11.セキュリティ技術 11-1. インタ−ネット・セキュリティ (1) セキュリティの基本 '96 -------------------------------------------------------------------------------- 水と空気と安全はただという時代ではなくなった。全て危険である。インタ−ネットが十 分危険であるという例をあげておこう。 FireWall-1 の社長が95年初めにテレビに1回 出たら、一晩に6万回のアタックがあったということである。すべてが悪意の元にファイ アウォ−ル破りをしているとは思われないが多過ぎる。国内の例では最近聞いた話で、あ る高速ネットワ−ク機器を作っているメ−カには、少なくとも1日20回のアタックがあ るということである。大分のコアラもベッコ−アメもやられている。 -------------------------------------------------------------------------------- * 何をすべきか できればWANル−タでパケットフィルタリングをかける。ここで必要なパケットのみ通 すようにする。大方は HTTP と SMTP パケットだけ通せばいい。 バリアネットと内部ネットを分け、ゲ−トウェイで中継する。ゲ−トウェイにファイアウ ォ−ルを設定する。 少しでも外部からアクセスできるホスト、 例えばWWWのホストでは NFS, RPC, NIS の −ビスを先ずやめる。特に NIS は外から使う意味はない。 上記ホストでは、基本的に inetd デ−モンによるサ−ビスも禁止する。 もし telnet や ftp などを許す場合でも、できればワンタイム・パスワ−ドをかけること。 WWWサ−ビスや ftp には chroot をかけ、 他のディレクトリにはアクセスできないよ うにする。WWWの Netscape Enterprise Server にはこの機能がある。 inetd から起動される telnetd などのポ−ト番号を変更する。 これは気休めでしかない。 クラッカ−はこれ位のことはすぐ見破る。 DNS にはなるべく内部ホストの情報を載せないようにする。 HINFOレコ−ドはマシンの種 類やOSを記述する項目だが、これも記述しないでおく。 安全対策の基本中の基本はパスワ−ドである。容易なパスワ−ドをWWWやファイアウォ −ルのホストにつけない。知らない人には絶対パスワ−ドを教えない。当り前!。 WWWサ−バの cgi-bin ディレクトリで、 使わないプログラムは消しておいた方が無難 である。特に NCSA なんかではセキュリティ・ホ−ルになるものがあった。 * 予備知識 telnet ロッグインの際のアカウントやパスワ−ドは、プレ−ン・テキストで流れて しまう。ネットワ−クの盗聴にはもってこいである。ftp も同じである。ポ −ト番号は発信元は TCP の 1024 以上の任意番号、 発信先である telnetd サ−バは TCP の 23 番と決められている。これは /etc/services ファイル を見ると書かれている。 ftp コマンドポ−トとデ−タポ−トの2つのソケットを使用する。コマンド用ポ −ト番号は ftp のコネクション時に確定される。 デ−タ用ポ−トは空いて いるポ−ト番号からダイナミックに決定される。/etc/services にはコマン ド用で相手先 21/TCP が記載。デ−タ用は 20/TCP と記載されている。 sendmail ドメイン間の電子メ−ルのやりとりは、 SMTP によるコネクションを張って ドメインのメ−ルゲ−トウェイと行う。メ−ルゲ−トウェイと各クライアン トの間も SMTP で転送される。ゲ−トウェイでIPパケットを中継禁止にし た場合でも、ゲ−トウェイ上にメ−ルリレ−を設置すれば電子メ−ルを中継 できる。R8 バ−ジョンからは SMTP の接続要求に対して、IDENTプロトコル による相手確認が行えるようになった。 DNS ホスト名、IPアドレスの問い合わせは UDP を使う。 2次ネ−ムサ−バへ のゾ−ン転送は TCP を使う。DNS の認証に使う IDENT プロトコルは通すよ うに今後すること。ゾ−ン転送コマンドにより、 簡単に DNS 情報をとられ てしまうが、nslookup や dig コマンドでも情報が得られるので、あまり問 題にすることはないと思われる。ソフトは最新の named を使うこと。 tftp /usr/local/boot などのディスクレスEWSのブ−トやX端末のフォントを ロ−ドするのに使う。あるいはル−タのOSをアップデ−トするのに使われ る。ログは全く出ない。( Trivial File Transfer Protocol ) ARP ル−タの信頼性を高めるためには、ARP に対応付けを固定し、ARP を使わな いようにする。偽の ARP メッセ−ジにより、 パケットを奪われるのを防ぐ。 ポ−ト番号 サ−バ・クライアントのネットワ−クコマンドは、たいがいサ−バ側のポ− ト番号はきめられている。そしてクライアントの方は 1024 以上の任意のポ −ト番号を使うことになっている。例えば telnet のサ−バ側は 23 番を使 い、クライアント側はその度に異なるポ−ト番号になる。 例外は named 同 士、NetNews の NNTP のやり取りぐらいである。 ACK TCP パケットのヘッダ−部に ACK フラッグというのがある。 相手ホストに 例えば telnet すると、相手からの返りパケットには必ずこのフラッグが立 つことになっている。 この性質を利用して TCP パケットのフィルタリング ができる。ル−タでは入ってくる TCP パケットに established 指定するこ とで ACK フラッグの立ったものだけ通過させるようにできる。 UDP コネクションの概念がない。つまり入って来たのか出ていくパケットなのか 判別がつかない。このたのめ常に必要となるポ−トを開けておく必要がある。 具体的には TCP にある ACK フラッグ部分やパケットの連続番号のフィ−ル ドが UDP にはないのである。パケットの垂れ流しの垂れ受けである。 IDENT IDENT プロトコル。ポ−ト番号は 113 を使う。 リモ−ト側のロッグイン・ ユ−ザ名を取得するため、プログラムに実装して使用される。リモ−ト側が identd デ−モンをサ−ビスしている場合に有効である。NCSA httpd の場合、 IdentityCheck オプションでユ−ザをチェックするかどうか指定できる。た だしログに結果を記録するだけで、アクセス制限は行わない。man ident で 出てくるのは、INDY では /usr/sbin/ident の説明であり違う。 % cat /etc/services auth 113/tcp authentication << これが IDENT の項目。 * いろいろ追記 `22/08〜 クラッキングツ−ルいろいろ。ネットバス、キ−を打っているのが丸見えになる。上司や 部下の仕事ぶりをみる。ハックラック、日本製でいろいろな攻撃パタ−ンが入っているク ラッキングのパッケ−ジ。2001年11月頃、聞いた。 2000/01〜02 省庁のホ−ムペ−ジ改竄が頻発。2001/06 Sadmind/IISワ−ム発生、Solaris のバグを突いて自動的に Windows の IIS サイト(Web) を攻撃し、コピ−して増殖してい く。2001/07〜08 CodeRed。2001/9 Nimda など IIS の欠陥をついたウィルスが蔓延した。 2001/10/11、IE 5.01/5.5/6 に再び深刻な穴が見つかった。2001/10/17マイクロソフトは 即パッチを作成、公開した。日経関連のサイトでえ、もはやマイクロソフト製品は使 用禁止にした方がいい?。という話も出てくる程だった。 2001/10〜、XSS( Cross Site Scripting ) なる新たな攻撃が、またもや IIS の不具合を 突いて出てきた。何か、かなり巧妙な攻撃の手口みたいである。2002年7月、安全と 思われていた Apache でもセキュリティ・ホ−ルが見つかったとか。 * WANル−タとファイアウォ−ルでのフィルタリング `24/04 インタ−ネット接続に当たり2ヵ所でパケットフィルタリングをかけることができる。両 方とも等しくフィルタリングをかけるか。WANル−タではパケットを素通りさせてしま うか。ファイアウォ−ルが機能しなくなった場合の補助的な位置付けとして、最低限のフ ィルタリングを行うか、幾つかの選択がある。フィルタリングの方向性は、どちらも入っ て来るパケットについては原則禁止でいい。出ていくパケットは2通りあり "デフォルト 許可&指定パケット禁止" と "デフォルト禁止&指定パケット許可" である。この組み合 わせは4通りできるのだが、数学的に見た場合、安全性に違いがあるのかも知れない。下 図では、WANル−タはファイアウォ−ルの補助として最低限のフィルタリングをさせる ことにした。できるだけ人様に迷惑をかけないように、社内のパソコンがウィルスに感染 して自分ところからよそへ、Windows OSを攻撃するパケットは通さないないようにした。 出て行くパケットは通過が前提、入って来るパケットは禁止。 WAN : ただし、入って来る TCP の応答パケット( Established )は許可。 ル−タ □ ただし、入って来る FTP のデ−タパケット TCP/20 は許可。 | ただし、DNS の応答パケット UDP/53 は許可。 ---------------- ただし、出て行く TCP & UDP 135,137-139,445 番パケットは禁止。 | ------- ファイアウォ−ル:ステ−トフルインスペクション方式 | | ------- 出て行くパケットは禁止が前提、入って来るパケットは禁止。 | ただし、出て行く TCP 80, 8080, 25(SMTP), 21(FTP) などは許可。 ---------------- 指定パケット禁止のポリシ−を厳密に適用しようとすると、すごく大変である。どんなパ ケットが将来悪さをするか分からない。対策にきりがない。常にセキュリティ情報をチェ ックして、ウィルスやワ−ムなどの働く仕組みを見て、パケットの制限をしなければなら ない。その最たるものが Microsoft の Windows OSの度重なるセキュリティホ−ルの発 見である。上記、外部への TCP と UDP 135,137-139,445 番ポ−トへのパケットの制限が その対策である。これらは、内部ネットワ−クのウィルスに感染したパソコンから、他の 即ち外部にあるパソコンへも攻撃が行われる。135 番は 2003/08/12 発生した MSBlaster で、Microsoft RPC のバッファオ−バフロ−するバグをついたものである。137-139, 445 番はファイル共有の NetBIOS 関係である。1434 番は 2003/01/25 に発生したSQLSlammer で、Microsoft SQL Server 2000 とサ−ドパ−ティの MSDE 2000 に感染する。 ファイアウォ−ルでは指定したパケットのみを外へ通すようにするのが、一般的な設定で ある。HTTP の TCP/80 番や TCP/8080 番、他 Telnet や SMTP や FTP など限られている。 ファイアウォ−ルはステ−トフルインスペクション方式が今日多い。この方式ではパケッ トの中身もある程度見て、パケットの出入りを見張っている。それにパケットフィルタリ ングで指定する細かなル−ルも自動的に処理する場合が多い。ファイアウォ−ルはデフォ ルトでいろいろなル−ルが設定されているので、ややもすると何をやってくれているのか 分かりにくい面もある。暗黙のル−ルである。ル−ルは多くなればなるほど負荷が大きく なり、ファイアウォ−ルの効率は低下し、スル−プットも落ちる。一般的にル−ル番号が 若い方からパケットのチェックは行われるので、ル−ルの設定では考慮したい。 他いろいろ気付いたこと。内部ネットワ−クのホストにて FTP ソフトを Passive モ−ド 対応のを使えば、ル−タにて入って来るパケット TCP/20 許可ル−ルはいらなくなる。で も相手 FTP サ−バも Passive モ−ド対応でないといけないので、TCP/20許可を入れてお いた方がいいだろう。それにル−タでもファイアウォ−ルでも、IPスプ−フィング対策 とソ−スル−トオプション付きのパケットは通さないようにする方がいい。IPスプ−フ ィング対策は、外部から来たパケットが自分とこのネットワ−クのIPアドレスであるの はおかしい。そういうパケットが来たら破棄するのである。さらにル−タはともかく、フ ァイアウォ−ルは存在自体を隠すようにステルス化するのが望ましい。ファイアウォ−ル のホストの外側IPアドレスには、外から ping にも応答しないようにする。 * WANル−タとファイアウォ−ルでのIPアドレスの変換 `24/04 : : よい子ぐらいの規模のネットワ−ク Router □ 通過 □ NAT(IP Masquerade) では(a)の方だろう。(b)のIPマス | | カレ−ドはどちらかというと個人や FireWall ■ NAT ■ 通過(NetScreen等 SOHOで用いられる。SOHOの場合、わ | | で透過モ−ド) ざわざもう一段ファイアウォ−ルを (a) --------- (b) --------- 入れることは少ないと思われる。 (2) これまで知られている攻撃方法 '96 * 攻撃方法 トンネリング攻撃: あるプロトコルを他のプロトコルでカプセル化する。カプセル化は特殊な技術ではな い。例えばマルチキャストを扱うのに、IPパケットで包むことがやられている。 経路情報攻撃: 動的経路制御 routed でもっている経路情報を操作して、パケットを奪う。メインメ モリの中にある経路デ−タを直接操作するのだろうが、簡単にできるものなのか。 ソ−スル−ティング攻撃: 経路情報がなくても指定したル−タを通過するように、IPパケットのル−ズソ−ス ル−トオプション情報を利用する。LSRR( Louse Source and Recode Route ) 攻撃と いう。ちなみに ping のオプションには、経路を指定するのがある。 ネ−ムサ−バ攻撃: DNS に嘘のエントリを入れこみ、許可されたホストになりすます。方法としては DNS のキャッシュ・デ−タに細工をする。 トロイの木場攻撃: anonymouos ftp のプログラムに、クラッカ−用プログラムを入れこむ。 wu-ftpd に 仕掛けられたことがある。コンピュ−タウィルスもこの方法で入ってくる。 擬似パケット攻撃: 内部のネットワ−クから発生したパケットのようにする。 IP spoofing attack とい われる。(95年1月、サンディエゴ・コンピュ−タセンタ−が攻撃された) シ−ケンス攻撃: TCP/UDP ポ−トでアクセス可能な部分をしらみ潰しに調べる。穴があってそこがセキ ュティが弱ければ、侵入される。あるいはコマンドの実行を許してしまう。 電子メ−ル爆弾攻撃: イメ−ジを含んだような大きな電子メ−ルを何度も送り付けて、ディスクを一杯にす る。電子メ−ル爆弾とかSPAMとも呼ばれる。注意しないと他サイトへの電子メ− ル攻撃に自サイトの sendmail を利用される。 MIME 電子メ−ル攻撃: MIME フォ−マットの盲点をついた攻撃。MIME のヘッダ−部の記述によって、ファイ ルを消去したり、コマンドを実行したりする。次のスクリプト言語攻撃とも関係する が、MIME の PostScript 画像を見たとたんにディスクのファイルが消去される。 スクリプト言語攻撃: Ghostscript により PostScript ファイルを表示する際、ファイルに埋め込まれたコ マンドを実行し、ディスクのファイル等を消去する。Windows のソフト Word でも同 様な攻撃がつい最近起きた、こちらはマクロ攻撃と呼ばれる。 シェル実行攻撃: 名称はさておき、sendmail にあった debug コマンドのように、プログラムからシェ ル・コマンドを実行する。 telnet や mail コマンドでも実行中に、ロ−カル側のコ マンドを実行することができる。次の裏口攻撃とよく似ている。 