Upload File

脆弱性対応の仕組みを - janog · 1 アジェンダ zabbix &...

  • Home
  • Documents
  • 脆弱性対応の仕組みを - JANOG · 1 アジェンダ Zabbix & Ansibleを使ったサーバ脆弱性対応 Ansible 2.0で実装されたNetwork module Network機器管理の未来を考えてみる
18
脆弱性対応の仕組みを Zabbix&Ansibleで作ってみた 2016/5/21 DMM.comラボ インフラ統括本部XaaS部 岩崎 惣

Upload: others

Post on 14-Sep-2019

4 views

Category:

Documents


0 download

Report

TRANSCRIPT

Page 1: 脆弱性対応の仕組みを - JANOG · 1 アジェンダ Zabbix & Ansibleを使ったサーバ脆弱性対応 Ansible 2.0で実装されたNetwork module Network機器管理の未来を考えてみる

脆弱性対応の仕組みをZabbix&Ansibleで作ってみた

2016/5/21

DMM.comラボ インフラ統括本部XaaS部

岩崎 惣

Page 2: 脆弱性対応の仕組みを - JANOG · 1 アジェンダ Zabbix & Ansibleを使ったサーバ脆弱性対応 Ansible 2.0で実装されたNetwork module Network機器管理の未来を考えてみる

1

アジェンダ

Zabbix & Ansibleを使ったサーバ脆弱性対応

Ansible 2.0で実装されたNetwork module

Network機器管理の未来を考えてみる

Page 3: 脆弱性対応の仕組みを - JANOG · 1 アジェンダ Zabbix & Ansibleを使ったサーバ脆弱性対応 Ansible 2.0で実装されたNetwork module Network機器管理の未来を考えてみる

2

はじめに

近年、Heartbleedなどの危険度の高い

脆弱性が話題となり関心も高くなってきました。

名前 発生日 システム CVE

Heartbleed 2014/4/7 OpenSSL CVE-2014-0160

CCS Injection 2014/6/5 OpenSSL CVE-2014-0224

ShellShock 2014/9/24 Bash CVE-2014-6271

POODLE 2014/10/14 SSLv3.0 CVE-2014-3566

Grinch 2014/12/17 Linux kernel CVE-2014-9322

FREAK 2015/1/8 SSL/TLS CVE-2015-0204

GHOST 2015/1/28 glibc CVE-2015-0235

Logjam 2015/5/13 SSL/TLS CVE-2015-1716

VENOM 2015/5/13 QEMU CVE-2015-3456

CacheBleed 2016/3/1 SSL/TLS CVE-2016-0702

DROWN 2016/3/1 SSL/TLS CVE-2016-0800

ImageTragick 2016/5/3 ImageMagick CVE-2016-3714

Page 4: 脆弱性対応の仕組みを - JANOG · 1 アジェンダ Zabbix & Ansibleを使ったサーバ脆弱性対応 Ansible 2.0で実装されたNetwork module Network機器管理の未来を考えてみる

3

動画・ライブ配信

オンラインゲーム

弊社でも仮想化やクラウド利用で大量のサーバが有り対応にかかるコストが馬鹿にならなくなってきたので可能な限り自動化できる仕組みを考えてみました

その他サービス群

BigData基盤

Page 5: 脆弱性対応の仕組みを - JANOG · 1 アジェンダ Zabbix & Ansibleを使ったサーバ脆弱性対応 Ansible 2.0で実装されたNetwork module Network機器管理の未来を考えてみる

4

Zabbix & Ansibleで作るRPM管理の仕組み

ZABBIX Server

CentOS

ZABBIX Agent

監視データ収集Item : system.sw.packages[openssl,rpm,full]

値 : [rpm] openssl-1.0.1e-42.el6_7.4.x86_64

値を正規表現でRPMバージョンを評価

バージョンに問題あるとアクションを実行・ホスト・パッケージ情報を渡す・PlayBookを実行

Zabbixから受け取った情報を元に• yum moduleでアップデートを実行 管理者

問題のないバージョンを指定

Page 6: 脆弱性対応の仕組みを - JANOG · 1 アジェンダ Zabbix & Ansibleを使ったサーバ脆弱性対応 Ansible 2.0で実装されたNetwork module Network機器管理の未来を考えてみる

5

Zabbixでのバージョン情報アイテム設定

バージョン情報

Page 7: 脆弱性対応の仕組みを - JANOG · 1 アジェンダ Zabbix & Ansibleを使ったサーバ脆弱性対応 Ansible 2.0で実装されたNetwork module Network機器管理の未来を考えてみる

6

JANOGということで、

ネットワーク機器でも同じようなことが

出来ないか考えてみました

Page 8: 脆弱性対応の仕組みを - JANOG · 1 アジェンダ Zabbix & Ansibleを使ったサーバ脆弱性対応 Ansible 2.0で実装されたNetwork module Network機器管理の未来を考えてみる

