前号へ | 次号へ | 宇宙科学企画情報解析センター | ISASホームページ | バックナンバー |
1) | 個々のホストの対応が限界に達している
ワークステーション等は,出荷時には利用者の利便性を優先させてセキュリティの弱い状態で提供されることも珍しくない。 また、PC−UNIX 等の普及により、管理不充分で不要なサービスも稼働するホストが増え、セキュリティの穴になっている。 個々の管理者が十分な知識を持っているとは限らないうえに、これだけホストが増えると個々に目を配りきれないため、攻撃されやすいホストは増大する一方である。 |
2) | 攻撃手段が袋叩き的になりつつある
近年の攻撃は絨毯爆撃の様相を呈しており,全く無名なマシンでも攻撃の対象となる。次の例がある。 |
・ | ポートスキャン:個々のマシンでサービスしている内容をシラミ潰しに調べて,脆弱な入口を突破侵入する。
不要なホスト / ポートへのアクセスを閉じれば、この危険は大きく下がる。 |
・ | 盗聴:ネットワークを通過するパケットを盗聴して,
パスワード情報を盗みとる。 パケットを暗号化したり、WWW などパスワードを用いない情報提供手段をとることで、この危険は大きく下がる。 |
1. | パケット・フィルタリング
パケットのヘッダー情報(送信元、発信先、ポート番号など)によって通すか否かを決める。ユーザーへのインパクトは小さいが、“穴を開ける”やり方のためセキュリティ上は必ずしも望ましくない。 |
2. | Proxy システム(ゲートウェイ・システム)
外部のホストと直接接続せずに、ファイアウォールの外側に置かれる Proxy (プロキシ:代理人の意味)を経由して通信する。この方法だと格段にセキュリティは向上するが、「プロキシできないサービスを利用できない。」、「Proxy 用のマシンの新規設定が必要。」 といった欠点がある。 |
12月 | ポリシー確定のための“アンケート” を配布 |
1月 | 計算機委員会においてポリシーの確定
設定作業のための“外部向サービス登録” 受付開始 |
2月 | 業者との打ち合わせ |
3月 | 導入作業 |
所内 → 所外:
すべてのホストが、下記の主要ポートを使って通信できる。
所外 → 所内:
外部向けサービスを行うホストのみに対して、下記の主要ポートのうち必要なポートのみを使って通信できる。
WWW(http:tcp/80),WWW(https:tcp/443),telnet(tcp/23),ftp(tcp/20,21),その他必要なものがあればご提案下さい。
mail(smtp:tcp/25),mail(pop3:tcp/110),news (nntp:tcp/119),
dns (tcp/53,udp/53),ssh(tcp/22),ident(tcp/113)
・ | 責任者と連絡先の明確化 |
・ | 外部アクセスに対する防備 |
パスワード情報は、root 以外には見えない | |
パスワードは,第三者に推測されない | |
パスワード等は、暗号化 ( ssh ) | |
finger 等,利用者情報を参照するようなサービスは停止 | |
ソフトウェアのセキュリティ対策の実施 | |
OS のパッチ (修正,アップデート) は適宜適用 | |
inetd 等で提供するサービスの削減、アクセス制限、ログ取得 | |
WWW や DNS 等,対外的にサービスしているソフトにセキュリティ対策 | |
メールの機能はなるべく停止。使う場合には | |
sendmail は新しい版を使用 | |
SPAM メール対策 | |
POP の代わりに APOP | |
等が必要となる。 | |
・ | 侵入されても被害が拡大しない配慮 |
NIS/DNS を低防備ホストと共有しない | |
低防備ホストへの rlogin 等による無条件 loginを禁止 | |
・ | ログの保持と管理 |
「条件は守れないがサービスは継続したい」というユーザーには、PLAIN センターにおいて共有の WWW/ftp サーバー等の設置を検討している。 | |
暗号化ツール使用への移行(Firewall 導入に関わらず進めて頂きたい) | |
ユーザーに暗号化ツールへの移行を促して欲しい。 |
telnet, rlogin ==> ssh, sloginに対し、なるべく短期の移行期間で代替手段に慣れてもらったのち移行を促していただきたい。
rch ==> ssh
rcp, ftp ==> scp
POP ==> APOP
a. | 新たに生じる
・外部サービスを行なう machine の新規設定 ・外部サービスを行なう machine の IP or 名前の変更 の手続きは? |
[A] 登録票を追加提出。書式はホームページ上に出します。
b. | アクセス制限は、IPを基礎とするのか、DNS を基礎とするのか |
[A] どちらも可能。
DNS で登録すれば、subnet で DNS を持つことにより、subnet 内で DNS を変更することにより登録変更無しでサービスホストの変更ができる。
c. | NFS/NIS/MS-network 等、外部計算機からの直接アクセスを可能にする packet の所外への漏れ出しは? |
[A] NFS/NIS/MS-Network(NetBIOS/Port 137-139) を排除するので、情報が漏れ出すことはなくなる。
d. | 所外 host で動作するアプリケーションを学内 host の DISPLAY に出力できるか? |
[A} ポートは、6000-6063/tcp, 6000-6063/udp。
X-Windowの場合,所内Xサーバ上で所外アプリケーションを利用する場合が,所外から所内へのアクセスとなる.感覚と逆なので注意。
開ける必要があるなら登録すべきだが、sshを用いればXクライアントの転送も可能である。
この場合少し転送時間が速く得ということである。
e. | subnet/host で従来どおり独自に管理したいが? |
[A} 能力のあるsubnet/hostでは、独自の安全確保を進めてもらって構わない。
・技術があるところはゆるめに制限し、自治に任す。
・技術のないところはきつめに一律防御 が基本原則である。
Q1 | 所外に対してサービスする必要のあるマシンがありますか.(具体的なサービス内容は,「接続方針」の主要ポート(案)を御覧下さい.その他にも必要とするサービスがありましたら,適宜御記入下さい) |
A1.1 いいえ
→Q4.へお進み下さい.所外からのアクセスの必要のないマシンに対しては,ファイアウォールが所外からの全ての直接侵入を防ぎます.A1.2 はい.