裏口攻撃: ダイアルアップIP接続しているホストがあると、そこが裏口になりやすい。盲点で ある。裏口をバックドアと言った場合は、プログラム開発時の確認のための隠しコマ ンドのことを差す。Windows のOSにはバックドアがかなりあるという噂がある。 ワイヤ−トラップ攻撃: 電話線を流れる電流や、コンピュ−タから出る磁界からデ−タの内容やパスワ−ドを 盗聴する。以前NHKの番組で10メ−トル位離れた所から、ディスプレイから出る 電磁波をキャッチして完全にモニタ−しているのを見たことがあった。 パスワ−ド攻撃: /etc/passwd ファイルを入手し、 パスワ−ド解析プログラム Crack などでパスワ− ドを獲得してしまう。25%の確率で分かるといわれている。基本的なパスワ−ドの 解析は辞書攻撃と呼ばれ、総当たりで辞書の単語を暗号化をし、/etc/passwd のパス ワ−ドの暗号部と比較していく。一致すれば解析できたことになる。 ping 攻撃: ping のオプションには、パケットのサイズを指定するのがある。 これで大きなパケ ットをタ−ゲット・ホストに繰り返し送る、非常にたちの悪い攻撃である。 ping ア クセスはインタ−ネットのどのホストにもできる。この攻撃はいったんタ−ゲットに されたら防ぎようがない。こうした攻撃は後に DoS と呼ばれるようになった。 * パスワ−ド・クラックの話 この辞書攻撃というのはどうもだいぶ賢いらしい。実際にこの辞書なるもの見たことがな いのだが、人名を羅列したファイル、英単語を羅列したファイルだと思う。パスワ−ドと 言っても login 時は英数文字だが、 アプリケ−ションなんかでは日本語もOKという場 合もある。なんと日本語の辞書もあるそうだ。 賢いというのは、例えば KaToU というパ スワ−ドの場合、辞書には katou としかないだろう。クラック・ソフトは katou を元に、 大文字に変えたりいろいろなパタ−ンを調べるようになっているらしい。またタ−ゲット の身元のキ−ワ−ドを幾つか組み合わせ、前に持ってきたり後にやったりと。ソフトウェ アだからどうにでも出来る訳である。 * MIME の危険性 通常のテキストの電子メ−ルは何の危険性もないが、 MIME に拡張された電子メ−ルは安 全ではない。特に PostScript デ−タを含んだ MIME は危ない。PostScript はただの画 像フォ−マットではない。一種のプログラム言語である。 PostScript デ−タの中に、そ のコンピュ−タのファイルを消去するコマンドを埋め込むことが可能なのである。これと MIME フォ−マット自体も手続き的な処理をするため、これも少し注意が必要である。 ではどうすればよいか。先ず知らないところから来た電子メ−ルは喜んで見てはいけない。 その中に PostScript デ−タが含まれていたら迷わずそのまま破棄すること。知った相手 でも PostScript デ−タはやり取りせず、GIF など他の画像デ−タにすること。GIF なら 全く危険性はないし PostScript よりもファイルサイズが小さくなってよい。 参考に現在出回っている Ghostscript は、PostScript の危険なコマンド(オペレ−タと 呼ばれる)を実行しないようになっているとのことである。しかしコンパイルの際に、実 行するようにオプション設定はできるらしい。どっちにせよ PostScript はあまり歓迎さ れたものでない。プリンタは高いし、仕様は複雑だし、重たいし。 * ソ−シャル・エンジニアリング `24/04 この攻撃もやはり追加しておかねばなるまい。日本語では社会工学と呼ばれている。うま いこと口八丁でパスワ−ドを聞き出してしまうやり方である。コンピュ−タに侵入してパ スワ−ド・ハックするより手っ取り早い。ソ−シャル・エンジニアリングはインタ−ネッ トでは結構古くからある手口で、かつての大物クラッカ−のケビン・ミトニックが巧みに 用いた。彼は少し前、監獄から出てきて本も出している。今では心を入れ替えてどこかの 会社のセキュリティ顧問か何かしているようだ。しかし、そんなに簡単に人をだますこと ができるのか疑問に思っていた。今や大流行しているオレオレ詐欺。案外、人は簡単にだ まされると実証してしまった。2003年11月の新聞記事には、これまで5千件、被害 総額22億円と載っていた。しょっちゅうこういう話をしている身内の者でさえ、危うく だまされそうになった。手口、台詞を相当練習している、相手は役者です。たとえ本人か らの電話でも、あらかじめ取り決めをした手続きなしで重要なことは言ってはならない。 * 最も恐れていたことの一つが `25/04 トレンドマイクロ社のウィルスチェックソフトの問題、4月23日午前配布のパタ−ンフ ァイルの事件である。ウィルスでなくてもパソコンに問題を引き起こすことになった。外 からダウンロ−ドするようなものは、全てこの可能性があることが証明されたようなもの である。由々しき問題である。あわてて対処しないこと。今回、パソコンをOSの再イン スト−ルから始めディスクの中身をまっさらにしてしまった人もいた。トレンドマイクロ 社はこの事件に関して、保障はしないとすぐさま表明した。朝の早い時間の1時間の間に 配布したパタ−ンファイルが問題であり、すぐさまその旨アナウンスした。責任は果たし ているという理屈なのだろう。まあ、個々に保障したんでは会社は潰れてしまう。それし ても訴訟社会のアメリカで、そんな道理が通るものなのか。今回の問題の原因はパタ−ン ファイルがただの無気質なファイルではなく、スクリプトであること。ワ−ドでもエクセ ルでも同様の事件は起き得る。最悪、パソコンのファイルを全て消去せよと!。 * MACアドレスの偽造 `2e/02 パソコンなどのMACアドレスの偽造というのは2つあるのでないか。MACアドレスを 認証に用いるのは危険だということがよく言われる。MACアドレスは偽造が簡単にでき るので漠然と危ないと思い込んでいる節がある。今一度勉強して、きちんと理解しておき たい。どういう意味なのか。どういう場合に危険なのか。 ・スイッチィングハブのMACアドレスを変えて、パケットを盗み見する。 ・自身のパソコンのMACアドレスを変えて、他のパソコンになりすます。 MACアドレスを偽造することができるソフトに、Etthercap というフリ−ソフトがある。 ハブに嘘のMACアドレスをアナウンスして、乗っ取ってしまう。Port Stealing という テクニックと言われているらしい。Etthercap ソフトの記事は「Software Design」2012/ 04, P.24〜25, "第1特集:すぐにできて捗る UNIXユ−ザ管理テクニック" を参考。 * 追加メモ ドライブバイキャッシュなる攻撃はウィルス対策もすり抜ける新たな攻撃手法。ドライブ バイダウンロ−ドと基本は同じ手口。JavaScript と Flash の実行制限で対処できる。 iPhone の中国製アプリの幾つかにマルウェア感染発覚、2015/09/22 付け中日新聞で見た。 ms-DS-Phonetic-XXX というのが幾つかある。これら Windows Server 2008 以降サポ−ト。 OpenSSL の脆弱性喚起。バ−ジョンの 1.0.1 から 1.0.1f それに1.0.2-βから1.0.2-β1。 1.0.1g で修正されている。1.0.1 で新規に採用された機能でバグがあった。 Active Directory へのブル−トフォ−ス攻撃によるパスワ−ド解析。 社内にあるかと安 心している節がある。社内の Windows Server のセキュリティ対策は手薄な場合が多い。 DoS( Denial of Service )攻撃、サ−ビス不能攻撃と言う。大量パケット攻撃が直ぐに思 い浮かぶが、少量のパケットでもコンピュ−タを麻痺させてしまう攻撃の仕方がある。 (3) 防御の方法と箱根の関所 '96 * 防御方法 デ−タ中継の制限: IPパケットを選択する、または基本的にIPパケットを通さないようにして、許可 したパケットだけプログラムで中継するようにする。この機能を中心としたプログラ ムがファイアウォ−ルのソフトである。フリ−ソフトや市販品など種々ある。 