24-7. 未来へ繋ぐイントラネット構築 `2e/05〜 (1) セキュリティ対策はより深く `2e/05〜 * 頑張って対策を検討し対策を 社内のネットワ−ク管理者あるいはパソコンの管理者でも、ボット、標的型攻撃に対抗す る手段としてサンドボックスを検討すべきである。まだサンドボックス製品の仕組みはや や不明なところがあったりするが、それも含めての検討を始めるべきである。ボットに対 抗できる手段は実質サンドボックスしかない訳だから。今の時点でサンドボックスはよく 分からんとか他人ごとのように思っているのなら、あまりにも鈍感というべきだろう。セ キュリティ意識が欠如している。しかしそんなところが会社では普通なのだろう。 先ずは足元を見直してみる。現状のセキュリティ対策は大丈夫か。導入したセキュリティ 対策装置はどんな具合か。ファイアウォ−ルだけの機能でUTMの FortiGateを稼働させ ている。メ−ルのウィルスとスパムチェックに FortiMail。外部サイトへのアクセスには InterScan のWebレピュテ−ションでチェック。 侵入防御装置も FortiGate の上に設 置している。DMZ上の会社のホ−ムペ−ジのWWWサ−バは、IPSでどれぐらい攻撃 を防ぐことができるのか、これは導入当初から瞹昧といえば瞹昧である。 一応これらで入口、出口の対策をやっていることになる。 いろいろな攻撃が次から次ヘと出て来るが、適切にファイアウォ−ルやIPSを設定して 設置がされていれば、多くは防ぐことができるはずである。しかし攻撃の具体的な仕組み を知らないとダメである。その仕組みを理解できれば、どう対処すればいいのか分かって くるはずである。例えば2014年6月に明らかになった OpenSSL脆弱性は攻撃にIPス プ−フィングを使っているという。ならばIPSにある機能で防御できるのでないかと思 い調べてみる。結構細かい動作まで理解が必要だが、そうしたアプロ−チもあるという話。 IEの脆弱性、サイトを見ただけで感染する。INTEROP の展示ブ−スでこの攻撃について フレ−ム0攻撃と解説していた。フレ−ム攻撃は古典的な攻撃である。DefenseProが一番 よく検知するのがこれ。添付ファイルに新種のマルウェアが埋め込まれる。クリックして も普通に PDF ファイルや Excel のファイルなんかが開くだけだが、バックで感染してい る。どうやってマルウェアを埋め込むのかちょっと理解できない。ウィルスを記述したフ ァイルを、元の添付ファイルに追加するだけ、そんな単純なことでないと思うが。 * OpenSSL の脆弱性について オ−プンソ−スの OpenSSL に脆弱性があり、 デジタル証明書の秘密鍵や顧客のアカウン トが盗み取られる事件が起きた。OpenSSL のあるバ−ジョン間のが問題だが、それ以外の バ−ジョンは問題ないのか。Fortinet、ソフトバンク、CTCからも警告のメ−ルが来た が、内容は同じようなアナウンスばかり。ともかく問題があるので早急に対策すべしと。 OpenSSL の脆弱性とは。心臓出血(Heartbleed) という名前で呼ばれる。 Heartbeat 機能 を実装したプログラムに問題があった。先ずは OpenSSL 1.0.1 バ−ジョンで 2012/03/14 にリリ−スされた。その後のリリ−スでも問題を含んだプログラムはそのままあった。問 題は2014年4月に発覚して、すぐにバグは修正された。6月にもまたバグが発覚した。 4月のバグの騒動について、OpenSSLの脆弱性の解説が雑誌「Software Design」6月号に 出た。SSL 通信、つまり HTTPS は TCP パケットを使う。 TCP は遅いので、速い UDP で やることにした。そこにバグが生じた。UDP はパケットのやり取りの状態をチェックしな いことで速い通信ができる。そこでやり取りをちゃんとチェックする機能を付加した。 クライアントとサ−バが UDP でもちゃんと通信を維持するために、 一定間隔でパケット をやりとりする。アプライアンスのHA構成などで死活チェックをすることを Heartbeat というが、同じようにこちらでも呼ぶ。Heartbeat と Heartbleed という似た様な用語で 説明されているので混乱させられた。 Heartbleed は被害が甚大であると言うことで使わ れたようである。WWWサ−バである Apache の HTTPS 部が OpenSSL を使っている。 Heartbeat の UDP パケットが HTTPS サ−バにアクセスし、メモリの中にある情報を吸い 取ってしまう。64 Kbyte 分のメモリ情報を使うといっておきながら 1 Kbyte しか使わな い。残り 63 Kbyte の中に秘密鍵やユ−ザが入力したIDやパスワ−ドがあれば吸われて しまう。メモリの状態は変化するし暗号化されているが秘密鍵で復号化できてしまう。 TLS/SSL は TCP/IP の暗号化プロトコルで昔からあるものである。UDP のための TLS相当 のプロトコルは DTLS という。Heartbeat 機能は DTLS のために提案された。調べてみた ら Cisco の SSL-VPN 製品がこの機能を実装していた。Cisco AnyConnect VPN Client に 関するFAQに書かれていた、Secure Socket Layer(SSL)プロトコルと Datagram TLS(DTLS) プロトコルを使用してうんたら。DTLS Port は 443、Windows 2000 から DTLS はあり。 ファイアウォ−ルではインタ−ネット側からDMZのWWWサ−バには、HTTPS アクセス するため 443/TCP を通すように設定する。意図的に 443/UDP を通す設定なんかはしない。 つまり、攻撃を受けた所のファイアウォ−ルはほとんどザル状態だったと証明したような ものである。ファイアウォ−ルを適切に設定していれば、どうってこと無かったというこ とである。こうした説明は問題が発覚してからまるでなかった、その方が問題だと思う。 OpenSSL 脆弱性がまた発見された。IPAのアナウンス 2014/06/06。 サ−バとクライア ントが対象。中間者攻撃といってIPスプ−フィング、ARPスプ−フィング、DNS偽 装などのテクニックで通信に割込み、パケットを盗聴したり改竄する。ケビンミトニック が1994年末にアメリカの大学のコンピュ−タセンタ−に侵入し、FBIに逮捕された。 この時の攻撃手法がこの中間者攻撃と思われる。高度な方法のため簡単には追従できない。 [ 各メ−カからのアナウンス ] Fortinet 社の製品については購入した2つのSI業者から、OpenSSL脆弱性ヘの対応の状 況を記したメ−ルが2014年4月14日と15日に来ていた、FortiOS 5.0 Patch7で対 応の IPS シグネチャありと。英文レポ−トは 2014/04/08 に出ていた。http://www.fort iguard.com/advisory/FG-IR-14-011/、 FortiGuard Center Threat Research & Response、 "Information Disclosure Vulnerability in Open SSL (Heartbleed)"。OpenSSLの脆弱性 は FortiOS version 5.0.7 で解決。FortiOS 4.3(4.0MR3) とそれ以下は影響を受けない。 ラドウェアの http://www.radware.co.jp/ のプレスリリ−ス。2014/04/15 "OpenSSLの脆 弱性「heartbleed」バグに関するお知らせ"、 これに本体自体が大丈夫か英文ドキュメン トのことリンクされている。DefensePro や LinkProof は脆弱性はないとある。 OpenSSL の脆弱性をブロックするための複数のシグネチャ−を提供している。IEの脆弱性につい てはコメントはなかった。ラドウェアには DefenseSSL という製品もあるらしい、英文の レポ−トを見ていて出ていた、他にもいろんな製品が出ているが国内では扱われてない。 OpenSSL脆弱性をつく攻撃を防御する英文のレポ−トもリンクを辿るとあった。"Security Advisory: OpenSSL Vulnerability(CVE-2014-0160) April 2014"。攻撃から守るシグネチ ャは "RWID:16382 - ID-OpenSSL-Heartbeat-ex1" という signature fileに含まれている。 この file は 2014/04/14 にリリ−スの予定、バ−ジョンは 0009.0245.00。 直ちに対策 をしたければレポ−トに記載されていた数十行のコマンド列を入れることとあった。これ で社内のDMZ上のWebサ−バは、この件に関しては守ることができるということ。 * IPスプ−フィングのことで IPスプ−フィングには2つの意味がある。一般的なファイアウォ−ルや ADSL モデムな んかにも入っているのは、外から来るパケットはDMZや内部ネットワ−クからのIPア ドレスであるはずがないというもの。装置にこれらのIPアドレスを記載しておけばチェ ックができるという寸法である。もう1つはケビンミトニックがかつてやった奴。外から 来るパケットだが、それが偽装されているという。これはどうやったら見抜くことができ るのか。2014年6月に明らかになった OpenSSL脆弱性ヘの攻撃は、ケビンの方のIP スプ−フィングだと思う。DefensePro の振る舞い検知(Behavior DoS) で防御できるので ないかとSI業者に問い合わせてみたが、その機能はないとのことだった。 Barracuda の製品カタログ2014年4月版で。Barracuda NextG Fierwall次世代型の統 合セキュリティ。包括的な IDS/IPS 内臓。 WAN最適化、Webセキュリティ、スパム フィルタはモデルによって搭載。ファイアウォ−ルの仕様は DoS/DDoS 攻撃の防御、スプ −フィングとフラッディングの防御、ARP スプ−フィングとトラッシングの防御。