セキュキャンまとめ
TRANSCRIPT
セキュリティキャンプ2013~行ってきました
セキュリティキャンプとは
2004年から毎年夏に開催する4泊5日のイベント
22歳以下の学生が参加できる
交通費宿泊費全て無料
OllyDbg,IDAPro,などを中心としたソフトウェア解析手法概説
OS,コンパイラによるセキュリティ機能
セキュリティ機能に対する攻撃,その対策法
ソフトウェアセキュリティ
Webブラウザと同一オリジンポリシー
クロスオリジンリソースシェアリング
脆弱性の原因と対策
クロスサイトスクリプティング
CSRF オープンリダイレクタ
Webセキュリティ
パケット工作と攻撃への応用
偽装通信の攻撃的/防御的応用
侵入検知とその回避
各種パケット送信と対処方法の実施および発表
ネットワークセキュリティ
>本クラスでは各自テーマを決めて何らかのソフトウェアを開発します。具体的な指導内容は担当のゼミ講師によって異なります。このクラスに参加するための条件もゼミごとに個別に設定されています。
(以下略)
セキュアなシステムを作ろう
特別講義
セキュリティ倫理
ハッカー検事
NICT「DAEDALUS」「nicter」「NIRVANA」
nicter
DAEDALUS
nicter で構築した大規模ダークネット観測網を活用した対サイバー攻撃アラートシステム 組織内から送出される異常な通信をダークネット観測網で捉え、
当該組織に対してアラート情報を送信することで、 セキュリティインシデントへの迅速な対応を可能とします。
NIRVANA
通信を「見える化」することで、ネットワークの輻輳・切断等の障害や、 設定ミス等を瞬時に見つけ出すことを可能にし、
ネットワーク管理者の負荷を大幅に軽減します。その結果、 ネットワーク管理が迅速化・効率化され、管理コストの低減につながります。
事前学習課題
パケット工作から学ぶ ネットワークセキュリティ
講師 Eiji James Yoshida
概要
TCP/IPパケットの生成ツールや解析ツールを使い、普段は意識することのないネットワーク上でのパケットのやりとりについて体験する
ネットワークセキュリティの技術として有名なポートスキャンやOS推測について、それらの仕組みや特性を理解する
基礎ICMPパケットのキャプチャ、送信
送信元、送信先IP、タイプ、コードの解析
TCPパケットのキャプチャ、送信
3way Handshake
hping
UDPパケットのキャプチャ、送信
応用(ポートスキャン)
TCPポートスキャン
SYNポートスキャン
FINポートスキャン
UDPポートスキャン
OS推測
まとめパケット工作はツールとTCP/IPの基本的な知識があれば誰でもできる
パケット工作で各パケットの値を任意に変更できることから、パケットフィルタリングやファイアウォールのフィルタリングルールを考える際にはその点を注意する
色々なパケットを送信することで、反応からリモートのOSを推測できる
侵入検知講師
株式会社LAC 川口洋
概要
さまざまなパケットログを解析して、それぞれの攻撃の特徴をつかみ検知を行えるようなシグネチャーの作成をする
演習
ポート番号クイズ(20-13701までの主要なポート)
ウイルス通信クイズ(各ウイルスの特徴当て)
Apacheログ解析(怪しい通信を見つける)
IDSツール、Snortでのシグネチャー生成
シグネチャー例送信元IPアドレスが172.17.0.7であるTCP通信
alert tcp 172.17.0.7 any -> any any (msg:”test”; sid:1000000;)
送信元3241/tcpから送信先80/tcpへの通信
alert tcp any 3241 -> any 80 (msg:”test”; sid 10000000;)
User-AgentがFirefoxであるTCP通信
alert tcp any any -> any any (msg:”test” ; content:”Firefox”; nocase; sid:10000000;)
データサイズが1000バイトより大きいTCP通信
alert tcp any any -> any any (msg:”test”; dsize:>1000; sid:10000000;)
まとめ
挙動を知っていれば侵入検知にて対策が可能
知っていなくても怪しい通信の検知ができる
経験が大切
偽装通信 ~警戒されない不審通信
講師 NTTデータ 宮本久仁男
概要
通信プロトコルと偽装通信
偽装通信と暗号通信
偽装通信に対応するための指針
偽装通信のアプローチ
本来「通信データとして使われる」と意図されていないところに「任意の」データを配置する
データを受信するタイミングを符号化する
通信を隠す場所TCPペイロード
HTTP Tunnel
ICMPペイロード
PingTunnell
TCPヘッダ
covert_tcp.c
UDPペイロード
dns2tcp
暗号化通信IPSec
IPペイロードを暗号化、認証
SSL
TCPペイロードを暗号化
認証から暗号化までの仕組みがSSLには含まれる
偽装通信を暗号通信の違い暗号通信
通信内容を知られたくない
通信していること自体は知られてもOK
偽装通信
有意な通信をしていることを知られたくない
実際に発生しうる通信と偽装させたい
偽装通信への対策
見破る
通常のトラフィックと異常のトラフィックとの違い
これも経験?
そもそも怪しい通信を外に出さない
制限ネットワークの構築
制限ネットワークの構築例
クライアントによるDNSの名前解決を許可しない
パケットの転送をしない
POSTのサイズ、GETのURL長の制限をスる
Proxyサーバの配置
偽装通信を守りに利用
DNSキャッシュサーバへ通過するトラフィックに含まれるDNSクエリを解析し、サーバが応答を返す前に別の値へ改ざんしたレコードを返す
ネットワークにおける機器の 特定と問題の検出 ~組み込み機器の応答から学ぶ~
講師 IPA 勝海直人
概要
これまでの講義で学習したことを基に、実際のネットワーク機器に対してさまざまなパケットを送る
攻める立場を通して守る立場を考える
機器を見つける自らパケットを送ってその応答で発見
ARP Request/Reply
ICMP Echo Request/Reply 相手が送ってくるパケットを基に発見
ブロードキャストリクエスト
マルチキャストリクエスト
機器を特定する
サービスを調べる
ポートスキャン
アプリケーションを調べる
サービスに接続してみる(SSHならバナーが出る)
機器を攻撃する
パケットの量を細工する
10、20のパケットならOK。100万個なら?
DoS攻撃
機器を攻撃する
パケットの中身を細工する
HTTPのGETリクエストで考える
Ethernet,IP,TCP,HTTPの各ヘッダ
変なデータを埋め込む
機器にありそうな脆弱性をつくようなデータ
演習
実際に送ってみる
Ubuntu 9.10に対するソフトウェア「ISIC」によるファジング
IPv6ヘッダで不正な値が書き込まれると再起動する
その他
初めてCTFやりました。