デ−タ暗号化: 不特定の外部の人に知られたくないデ−タ、例えば電子メ−ル、telnet、WWWサ− ビスなどのデ−タを暗号化してしまう。またはル−タで通過するデ−タを暗号化して しまう。PERMIT と言うパケットを暗号化する中継装置みたいなのもある。 UNIX にも crypt コマンドというのがあるが、この暗号化はあまり安全ではないらしい。 コマンド実行の制限: inetd デ−モンで起動されるデ−モンを制限する。 望ましいのは inetd そのものを 稼働させないことである。 外向けホストでは外部からの ftp や telnet アクセスを 許す必要は一般にない。それに NFS や NIS のサ−ビスも必要ない。これらはインタ −ネット越しに普通使えるものではないし、第三者に使ってもらう必要もない。 パスワ−ド強化: シャドウ・パスワ−ドを使う。パスワ−ドに有効期間( password aging )を設定する。 1回しか使えないパスワ−ドを用いる。ワンタイム・パスワ−ドとも使い捨てパスワ −ドとも呼ばれる。先ずは英語の辞書にのっている単語はパスワ−ドしないことであ る。大文字、小文字、数字を入れ混ぜて、1ヵ月ぐらいで変更するのが望ましい。 経路制御の制限: 動的経路制御の routed を使わずに静的経路制御にする。静的経路制御では自マシン で設定した経路情報以外は入ることはない。routed を使う場合でも、 自デ−モンが 持っている経路情報をアナウンスするだけで、他の動的経路制御デ−モンから情報を 受けない設定にするのもいい。あるいは gated を用いる。 gated は経路情報をもら う信頼できるル−タを指定できるので、嘘の情報を入れられにくくできる。 デ−モン実行の権限: 例えば sendmail は通常 root で実行される。しかし sendmail をリレ−でのみ使う ような場合、root 権限で実行する必要はない。バグをついて侵入されると、 侵入者 に root 権限を与えることになる。httpd は root で通常起動されるが、ユ−ザから アクセスする際は nobody などの実害のない権限で実行されるよう設定する。 ディスク・パ−ティションの分割: メ−ルサ−バのホストなどは、ハ−ドディスクのパ−ティションを分ける。大量の電 子メ−ルが意図的に送られると、最悪ディスクがクラッシュする。このような場合1 つのパ−ティションだけに影響を抑えることができる。実際、SPAMという悪意に よる大量の電子メ−ルがその後問題となっている。他、syslogd でも大量のファイル を送り付けられるケ−スがあるらしい。 セキュリティ・ホ−ルのチェック: バリアセグメント上のホスト、具体的にはWWWとファイアウォ−ルのホストに、セ キュリティ・ホ−ルがないかどうか調べる。 フリ−ソフトの SATAN、ISS( Internet Security Scanner)、COPS、RSCAN、Tiger などが利用できる。SATAN が悪い意味で話 題になったのは、外部のコンピュ−タからセキュリティホ−ルを見つけることができ、 悪用される懸念が心配されたからである。ISS はその後非公開になったらしい。 侵入チェック: 不正なアクセスがないか、攻撃を受けている痕跡はないか常にチェックし、被害を最 小限に食い止める。アクセスのログは syslogd や httpd でとれる。フリ−ソフトの Swatch は syslog の指定したログをメ−ルで管理者に通知できる。Tripwire はディ スク・ファイルに変化がなかったかを調べる。変なプログラムを置いていかれてない か、パ−ミションを変更されていないかチェックするソフトである。仕組みは MD5と いう暗号化チェックサムを利用する。フリ−ソフトと市販品などがある。 IPアドレス変換装置の使用: ただ単にIPアドレスを変換するだけでなく、ファイアウォ−ルとして働く装置があ る。基本的には外部からは、パブリックなIPアドレスのホストにしかアクセスでき ない。製品としては PIX( Private Internet Exchange ) がある。32アドレス登録 分で198万円、4069アドレス分で約644万円である。値段はあてにしないで ね。しばらくして Cisco 社が買収してしまった。 電子メ−ルの強化: 今後、不要な商用メ−ルや用事のないメ−ルが増えてくることは避けられない。電子 メ−ル爆弾や中継攻撃に利用されることも有り得る。 sendmail-8.8.x にはこれらに 対処できる機能がある。また、個々に配送された後に不要なメ−ルを選別するフリ− ソフトも出てきている。Omron がアメリカで市販品を出したと97年9月3日の朝日 新聞に載っていた。メ−ルの内容を調べ、不適切なキ−ワ−ドがあれば廃棄したり返 送したりするようになっている。 sendmail 使用の取り止め: メ−ルサ−バの sendmail は永い間、インタ−ネットの電子メ−ルの配送に使われて きた。しかしセキュりティ上のバグの発見、バ−ジョンアップ、その繰り返しで常に 問題をはらんでいた。 そうした背景を元に sendmail にかわる qmail というメ−ル 配送プログラムが作られた。D.J.Bernstein によって '97/02 正式公開され、それ以 後問題は生じていない。SetUID、root 権限実行部分を極力減らし、 基本的にセキュ リティに穴があきにくい設計にしたとのことである。 * IP spoofing attack が起きるそもそもの理由 一つ例を考えよう。ここに箱根の関所があるとする。旅人は通行手形をもっていて、それ には、どこからどこへ行くのか書いてあるとする。関所の東西の門には、番人が立ってい る。そこで旅人の通行手形を調べるのだ。例えば、東門に関所の外からやってきた旅人の 手形は、"出発地:鎌倉"、"到着地:清水" となっているはずである。 門のところでこれを チェックするのは、簡単な話である。 次に関所にいる役人もたまには国へ帰る。この際にも一応、通行手形をもつことにしよう。 その手形は、"出発地:関所"、"到着地:清水" 等となっている。 役人は国へ帰る時は、裃 を外すので、他の旅人と区別はつかない。門番が調べるのは、関所内からその人が来たか、 そして "出発地:関所" となっているかだけである。 これらのチェックは誰でも考えつく しごく当り前なことである。 ----------- | 関所 | 旅人 西門 --- -- 東門 ------------- (清水) → ← |出発地:鎌倉| (鎌倉) --- -- |到着地:清水| le1 | | le0 ------------- ----------- 内部ネット ゲ−トウェイ 外部ネット しかしコンピュ−タの場合、こんな単純なチェックもできない。関所はゲ−トウェイ・ホ スト、門はイ−サネット・インタ−フェ−スであることは確かだ。しかし肝心なこと、門 でどこからパケットが来たのか、これをチェックしないのだ。それなら関所に入ってチェ ックするかといったら、これもしない。EWSの TCP/IP カ−ネルの機構にはこのチェッ クは入っていない。 パケットフィルタリング型のファイアウォ−ルのソフトを入れて、初めて何がしかのチェ ックをする。しかしこれとて、門番はパ−なので嘘を書いた通行手形を見破ることができ ない。「東門へやってきた場合、鎌倉以外の出発地である通行手形をもった人は通しては いけない」。ちゃんとこのように門番に教えなければならない。ファイアウォ−ルの設定 においては、次のようにル−ルセットすることである。 1. 発信元が内部ネットのIPアドレスであるパケットは、le0 でシャットアウトする。 さらにもう1つル−ルセットする必要がある。 2. 発信元がゲ−トウェイのIPアドレスであるパケットは、le0でシャットアウトする。 更に安全を期すにために次も加えておくとよい。 3. 発信元が localhost ( 127.0.0.1 )からのパケットは、le0 でシャットアウトする。 * 箱根の関所を例にした IP spoofing attack の説明は分かったかな 説明の中で "出発地:鎌倉"、"到着地:清水" と書いたので、全然関係ないけど清水の次郎 長、森の石松、万場の忠太郎といきたい。