トラフ ィックの最適化の仕様はソ−スベ−スのル−ティング。インフラサ−ビスの仕様はIPマッ ピングに対する透過的なユ−ザ向けの Windows Active Directory エ−ジェント、SMTPゲ −トウェイとスパムフィルタ、モデルにより Wi-Fi(802.11n)アクセスポイント対応、SIP /HTTP/SSH/FTP プロキシ。この製品だったら6月の OpenSSL 脆弱性は防げたのだろうか。 * UTMにIPS機能を入れるまでは 改めて侵入防御装置は何ができるのか。今一度そのこと確認しなければならないと思って いる。ひょっとしてもう FortiGate のIPS機能でいいのでないか。 IPS専用メ−カ Radware 社の製品でないといけないということは昨今なくなってきているのでないか。そ んな気がする。DefensePro の保守費用は結構高い。 幾つもこうしたセキュリティ装置が あると結局、運用するのも手薄になってしまう。現実的な運用はIPSは誤検知が起きな い程度に、基本的な防御機能だけを利用する。そういうことに落ち着くのでないか。そう なるとますます FortiGate のIPS機能で構わないとなる。DefensePro は侵入防御機能 と DDoS 対策機能があるが、最近の導入事例はほとんど DDoS 対策用のみとの話も聞いた。 / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\ 手持ちの駒はIPS専用装置の DefensePro 1台、 \_____________/ IPS機能のライセンスがある FortiGate-80C1 : | : 台。FireWall 用のFortiGateはIPSのライセン :SMTP □DNS2次 :HTTP スはない、これから追加するかどうか検討する。 :DNS :HTTPS --------------- ----------- DefenseProと FortiGate-80C、どこに配置すれば | | 有効的か。しかしFortiGate-80C はあくまでもテ B■ ■C スト利用である、使っても一時的な設置とする。 VPN WWW | | □ □ -----------FireWall A,B の設置はWWWとSSL-VPNへの外からの攻撃を防 | | A |WAN1 WAN2| ぐためだが、マルウェアに感染したり WWWが乗っ --------■--|DMZ | 取られる事はそんなに心配しなくてもいいだろう。 | LAN | ----------- CにDefenseProを設置。社内から外へのWWWアクセ △ △PC | Proxy□ スを保護。 ブラウザのフレ−ム0攻撃なんかに対 | | | | 処できる。FortiGate はこの攻撃に対処できるか ------------------------------ 確認できてない。確実に効果が上がる配置だ。 * 社内ネットワ−クをよりセキュアに `2e/06/E << グッドなプランとは言えないけど >> Fortinet社の製品をフルに使ってセキュリティ対策環境を整備するという絵を描いてみた。 内からも外からも、どこから攻撃されても大丈夫なように。 大前提として FortiGate の IPSがちゃんと機能するなら。ゲ−トウェイのファイアウォ−ルに設置の FortiGateで IPSのライセンスを追加して稼働させる。ボット対策に Fortinet 社のサンドボックス 製品も導入する。問題はこれらIPSとサンドボックスをちゃんと設定して、実運用にお いても面倒みてくれるSI業者がいるかどうか。 ファイアウォ−ルの FortiGate を設置 したSI業者は、 まだまるでノウハウがないみたいである。 しかしこれからノウハウを 積んでもらおう。説得して予算を確保して実際に物を導入するまでには半年、それ以上か かる。その間にSI業者さんには設置設定できるように勉強しておいてもらおうでないか。 □DNS2次 □メ−ル メ−ルサ−バはクラウドのを利用することに。ス | |サ−ビス パムとウィルスチェックもやってもらう。それで / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\ もすり抜けたメ−ルを FortiMailで検知し止める。 \______________/ :DNS HTTP :SMTP DDoS攻撃はどうする?。FortiGate のポリシ−ル A : HTTPS:POP3 −ティングで手動で対処するか。回線Bがおかし ---------------- ------------ くなった場合、A回線に誘導するしかできないが。 | | B DNS VPN WWW | | FW はゲ−トウェイの FireWallとしてのUTMで □ □ □ ------------FW FortiGate。FM は FortiMailで透過型で設置する。 | | | |WAN1 WAN2| U1,U2 は部門用UTMで FortiGate で透過設置。 ------------|DMZ | | LAN | FW,U1,U2 ではIPSとサンドボックス利用。 FW ------------ では WAN1->DMZ と LAN ->WAN にIPS機能使用。 | FortiMail はメ−ルでのサンドボックス利用。 FS□ FA□ FM□ Proxy□ | | | | FS は FortiSandbox、FA は FortiAnalyzer。 FA -------------------------------- で Fortinet 製品を監視。Proxy は IWSS でプロ | | キシとWebレピュテ−ションをやる。 U1□ □U2 | | 工場の製造ラインなんかにも FortiGateをかます。 --------- --------- どうしても 組込型 Windows とか Windows XP や 製造部門 海外拠点 Windows 2000 が残ってしまう部署とか。 (2) サンドボックスでよりセキュアに `2e/06〜 -------------------------------------------------------------------------------- FortiGate があってIPSのライセンスも有れば、Fortinet社のサンドボックスの装置を 買わなくても、クラウドのサ−ビスを使ってサンドボックスなるものを試すことができる。 -------------------------------------------------------------------------------- * FortiGate の最新版で試してみる 手元に置いてある FortiGate-80C。このファ−ムウェアを最新にアップしてみる。現状の ファ−ムウェアは v4.0,build0535,120511 (MR3 Patch 7) だった。 SI業者のサポ−ト のサイトからファ−ムウェアをパソコンに先ずダウンロ−ドする。装置のシリアル番号と ユ−ザ登録したパスワ−ドを入れてダウンロ−ドできる場所に入って。FortiGate-80C で は "Fortinet OS 5.0.7 Upgrade" が最新だった。このバ−ジョンは OpenSSL の脆弱性対 策ができている。FortiGate の [システム]->[ダッシュボ−ド]->[Status] の Dashboard 画面のメニュ−で、パソコンにダウンロ−ドしてきたファ−ムウェアを[アップデ−ト]し て入れる。1分位で入ってしまった。本体には数十秒アクセスができなくなっただけ。 * その前に先ずはIPSを使えるよう FortiGate-80C が手元にテスト機としてある。[システム]->[ダッシュボ−ド]->[Status] を見たら "サポ−ト契約 Registration 接続不可" となっていた。80C は透過型で設置し た。管理用のIPアドレスがファイアウォ−ルのル−ルに入ってなくてパケットが止めら れていた。INTERNAL->WAN へこのIPアドレスを HTTP を通すようにした。すぐにサポ− ト契約が有効になった。他、ライセンス情報の"サポ−ト契約" と "FortiGuardサ−ビス" 全部の項目で有効になった。CLI 画面で特にコマンドを打ったということはない。 [システム]->[設定]->[FortiGuard] -------------------------------------------------------------------------------- | サポ−ト契約 | | | FortiGuard サブスクリプション サ−バ− | | Next Generation FireWall | IPS & アプリケ−ション | コントロ−ル 有効なライセンス (有効期限 2014-09-23) | IPS定義 4.00345(更新済み 2013-05-23 via 手動による更新)[アップデ−ト] | IPSエンジン 2.00179(更新済み 2014-01-15 via 手動による更新) | | | | ▼AV & IPS ダウンロ−ドオプション | □プッシュ型アップデ−トを有効にします(X) | □PUSHサ−バ−を手動で設定する[0.0.0.0 ] ポ−ト[9443] << これら灰色。 | [アップデ−トの実行] | 〆定期更新 ◎毎日:[1 ▼](時/時間) になっていた。 | ファ−ムウェアをアップしただけ、この時点で [セキュリティプロファイル]->[侵入プロ テクション]->[IPSセンサ] と [IPSシグネチャ] に OpenSSL.TLS.Heartbeat.Information .Disclosure はなかった。上の画面の [アップデ−トの実行] をやったら[IPSセンサ] の 該当するシグネチャの [Show all 3632] の中にあった。[IPSシグネチャ]にもあった。後 先になるが OpenSSL.TLS というのが、FortiGate のIPS機能での OpenSSL の脆弱性を 止めるシグネチャである。