情報コミュニケーション iii a
DESCRIPTION
200 4 年6月28日(月). 情報コミュニケーション III A. 第 9 回 インターネットセキュリティ(その1 ). 前回の演習の解答例. Internet. リビング. 192.168.1.1. 子供部屋. 192.168.1.5. 192.168.1.4. 192.168.1.2. 192.168.1.3. 今回の講義の内容. LAN 構築演習2 学内 LAN, サーバ紹介(映像で) インターネットセキュリティ ーインターネット通信における危険、脅威ー 盗聴、改ざん 不正侵入(なりすまし) < 来週> システム攻撃( DoS ...) - PowerPoint PPT PresentationTRANSCRIPT
情報コミュニケーション III A
2004 年 6 月 28 日(月)
第 9 回インターネットセキュリティ(その
1 )
前回の演習の解答例Internet
リビング子供部屋 192.168.1.1
192.168.1.2 192.168.1.3192.168.1.4 192.168.1.5
今回の講義の内容
LAN 構築演習2学内 LAN, サーバ紹介(映像で)インターネットセキュリティ
ーインターネット通信における危険、脅威ー盗聴、改ざん不正侵入(なりすまし)<来週>システム攻撃( DoS ... )<来週>コンピュータウイルス
これらを防ぐ手段暗号化通信、認証<来週>ファイアウォール(フィルタリング、アクセス制御)
<来週>侵入検知システム
IP アドレスのしくみIP アドレス( 32 ビットの 2 進数)
「ネットワーク部」と「ホスト部」に分かれる
「ネットマスク」 IP アドレスのネットワーク部の長さを表すもの ネットワーク部のビットを全て 1 にしたもの
11000000 10110000 00000001 0000101011111111 11111111 11111111 00000000
ネットマスク長 ( 2 進数で並ぶ 1 の数)
IP アドレスネットマスク
ネットワークアドレス
192 . 168 . 1 . 10
192.168.1.0 / 24
11000000 10110000 00000001 00000000
AND をとると
ネットワークアドレス
同じネットワークで端末毎に値が異なる
192 . 168 . 1 . 0/ 24
IP アドレスの割り当て
192.168.1.0 / 26
202.255.229.0 / 24
ネットワークアドレスネットマスク
ネットワーク部 ホスト部
同じネットワーク( LAN )で端末ごとに値が変わる
11000000 10110000 00000001 1000000011111111 11111111 11111111 11000000
11001010 11111111 11100101 0000000011111111 11111111 11111111 00000000
11000000 10110000 00000001 1000000111000000 10110000 00000001 10111110
~
1 ~ 62 まで
11001010 11111111 11100101 00000001
11001010 11111111 11100101 11111110
~
1 ~ 254 まで
IP アドレスの割り当て
192.168.1.0 / 26
192.168.1.1
192.168.1.2
192.168.1.62
::
同じネットワーク内にいるので、ここまでは同じアドレス
202.255.229.1
202.255.229.2
202.255.229.254
::
202.255.229.0 / 24
実際の IP アドレスの決め方
ルータ , サーバ計算機IP アドレスが定まっていないと都合が悪い
⇒ IP アドレスを固定で決める使えるアドレスの最初や最後の方を使うことが多い
192.168.1.1, 192.168.1.254 など
クライアント計算機IP アドレスは変わってもかまわない
⇒ IP アドレスを動的に割り当ててもらうDHCP(Dynamic Host Configuration Protocol)
割り当てる範囲を指定できる ( 例 192.168.1.10 ~ 192.168.1.100)
自分で IP アドレスの設定を行う必要がないので設定が楽
家庭 LAN を組むには?対外接続(サービス)をどうするか?
ダイアルアップ(電話回線) ← 昔の主流常時接続
ISDN, ADSL (フレッツなど、最近の主流)FTTH (光ファイバを引き込む)⇒最近のマンションなど 将来の主流?
必要な機器は?モデム(最近はハブ、ルータ機能を兼ねる製品も多い)ハブ( ISDN 、 ADSL モデムと接続 ⇒ 接続機器を増やせる)ネットワークインターフェース(イーサネットカード)無線 LAN 関係
更なる応用として
家庭で各種( Web 、メール)サーバを運用個人でドメインを取得 ⇒ hogehoge.net とかグローバル IP アドレスを取得 ← プロバイダなどからサーバ機器の用意(普通のパソコンでも十分)DNS などの各種サーバ設定
セキュリティ対策常時接続 ← いつ、どこからでも自分の端末が狙われる可能性があり一歩間違えると、犯罪や裁判沙汰にも?