森の石松は、遠州森の石松ともいうが、浜松か らすぐの所に森という所があるのだ。そこに行くと石松を祭った神社とかがある。浜松か ら1両のロ−カル電車に乗って、それは田舎に入って行きます。何とその社内でおばさん の売子がいて、名物の饅頭なんかどうですかと回ってくるのだ。思わず笑いが出るのをこ らえるのに大変。万場の忠太郎の万場は、関ヶ原から国道を通って、少し米原に向いて走 った辺りがそうです。雪の中を母を探して忠太郎がやってきた。その時、極道者に落ちて いた息子を母は、おまえさんなんか知らぬと追い返してしまう。こんなことじゃ会いに来 るんじゃなかったと、忠太郎がまた雪の中を去っていく。そこを、妹がお兄−さ−んと探 しに出るところで終わりという筋。万場の忠太郎食堂あります。入ったって下さい。 * SATAN を INDY IRIX 5.3 で使ってみる SATAN( Security Administrator Tool for Analyzing Networks ) フリ−ソフト。名前は 怖いが、決して恐ろしくはない。ごく基本的なセキュリティ・チェックをするだけである。 検査ホストに inetd, nfsd, NIS, Xウィンドウのサ−バなどが稼働してなければ、 何も 問題ないとなる。 sendmail はバ−ジョンを調べるだけとのことである。SATAN のインス ト−ルは Perl のバ−ジョンと Perl の HTML ファイルに注意すれば、簡単にできる。次 のように、% satan とコマンド入れるとWWWブラウザが起動され画面が出てきて、もう これで使える。ただしWWWブラウザで perl を 認識するように設定しておくこと。 % satan << root で起動すること。 使い方は簡単である。SATAN を起動するとデフォルトで自分自身のホストをチェックする ようになっているので、先ずそれで試して見る。何やらパスワ−ドがどうとかメッセ−ジ が出るが、無視して Ctrl+R と入れる。すると直ちにチェックを始める。timeout --- な んて結果が出てくるが、そういうものらしい。SATAN は当初作成されてからその後、手が 加えられていない。そのためセキュリティのチェックは今となっては甘いものになってい る。どうやら SAINT という名称に変わって開発が続けられているようである。 * SATAN を INDY IRIX 5.3 にインスト−ルしてみる 1995年4月に 1.1.1 がリリ−スされて以来バ−ジョンアップされていない。 % ftp ftp.aist-nara.ac.jp ftp> cd /pub/security/tool/satan/ -r--r--r-- .. 2146 Oct 18 1995 satan-1.0.README -r--r--r-- .. 330805 Oct 18 1995 satan-1.0.tar.Z -r--r--r-- .. 2279 Oct 18 1995 satan-1.1.1.README << これらを取ってき -r--r--r-- .. 378285 Oct 18 1995 satan-1.1.1.tar.Z << てインスト−ルし -r--r--r-- .. 378285 Oct 18 1995 satan.tar.Z -r--r--r-- .. 1711 Oct 18 1995 satan_doc.README << てみた。以下root -r--r--r-- .. 550079 Oct 18 1995 satan_doc.tar.Z << で作業すること。 % cd /usr/local/source/satan; ls satan-1.1.1/ satan_doc/ satan_doc.README satan-1.1.1.README % cd satan-1.1.1 % reconfig checking to make sure all the target(s) are here... Ok, trying to find perl5 now... hang on a bit... Perl5 is in /usr/local/bin/perl5.00404 << Perl が必要である。 changing the source in: bin/get_targets .. satan perl/html.pl HTML/WWW Browser is /usr/bin/X11/netscape Changing paths in config/paths.pl... Changing paths in config/paths.sh... % make irix5 << ただの make ではダメ。 cd src/misc; make "LIBS=" "XFLAGS=-DAUTH_GID_T=gid_t" "RPCGEN=rpcgen" cc -O -I. -DAUTH_GID_T=gid_t -c md5.c | cc fping.o -o ../../bin/fping [ ディレクトリの内容 ] % ls -F Changes TODO html/ perllib/ rules/ satan.ps Makefile* bin/ include/ reconfig* src/ README config/ perl/ repent* satan satan.8 % ls -F bin boot* md5* rusers.satan* udp_scan* boot.satan* nfs-chk* safe_finger* udpscan.satan* dns.satan* nfs-chk.satan* showmount.satan* xhost.satan* faux_fping* rcmd* sys_socket* yp-chk* finger.satan* rex* tcp_scan* yp-chk.satan* fping* rex.satan* tcpscan.satan* ypbind.satan* ftp.satan* rpc.satan* tftp.satan* get_targets* rsh.satan* timeout* % ls -F config paths.pl paths.sh satan.cf services version.pl % ls -F html admin/ images/ satan.pl data/ name.html docs/ reporting/ tutorials/ dots/ running/ satan_documentation.pl % ls -F src boot/ misc/ port_scan/ yp-chk/ fping/ nfs-chk/ rpcgen/ (4) クラッカ−のやり口手口 '96 -------------------------------------------------------------------------------- クラッカ−は悪さをする人、ハッカ−はコンピュ−タに詳しい人のことである。念のため。 -------------------------------------------------------------------------------- * 攻撃の実例 実際どうやって攻撃するのかある程度知っておきたいものだが。残念なことに本や雑誌で はあまり書かれていない。インタ−ネットの不正監視機構 CERT でも、攻撃方法について は情報を出していない、まねされるといけない?。WWWサ−バをバリアセグメントにお く場合、ホストから不要なソフトやデ−モンを取り除くのが望ましいと言われるが、何故 か。パスワ−ドさえ分からなければ侵入できないのでないか。本来ならそうであるべきな のだが、ソフトの様々なバグをついて、ロッグインすることなくホストに侵入を許してし まうのである。 「UNIX MAGAZINE」'94/12, P.109〜 "転ばぬ先のセキュリティ Sendmail" ここには、sendmail の機能が予期せぬバグとなって、 インタ−ネット・ワ−ム事件を引 き起こすことになったことが書かれている。 かつての sendmail には DEBUG というコマ ンドが使えた。