FortiOS 5.0 Patch7 に入ったものである。 [セキュリティプロファイル]->[侵入プロテクション]->[IPSセンサ] ---------------------------------------------------------- ファ−ムウェアを | IPSセンサ−を編集 アップしただちの |---------------------------------------------------------- 際に下の 3617 は | 名前 [default ] 3632だったと自分 | コメント [prevent_critical_attacks ▽] 24/255 で書き留めていた。 | ↓ | ------------------------------------------------------------------------------ | | 重要赤 タ−ゲット OS アクション パケットロ 該当するシグネチャ | |----------------------------------------------------------------------------- | | High,Critical すべて すべて デフォルト (X) 3Com.3CDaemon.FTP.xx | | [Show all 3617] | ------------------------------------------------------------------------------ [セキュリティプロファイル]->[侵入プロテクション]->[IPSシグネチャ] をみた、アルフ ァベットの順番に並んでいる個々のシグネチャで、OpenSSL.TLS.Heartbeat.Information. Disclosure を探して仕様を書き出してみた。 重要赤:5つ、タ−ゲット:サ−バ−、クラ イアント、OS: All、アクション: 双方向に転送。 これらのシグネチャは編集も削除も できない。ある日見た時 [IPSシグネチャ] には 4972個のシグネチャがあった。日を置い てみるとシグネチャの数は増えていた。 ここら辺りの画面の様子は "18-6.FortiGate と FortiAnalyzer" の時とだいぶメニュ−が違っている。 ------------------------------------------------------------- [Show all 3617 ] | OpenSSL.TLS.Heartbeat.Information.Disclosure × | をクリックして表 |-----------------------------------------------------------| 示されたリストの | Severity: ■■■■■ Reference:VID-38307 | 中から OpenSSL.T | | LS.xx をクリック | Affcted Products: OpenSSL 1.01 and 1.02 | したところ。脆弱 | | 性の説明に対処方 | Impact:Information Disclosure: Remote attackers | 法が書かれている。 | can gain sensitive information from vulnerable systems. | | | | Recommended Actions: Apply the most recent upgrade or | | patch from the vendor. | | https://www.openssl.org/news/secadv_20140407.txt | ------------------------------------------------------------- * サンドボックスを使えるように挑戦 [システム]->[ダッシュボ−ド]->[Status] --------------------------------- ---------------------------------------------- | ▼ライセンス情報 | | FortiCloudをアクティベ−ト | |-------------------------------| |--------------------------------------------| | サポ−ト契約 | | Login or Create a FortiCloud account below.| | | | | Account: ○ログイン ◎アカウント作成 | | FortiGuardサ−ビス | | | | | | | Email: [ ] | | FortiCloud 緑色 | | Emailを再入力: [ ] | | アカウント [アクティベ−ト] | | Password: [ ] | | | ↑ | | Passwordを再入力:[ ] | | クリックしたら | | | | SMS 右の画面が出た | | □FortiCloud Terms & Conditionsに同意します| | | | | [表示する] | --------------------------------- ---------------------------------------------- [システム]->[設定]->[FortiSandbox] --------------------------------------------------- | Sandbox設定 | | ------------------------------------------------| | 〆Sandboxインスペクションを有効 | | ◎FortiSandboxアプライアンス | | IPアドレス [0.0.0.0 ][接続をテスト] | | Email通知 [ ] | | ○クラウドSandbox << ここの丸、今時点ではチェックできない。 FortiCloud | (FortiCloud) | にまだ登録してないから?。 --------------------------------------------------- [セキュリティプロファイル]->[アンチウィルス]->[プロファイル] この項目を出す ---------------------------------------------------------------- には[システム] | アンチウィルスプロファイル編集 | ->[設定]-> [フ |--------------------------------------------------------------| ィ−チャ−] で | 検査モ−ド ◎プロキシ ○フロ−ベ−ス | アンチウィルス | | をONにすること。 | 〆インスペクションのためにファイルをFortiGuard Sandboxへ送る | | ◎疑いのあるファイルのみ (FortiCloudアカウントが必要) | | ○すべてのファイル | | □Botnetサ−バ−へのコネクションをブロック | | | | ------------------------------------------- | | | プロトコル | ウィルススキャンと除去 | | | |----------------|------------------------| | | | Web | | | | | HTTP | 〆 | | | |----------------|------------------------| | | | Email | | | | | SMTP | 〆 | | | | POP3 | 〆 | | | | IMAP | 〆 | | | MAPI | □ | とりあえず関係しそうなメニュ | |----------------|------------------------| −の所を書いてみた。何がしか | | ファイル転送 | | 登録しないといけないみたいだ。 | | FTP | 〆 | それでこれからどうすればいい | |----------------|------------------------| のか。ともかくFortiCloudが利 | | IM | | 用できるよう登録して、怪しい | | ICQ,Yahoo,MSN | 〆 | ウィルスをクラウドのセンタ− | | Messenger | | に送り判定してもらうという話。 | ------------------------------------------- | ---------------------------------------------------------------- ここは `2f/07/s に見直してみた。FortiGate-80C を久しぶりに稼働して装置の状態を見 た。ファ−ムウェアは v5.0,build0310(GA Patch 11)、OS 5.0.11。 FortiGuardサ−ビス のところが全部、未登録になっていた。Next Generation Firewall(IPS&アプリケ−シ ョンコントロ−ル)、ATPサ−ビス(アンチウィルス)、その他のサ−ビス(脆弱性スキャン)。 確か前はこれら有効になっていたのでないか。保守契約はオプションもフルにしているの だが、更にこんなおかしな契約もしないといけない訳?。どうもよく分からん。 * Fortinet 社のサンドボックス対応 メ−ルでは FortiMail 5.2 でサンドボックス対応する、 2014年7〜8月にかけてリリ−ス 予定。怪しいメ−ルはアプライアンスの FortiSandbox に送り、そこで最短?3分で解析 する。その間は FortiMail 内にメ−ルはお預けしておく。管理者に結果を報告する。 多 分、その報告のメ−ルを見て、怪しいメ−ルを解放するか破棄するか管理者が操作するの だろう。怪しかったのは特徴などを Fortinet のセンタ−に送る。センタ−ではそれを元 に FortiSandbox 用のシグネチャを作る。