janogia20120921 hasegawahirokazu
TRANSCRIPT
![Page 1: Janogia20120921 hasegawahirokazu](https://reader037.vdocuments.pub/reader037/viewer/2022100602/558e41491a28ab6a4d8b4594/html5/thumbnails/1.jpg)
APTによる攻撃の影響を減らす ネットワーク設計
名古屋大学大学院 情報科学研究科 高倉・八槇研究室 M1 長谷川 皓一@IIJ-IIでインターンシップ中
APTによる攻撃の影響を減らすネットワーク設計 1
![Page 2: Janogia20120921 hasegawahirokazu](https://reader037.vdocuments.pub/reader037/viewer/2022100602/558e41491a28ab6a4d8b4594/html5/thumbnails/2.jpg)
APT(新しいタイプの攻撃)の脅威
• 特定の攻撃目標から情報搾取などを行うAPT…
• 国内の大手重工メーカーや衆議院・参議院が狙われたり…
• 既存攻撃の組み合わせにより、対策が困難だったり…
APTによる攻撃の影響を減らすネットワーク設計 2
![Page 3: Janogia20120921 hasegawahirokazu](https://reader037.vdocuments.pub/reader037/viewer/2022100602/558e41491a28ab6a4d8b4594/html5/thumbnails/3.jpg)
APTへの対策
APTによる攻撃の影響を減らすネットワーク設計 3
IPAのガイドラインなどによると
• FWやウイルス対策ソフトなど、
ウイルスが入り込まない対策:入口対策
だけではなく・・・・
ウイルスが入ってしまった場合!
• 情報を持ち出させないための対策:出口対策も重要 • 内部分離
• Proxy経由通信 など
![Page 4: Janogia20120921 hasegawahirokazu](https://reader037.vdocuments.pub/reader037/viewer/2022100602/558e41491a28ab6a4d8b4594/html5/thumbnails/4.jpg)
APTへの対策
APTによる攻撃の影響を減らすネットワーク設計 4
• 具体的に対策を盛り込んで設計
• 内部分離 • ウイルスの拡散範囲を抑える
• 管理系端末の防護
➡VLANによる分離設計、裏LANによるサーバ管理
• プロキシ経由 • バックドア通信の検知・遮断
➡不要なルーティングをなくし、外部との通信はすべてプロキシを経由
![Page 5: Janogia20120921 hasegawahirokazu](https://reader037.vdocuments.pub/reader037/viewer/2022100602/558e41491a28ab6a4d8b4594/html5/thumbnails/5.jpg)
具体的な設計
• 一般ユーザ:部署ごとに分離 • サーバ • 管理グループ(サーバ管理用裏LAN) • プロキシ
5
FW
Proxy
General User Servers
標的システム
Management Group
![Page 6: Janogia20120921 hasegawahirokazu](https://reader037.vdocuments.pub/reader037/viewer/2022100602/558e41491a28ab6a4d8b4594/html5/thumbnails/6.jpg)
一般ユーザ General User
• サーバ、プロキシとのみ通信可能
6
FW
Proxy
General User Servers
標的システム
Management Group
![Page 7: Janogia20120921 hasegawahirokazu](https://reader037.vdocuments.pub/reader037/viewer/2022100602/558e41491a28ab6a4d8b4594/html5/thumbnails/7.jpg)
管理グループ Management Group
• サーバ(裏LAN)とのみ通信可能 (VLANのグループ内での通信のみ)
7
FW
Proxy
General User Servers
標的システム
Management Group
![Page 8: Janogia20120921 hasegawahirokazu](https://reader037.vdocuments.pub/reader037/viewer/2022100602/558e41491a28ab6a4d8b4594/html5/thumbnails/8.jpg)
今回の設計の検証
• AlaxalA AX3630S-24TでVLANとルーティング設定 • ホストの到達可能パス数
• 何も設定していない状態だと…
• ルーティング設定を行った場合
➡内部拡散の範囲を限定できた
外部との通信はプロキシを経由する場合のみ
管理グループへの外部からの到達不可能
APTによる攻撃の影響を減らすネットワーク設計 8
送信元 Ⅰ 一般ユーザ Ⅱ 一般ユーザ Ⅲ Server Ⅳ 管理 Ⅴ Proxy Ⅵ WAN
到達可能地点 すべて:5 すべて:5 すべて:5 すべて:5 すべて:5 すべて:5
送信元 Ⅰ 一般ユーザ Ⅱ 一般ユーザ Ⅲ Server Ⅳ 管理 Ⅴ Proxy Ⅵ WAN
到達可能地点 Ⅲ , Ⅴ:2 Ⅲ , Ⅴ:2 Ⅰ,Ⅱ,Ⅴ:3 なし:0 ⅠⅡⅢⅥ:4 Ⅴ:1
![Page 9: Janogia20120921 hasegawahirokazu](https://reader037.vdocuments.pub/reader037/viewer/2022100602/558e41491a28ab6a4d8b4594/html5/thumbnails/9.jpg)
今回の設計の検証
• AlaxalA AX3630S-24TでVLANとルーティング設定 • RATツール(PoisonIvy) の実行可能性
• ProxyにはSquidをデフォルト設定で使用 • Port 3460, 80 443を使うそれぞれで、Proxy経由あり/なしで検証 • Proxy経由なし:外部と直接通信できないので実行不可 • Proxy経由あり:3460, 80はCONNECT通信の禁止により実行不可
443はSSL用にCONNECT通信許可のため実行可能
APTによる攻撃の影響を減らすネットワーク設計 9
これが使われる可能性が高い…
⬇ 対策を考える必要
![Page 10: Janogia20120921 hasegawahirokazu](https://reader037.vdocuments.pub/reader037/viewer/2022100602/558e41491a28ab6a4d8b4594/html5/thumbnails/10.jpg)
APTによる攻撃の影響を減らすネットワーク設計 10
ありがとうございました。