セキュリティ概念編 (60m)

実習編 (30m)

担当 : まさ <masa@sfc.wide.ad.jp>

概念編• 「セキュリティ」という考え方• 守るべきもの• 守りかた

「セキュリティ」という考え方

• セキュリティ： 安全性– 様々な危険から自分や組織（の情報 ) を守

る

– セキュリティサービスの分類– 能動的攻撃／受動的攻撃

セキュリティサービスの分類– 秘匿性– 認証– 完全性– 否認不能性– アクセス制御– 可用性

能動的攻撃／受動的攻撃• 能動的攻撃

– 侵入者が積極的に攻撃を行う。• DoS アタック• コンピュータウイルス• なりすまし、メッセージ改ざん

• 受動的攻撃– すでにある情報からの攻撃 ( 通信の傍受等 )

• 内容の取得、トラフィック解析→ 能動的攻撃の重要な手がか

り

守るべきもの• 何を守るかは case by case

– 個人の PC– 組織のサーバ– ネットワーク

• すべてを守ることは非現実的→ 「セキュリティポリシ

ー」の策定

セキュリティポリシ• 「どこまで守るか」を決める。

– なりすまされたくない。– データを盗み見られたくない。

– ホストを守る。– ネットワークを守る

情報の守りかた• セキュリティポリシから守り方が決ま

る：– なりすまされたくない。

→ 　パスワードや公開鍵系（後述）の利用– データを盗み見られたくない。

→ 　アクセスコントロール（ホスト上）→ 　伝送路の暗号化（ネットワーク上）

– サービスをクラックされたくない→ 　ソフトウェアのセキュリティホール対策

攻撃を防ぐ場所• Firewall

– ネットワーク上の通信を遮断– 内部から外部に攻撃するのを防げる– 暗号化された通信上の攻撃は防げない

• End-host– サービス単位で攻撃を遮断– 細かい粒度でアクセスを制御できる。– 各ホストの管理者が防がなければならない

Firewall

• 研究室のネットワークでも利用しています。

• RGNET– 「きつきつ」ネットワークが netscreen 経由– IDS （侵入検知システム）も稼働中

• HTNET– ネットワーク全体が millet 経由

暗号化技術• 慣用暗号系

– 一つの鍵（パスワード、秘密鍵）を用い、秘密鍵を相手に渡し、同じものか比較する。

• 公開鍵暗号系– 1 組 2 つの（非公開鍵、公開鍵）を用い、公開鍵を

相手に渡す– 公開鍵で暗号化したものは対となる非公開鍵だけ

で復号できる。逆も同じ。– 非公開鍵を持っていることで自分を証明

• 非公開鍵そのものをさらに暗号化することが多い。

具体的なプロトコル• Web （通信内容を守る）

– HTTPS

• メール– PGP,S/MIME （メール内容を守る）– APOP（メールパスワードを守る）

• ログイン（アクセス制御）– SSH, Kerberos(ActiveDirectory)

• 原則は「すべてのパスワードは暗号化」

補足：パスワードの付け方• 考え方はセキュリティポリシと同じ

– 「どれぐらい守るのか」が重要

例 1 ：暗号化されない Web のパスワードとホストへのログインに使うパスワードは別にする。

例 2 ：盗られたくないものはできるだけ別にする（どれかが盗られても被害を最小限にする）

例 3 ：パスワードを使わず公開鍵暗号系を使う

実習編APOP

SSH

APOP

• Authenticate Post Office Protocol– ほとんど POP3 と同様– パスワードの送信部分だけが異なる– 慣用暗号系を利用

– https://shonan.sfc.wide.ad.jp/ で変更

APOP パスワードの変更

SSH

• Secure SHell– telnet 同様、相手のホストにログイン– パスワードに限らず通信内容を全て暗号化– ssh1 と ssh2 がある

• 互換性は無いので注意！– ファイル転送もできる (scp,sftp)– 様々な認証方法を使える

• パスワード• 公開鍵暗号• スマートカード

これからやること

1. ソフトウェアのインストール• TeraTerm Pro + TTSSH• PortForwarder ( 鍵ペア作成用 )

2. 公開鍵／非公開鍵のペアを作る3. 公開鍵をサーバに登録してもらう4. TeraTermPro + TTSSH でログイン

ソフトウェアのインストール• TeraTermPro + TTSSH (Windows 環境 )

– ssh1 のクライアント– 鍵ペアを作れないので PortForwarder も併用。– http://www.sfc.wide.ad.jp/rg/2002s/newcomer/files/

• OpenSSH(Unix 環境 )– ssh1 、 ssh2 両方使える。デフォルトは ssh2

– たいていの Unix 環境には入っている。– 本家 ssh ( 通称 ) が入っていることも。

鍵の作成

• Windows の場合：– PF-keygen を利用

1. 鍵を置くディレクトリを用意 (My Documents\ssh 等 )

2. PF-keygen を起動3. Generate new key を選ぶ。4. 非公開鍵のファイル名を指定し、 OK する。

例 ) C:\My Documents\ssh\identity

5. パスフレーズを入力。（確認のため 2 度 )

6. コメントを入力。 ( 一般にユーザ名＠ホスト名 )

• 以下のファイルが作られる• identity ：非公開鍵• identity.pub: 公開鍵

鍵の作成

• OpenSSH の場合– ssh-keygen を利用

1. ssh-keygen –t rsa を実行。2. 非公開鍵の場所を聞かれるのでそのまま Enter 。3. パスフレーズを入力。 ( 確認のため 2 度 )

注 : コメントは自動生成されるユーザ名＠ホスト名

– 以下のファイルが作られる• id_rsa ：非公開鍵• id_rsa.pub: 公開鍵

鍵の登録

• 入りたいホストに公開鍵を登録する。– ~/.ssh/authorized_keys に公開鍵の内容を追

加する。今後は自分で追加・削除する。– 最初は入れないので、 rgroot@sfc.wide.ad.jp

に公開鍵を送って登録依頼する。非公開鍵を送らないように！

– 今日は qoo@sfc.wide.ad.jp 宛！– 本文に RG のアカウント名を書いてくださ

い。

鍵を利用したログイン (ttssh)

• TeraTermPro + TTSSH の場合：– wanwan.sfc.wide.ad.jp に SSH で接続する。

鍵を利用したログイン (ttssh)

– ユーザ名と鍵の場所を指定し、パスフレーズを入力。

鍵を利用したログイン (OpenSSH)

• OpenSSH の場合– ssh ユーザ名＠ホスト名

( ユーザ名が同じ場合はホスト名のみで OK)

– パスフレーズを入力

[masa@omoikane:~]% ssh wanwan.sfc.wide.ad.jpEnter passphrase for key '/home/masa/.ssh/id_rsa':Last login: Mon Apr 15 15:21:14 2002 from 2001:218:45

8:0:[masa@wanwan:~]%

Congratulation!

• これで wanwan に入ることが出来るようになりました。– 皆さん、情報処理の授業は覚えています

か？ :-)– ls とかで遊んでみよう。– ssh のマニュアルを読んでみよう。

• setenv LANG ja• setenv MANPATH 　 /usr/man:/usr/local/man• man ssh