サンドボックスで処理するよりシグネチャでパ タ−ンマチングする方が速い処理ができる。4〜5時間ぐらいでシグネチャが作られて配 信される。FortiMail でサンドボックス処理するには FortiSandbox が必要である。 2013/05/14 入手の "FortiOS 5.0 の紹介" という資料で、FortiGate に FortiOS 5.0 で サンドボックス機能が入ったと書かれている。標的型攻撃対策にロ−カル・サンドボック スとクラウド・サンドボックスがある。ロ−カル・サンドボックスはライトウェイト仮想 マシンエミュレ−タといって、 OSに依存しないところの Java Script, Flash, PDF 等 をチェックする装置。 クラウド・サンドボックスでは Windows/Mac/Linux OSも対応し フル仮想マシンエミュレ−タと言っている。クラウド・サンドボックスは Fortinet のセ ンタ−のこと。2014年5月のセミナ−では、ロ−カル・サンドボックスもできること は一緒、Windows OSを仮想的に実行する。昨年から仕様が変わったようである。 * 気休めかも知れないが検討し対策を `2e/11/s FortiSandbox がボットを判定する時間のこと。 前に聞いた話では最低3分とか言ってい た。最低3分で長ければ数時間とか。「日経コミュニケ−ション」2014/11 号の真ん中の ペ−ジ辺りに、サンドボックスの判定には30秒から3分程度の時間がかかる、と書かれ てあった。だいぶこれはニュアンスが違う。ほぼ3分で判定ができるのなら、メ−ル配送 を待たせることも検討範囲になるではないか。記事を読み進めたら、そのようなことが書 かれていた。添付ファイル付きのメ−ルは3分ぐらい配送を待ってもらう。マルウェアは 電子メ−ルに添付する方式、FortiMail で一時的にブロック、FortiSandboxに送りチェッ ク。未知のマルウェアと判断したらクラウド上にある FortiGuard ラボに知らせ、シグネ チャを作ってもらう、できたシグネチャは4、5時間で社内の FortiGate、FortiMail に 配信される。次回同じボットが来たらこのシグネチャで検知ができることになる。 * Fortinet 社のサンドボックス機能を試す環境 `2f/04/e サンドボックスで検知されるボットの類はメ−ルが70から80%を占めるという話を聞 いた。とりあえずボット対策はメ−ルに絞っていいかと思う。ホ−ムペ−ジの閲覧ではボ ット検知のための時間、社内のユ−ザを待たせる訳には行かない。予備機のメ−ルストア FortiMail-200D をスタンバイさせよう。ボット検知用の餌とするメ−ルは、 自分の個人 用のメ−ルアドレスとしてみる。毎日迷惑メ−ルが十通ぐらいやってくる。会社宛にはあ まり来ない。これまでは個人宛メ−ルは迷惑メ−ルの状況を見るため、会社宛のメ−ルア ドレスに転送している。これを別なメ−ルアドレスにして本番機で受け、予備機に送るよ うにする。このメ−ルなら Fortinet 社のクラウドサ−バに送られても問題ない。とりあ えずこれで FortiSandbox がなくても Fortinet 社のサンドボックス機能は試せるだろう。 (3) 今や気休めのセキュリティ対策 `2e/11/E * POODLE 問題について SSL 3.0 の脆弱性の問題を例に。DMZにあるWebサ−バやVPN装置が攻撃対象にな る。Webサ−バの Apache では SSL 3.0 を扱わないようにするか、 SSL 3.0 を無効に するか。SSL 3.0 というのは HTTPS での暗号化通信のプロトコルであり、 15年ぐらい 前にできたものである。 その後 TLS というのができてバ−ジョンアップされてきている。 今日では大方の場合、先ず TLS を使うようにクライアントとサ−バでやりとりする。 相 手が TLS をサポ−トしてない場合に SSL 3.0 を使うようにするという動作になっている。 SSL 3.0 の脆弱性では、悪意のあるアクセスで TLS 通信しようとしているところ、 何ら かの妨害をして SSL 3.0 通信にしてしまう。 それで侵入などの不正アクセスをするとい う。TLS を SSL 3.0 にならないように Apache のパッチではできる。TLS_FALLBACK_SCSV を有効にするパッチで、SSL 3.0 を扱わないようにするやり方である。 ここでは Apache は解決済みでVPN装置の対処をどうするか検討することに。 ファイアウォ−ルのUTMで SSL 3.0 のパケットを止めることができないか。FortiGate では [ファイアウォ−ル]->[サ−ビス] には "HTTPS TCP/443" があるだけ。 HTTPS の中 の何という指定するところはない。これまで気に留めもしなかったが、こんなこともファ イアウォ−ルはできなかったか。UTMは FortiGate で v4.0 の MR2、 いやバ−ジョン は関係ない。ネットを調べて FortiGate のIPS機能でできそうだと分かった。 IPS のライセンスを購入してないとIPS機能は動かないと漠然と思っていた。定義済みのシ グネチャが更新、追加がないだけでIPSは使える。ファイアウォ−ルでIPSの制御が やれれば有難い。専用IPS機では一括、一網打尽という感じだがUTMなら細かなル− ルの記述ができるし、ログも見て動作を確認することができる。 VPN装置は暗号化の様子が不明なのもあり SSL 3.0 パケットが来ないように。 色々できそうなことを考え検討しアプロ−チをしてみる。IPSで攻撃を含んだ SSL 3.0 パケットを止める、あるいは全 SSL 3.0 パケットを止める。 インタ−ネットのチェック サイトで、自社のWebサ−バや該当装置を検査してみる。HTTPS サ−バにアクセスする クライアントのコマンド openssl や nmap で検査してみる。 SSL-VPN 装置を扱っている SI業者に尋ねてみる。購入した先とか保守契約とか。保守契約でときたまメ−ルが来る のを見直す。脆弱性についてアナウンスがされていたかも知れない。あるSI業者に問い 合わせたところ、扱う SSL-VPN 装置では特別な条件下でないと危険にはならないと。 そ れで問い合わせがあった人のみに対処方法を回答していると返事があった。保守切れした SSL-VPN 装置の国産の認証装置のメ−カにも問い合わせたが、さすがに返事はなかった。 ※SSL 3.0 というのを何度も使うので短く SSL3 とも言うことにする。 * 動作確認のテスト環境と方法 UTMで SSL3 パケットが止められるのを確認するのはどうすればいいか。実際の使用に 影響がでないように、社内のPCからVPN装置へのアクセスでテストする。そのために UTMで LAN->DMZ へ SSL3 を通さないようにする。LAN では自分のパソコンのIPアド レスを指定、DMZ はVPN装置ZのIPアドレスを。VPN装置ヘのアクセスは管理者が 設定するための https://xxx。ユ−ザが利用するための https://xxx でアクセス、 ある いはパソコンに入れた専用ソフトがある。https://xxx はIEブラウザだがどの暗号化プ ロトコルを使うか選択できる。専用ソフトは暗号化の仕様はブラックボックスで SSL-VPN 装置などのメ−カが作り込んでいる訳でブラウザの挙動と同じとは限らない。以上の道具 を用いて暗号化パケットの挙動を綿密に調べていく。かなり神経を使う作業だった。 VPN装置のZ□仮想IP IEブラウザは[ツ−ル]->[インタ−ネット オプション] |1.1 ->[詳細設定] はこうなっていた。□SSL2.0使用、〆SSL3 ----------------------- .0使用、 〆TLS1.0使用、 □TLS1.1使用、 □TLS1.2使用。 | ■SSL3とTLS それを SSL 3.0 だけ使用するように変更してテスト実施。 ------- |2.1 | UTM |----------- DMZ UTMの FortiGate で LAN->DMZ へは SSL3 を通さない。 ------- △IE9 SSL3 | PC|3.1 だけ VPN装置はW,X,Y,Zとある。専用ソフトはWとZに ---------------------- LAN ある。Zは SSL-VPN 装置でまだ本番稼働はさせていない。 PCの IE で https://2.1 で個人用の WorkPlace 画面にアクセス、UTMで SSL3 を止め たログが出た、装置Zで TLS だけにしたらログは出なかった。 装置Zのパソコンの専用 ソフトでは SSL-VPN接続できて利用できたが、切断は中途になりソフトのアイコンが反応 しなくなってしまった。仕方ないのでパソコンを再起動するか、ロ−カルエリア接続をい ったん無効にしまた有効にしたら反応するようになった。UTMで SSL3 をIPS機能で 止めなくしたらすんなり切断した。あるいは装置Zで TLSだけ有効にしたらすんなり行っ た。装置Zとパソコンの専用ソフトでは SSL 3.0 が絡むと、TLSとの扱いでどうもすんな りいかない所があるみたいである。接続でもすんなりいけば8秒位、そうでないと20秒 位かかった。装置Zは設定で TLS だけにできるので、実際の運用はそれでやればいい。 * DMZ上のサ−バの HTTPS 状態を調べる インタ−ネット上に幾つかチェックサイトができている。だいたい Apache などで作った サイトの SSL と TLS の設定状態を調べてくれるものである。ドメイン名を記入してチェ ックするようになっているのが多い。ここでは幾つかあるVPN装置をチェックしてみた い、DNSにはドメイン名は記載してなくて、だいたいIPアドレスでアクセスするよう にしている。Tinfoil というチェックサイトがこのチェックに使えそうだった。UTMで SSL3 パケットを止めてみた。 Tinfoil の結果はVPN装置でも Apache サ−バでも変わ らなかった。装置やサ−バに検査をしに行っているのでないか。