最新ポートスキャン対策
Upcoming SlideShare
Loading in...5
×

Like this? Share it with your network

Share
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
No Downloads

Views

Total Views
749
On Slideshare
749
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
1
Comments
0
Likes
1

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Fourteenforty Research Institute, Inc. 1 Fourteenforty Research Institute, Inc. 最新ポートスキャナ対策 Fourteenforty Research Institute, Inc. 株式会社 フォティーンフォティ技術研究所 http://www.fourteenforty.jp 取締役 技術担当 金居良治
  • 2. Fourteenforty Research Institute, Inc. 2 お題目 • ポートスキャンとは? • Tarpit を利用した対策 • OpenBSD pf を利用した対策 • Fourteenforty が独自に考案した対策
  • 3. Fourteenforty Research Institute, Inc. 3 ポートスキャンとは? • ターゲットサーバ上で、どのようなサービスが 実行されているかを検出する技術 • 脆弱性検出の基本的な手法で、脆弱性管理に は必須のテクニック • したがって、攻撃にも使用される技術 • nmap でスキャンした例 PORT STATE SERVICE VERSION 80/tcp open http Apache httpd 2.3.0-dev ((Unix))
  • 4. Fourteenforty Research Institute, Inc. 4 Tarpit • スキャンを遅らせ、スキャンにかかるコストを増 加させる • Spam 対策の spam tarpit は有名 • ネットワーク経由で広まるウイルスの伝搬速度 を低下させることが出来る • ipfilter (LinuxのFirewall), LaBrea
  • 5. Fourteenforty Research Institute, Inc. 5 Tarpit の実装 (アプリケーションレベル) • アプリケーションレベルで遅延させる(プロトコ ル検出を遅延させる) • sendmail 等々で同様の機能あり GET / HTTP/1.0 GET / HTTP/1.0 HTTP/1.0 302 Found H T T P... User AttackerServer
  • 6. Fourteenforty Research Institute, Inc. 6 Tarpit の実装 (Layer 2, 3) • TCP Window サイズを 0 にする → プロトコル検出を遅延させる • 存在しない IP アドレスへの arp/icmp/SYN scan に答える → 存在しない IP へのポートスキャンやプ ロトコル検出はことごとくタイムアウトする
  • 7. Fourteenforty Research Institute, Inc. 7 OpenBSD pf • OpenBSD な人達が作っているファイアウォール • {Free,Net,Open}BSD で使える • Windows にも移植されている (機能限定版) • p0f という機能を使ってスキャナー対策が可能
  • 8. Fourteenforty Research Institute, Inc. 8 OpenBSD pf - p0f について • Passive Os Fingerprinting (受動的OS検出) • SYN パケットの IP オプションやTTL等の特徴 的パターンから接続元のOSを特定する • Fingerprint ファイルが必要 Windows nmapServer SYN SYN ACK SYN Windowsから なので接続許可 nmap からは 接続拒否 SYN RST
  • 9. Fourteenforty Research Institute, Inc. 9 Fourteenforty 独自の SYN スキャン対策 • SYN ACK や SYN RST のパケットを強制的に IP フ ラグメントに分割する • IP フラグメントは、巨大なデータの分割送信を行う仕 組み • nmap 等のすべての SYN スキャナはフラグメントの 再構成に対応していない • 通常の TCP/IP スタックには影響を与えずに、ポート スキャンだけ出来なくなる • しかも、Fingerprint ファイルが不要!
  • 10. Fourteenforty Research Institute, Inc. 10 強制フラグメント方式の実装 • OpenBSD pf のルールの一部として実装 • ファイアウォールのルールと一緒として、非常 に柔軟な設定が可能 pass out inet proto tcp from any port 80 to any flags SA/SA forcefrag pass out inet proto tcp from any port 80 to any flags RA/RA forcefrag → port 80 への接続について強制フラグメントを有効にする • nmap で SYN スキャンが出来なくなる事を確認
  • 11. Fourteenforty Research Institute, Inc. 11 強制フラグメント方式の構成例 • ファイアウォールとして利用する場合 X WWW, SMTP 一般ユーザ SYN スキャナ 強制フラグメント機能付き
  • 12. Fourteenforty Research Institute, Inc. 12 結論 • ポートスキャナ対策をご紹介 • 今まで無理だと思われていた SYN スキャン対 策を Fourteenforty で考案 • これにより、攻撃にかかるコストを増加させる 事が可能となる
  • 13. Fourteenforty Research Institute, Inc. 13 ありがとうございました Fourteenforty Research Institute, Inc. 株式会社 フォティーンフォティ技術研究所 http://www.fourteenforty.jp 取締役 技術担当 金居良治 kanai@fourteenforty.jp