⇒ このあたりはセキュリティの話題で
家庭 LAN と建物規模の LAN の違い
物理的な接続は基本的にやり方は同じ配線の距離接続機器のグレード(ハブ ⇒ 高機能なルータ)
各種設定が多いDNS 、ルーティングなど…(接続台数が膨大)利用者の要望も膨大セキュリティ対策
使用している人が多い ⇒ イタズラする人も多い
インターネット上の脅威
インターネット上の通信基本的に誰でも見れる世界中の計算機に双方向でアクセス可能
便利な反面、さまざまな脅威が潜んでいるインターネットセキュリティの問題
ここ数年でインターネットが膨大セキュリティ関連の被害も一層深刻化
インシデント(不正アクセスなど)報告件数の推移
2000 年1 ~ 3 月
JPCERT(www.jpcert.or.jp) 報告( 3ヶ月毎)
ネットワークを流れるデータが晒される危険
盗聴通信中のデータの覗き見する行為個人情報 (クレジットカード番号、住所、電話番号)パスワード(ログイン、メール受信も含む)
覗き見(盗聴)
ネットワークを流れるデータが晒される危険
通信内容の改竄(かいざん)通信中のデータを書き換える行為送信者の意図と異なったデータに
書き換える(改竄)
組織のシステムが晒されている危険
なりすまし、不正侵入利用者になりすまし、他人のシステムを利用
盗聴で得られたパスワードを利用して侵入データの改竄 ⇒ ホームページ改竄の被害も急増偽装メール (送信者、受信者を偽る )
データやシステムの破壊が目的単なるいたずらのケースも多数
セキュリティ問題に対する対応状況数年前・・・
それほどインターネット利用者は多くなかった主に研究目的での利用
大規模システムのサーバなどが攻撃対象台数が少ないので、システム管理者が攻撃に備える準備を 十分に行うことができた
現在では・・・インターネット利用者が急増
常時接続の普及(今や、一般家庭にも浸透)
いつでも、誰でも、どこでも攻撃が可能大規模システムに限らず、一般家庭のコンピュータも対象情報漏洩の被害が急増大手プロバイダ、通販会社などの顧客情報
情報漏洩の問題
なぜ起こるのか?ホームページの構造やシステムの初歩的な設定ミス
初心者が無意識のまま被害にあうこともあり
悪意を持ったクラッカーによる技術的要因システム上の欠陥(セキュリティホール)を発見し、 個人情報を盗み出す
内部関係者による犯罪的行為 組織における情報管理が不十分技術面よりも意識の低さが問題
セキュリティ攻撃に対する防御
一般家庭のコンピュータも攻撃に備える必要芋づる式に伝播するような攻撃が多い特にコンピュータウイルス
攻撃されて被害を受けるのは自分だけではない踏み台にされて、あたかも自分が他人に攻撃していると 判断され、被害に対する責任問題が自分に来る
盗聴、不正侵入などに対する防御の技術通信路の暗号化ユーザ認証
暗号技術
盗聴からデータを保護する技術他人に読み取られても解読不能な状態にする鍵と暗号化アルゴリズムにより暗号化する
元の状態に戻す作業を復号という平文
(暗号化したいデータ)
暗号化復号
暗号文(暗号化されたデータ)
鍵
送信(これを他人が見ても
意味不明)
共通鍵暗号と公開鍵暗号
データを暗号化する際には鍵の扱いが重要鍵の扱い方により共通鍵暗号公開鍵暗号の二種類がある
共通鍵暗号方式
両者が共通の鍵(秘密鍵)を利用この鍵により暗号,復号を行う
暗号化
鍵
送信A
復号
B
公開鍵暗号方式
公開鍵と秘密鍵の二つの鍵を利用公開鍵で暗号化し,対応する秘密鍵で復号
公開鍵みんなに公開して誰でも見れる認証局( CA )に登録するのが普通
秘密鍵人に見られてはいけない
公開鍵暗号方式によるデータ送信
公開鍵で暗号化し、秘密鍵で復号する
登録されたA の公開鍵
送信
A B
CA
秘密鍵で復号
公開鍵で暗号化
あらかじめ登録
CA から鍵を取得
公開鍵
公開鍵暗号の特徴
鍵の秘密配送が不要すでに公開されている公開鍵を利用すればよい
管理する鍵が少ない前の例の A は一組の公開鍵と秘密鍵があればよい共通鍵暗号だと相手ごとに違う鍵が必要
B 用の秘密鍵、 C 用の秘密鍵・・・・・
電子メールでの利用PGP ( Pretty Good Privacy )S/MIME
SSL (Secure Socket layer)
Netscape社が提唱したシステムあらゆる TCP/IP の通信を暗号化WWW と組み合わせて使うことが多い
https: //...... と表記インターネットでの通信販売クレジットカード番号や住所などSSL で通信中はブラウザに鍵マークがつく
メールソフトでも利用Outlook Express などが対応
SSH ( Secure SHell )ホスト間の通信路の暗号化やホスト認証を行うプログラム(リモートシェル)
Telnet ( rlogin ) , FTP での認証パスワード、 流れるデータが暗号化主に UNIX で利用( Linux, BSD系では標準)最近は Windows Mac でも
Windows: Teraterm+SSH, Cygwin ( OpenSSH ) , Putty
Mac: MacSSH
ポートフォワーディングによるトンネリングあるプロトコルのパケットを別のプロトコルでカプセル化 して外部から守る
以下の項目について、メールで送信すること (〆切 7/4 ) LAN 構築演習 2 (ファイル名: jc3a2-k0xxxxx.ppt )
SSH を用いたアプリケーションに関する解説の Web ページを検索して、その URL など内容を簡単に説明
本日の講義に関する質問、コメント、苦情などを メールで送信すること 送信先 : [email protected]
題名 : 0628
学生番号、名前を忘れずに
課題