装置やサ−バ自体は何も 変えてない訳で、SSL3 パケットを止めても変化なしというのは別におかしくはない。 -------------------------------------------------------------- |https://www.tinfoilsecurity.com/poodle ※Tinfoil Security,Inc. という |--------------------------------------------- 会社の無料の検査サ−ビスサイト | Worried about the POODLE vulnerability? | Use out quick check to see if your website is vulnerable | | Type in your URL to check! | | [ https://1.1.1.1 ] | [ Check it! ] << クリック。 | | SSLv3 Not Supported | 〆 緑 | グッドニュ−スです、あなたの所のサ−バは SSLv3 はサポ << 日本語訳する | −トしてません、ですから POODLE 攻撃の脆弱性はないです。 とこんなこと。 [ 装置Zの様子 ] HTTPSのどのプロトコルを使うか指定ができる。○TLS version 1.2 only, ○TLS version 1.2 or 1.1, ◎Any TLS version, ○Any TLS version or SSLv3 としたら、上記のチェッ クサイトは "SSLv3 Not Supported" と出た。SI業者が設定して行ったのは "◎Any TLS version or SSLv3"、これは "There was no error" と判定結果がでた。 存在しないサ− バや適当なIPアドレスを入れてもこの表示がでた。 [ 装置Xの様子 ] SSL-VPN 装置で SSL プロトコルバ−ジョンを選択できる。○SSLv2,SSLv3,TLSを受け入れ る、◎SSLv3とTLSだけを受け入れる、○TLSだけを受け入れる。 このような設定になって いた。"TLS_FALLBACK_SCSV Not Supported" とだけ検査結果が出た。TLS だけを受け入れ るようにすれば片付くのだが、装置の再起動がいるとのこと。まあ数分のことだが。 [ Webサ−バ ] SSL 3.0 の脆弱性のパッチを当てたという Apache では、"SSLv3 Still Supported"。 そ の下に "TLS_FALLBACK_SCSV Not Supported" と出た。 SSL 3.0 を使わないようにした訳 でないのでこんな結果になった、TLS でだめなら SSL 3.0 で試すということに。SSL 3.0 を無効にした Apache は "SSLv3 Not Supported"と出た、こっちの対策の方がいいと思う。 [ WとYの装置 ] Wはかなり古い SSL-VPN装置で、どんなプロトコルを使っているか分からない。Yは認証 アプライアンスでこちらも中身はブラックボックスである。装置Yは装置Xの SSL-VPN装 置の認証サ−バである。多分、時代的に SSL 3.0 と TLS 初期バ−ジョンが有効になって いると想像できる。"There was an error" と出た。 * できた! 最後はエンジニアらしく3日でやれた 手探りと直感で設定をやってみた。できた時の設定の状態をまずは書き留める。それから 整理していき、本質を見極める。[カスタム] でシグネチャを作る。次に [IPSセンサ] で 作ったシグネチャの動作を指定すると想像した。[IPSセンサ] では作ったシグネチャの名 前はどこにも記入するところがない。[カスタム] のシグネチャ記述の "--protocol tcp" が [IPSセンサ] のプロトコル TCP と対応しているのでないか。"--service SSL" は対応 するのがない。[IPSセンサ] のアクションをブロックにすれば、これで SSL3 パケットは 止められるのでないか。[IPSセンサ] のログ記録〆で、どこかにログが出るのでないか。 [UTM]->[侵入検知]->[カスタム] ここには何もなかった。"Create New" で作成。 -------------------------------------------------------------------------------- |□| 名前 | シグネチャ | |--|-------------------------------|-------------------------------------------| |□| SSLv3.POODLE.custom.signature | F-SBID( --name "SSLv3.Server.Hello"; ... | -------------------------------------------------------------------------------- F-SBID( --name "SSLv3.Server.Hello"; --protocol tcp; --flow from_server; --service SSL; --seq =,1,relative; --pattern "|116 03 00|"; --within 3,packet; ) ※ --name で定義した文字列がログにでてくる。 [UTM]->[侵入検知]->[IPSセンサ] ここには何もなかった。"Create New" すると名前を入 れるところがあり、名前を適当に記入して [ OK ] をクリックすると下記のような詳細な 設定画面がでてきた。"フィルタ" の項目で Create New して下記のように指定した。 -------------------------------------------------------------------------------- | Edit IPS Sensor | |------------------------------------------------------------------------------| | 名前 [ SSL3stop ] | | コメント [ ] | | 〆ロギングを有効 | | [ OK ] | | フィルタ | |------------------------------------------------------------------------------| | Create New 編集 Delete 挿入 移動 ル−ルを表示 | |------------------------------------------------------------------------------| |□| 名前 タ−ゲット プロトコル OS アプリ 有効 アクション ログ記録 カウント| |--|---------------------------------------------------------------------------| |□| SSL3dame2 server TCP all all 〆 ブロック 〆 2135 | |------------------------------------------------------------------------------| | | | オ−バ−ライド | |------------------------------------------------------------------------------| | 編集 Delete 事前定義オ−バ−ライド カスタムオ−バ−ライドを追加 | |------------------------------------------------------------------------------| |□| 名前 有効 ログ記録 アクション | |------------------------------------------------------------------------------| [ポリシ−] の LAN->DMZ で自分のパソコンから装置Zへのル−ルを作った。 HTTPS のみ 通す、NAT無効、〆UTM のメニュ−の中で 〆IPSを有効 [SSL3stop ▽]◇。 以上の設定 ではパケットは止められなかったし、ログもでなかった。 "カスタムオ−バ−ライドを追加" をクリックして以下のように定義した。 ------------------------------------------ ---------------------------------- | IPSオ−バ−ライドを設定 | 選択したシグネチャ [OK][キャン] |----------------------------------------- |--------------------------------- |シグネチャ [SSLv3.POODLE.xxx を選択]◇ ← | 名前 シグネチャ |有効 〆 これク |--------------------------------- |アクション [ブロック ▽] パスと リック |SSLv3.POODLE.c F-SBID( --atack_ |ログ記録 〆 リセッ で右画 |ustom.signature id 4538 -name .. |パケットログ □ トあり 面が出 |--------------------------------- | て選択 | [UTM]->[侵入検知]->[IPSセンサ] に作った "SSL3stop" はこんなようになった。 -------------------------------------------------------------------------------- | Edit IPS Sensor | |------------------------------------------------------------------------------| | | | | オ−バ−ライド | |------------------------------------------------------------------------------| | 編集 Delete 事前定義オ−バ−ライド カスタムオ−バ−ライドを追加 | |------------------------------------------------------------------------------| |□| 名前 有効 ログ記録 アクション | |--|---------------------------------------------------------------------------| |□| SSLv3.POODLE.custom.signature 〆 〆 ブロック | |------------------------------------------------------------------------------| 社内のPCの装置Zのクライアントから装置Zへのアクセスで。これで SSL3 パケットは 止められてログも出てきた。[ログ]&[リポ−ト]->[ログアクセス]->{アタック} ここにロ グが出た。日付と時刻、レベルは alert、サブタイプ signature、送信元は装置Z、宛先 は自分のパソコンに、リファレンス http://www.fortinet.com/ids/VID4538、メッセ−ジ custom.SSLv3.Server.Hello で F-SBID( --name "SSLv3.Server.Hello"; から取られる。 SSL3dame2 の名前は関係ない、何でもいいみたい。"フィルタ"のログは無効にしてもログ はでた。"フィルタ" は無効にしてもできた。作成した SSL3stop で "〆ロギングを有効" にしているとログは出てくる。 "オ−バ−ライド" でカスタムシグネチャを定義さえすれ ばいい。どうもフィルタを有効にしていると、他のシグネチャもチェックするのでないか。 DoS:Apache.ModSSL.Custom.Error.Documment.DoS というログが、 外からDMZの装置へ のアクセスが一時出ていた。いろいろ設定している内にこんなような事になったみたい。 * POODLE 脆弱性に関する参考 http://www.fortinet.co.jp/security_blog/141016-poodle-faq.html、"POODLE に関する FAQ - フォ−ティネット"。TLS_FALLBACK_SCSV サポ−トを追加し、TLS で通信ができ ない場合は SSL 3.0 で通信するのを試すのをできなくする。 プロトコルのダウングレ− ドを止めるという話。SSLv3 を完全にブロックするIPS用のカスタムシグネチャの記述 を紹介している。しかしこの記述だけでは設定は完了ではない。FortiGate の v5.x での、 この POODLE 脆弱性に対するカスタムシグネチャの設定と他の設定の仕方はネットで出て いた。だいぶやり方が違っているが、シグネチャ自体は前から変わってないもよう。 一応上記のようにやれてから、FortiGate バ−ジョン 4.0 の MR2 の管理ガイドという日 本語訳になったドキュメントを見た。ネットを探して見つけた。置き換えはフィルタの前 にチェックされる、置き換えの手続きでカスタムシグネチャを利用可能にする、というよ うなことが書かれていた。以前にどこからかダウンロ−ドしてきた英文ドキュメントはあ るにはあった、"IPS User Guide Version 3.0 MR7"。先の日本語ドキュメントと記載内容 は同じようだ、F-SBID( の中の項目の解説がある。attack_id は記述しないと FortiGate が自動的に割り当てると説明あり。attack_id は書かなかった、後で見たらできていた。 (4) 終わりにしようかと思えばまだ * IT技術の組み合わせの妙 << 2社間の情報のやりとりの方法 >> `2f/02/s [ ツ−ルはこれだけ、これでどうやれるのか ] UTMのモ−ドは FortiGate では透過型とNAT型。 NAT型はNAT有効と無効があ る。NAT無効はル−タとして動作、つまり普通のル−タ機能。UTMの VIP と MIP 技 術。Virtual IP、Mapped IP。ポリシ−ル−ティング機能。静的経路とデフォルト経路。 NATには送信元NATと宛先NATがある。UTMをインタ−ネット接続で設置する際 は送信元NATである。宛先NATを使う場面はどうだったか。一度検討したことがあっ てそのとき便利だと思ったが。そうそうセグメントのIPが重複する場合のことだった。 SSL-VPN 装置のプロキシ的な動きはつまりリバ−スプロキシである。だからリバ−スプロ キシサ−バでも使えるのでないか。最近知った NGINX が使える、OpenBlockS はリバ−ス プロキシができるのか。これらはIPアドレスがかぶっている場合の対応に用いる。 リバ−スプロキシは対象がWebサ−バだけだと思う。Webサ−バの前に設置しブラウ ザからのアクセスに代理応答する。対象がWebサ−バ以外は SSL-VPN装置を使うことに なる、Webサ−バでも相手 AD 認証が必要な場合も SSL-VPN 装置を使う。 ログを取るということでは SSL-VPN 装置をかませばできる。 いつ誰がどのサ−バにアク セスしたか記録を残すことができる。UTM でNATしたのでは詳しいアクセスログは出な いのでないか。相手の会社のセキュリティや法人監査などポリシ−に関わることである。 各種サ−バを利用するのにログインする、AD認証でも装置内の認証でも、どちらでもでき るのもある。どちらか選択でなく同時に利用できるという事で。メ−ルサ−バ、SSL-VPN のアプライアンス装置がそうだった。 AD での認証は 1) パソコンにログオンする際のもの。2) 各種サ−バを利用する際のもの。 パソコンのログオン、SSL-VPN 装置へのログイン。ファイル共有サ−バヘのログイン、各 種Webサ−バへのログイン。相手会社のそれらサ−ビスへのログイン。 宛先アドレス変換について、VPN接続した2拠点のサブネット重複を回避する場合など に利用できると、アライドのサイトで Juniperの"Firewall/UTM機能紹介"に書かれてある。 https://www.allied-telesis.co.jp/products/list/juniper/ns/kinou/feature03.html [ A社からB社へのアクセスそしてその逆も ] SSL-VPN 装置を UTM の前や後ろに配置してどうなるかとか。 お互いのネットワ−クでは デフォルト経路の設定は使えるところと使えないところがあって慎重にしないといけなか ったり。デフォルト経路は通常はインタ−ネットに抜ける所に使うので。IPアドレスが かちあった所は、どうしても経路設定ができず通信できないとか。UTM のNATの有り無 し、ポリシ−ル−ティングの利用とか。いろいろな技術の組み合わせのパズルを解くよう な話である。いろいろ検討して手書きの図を一杯描いた。それらも検討の過程として載せ るつもりだったが、余計に混乱を招くだけかも知れないと思い割愛することにした。 SSL-VPN B社 ◇SV1 PC△ ■ -----.1 | A社 | ------ WAN UTM .2 |.3 .1| |------- b ◇SV2 --------------| L3 |………………□----------------| | | a .1------ x NAT b |L3 |-------------- a Sb追加 ----- A社から見たらB社はインタ−ネットということ。A社からのパケットはB社側の UTMで NATしてB社内に行く。A社にはセグメント b はない。A社からセグメント b のサ− バには直接アクセスできる。A社から a のサ−バには SSL-VPN 装置を介してアクセスで きる。SSL-VPN 装置はリバ−スプロキシサ−バとしての働きになり、b.3パケットからSV2 にアクセスすることになる。A社の L3 レイヤスイッチなりル−タでは a.1 を通ってbセ グメントヘ行くの静的経路を加えること。B社の L3 は何も経路は追加しない。上の絵を 縦にしてネットワ−ク図をイメ−ジしてみると理解しやすいかも。 これで検討は終わりにする?。BからAへのアクセスは全くできないのだが。自分の頭の 中ではもうできた。ヒントだけ書いておこうか。上の図ではWAN用のル−タを描かなか ったがレイヤ3スイッチやUTMのル−タ機能で静的経路の設定はやるものと思っていた だきたい。それで上記の UTM でNATの方向を逆にしたら、 それでやりたいことは全部 やれる。B社のサ−バは UTM の VIP機能で b セグメント上にあるように見せかけ、これ でA社からアクセスができる。B社側からは UTM のNATで一回IPアドレス変換、 す ぐに SSL-VPN 装置またはリバ−スプロキシサ−バでもう一回IPアドレス変換する。 ■SSL-VPN or B社 A社側サ−バが AD 認証がいる場合は Router |R-Proxy NAT UTM SSL-VPN装置経由で、AD 認証がいらな ………□-----------------□------ い場合はリバ−スプロキシサ−バ経由 ◇SV1 ◇SV2 はVIPで出す でも構わないという構成である。 一応整理し解説してみたものの、まだ詰めないといけないことが多々。混沌の館のままで。 [ MIP は内からのマッピングもできるらしい ] << VIP >> << MIP >> ◆は実サ−バ、 <---- ----> ◇はマッピン ◆a.1 <--- ◇b.9 △PC △PC ◇a.9 ----> ◆b.2 グしたサ−バ。 a | NAT |.2 b a |.1 NAT | b Juniper社SSG ---------□----------------- --------------□------------ の MIP機能で。 