Q2.以下にもお答え下さい.
Q2 | 御担当のマシンを,ファイアウォールの保護下に入れることを希望しますか.なお,回答に際しては,下記の[参考]の文を御一読下さい. |
A2.1 今回の「宇宙研ファイアウォールのポリシー(案)」の接続方針に則って,ファイアウォールの保護 下に入れることを希望する. A2.2 ファイアウォールの保護下に入れることを希望するが,同時に「宇宙研ファイアウォールのポリシー(案)」の接続方針の一部修正を希望する.
具体的な修正希望箇所[__________]A2.3 外部からの攻撃に対しては十分な自衛策を講じているため,ファイアウォールの保護を受けない(直接外部に晒される)ことを希望する. A2.4. 外部からの攻撃に対する自衛策を講じることはできないが,ファイアウォールの保護を受けないことを希望する.理由は以下の通りである.
具体的な理由[__________]
Q3 | 所外に対して必要なサービス(種別,台数)を御記入下さい.サービスの数が増えると,相対的に所外との通信速度が低下しますので,実際に必要なサービスのみを御記入下さい.
ファイアウォールの保護下に入らないことを希望される場合は,そのマシンの台数もしくはサブネットの本数を併せて御記入下さい. WWW(http:tcp/80)[__________] etc... |
Q4 | telnet, ftp, pop 等のサービスの暗号化ツールの使用(盗聴対策)にはどの程度の時間が必要と思われますか.(この質問は,サービスを行なっているマシン,サービスを受けているマシンの双方で御回答下さい) |
Q4.1 POP について 対策例: サーバ側では APOP 対応の POP サーバを導入する.
または,POP ユーザはそのマシンに login できないようにする.
利用者側では,APOP対応のメールソフトを使用する.
A4.1.1 POP 自体を使用していない. A4.1.2 既に APOP を使用している. A4.1.3 POP を利用するユーザは,マシンに login 等できないようになっている. A4.1.4 対策は数カ月の内に実施できる. A4.1.5 対策は時間をかければ可能である. A4.1.6 対策は困難である.
具体的な理由[__________]A4.1.7 よくわからない.
Q4.2 telnet, ftp, rsh, rlogin 等について
対策例: サーバ側では ssh を導入して通信を暗号化する.
または,盗聴しただけではパスワードを察知されないような認証方法を利用する.
利用者側では,ssh 対応の端末ソフト等を使用する.
またはサーバ側で用意された盗聴防止の認証方法に対応したソフトを使用する.
A4.2.1 所外からのアクセスに telnet, ftp, rsh, rlogin 等は使用していない. A4.2.2 既に所外からのアクセスに はssh 等で対策を行なっている. A4.2.3 対策は数カ月の内に実施できる. A4.2.4 対策は時間をかければ可能である. A4.2.5 対策は困難である.
具体的な理由[__________]A4.2.6 よくわからない.
[参考] | 所外に対するサービスに関しては,「サービス実施ホストの義務」に掲げられたような自衛策をと る必要があります.具体的には,
ftp://ftp.jpcert.or.jp/pub/cert/tech_tips/UNIX_configuration_guidelines ftp://ftp.jpcert.or.jp/pub/cert/tech_tips/AUSCERT_checklist1.1 のようなガイドラインが示されており,また,個々のサービスに関する防衛策としては, ftp://ftp.jpcert.or.jp/pub/cert/cert_advisories/ にあるような一連のセキュリティ対策が必要となります.ファイアウォールの保護下に入らない場合は,ここに掲げられたようなセキュリティホールが全て所外からの攻撃の対象となりえます. |
なお、参加申し込み締め切りは、平成12年1月10日(月)とさせて頂きます。ふるってご参加ください。
日時: 平成 12 年 1 月20日(木)
午前 10 時から午後5時
場所: 相模原市民博物館会議室(予定)
(1) | VPP800/12 の12月20日(月)に予定していた定期保守作業は中止にして、12月29日(水)の9:00からの集中保守作業の中で行います。尚 12/28 9:00 SIMPLEX モード、18:00 キュー停止になります。 |
(2) | Alpha サーバは1月17日(月)9:00〜13:00に予定通り保守作業を行います。保守作業前に特に入力制限は行いませんので、各自で作業時間前までに終了する様入力してください。 |
(3) | 各計算機のシステム及びユーザ領域バックアップ( 2000年前状態保存 )を採取します。 |
(1) | 12月29日(水)22:00 から 1月4日(火)9:00の間の連続運転中はセンターオペレータが不在のため、システムダウンがあった場合、1月4日9:00まで対応が出来ません。 |
(2) | 注意 大型計算機関係の各サブステーション・オープンステーションは 12月28日(火)17:00でクローズします。 |