% telnet target_host 25 で、相手ホストの sendmail デ−モンにコンタ クトができる。これは最新の sendmail でもできるが。かつての sendmail では、ここで DEBUG と入れるとそれ以降、UNIXのコマンドは何でも実行できた。 sendmail デ−モ ンが root で走っていると、与えるコマンドも root 権限で実行できてしまったのである。 「UNIX MAGAZINE」'95/05, P.56〜 "転ばぬ先のセキュリティ アドレス偽造と コネクションハイジャック" こちらは IP spoofing attack 技術的解説と、実際に起こった事件の顛末が記載されてい る。本「テイクダウン」がその事件の読み物として発刊されている。ここでの攻撃はIP パケットの偽造に加え、2台のホストでデ−タをやりとりする際、デ−タ受取の確認のた め推測できるポ−ト番号を使うことをついたものである。番号がランダムに使われるよう TCP/IP の実装が成されるならば、この攻撃はちょっとできないと思われるが。 * 攻撃はポ−トスキャンから おおよそタ−ゲットとなるマシンのIPアドレスが分かったら、次はどんなサ−ビスをし ているかクラッカ−は調べることになる。SATAN なんかのセキュリティ・チェックのソフ トを使って穴を探すかも知れない。多分それ以上に、どのポ−トが開いているかポ−トス キャンするツ−ルを用いることの方が多いだろう。TCP の 23 番ポ−トなんか開いていれ ば超ラッキ−なわけだ。telnet が外部から使えることを意味している。 98年初めぐら いから、このようなポ−トスキャンが多発している。 JPNIC や各プロバイダの DNS サ− バから、個々の企業などのIPアドレスをがばっと獲得し、無差別にポ−トスキャンをか けているらしい。 ポ−トスキャンの兆候はバリアセグメントのホスト、 例えばWWWのホストで snoop や tcpdump を動かしてみると分かる場合がある。ポ−トスキャンはポ−ト番号を1つずつ増 やしながらポ−トが開いているか、閉じているか調べる。その様子が連続的にディスプレ イに出てくる。しかしポ−トスキャンのソフトは案外簡単に作れるらしく、 strobe など 多くのプログラムがネット上にある。連続してサ−チするとすぐバレてしまうので、ラン ダムに番号を振ったり、何日もかけてスキャンしたりと巧妙になって来ている。こうなる とディスプレイにかじりついて tcpdump を見ていても見つけることは困難である。 ポ− トスキャンの例は "11-4. fwtk とワンタイム・パスワ−ド" を見られたい。 [ Yamaha RTX1000 でのポ−トスキャン例 ] フレッツ・ADSL を2004年になって引いて、Yamaha のル−タでログを取ってみたとこ ろである。ADSL引いて1日ぐらい何事もなかったが、それからは十分と置かずに不正アク セスが来るみたいである。もうひっきりなしにポ−トスキャンがある。空いているポ−ト がないか、しらみ潰しに調べているのが見てとれる、こりゃひどい。以下IPアドレスは 変えてあります。192.168.10.3 が外部の、192.168.100.27 が内部のIPアドレスである。 内から外ヘは何でもOK、外から内へは Established パケットや ICMP に DNSの UDP/53 パケットなど許可している。pp1#ip pp intrusion detection in on もル−ルに加えると、 [INSPECT] のように Yamaha 実装の侵入検知機能が働く。RTX1000 で破棄したパケットの ログを取るには # syslog notice on とする。 $ /com/emt Password: RTX1000 BootROM Ver. 1.04 | > administrator Password: # show log 2004/04/01 14:13:08: PP[01] Rejected at IN(default) filter: TCP 192.168.10.3: 1917 > 192.168.100.27:80 2004/04/01 14:13:09: PP[01] Rejected at IN(default) filter: TCP 192.168.10.3: 1907 > 192.168.100.27:445 2004/04/01 14:13:09: PP[01] Rejected at IN(default) filter: TCP 192.168.10.3: 1911 > 192.168.100.27:139 2004/04/01 14:13:09: PP[01] Rejected at IN(default) filter: TCP 192.168.10.3: 1909 > 192.168.100.27:6129 | 2004/04/05 10:32:13: PP[01] Rejected at IN(default) filter: TCP 192.168.20.9: 4027 > 192.168.100.24:4899 2004/04/05 10:32:13: PP[01] Rejected at IN(default) filter: TCP 192.168.20.9: 4028 > 192.168.100.25:4899 2004/04/05 10:32:13: PP[01] Rejected at IN(default) filter: TCP 192.168.20.9: 4029 > 192.168.100.26:4899 2004/04/05 10:32:13: PP[01] Rejected at IN(default) filter: TCP 192.168.20.9: 4030 > 192.168.100.27:4899 | 2004/04/05 15:57:24: [INSPECT] TCP port scan 192.168.30.5 > 192.168.100.26 * インタ−ネット・ワ−ム事件のシミュレ−ション 1988年11月2日に起こった、最初の世界的なインタ−ネット上のウィルス事件であ る。当時の関係者には非常に有名な事件で、今日にも語り継がれている。このウィルスは 幾つかの方法で世界中のコンピュ−タに蔓延した。その一つは、sendmail の DEBUG コマ ンドのバグを利用したものだった。 このバグは sendmail.4.12 などにあった。検証しよ うと思い archie で探したがなかった。そこで実行中にシェルコマンドを実行できるプロ グラムであれば、telnet アクセスはできないものの、仕組みは同じだと考えた。 以下の 例は、mail コマンドの中でシェルコマンドを使って、ファイルを消去する例である。 % ls -al tt* -rwxr----- 1 katou file1 -rwxr----- 1 root file2 % /usr/ucb/mail katou << ユ−ザ katou でロッグイン。 ~!ls file1 file2 ~!/bin/rm file1 ディレクトリのパ−ミッションが甘いので、無理に消せれた。 ~!/bin/rm file2 ↓ rm: override protection 740 for f2? y % /usr/ucb/mail katou << ユ−ザ root でロッグイン。 ~!ls tt* file2 ~!rm file2 << 直ちに消える。 ! -------------------------------------------------------------------------------- だいたいデ−モンにポ−トがあいていれば、 telnet でアクセスできるというのが間違っ とる。デバッグやデ−モンのチェックに使うためだとかいうが、他の方法でチェックすれ ばいいのだ。telnet にそもそも、そんな機能を持たせることもおかしいと思う。 -------------------------------------------------------------------------------- * telnet セッションの盗聴 Solaris 2.5.1 に標準である snoop というコマンドで telnet 開始時のロッグインとパ スワ−ドを見ているところである。