SSG5 はやけに息の長い製品である。2015年になっても販売している。 ファイアウォ−ル だけの機能なら実質5万円ぐらいで買えるのか。改めて仕様を見たらIPアドレス変換機 能がいろいろあるが、手元に昔買った NetScreen があるがどうなのか。MIP は説明はVIP と似たようなアクセスのことを書いてあるのが普通である。でもどうやら上の図のような アクセスもできるらしい。これは2015年の春先に分かったことである。 http://www.juniper.net/jp/jp/local/pdf/others/fsssg5-jp.pdf、256ペ−ジ。 「はじめてのSSG5 概要とハンズオントレ−ニング」リリ−ス日:2007年8月17日。偉く詳し い資料である。MIP の説明のところに "対称性を持つ両方向の変換" という文面がある。 http://www.juniper.net/jp/jp/local/pdf/app-notes/35000151-jp.pdf、20ペ−ジ。 「SRXシリ−ズおよびJシリ−ズのネットワ−クアドレス変換」、Copyright 2014 と書 かれているから最近の記事らしい。スクリプトを書いてNATを設定するやり方。 * GHOST と名付けられた脆弱性が出てきた `2f/02/M 幾らでも脆弱性というのはでてくる。IPAのアナウンス "glibc の脆弱性対策について (CVE-2015-0235)"、2015年1月29日。The GNU C Library( glibc ) のバッファオ−バ−フ ロ−。対象は glibc 2.2〜2.17。トレンドマイクロのセキュリティブログではそんなに脅 威ではないので落ち着いて対処をと書かれている。各メ−カ、SI業者のサポ−ト画面を 見た。誰でも見られるのもあるし、有償契約のところもある。DMZ上にある幾つかのメ −カの SSL-VPN 装置やWebサ−バが先ず対象である。Webサ−バは Linux マシンな ので対応はしやすい。SSL-VPN 装置の1つはずっと前に設置したもので、 多分 Linux か BSD らしいと聞いたことがあるがブラックボックスで対策はできない。認証装置はカスタ マイズした Red Hat Enterprise Linux でへたにいじれない、glibc をエイヤでアップデ −トする?、アプライアンスで保守も終了していることだし。どうなっても知らない。 今回の脆弱性は名前解決のところのバグである。DNSやホスト名解決に関わるところな 訳で敏感である。やはりへたに触ることはやめた方がいい。同じ装置なりが別にあるのな らそれで挙動を調べて対処することはありだが。他の装置やサ−バはどうか。メ−ルリレ −は Sun Solaris 9 だけどSI業者の知らせでは問題ないんだと、本当かな。 純正のC コンパイラを使ってフリ−ソフトなんかも作っていれば、問題なしという事だと思うけど。 FortiGate は glibc は入ってはいるが FortiOS 内では使われてないので関係なしとのア ナウンス。 HPの仮想マシンは Red Hat Enterprise Linux で該当 glibc が入っていた。 ヤマハのル−タやシスコのレイヤ3スイッチとかはどうなのか。一応ヤマハのサイトをみ たら記事はなかった、でも GNU Bash、ntpd は問題あり、OpenSSL は問題ないなどの記事 があった。シスコのサイトを見たら GHOST のこと出ていた、各自詳しく見てみること。 Red Hat 系の装置なりサ−バなりに telnet なんかで入って、glibc のバ−ジョンを調べ るには。 # ps --info とやったら Compiled with: glibc 2.5, gcc 4.1 と出たのもある。 # rpm -qR glibc をやると glibc-common = 2.3.2-95.30 と出たのもある、専用のコマン ドで見たら RPM Install Package のリストに glibc-2.3.2-95.30 と出ていた。NTTデ −タ先端技術株式会社のサイトの緊急コラム: glibc 脆弱性(CVE-2015-0235) の影響範囲 の調査方法について、2015.02.03 リリ−スの記事、これには glibc 脆弱性で問題となる gethostbyname() という関数を実際に呼び出しているか調べるという技術的な記事である。 SI業者のアナウンスを調べていたら Mirapoint にパッチが出ていた、Aventail もパッ チが出ていたのを先に見ていた。両方とも10年位前からある製品と思うが、一体どうい うことなのか。ひょっとして昔作られたままのプログラムで動いている訳なの?。 ファイアウォ−ル(UTM)のIPS機能でDMZや社内のネットワ−クにあるサ−バや装 置を守ることを検討しよう。POODLE 脆弱性の時と同様 FortiGate にIPSの GHOST用の シグネチャを作ったらどうか。 手元の FortiGate-80C はIPSなど全部利用できる保守 契約にしている。 ファ−ムウェアを最新にしたら GHOST 用のシグネチャが入っているの が見えた。[セキュリテォプロファイル]->[侵入プロテクション]->[IPSシグネチャ] 画面 を見て行ったら "Glibc.Gethostbyname.Buffer.Overflow サ−バ− Linux 転送" とい うのがあった。マウス左クリックすると吹き出しのような説明がでてきた。マウス右クリ ックすると {カスタムシグネチャを編集} {削除} と出るが灰色である。 どんな記述にな っているか知りたいのだが出ない。 POODLE については http://www.fortinet.co.jp/ の セキュリティブログにたまたま詳しい記事、シグネチャの記述内容が載ったということか。 調べられそうなサイトは全部見た。エンドユ−ザが入れない Fortinet 社のサイトが2つ 3つある、その中に情報がないか懇意にしているエンジニアに聞いてみた。手を尽くせる 事は全部やって英語圏のサポ−トまで問い合わせてみた。感触のよさそうな英文メ−ルが 返ってきて期待したのだがだめだった。結局のところIPSのライセンスも買ってネとい うことだった。やはり POODLE は特別な話だった。FortiGate のIPSのシグネチャの適 用は問題が発覚したのに対して1個ずつ対応していく、それがIPSの運用において分か り易く、できるだけ誤検知を少なくするいいやり方だと思ったのだが。加えてDefensePro を基本的というか古典的な攻撃に対してのみ働かせたらと思った。これならDefenseProで 誤検知は起きない。いいアイデアだと思ったのに残念!。GHOST対策の FortiGate のシグ ネチャの内容を何とか手に入れることができないか1週間ウロウロしてまった。 (5) 未来へ繋ぐイントラネット構築 * セキュリティ対策の国の取り組み `2e/11 サイバ−セキュリティ基本法が2014年11月6日成立。内閣情報セキュリティセンタ −(NISC)の機能や権限を強化。この法案に対するNISCの初代補佐官の山口英氏の 話が出ている。経済の基盤としてのインタ−ネットの健全性に配慮できる人材の確保も重 要と指摘、これは「日経NETWORK」2014/12, P.13 に出ていた。山口氏の発言が他 にないかインタ−ネットを探した。セキュリティは安全保障や危機管理に偏重しがち、ネ ットは経済の駆動装置という認識がもっと必要であるとの趣旨の発言もあった。国としは 東京オリンピックにむけて全般的な安全対策を実施して行くということで、IT分野につ いてもセキュリティ強化を計って行くという考えのようである。小生も山口氏の考えと同 じである。例えば道路があってそこら中に穴があったり、古木に釘がささっていたりする。 それを安全対策のため柵を設けるような話である。そうではなくインフラとして穴や釘を 取り除くことが必要である。そうした取り組みを国レベルでやる必要はないのか。 * もうダメかも知れない `2e/09 "Internet of Things" (IoT)、あらゆるモノがインタ−ネットに接続されていく時代がや ってきた。もう終始がつかない状況になってきている。実感としてもうITのセキュリテ ィ、イントラネットは守れない。絵空事ではない。日本の企業でも官公庁でも大学でもど こでもだ。イントラネット構築、その中でもネットワ−ク系とセキュリティ系のエンジニ アは、ここらが引き際かも知れない。もうどうしようもない。ITの世界では "子を負う て浅瀬を知る" はない。名残惜しいけどしかたない。すでに攻撃されているか、気付いて ないだけと、内閣のIT関係の参与がテレビで話していた。それが現実である。中小企業 でイントラネットを構築し守るというのはもはや困難である。イントラネット構築法の初 期の目的を変更するか、ここらで役目を終えるかする時期に来たといえる。いや目的はで きるだけ変えたくはない。視点を上げて対策を考える。それによって救済方法を考えるこ とにしよう。つまりこれまでの自分の置かれている環境を変えること。しかし現実的には 難しいことである。諦めてはいけない、思考は現実になって行く道はあるのだ。 * 自分の考えている様な事が ネットワ−ルド社から2012年4月3日に来たメ−ルから。 ネットワ−ルド ニュ−ス。 サ−ビス開始2012年4月3日。ネットワ−ルド、複合システム検証センタ−「GARAGE」を開 設。最新サ−バ、ストレ−ジ、ネットワ−ク、仮想化環境を全10ラックに常設 "マルチ ベンダ−ソリュ−ション検証LABサ−ビス"。それで具体的にどこの製品を設置するのかま では書かれてないが。小生が考えているモデルネットワ−クの構想に近い。UTMのファ −ムウェアをアップしたいのだけど、実際にどうやるか教えてもらえるとか。アップして もある機能がそのまま使えるのかとか。いろいろ確かめたいことはあるだろう。IPSの パケットの誤検知のデモを見せてもらい、そのパケットを通す操作をその場で教えてもら うとか。