windows 2000 server これだけは やっておこう
DESCRIPTION
Windows 2000 Server これだけは やっておこう. たかはしもとのぶ [email protected] http://www.monyo.com/. なぜ「これだけは」なのか. セキュリティに完璧はない - しかし際限なくセキュリティを強化するわけにもいかない 技術的に 100% は無理 完璧に近づけるにしたがい、求められる費用や技術力が青天井に - セキュリティも費用対効果の世界 かといって、何もせずに放置するのも論外. で、結局どこまでなにをすればよいか ?. 周りの ( だめだめな ) 管理者にどこまで言うべき ?. - PowerPoint PPT PresentationTRANSCRIPT
All Rights Reserved, Copyright. TAKAHASHI Motonobu ([email protected]) 2002
Windows 2000 Serverこれだけはこれだけはやっておこう
たかはしもとのぶ[email protected]://www.monyo.com/
2 All Rights Reserved, Copyright. TAKAHASHI Motonobu ([email protected]) 2003
なぜ「これだけは」なのかセキュリティに完璧はない - しかし際限なくセキュリティを強化するわけにもいかない 技術的に 100% は無理 完璧に近づけるにしたがい、求められる費用や技術
力が青天井に - セキュリティも費用対効果の世界セキュリティも費用対効果の世界
かといって、何もせずに放置するのも論外
で、結局どこまでなにをすればよいか ?
周りの ( だめだめな ) 管理者にどこまで言うべき ?
3 All Rights Reserved, Copyright. TAKAHASHI Motonobu ([email protected]) 2003
では、どこまでやるか ? -何もしてないと……
IIS サーバで任意のコマンドを実行する http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-026
セキュリティ対策をしていないと、いかに危険
か
http://< 対象ホスト >/scripts/..%255c..%255c/winnt/system32/cmd.exe?/c+dir+c:\winnt
4 All Rights Reserved, Copyright. TAKAHASHI Motonobu ([email protected]) 2003
不正アクセス毎日のようにクラッキングが成功している スクリプトキディスクリプトキディ
による攻撃が多いによる攻撃が多いhttp://tsukachan.dip.jp/ より、 2002 年 10 月にクラッキングされたサイトのリスト
5 All Rights Reserved, Copyright. TAKAHASHI Motonobu ([email protected]) 2003
不正アクセスをする人って……スクリプトキディ (Script Kiddy) 他人のツールを利用して興味本位で攻撃をかける 技術力は低い。痕跡を残す Web ページ改竄など、インパクトがある行動を好
む 普通の対策を行っていれば侵入されることはない
プロフェッショナル 情報入手 ( もしくは破壊行為 ) が目的 技術力が高い。痕跡を残さない 表立った行動は行わず、長期的に活動を行う
6 All Rights Reserved, Copyright. TAKAHASHI Motonobu ([email protected]) 2003
流行したワームSlammer ワーム (2003/01)
MS02-039: SQL Server 2000 解決サービスの…… (2002/07/25)
BugBear ワーム (2002/10) MS01-020: 不適切な MIME ヘッダーが原因で…… (2001/3/30)
Nimda ワーム (2001/09) MS01-026: 2001 年 5 月 14 日 IIS 用の…… (2001/5/15)
・・・
感染が多いワームは、既知の脆弱性を突いたものばかり
7 All Rights Reserved, Copyright. TAKAHASHI Motonobu ([email protected]) 2003
では、どこまでやるか - まとめ基本的な対策を確実に行う 最新の(セキュリティホールのない)バージョン、プロダクト
の使用 不要なサービスは停止、不要なファイルは削除する データを外部から参照可能なところに置かない
運用管理体制を整える 新規のセキュリティホールに随時対応していく
インターネットのサイトとして常識的なセキュリティ 安易に踏み台にだけはされないレベルのセキュリティ 既知の不具合には対処を行ってある状態
常識的 ? なセキュリティレベルでも、破るのはかなり困難
All Rights Reserved, Copyright. TAKAHASHI Motonobu ([email protected]) 2002
これだけはやっておこう、なこと
ツッコミかんげいやっと本題に
9 All Rights Reserved, Copyright. TAKAHASHI Motonobu ([email protected]) 2003
IIS のインストール余計なものはインストールしない (含 IIS以外 )
IIS で最低限必要なコンポーネントは右の 3つ必要に応じて、 ftp,SMTP(メール機能 )等をインストールするFrontPage はインストールしないことを推奨
10 All Rights Reserved, Copyright. TAKAHASHI Motonobu ([email protected]) 2003
IIS Lockdown ツールの実行セキュリティツールキットで配布IIS のセキュリティ維持に必要な作業をウィザード形式で実行してくれる 不要なサービスの停止 不要な拡張子マッピング
の削除 仮想ディレクトリ削除 URLScan のインストール
安易に実行せず、設定される内容をきちんと確認すること
11 All Rights Reserved, Copyright. TAKAHASHI Motonobu ([email protected]) 2003
URLScan の設定リクエスト中に含まれる不正な URL を遮断する IIS Lockdown のインストール過程でインストール
最新の URLScan 2.5 は Web からダウンロード
相対パスが使えなくなる
設定内容を把握する
EXE ファイルは実行できなくなる
12 All Rights Reserved, Copyright. TAKAHASHI Motonobu ([email protected]) 2003
余計なポートをとじる
