにはこのIPアドレスをそちらのスパムリストから削除して下さい。 という英文を書いた。"□ Check to" のところは〆入れた。[ submit ] クリックしたら Thank you なんたらと、もう一文出て数秒して消えた。 ------------------------------------------------------ ブラックリストからの解除 |差出人: removespam@fortinet.com からメ−ルが。 の申請をして解除しました |件名 : Fortinet Antispam Service Notification という返ってきたメ−ルが |----------------------------------------------------- これ。SDN製品で一歩先 |The spam signature(s) you submitted has been removed. を行っている某国産家電メ |Signature: "1.1.1.1" −カのメ−リングリストが |Submit Date: Tue,03 Jun 2014 17:16:31 -0700 スパムと誤検知された。6 |Update Date: Wed,04 Jun 2014 16:46:23 -0700 月4日の9時頃解除申請し、 | 22時頃、解除したメ−ル |英文が続いてあってシグネチャはすぐには効果を表わさ がやってきていた。4日の |ないかも知れない、アンチスパムのキャッシュのせいで。 17時頃、別な誤検知メ− |すぐに有効にしたいならそちらのネットワ−ク管理者に ルを申請したのも、22時 |言ってくれ。 頃、解除したメ−ルがきた。 * またぞろスパムメ−ルが来る `2f/04 ここ1ヶ月か2ヶ月のこと、だんだんとスパムメ−ルが増えてきた感じがある。会社宛に はほとんど来ないが、自宅の個人契約のプロバイダのメ−ルアドレスへのメ−ルで。スパ ムメ−ルの動向を知るため、サンプルとしてこの個人メ−ルを会社に転送して検知された ものである。ほとんどが英文メ−ルで衛星テレビが無料で見れるという内容みたいである。 自分ヘのメ−ル傾向は、スパムメ−ルが来る他の人の傾向とだいたい一致している。今回 もめぼしい人に尋ねたら増えているとのことだった。 さて FortiMail の今の設定で何か やれることはあるのか。現在の設定でも、かなり四苦八苦して調整した。とりあえずは懇 意にしている Fortinet 社のエンジニアさんに、最近のインタ−ネットのメ−ルの状況は どうか尋ねてみたい。こうして相談なり話ができる人が居るというのは有難いことです。 ------------------------------------------------------------------------------------ [ 付録 ] いろいろ ● FortiMail のスパム判定の挙動は微妙 `2e/06/E 下記のように、何らかの原因でライセンス状態が切れてしまうと、手動でコマンドを打っ てやらないと回復しないのでないか、# execute update as。他の FortiGate でもライセ ンスがおかしいと出ていたのがあった、漠然と何でかな変だなと思っていた。 [モニタリング]->[システム]->{ステ−タス} ----------------------------------------------------- | ライセンス情報 |---------------------------------------------------- | アンチウィルス: 5.00152 (期限 2014/10/22) (〆) 緑 | アンチウィルス定義: 22.00381 (更新済み 2014/06/25) | アンチスパム: 有効 (期限 2014/10/22) (×) 黄 << 黄はサ−ビスは利用 | アンチスパム定義: 6.00873(更新済み 2014/06/25) できない。正常は緑。 | [モニタリング]->[システム]->{コンソ−ル} ----------------------------------------------------- | fortim # execute nslookup name guard.fortinet.net << IPアドレスがかえってく | る。仮に 2.2.2.2 とする。 | fortim # execute update ? | as update antispam | av update antivirus # execute update as やると強制的にア | now update now ンチスパムを有効にする。上の(×)黄が | (〆)緑になる。これって直ちに有効にな | fortim # execute update as るのか?、数分しないと反映されない?。 [メンテナンス]->[FortiGuard]->{アンチスパム} ----------------------------------------------------- |FortiGuardクエリ スパム検知されたメ−ルのヘッダ−部の | クエリタイプ: ◎IP ○URI ○ハッシュ "X-FEAS-SBL: 1.1.1.1 score 3" という | -------------------------- 記述。このIPアドレスを左の所に入れ | |1.1.1.1 | て [クエリ] をクリックすると、結果と | -------------------------- スコアが出てくる。自社のメ−ルリレ− | [クエリ] のIPアドレスを書いてみれば、自社が | クエリ結果: スパム スパムのリストに載っているか分かる。 | クエリスコア:3 | |FortiGuardアンチスパムオプション | 〆サ−ビスを有効 53/UDP でスパム判定しますということ。 | FortiGuardサ−バ−ポ−ト:[53 ▽] | □優先サ−バ−を使用: これはどういうことか?。 | 優先サ−バ−アドレス: [0.0.0.0 ] | □キャッシュを有効 スパム判定した問い合わせ結果を覚える。 | キャッシュ TTL(秒): [300 ] (300 - 86400) | | [リフレッシュ][適用][キャンセル] ----------------------------------------------------- [ポリシ−]->[ポリシ−]->{受信者ポリシ−} アンチスパムの "受信" 方向での設定。 --▲スキャン設定--------- |〆▼FortiGuardスキャン [1] [1] もIPレピュテ−ションをすることが、この | 〆ブラックIPスキャン [2] トラブルではっきりとした。[1] はパタ−ンファ | 〆フィッシングURI [3] イルで[2][3]がIPレピュテ−ションかと思った。 FortiMail のIPレピュテ−ションは、FortiMail 装置から guard.fortinet.net サイト のサ−バに 53/UDP アクセスして判定してもらう。自社のファイアウォ−ルやIPSでこ の問い合わせパケットを止めてしまうと、スパム判定ができなくなってしまう。 "ライセンス情報、アンチスパム: 有効 (×)黄" だと、スパムのチェックをまるでしなく なり迷惑メ−ルが抜けてしまった。 [モニタリング]->[ログ]->{アンチスパム} 全部のメ −ルでログはこうなっていた。"FortiGuard-Antispam: No Answer from server."。 IPSでこの判定のDNSパケットを止めてしまうかもしれない。例えば DefensePro で は Anomaly-DNS-Z-Flag-UDP シグネチャで不正パケットとして止めてしまう。このシグネ チャを関係なしにしたはずが、ログにも出ず、そこはかとなく止めてしまった?。 "FortiGuardアンチスパムオプション、□キャッシュを有効" は〆入れた方がいい。 同じ スパムメ−ルが大量に来た場合にいちいち問い合わせをしなくできる。しかし〆してみた ら5分位して "ライセンス情報、アンチスパム (×)黄" にってしまう現象が起きた。