通常ならお金出してIPSのエンジニアに東京から来てもらい、操作を教えても らうことになる。費用も時間も手間もすごくかかる。それでいて来たエンジニアが知って いればいいが、さてどうかな。ともかく全部把握しているエンジニアを、モデルネットワ −クの部屋には配置したい。それができるのは全部を経験してきたエンジニアだけである。 * 技術なきSI業者に未来なし SI業者の実力の程は。ファイアウォ−ルの置き換えで昨今のSI業者の対応をみる機会 があった。一応国内でも有数のSI会社である。分かったこと、すべてこちらで確認する こと。それを怠るとはまる。全部お任せしたいところなのだが、それを期待するのは止め た方が無難だというのが結論である。多分、十分なお金を払ってでもだ。一つトラブルと まるで解決ができなかった。いつまで経っても引きずる。そもそも業者の人が一杯やって くるのは、その時点でもはやあてにできない。できる人が1人いればすれで済むのだ。5 人も7人もやって来るというのは、できる人がいないからいろいろやって来るのだ。これ 程までに技術力が低下しているとは思わなかった。自分でも幾つか事前にテストしたり確 認したりはしていた。これぐらい出来るだろう大丈夫だろうと思った事が、業者側ではき ちんと把握できていなかった。へたな自信みたいなのを打ち合わせで披露するので信用し たのだった。ここはよく分からないと正直に言えば一緒に問題解決をしたものを、残念。 * リスクを背負い進む時代の覚悟 `2c/04/e 昔、ホストコンピュ−タの時代のこと。保守ががちがちにメ−カによってなされていた時 代。確実に動く、動かすことに全力が注がれていた。それが今やクラウドなどスマ−トデ バイスもそうだ、ベストエフォ−トが当り前になり、常にリスクを背負いながら、進んで いかざるおえない時代。その覚悟がない会社はもはや、この時代ついていけない。できる だけ経験を積むこと。恐れて何もしなくては、何もノウハウは蓄積されない。でなければ 経験を積んだエンジニアにアドバイスを求めること。勿論それなりの対価は支払わなけれ ばならない。しかしそのエンジニアとて十分ではない。新しいトラブルに対しては、これ までの経験に照らし合わせ、多分こういうことが起きているのでないか、そこまでしか分 からない。それが外れる場合も実際には多々あるだろう。それでもってダメと烙印を押し、 これだけのお金を払っているにも関わらず、対処できないんでは契約解消だ。そう短絡的 に判断をすることは禁物である。そうしたいならば最初から止めておくべきだ。 * 中小企業のIT対応能力の実態 `2c/04/m 日経関係の雑誌をざざっと読んでいる、2012年4月。アンケ−トで中小企業の人から の回答でITで何をやったらいいか分からないという結果が。そうだろうな、何から手を 付けたらいいかまるで分からない。何が問題かも分からない。地方新聞社がネットワ−ク のトラブルで、紙面を中途半端なまま発行してしまったのがでていた。IT担当がいなく て、誰も自社のコンピュ−タのシステムを把握してなかったという。おそるべし、無知と いうべきか。しかもその後IT部門を作るの見送ったという。パソコン教えますとかパソ コン・レスキュ−とか。パソコンの便利屋さんはそこそこ巷にいるが。ハブが複数あるネ ットワ−ク程度の事にでもなると、もう対応できないみたいだ。情けない。こんなんも面 倒みてあげないといけないな。いや直接手をくだすということではない。どうしたらいい か教えるのだ。自社で人を育てる気がないのなら業者をどうやって使うかとか。対象の企 業をどうやって見つけるのかそれが問題。いわば埋もれてしまっているような状態だから。 * アカマイに雇ってもらおうか アカマイ知れば知るほど、いいねぇ−。インタ−ネットの中に高速で安全なインタ−ネッ トを既に作っているではないか。「Software Design」2013/01,P.120〜129, "増え続ける 脅威に対抗せよ! インタ−ネットを陰で見守る Akamai"。Akamai Intelligent Platform インタ−ネット上に作ったオ−バレイネットワ−ク、 Kona Site Defender エッジサ−バ 上に配備の Web Application FireWall(WAF)。エッジサ−バ、世界中にホ−ムペ−ジを分 散している。コンテンツ攻撃も検知し防御している DDoS攻撃の制御するDNSでユ−ザ がアクセスしてきた一番近いエッジサ−バに誘導する。ダイナミックマッピング、アカマ イ化対象サイト。BGPによる経路制ではなく、独自のショ−トパスで通信する。数十万 台 GHostサ−バ、アカマイ独自のリバ−ス HTTP Proxy ソフトウェア。どうやら大手企業 のホ−ムペ−ジはほとんどがアカマイを利用しているみたいだ。 nslookup でサイトを叩 くと、そのサイト名のDNS情報でなく、akamai 何たらと出てくるのでそれと分かる。 * よい子のイントラネットその初心 ある調査で日本の競争力が世界で27位とのこと。2012/05/31 新聞より。 この調査が始 まった1989年から3年間は日本1位だったという。今や台湾や韓国より下になってし まった。もはや日本はジャパンアズNo1の国ではない。いわゆる後進国と言われてた国 々から援助を受ける三流国家に成り下がってしまったことを認識すべきである。かつての 日本だったら、震災の義援金をアジアの貧しい国からもらうなんて考えは及びもしなかっ たはずである。製造業の体力が落ち、ひょっとすると技術力も後塵を拝しているかも知れ ない今日、せめてIT基盤だけは持ちこたえるようにしよう。そうでなければサイバ−攻 撃に会うまでもなく、自滅して行ってしまう。日本の中で誰かがきっちりとしたIT基盤 をセキュリティ対策を含めて設計していくこと。その1つのモデルとなるべく、小生はず っと取り組んできたつもりである。そして、これはこれからも変わらない。しかし問題意 識を持たない企業に対してまで救いの手を差し出すつもりは今後はない。 * これからのITを担う人材 後々の事まで考えて業者を選ぶか。できれば選びたい。いつまでも会社にいてずっとネッ トワ−クの面倒を見ていける訳ではない。業者を選ぶと言っても結局は人を選ぶというこ とになる。しかしそのできる人がいつまでその会社にいるか、あるいは自社の担当である か、そんな保証はどこにもない。その時々でできる人を捕まえてやってもらうしかないで はないか。自分がネットワ−クから身を引く際に、社内で誰が次を担うのか。 社外で誰を頼りにするのか、そこまで事前に考慮しておくのは難しい。結局は社内で人材 を育てる雰囲気があるのかないのか、それに関わってくるだろう。それを言うと残念なが らほとんどの企業なりでは無理な話と言わざる負えない。一般的には企業なりのIT部門 はパソコンのヘルプデスクでしかない。それが悪いとか良いとかいうレベルの議論ではな く、それが実力なのである。 これからどうなるのだ。つきあいのあるSI業者の面々、なんか最近トンチンカンな受け 答えしかできなくなってきている。若手の営業マンが本来なら一線でやっていかないけな いのに、これまた対応がなっていない。営業とか技術とかいう以前に、人として常識があ ちゃらを向いている。優秀なエンジニアだった人らは50歳位になりまだ現役でやっては いるが、役職がついてこれまた最新の技術動向にうとくなってきている。 誰が第一線で活躍するのか、いないではないか。 どんどん複雑化していくインタ−ネットにイントラネットの状況。かつての就職で体だけ あればいい、寮にはいるなら布団だけもってきてくれればいい。東証一部の大企業に入社 した際にいわれた言葉である。もうそういう時代ではないのだ。知的社会が到来したのだ。 問題の本質的な解決には技術科学的なアプロ−チが欠かせない。自分はそうした指導をし ていく存在にならなければいけない。 * いつまでもやる事はできない ずっと昔からのことだが、やはり目が疲れるな−。会社に行っている平日は自宅に帰って 何かしようと言う気が出ない。目が疲れてしまってできないのだ。寝るまで目がしょぼし ょぼして、ようやくあくる日になって回復するという状況である。家に帰ってもノ−トパ ソコンの画面を見たりテレビを観たりしているわけで、目を休ませないといけないことは 分かってはいるけど。会社で使っている Apollo コンピュ−タ。そのエディタの頻繁な上 下の編集画面のスクロ−ルが目に影響しているのでないか。モニタまでの距離も影響して いたのかも。`2f/08/20 のこと、モニタを10センチほど前に出してみた。ちゃんと座っ て画面まで40センチ、いや長さを計ってみたら55センチだった。顎から手のひらをぐ っと開いたのが約20センチで2つと少し。少しのところは三角定規をあてて。何日か様 子をみているが、どうやらあんまり目は疲れなくなった?。いやその後のこと、あんまり 効果はなかったみたい。いつまでもこの Apollo での作業はやれない。でも後少しだ!。 * なおまだ取り組むとしたら Webレピュテ−ションで IWSS の最新を設置してみる、その前にできるだけ情報を調べ ること。個人用のデジタルIDのこと。 Active Directory で作成、アプライアンスもデ モとか見てみること。FortiGate とサンドボックスの運用の設定と実際の様子、ファイア ウォ−ル置き換えの検討もする。以下 `2g/06/s 追記、FortiGate は単なるファイアウォ −ル置きでなくUTMとして各種機能を使うことを検討しよう、十分使えるようになって いるのでないか、個々の機能の確認はやった、でも総合的に設定して運用は難しいと思う。 その難しいことにチャレンジしようと `2g/06/半ば考えた。インタ−ネット接続口の設計 である。かつて model-i というのを考えたので、今回のは model-j と名付ける事にする、 `2g/06/25 そのためイントラネット構築法の章立てを変更して、model-j に関して書いて いくことにした。ただし各部分の検討した内容を記載するのみとする。総合的なインタ− ネット接続口の設定の組み立ては、ネットワ−ク管理者それぞれの仕事として残した。