7

Ansible

今年1月にAnsible 2.0がリリースされました。

RedHatから下記のようなリリース情報が出ました

Page 9: 脆弱性対応の仕組みを - JANOG · 1 アジェンダ Zabbix & Ansibleを使ったサーバ脆弱性対応 Ansible 2.0で実装されたNetwork module Network機器管理の未来を考えてみる

8

Ansible2.0で対応した機器一覧

対応機器

・A10

・Citrix

・Cumulus

・Arista EOS

・F5

・Cisco IOS,IOSXR,NXOS

・Juniper JUNOS

Page 10: 脆弱性対応の仕組みを - JANOG · 1 アジェンダ Zabbix & Ansibleを使ったサーバ脆弱性対応 Ansible 2.0で実装されたNetwork module Network機器管理の未来を考えてみる

9

Cisco IOSのbinを変更してみる

Ansible Version: Ansible 2.0.2.0

機器:Cisco Catalyst 2960C-12PC-L Switch

OS:IOS Version 12.2(55)EX3

Page 11: 脆弱性対応の仕組みを - JANOG · 1 アジェンダ Zabbix & Ansibleを使ったサーバ脆弱性対応 Ansible 2.0で実装されたNetwork module Network機器管理の未来を考えてみる

10

Play book

※書き方の注意として基本的にAnsibleを実行している環境で実行します

Page 12: 脆弱性対応の仕組みを - JANOG · 1 アジェンダ Zabbix & Ansibleを使ったサーバ脆弱性対応 Ansible 2.0で実装されたNetwork module Network機器管理の未来を考えてみる

11

実行結果

Page 13: 脆弱性対応の仕組みを - JANOG · 1 アジェンダ Zabbix & Ansibleを使ったサーバ脆弱性対応 Ansible 2.0で実装されたNetwork module Network機器管理の未来を考えてみる

12

実行結果

Page 14: 脆弱性対応の仕組みを - JANOG · 1 アジェンダ Zabbix & Ansibleを使ったサーバ脆弱性対応 Ansible 2.0で実装されたNetwork module Network機器管理の未来を考えてみる

13

IOSをAnsibleから触ってみて

• Ansibleの仕様的に仕方がないが初期設定では使えない

• ファームウェアアップデート可能な事はわかった

• moduleを使うととりあえずIOSのコマンド全てが利用できる

• ネットワーク機器moduleのAnsibleドキュメントは間違いが多いので自分で触ってみないとわからない部分が多い

• VLAN追加などの、設定変更での活用が望ましい

Page 15: 脆弱性対応の仕組みを - JANOG · 1 アジェンダ Zabbix & Ansibleを使ったサーバ脆弱性対応 Ansible 2.0で実装されたNetwork module Network機器管理の未来を考えてみる

14

Zabbix & Ansibleで作る未来

ZABBIX Server

CentOS

ZABBIX Agent

監視データ収集• OS側: RPMなどのバージョン• NW機器:ファームウェアバージョン

値を正規表現でバージョンを評価

バージョンに問題あるとアクションを実行・ホスト・パッケージ情報を渡す・PlayBookを実行

Zabbixから受け取った情報を元に• アップデートを実行

Page 16: 脆弱性対応の仕組みを - JANOG · 1 アジェンダ Zabbix & Ansibleを使ったサーバ脆弱性対応 Ansible 2.0で実装されたNetwork module Network機器管理の未来を考えてみる

15

まとめ

• 今回は、脆弱性対応のための脆弱性アップデートをクローズアップしましたが、Zabbixのアラートを基点に設定変更なども可能なのである程度自動での障害対応が可能ではないかと思います

• Ansibleは、マルチベンダーで利用している環境で力を発揮すると思いました

Page 17: 脆弱性対応の仕組みを - JANOG · 1 アジェンダ Zabbix & Ansibleを使ったサーバ脆弱性対応 Ansible 2.0で実装されたNetwork module Network機器管理の未来を考えてみる

Thank You!!

16

Page 18: 脆弱性対応の仕組みを - JANOG · 1 アジェンダ Zabbix & Ansibleを使ったサーバ脆弱性対応 Ansible 2.0で実装されたNetwork module Network機器管理の未来を考えてみる

カスペルスキー 法人向け製品ポートフォリオ · 可能となります。 脆弱性攻撃ブロック (automatic exploit prevention) 脆弱性攻撃ブロックは、マルウェアの

DNSの動向 - iwparchives.jp · dnsソフトウェアの脆弱性 bindの脆弱性の状況 代表的なdnsソフトウェアであるbindにつ いて、2016年は、年間最多となる9件の脆弱性