もしWWWホストのセキュリティが甘いと、このホス トに侵入し、snoop を仕掛けられる可能性がある。下の例は標準出力にセッションを出し ているが、ファイルにリダイレクトさせることもできる。バリアネット上を流れるパケッ トはWWWホストですべて把握できる。もし下記の telnet が外から内部ホストへの接続 だとしたら、もうこのネットワ−クはおしまいである。 WWWホストには snoop のよう な、他 tcpdump や etherfind プログラムを放置しないようにしなければならない。 # snoop -d le0 Using device /dev/le (promiscuous mode) << この promiscuous mode に注目。 | 192.10.200.1 -> hosta TELNET R port=10777 login: hosta -> 192.10.200.1 TELNET C port=10777 192.10.200.1 -> hosta TELNET R port=10777 hosta -> 192.10.200.1 TELNET C port=10777 hosta -> 192.10.200.1 TELNET C port=10777 k 192.10.200.1 -> hosta TELNET R port=10777 k hosta -> 192.10.200.1 TELNET C port=10777 a 192.10.200.1 -> hosta TELNET R port=10777 a hosta -> 192.10.200.1 TELNET C port=10777 hosta -> 192.10.200.1 TELNET C port=10777 t 192.10.200.1 -> hosta TELNET R port=10777 t hosta -> 192.10.200.1 TELNET C port=10777 hosta -> 192.10.200.1 TELNET C port=10777 o 192.10.200.1 -> hosta TELNET R port=10777 o hosta -> 192.10.200.1 TELNET C port=10777 hosta -> 192.10.200.1 TELNET C port=10777 192.10.200.1 -> hosta TELNET R port=10777 hosta -> 192.10.200.1 TELNET C port=10777 192.10.200.1 -> hosta TELNET R port=10777 Password: hosta -> 192.10.200.1 TELNET C port=10777 hosta -> 192.10.200.1 TELNET C port=10777 h 192.10.200.1 -> hosta TELNET R port=10777 hosta -> 192.10.200.1 TELNET C port=10777 e 192.10.200.1 -> hosta TELNET R port=10777 hosta -> 192.10.200.1 TELNET C port=10777 n 192.10.200.1 -> hosta TELNET R port=10777 hosta -> 192.10.200.1 TELNET C port=10777 o 192.10.200.1 -> hosta TELNET R port=10777 hosta -> 192.10.200.1 TELNET C port=10777 m 192.10.200.1 -> hosta TELNET R port=10777 hosta -> 192.10.200.1 TELNET C port=10777 o 192.10.200.1 -> hosta TELNET R port=10777 hosta -> 192.10.200.1 TELNET C port=10777 h 192.10.200.1 -> hosta TELNET R port=10777 hosta -> 192.10.200.1 TELNET C port=10777 e 192.10.200.1 -> hosta TELNET R port=10777 Last login: Mon May hosta -> 192.10.200.1 TELNET C port=10777 192.10.200.1 -> hosta TELNET R port=10777 SunOS Release 4.1.4- hosta -> 192.10.200.1 TELNET C port=10777 (5) ユ−ザ認証と暗号化のこと '96 -------------------------------------------------------------------------------- 暗号化の方法は DES が有名である。 しかしアメリカの輸出規制により、暗号化の鍵のコ −ド長さが、40ビット以下に制限されている。最近になって、EC分野での暗号化規制 が緩和された。この後、2000 年ぐらいまで段階的に128ビットまで緩和された。 -------------------------------------------------------------------------------- * パスワ−ド強化(ワンタイム・パスワ−ド) [ ソフトによる方法 ] フリ−ソフトの S/Key、ソフト名 key がある。 チャレンジ/レスポンス方式である。 S/Key は Bellcore の登録商標になっているので、OTP( One-Time Password ) と名 前を変えて拡張が施されている。OTP には NRL( Navel Research Laboratory ) 開発 の OPIE( One Time Password In Everything ) がある。ソフト名はopiekey, donkey である。OPIE の Windows 用には keyapp, wintop がある。 [ ハ−ドによる方法 ] a.チャレンジ/レスポンス方式: パスワ−ド管理しているホストにロッグインすると、チャレンジコ−ドを返す。これ を携帯認証器に入力すると、ロッグインできるワンタイム・パスワ−ドを表示する。 製品には、米Digital Pathway 社の SecureNet Key、SNK と略して呼ばれる。米エニ グマ・ロジック社の SafeWord。米CRYPTOCard 社の CRYPTOCard などがある。 b.タイムシンクロナス方式: 携帯認証器とパスワ−ド管理しているホストの認証サ−バが同期していて、一定時間 毎に、異なるパスワ−ドを携帯認証器が表示する。出張で国外に出てしまうと同期し なくなるという問題が最初の頃あった。同期時間の誤差は5分程度ということらしい。 製品には、米Security Dynamics 社の SecurID カ−ド。 カ−ドの液晶ディスプレイ にパスワ−ドが表示される。HHA( Handheld Autenticater )という暗号ロジックを使 用する。住友電工システム販売、サ−バソフトとカ−ド10枚で83万円。 * 電子メ−ルの暗号化 1. PEM( Privacy-Enhanced Electronic Mail ) 方式。TCP/IP の公式標準。 WIDE プロジ ェクトが作成した FJPEM がフリ−で利用できる。 最近では Windows 対応のソフトも 1万円ぐらいで出てきている。 FJPEM の場合、ボランティア・ベ−スの認証機関で認 証を受け暗号鍵をもらうことになっている。 2. PGP( Pretty Good Privacy ) 方式。RSA の特許に触れないように作ったらしいが、当 初問題になった。現在では特許問題も片付いたようで、日本でもフリ−の PGP 国際バ −ジョンが使える。これは商用利用も可能である。 