fport などで現状確認 Windows XPでは、 netstat -o コマンドでも可
fport(http://www.foundstone.com/)
把握していないポートがオープンしていないように
する
tlist -s コマンドで services/svchost の提供サービスを列挙
13 All Rights Reserved, Copyright. TAKAHASHI Motonobu ([email protected]) 2003
不要なサービスを停止する「管理ツール」ー「サービス」から不要なサービスを停止する
開きポートの確認と併せて実施
どこまで停止するかは悩みどころ(特に Server サービス ) 、不要かどうか判断のつかないものもある
14 All Rights Reserved, Copyright. TAKAHASHI Motonobu ([email protected]) 2003
セキュリティテンプレートの利用
ここまで説明したセキュリティ設定などを手早く構成 / 確認できるツール mmc から「セキュリティ テンプレート」と「セキュリ
ティの構成と分析」スナップインを追加する
安易に構成を適用すると、提供サービスが無効になることもあるので、必ず設定内容を確認してから適用すること
現在の設定がテンプレートの基準をクリアしているかどうかが確認
できる
15 All Rights Reserved, Copyright. TAKAHASHI Motonobu ([email protected]) 2003
パケットフィルタWeb サーバであれば、 ( サービス内容にも依存するが )ポート 80 と 443以外は遮断するルータで行うことを推奨 Windows 自身で行うときは、 RRAS(Routing and Rem
ote Access Service) サービスを有効にする RRAS がないと複雑な設定は行えない
netsh routing ip add filter " ローカル エリア接続 " input 0.0.0.0 0.0.0.0 192.168.230.128 255.255.255.255 proto=tcp srcport=any dstport=23
telnetポートへの接続をフィルタする例
16 All Rights Reserved, Copyright. TAKAHASHI Motonobu ([email protected]) 2003
Hotfix( セキュリティ修正モジュール ) の適用
セキュリティホールに追従するためには必須Windows Update に頼らないこと Windows Update 適用可能なもの以外にも、サーバ製品用を中心に、様々な Hotfixが存在
とにかく適用すればよいというものでもない提供サービスに影響がでないかを評価する必要あり暫定対処して、定期メンテ時に導入などの解も考えられ
る
Hotfixを適用するかの最終判断は管理者が行う
17 All Rights Reserved, Copyright. TAKAHASHI Motonobu ([email protected]) 2003
Microsoft セキュリティメールの購読
セキュリティ情報の更新を確実に受信できるようにする内容を確認の上、対処の検討を行うこと
http://www.microsoft.com/japan/technet/security/bulletin/notify.asp
18 All Rights Reserved, Copyright. TAKAHASHI Motonobu ([email protected]) 2003
HFNetChk で現状確認セキュリティ上必要な Hotfixの適用状態を調査するツール 情報が格納されている s
tksecure.xml ファイルを最新版にしてチェックすることを忘れずに
一括適用には qchain の利用が便利
各Hotfixの内容はきちんと確認すること
19 All Rights Reserved, Copyright. TAKAHASHI Motonobu ([email protected]) 2003
最低限の「インターネットのサイトとして常識的なセキュリティ」を確保する
最低限なにをやるか - まとめ最新のバージョン、プロダクトの使用 HFNetChk/ セキュリティメールの購読
不要なサービスは停止、不要なファイルは削除 IIS Lockdown ツール /URLScan/ パケットフィ
ルタ
新規のセキュリティホールに随時対応していく セキュリティメールの購読 + 適切な適用
20 All Rights Reserved, Copyright. TAKAHASHI Motonobu ([email protected]) 2003
リソースTechNet セキュリティ センター
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/default.asp
マイクロソフト プロダクト セキュリティ 警告サービス 日本語版 http://www.microsoft.com/japan/technet/security/bulletin/notify.asp
セキュリティ ツール http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/tec
hnet/security/tools/tools.asp 各種ドキュメントや、 HfNetChk 、 IIS Lockdown ツールなどへのリンクがあ
る
セキュリティホール memo http://www.st.ryukoku.ac.jp/~kjm/security/memo/
IPAセキュリティセンター http://www.ipa.go.jp/security/
21 All Rights Reserved, Copyright. TAKAHASHI Motonobu ([email protected]) 2003
リソース (2)今回紹介したツール
HFNetChk - ホットフィックスの適用状態を確認するツール IISLockdown ツール - IIS の設定をセキュアにするウィザード URLScan - 不正な URL を遮断するツール
RRAS(Routing and Remote Access Service) VPN やパケットフィルタを提供するサービス。標準では「無効」になっている
セキュリティテンプレート / セキュリティの構成と分析 予め作成したセキュリティテンプレートの設定にコンピュータの現在の設定が合致しているかの分析や、セキュリティテンプレートの設定の適用を行うツール
fport - 開放ポートを使っているプロセスを表示するツール
http://www.microsoft.com/japan/technet/security/tools/tools.asp
http://www.foundstone.com/knowledge/free_tools.html