Android Platform の URLConnection に HTTP ヘッダインジェクションの脆弱性

コストを抑えたPCIDSSソリューション 脆弱性診断+WAF

株式会社 Example ウェブアプリケーション脆弱性診断 報告書

増加する脆弱性を評価するシステム(CVSS)の活用(共通脆弱性評価システム) • 脆弱性に対する汎用的な評価手法 • CVSSv2 とCVSSv3 がある。

さらば、Stagefright 脆弱性

脆弱性検知ツール Vuls を利用した脆弱 ... - IPA · Oracle WebLogic Server の脆弱性を悪用した攻撃 Oracle WebLogic Server は、ウェブサイトや企業アプリケーションの構築等で広く利用され

脆弱性スキャナー Nessus 利用ガイド初級編

Apache ActiveMQ における認証処理不備の脆弱性...Apache ActiveMQ における認証処理不備の脆弱性 ... JPCERT/CC

讀書筆記-Brene brown-脆弱的力量

White Paper 公開ウェブサイトに安心感を! 脆弱性診断のス …...White Paper : 公開ウェブサイトに安心感を!脆弱性診断のススメ 4 93%のウェブサイトが何らかの脆弱性を抱えている

脆弱国家 - SPIRIT · 脆弱国家 瀧川ゼミ (水曜5 限) 小丸優佳子・杉山佳菜・田中帆花. 1.脆弱国家とは. 脆弱国家とは、国民の安全や生計を保証するといった国家の基本的役割を果たすことが困

認識すべき現場の実態...•脆弱性のスキャニング •脆弱性の評価 •脆弱性の改善 •ゼロデイ攻撃リサーチ •サイバー攻撃(犯罪)プロファイリング

BIND9 Dynamic DNS の脆弱性について · 2009 年7 月28 日にBIND 9.x のDynamic DNS の脆弱性(CVE-2009-0696)と、この脆弱 性を突いてDoS 攻撃を行う攻撃コードが公開された。このDoS

Spacewalkにおけるクロスサイト リクエストフォージェリ(CSRF)の脆弱性

[CB16] 難解なウェブアプリケーションの脆弱性 by Andrés Riancho

WideAngle - NTT Communications...OSINTモニタリング 脆弱性診断/セルフ脆弱性診断 脆弱性見える化ソリューション マネージドセキュリティサービス

2014.10 Vol.26 Bash 脆弱性を詳細分析 - jp.ahnlab.com · セキュリティプレス・アン 2 UNIX、Linux、OS関連のBash (Born Again Shell) 脆弱性を詳細分析 Bash脆弱性、「シェルショック」で全世界が震撼

クラウド型Webアプリケーション脆弱性診断ツール VAddy(バ … · クラウド型Webアプリケーション脆弱性診断ツールVAddy 5 Webアプリケーション脆弱性検査を全ての人へ

SSLサーバ証明書のオプション機能で ウェブサイトの脆弱性 …e-staffingシステム 脆弱性アセスメントの仕組 ③脆弱性を発見し たら、管理者メー

見つけた脆弱性について(cybozu.com Security Challenge)

シスコ脆弱性データベース(VDB)アップ デート 299 のリリース ... · 脆弱性データベースアップデート299でサポートされる アプリケーションの合計数

脆弱性もバグ、だからテストしよう DevSummiFukuoka

Discussion AIの脆弱性について

シスコ脆弱性データベース(VDB)アップ デート …...脆弱性データベースアップデート309でサポートされる アプリケーションの合計数

~深刻度を評価する「CVSS」を利用した脆弱性対策について ...活用例 脆弱性対策情報 被害を受けるポテンシャ ル ・脆弱性の深刻度の調査

~脆弱性調査ツールの解説と法の動向~ 独立行政法 …2018年9月26日(水) 目次 1. 脆弱性発見手法の学習 2. 脆弱性の評価方法 3. 脆弱性情報の取扱いについて

ネットワーク家電と脆弱性 by 堀部 千壽

Adobe Reader/Acrobat のゼロデイ脆弱性 · Adobe Reader/Acrobat のゼロデイ脆弱性 (CVE-2009-4324) N T T コミュニケーションズ株式会社 ITマネジメントサービス事業部

プロトコルの脆弱性 - JPNIC...2004/10/05  · TCP/IP プロトコルの脆弱性 Internet Initiative Japan Inc. IP, ICMP, UDP, TCP の既知の脆弱性 低機能レイヤ:

理化学研究所健康脆弱化予知予防コンソーシアム 運動機能の ...理化学研究所健康脆弱化予知予防コンソーシアム 運動機能の脆弱化予知予防研究会

IoTデバイス脆弱性テストの決定版!cornet-solutions.co.jp/top/pdf/OnwardSecurity.pdf · 2020. 5. 28. · iotデバイス脆弱性テストの決定版! edsacrt(ファジング)、edsavit(脆弱性スキャン)

ソフトウェアテストとしての脆弱性診断と 開発プロセスの継続的 … · • Apache, PHP, JRE(Java), Tomcat, … • 脆弱性は世界中で調査され、日々新たな脆弱性が報告される

現場で使える脆弱性検査サービス VAddy