認証機関が必要なく、どうも一番 広まっているようである。それに普通の電子メ−ルとも互換性があるらしい。 3. S/MIME( Security MIME ) 方式。認証機関は必要としない。Netscape Navigator の将 来のバ−ジョン Galileo にサポ−トされる予定になっている。Netscape の 2.0 から 入った Netscape Mail には、画面下に鍵マ−クがついている。 これは SSL で暗号化 できることを意味するが、どう機能するのか、また Galileo との関係は分からない。 4. KPS( Key Predistribution System ) 方式。国内で考案された暗号方式である。 東芝 情報システムが販売している CypherMail がある。 認証は、(株)アドバンスが行って いるとのことである。最近販売されたようである。その後、まるで聞くことはない。 -------------------------------------------------------------------------------- どうもまだ、これら暗号化の電子メ−ルは使えそうにない。認証機関がいるいらない、互 いに互換性がないなど不確定要素が多すぎる。電子メ−ルの暗号化の場合、WWWと違っ て相手の公開鍵が必要であり、難しい面がある。もう少し様子を見るか、すぐ使いたいな ら、やりとりする相手は限られるだろうから、同じ方式を相談して決めればいい。 -------------------------------------------------------------------------------- * telnet セッションの暗号化 WIDE プロジェクトの作成した PET( Privacy Enhanced Telnet ) がフリ−ソフトである。 DES で暗号化でき、RSA 暗号を利用した公開鍵証明書による認証もできる。セキュリティ レベルは5段階あり、サ−バとクライアント側双方からの指定もできる。 ftp://sh.wide.ad.jp/WIDE/free-ware/pet/pet-X.XX.tar.gz SSH(Secure SHell) というのも紹介しておかねば。97年ぐらいからあるようだ。パケッ トは認証デ−タも全部暗号化される。telnet の代わりに使える slogin がある。 他にも rsh 相当の ssh、ftp 相当の scp、 ファイルの同期(ミラ−リング)用に rsync がある。 アクセスポ−トは 22/TCP、認証はただのパスワ−ドと RSA 認証がある。SSH のクライア ントとしては Windows の Tera Term Pro 用のアドイン?で、シェアウェアのソフトがあ る。TCP/IP のポ−トの転送もできるということで、 これは外からファイアウォ−ル越し に POP サ−バにアクセスする場合に有効らしい。雑誌でよく紹介されている。telnet 認 証を OTP でやるより便利だということで結構広まっているとのことだ。'99/09 追記。 * ル−タのデ−タの暗号化 -------------------------------------------------------------------------------- ル−タがIPパケットのデ−タを暗号化する。セキュリティル−タと呼ばれる。同じル− タ同士か、同じ暗号化処理、認証方式でないとだめである。まだまだ一般的ではない。そ の後 IPSec による認証、暗号化が一般的となり、また特殊な技術でもなくなり、 安価な ル−タにも IPSecが実装されていった。以下に挙げたル−タはほとんど姿を消していった。 -------------------------------------------------------------------------------- NTT BL-3000 > NTTが開発した国産暗号アルゴリズム、FEAL( Fast data Encipherment Algorithm ) と RSA の 512bit を併用。公開鍵と秘密鍵の組み合わせ。 セキュリティル−タSRシリ−ズ > 独自開発の暗号アルゴリズム NSC1( Network Systems Cypher one ) を搭載する。米ネ ットワ−クシステムズ社。MD5 でデ−タの改竄を防止。認証の RSA もある。 The Security Router > DPF 暗号化、デ−タ圧縮機能。(株)ヒュ−コム扱い。米NSC社の先進的ファイアウォ −ル・ル−ティング機能のパケットコントロ−ル・ファシリティ(PFC)が入っている。 他、Livingston Enterprise,Inc. 開発の FireWall IRX Router。 Soliton Systems 社開 発の NE-Secure Security Router など96年当時、幾つかの製品があった。 * WWWのデ−タの暗号化 SSL( Secure Socket Layer) > 1996年時点、Netscape Commerce Server と Netscape Navigatorの組み合わせが有 効である。TCP/IP とアプリケ−ションの間に SSL というプロトコルの層を作り、ここ で暗号化や認証を行う。WWWでは HTTP は HTTPS というプロトコルを使う。HTTPSは TCP/443ポ−トを使うことが取り決められている。HTTP 以外にも SSL は適用できる。 Secure HTTP > 略して SHTTP と呼ばれる。Secure NCSA httpd と NCSA Mosaic の組み合わせで使われ る。HTTP の上位互換プロトコルでセキュリティ機能が拡張されている。 しかし、その 後ほとんど広まることはなかった。EIT( Enterprise Integration Technologies )が開 発した。Mosaic も Netscape や Internet Explorer の出現で自然消滅して行った。 * 他暗号化のソフト AsgentIt! http://www.asgent.co.jp/ > Windows パソコンの個々のファイル、ディレクトリ単位でのファイルを暗号化するフリ −ソフトソフトである。(株)アズジェンド開発。'98/07/13 から配布している。ユ−ザ 登録の上ダウンロ−ドする。Windows 95/98, NT4.0+SP3 以上。有償サポ−ト 100 ユ− ザ分 28 万円/年。フォ−バル クリエ−ティブの杉本隆洋氏が社長の会社。AsgentIt! やセキュリティのメ−リングリストもある。Weekly セミナ−で NOKIA IP Security シ リ−ズ、WebTrends Firewall Suite、WebTrends Web 分析ツ−ルの紹介などあり。 他、少し気になっているのが Page Vault というやつ。(株)ディアイティ扱いで、PDF フ ァイルのセキュリティを確保するソフト?らしい。どんなものかはよく知らない。最近こ の Page Vault という名前が雑誌に登場する。この手の個々のファイルを暗号化するソフ トは、どうも結構出ているようだ。最後に Windows 2000 も掲げておこう、IPSec 対応だ。 * S/MIME 電子メ−ルの暗号化/復号化 `22/09 A B BがAから暗号化メ−ルをも ---------- Bの公開鍵(Bk) ------- Bの秘密鍵(Bh) らうには。BさんはAさんに | Ah Bk | ---------------> | Bh | でメ−ル復号化 あらかじめ、Bの公開鍵(Bk) | Ak | でメ−ル暗号化 | Bk | を渡しておく。即ち、Bのデ ---------- ------- ジタルIDをAに渡しておく。 実際はもう少し複雑な処理をしている。Aでは S/MIME の処理で共通鍵を作る。この共通 鍵でメ−ル本文を暗号化する。その共通鍵をBの公開鍵で暗号化し、メ−ルの一部として 一緒にBに送る。Bは受け取ったメ−ルを、Bの秘密鍵で公開鍵を復号化する。この公開 鍵で本文を復号化する。PGP の暗号化メ−ルでは、単に公開鍵と秘密鍵を使うのみである。