• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
最新ポートスキャン対策
 

最新ポートスキャン対策

on

  • 574 views

 

Statistics

Views

Total Views
574
Views on SlideShare
574
Embed Views
0

Actions

Likes
1
Downloads
1
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    最新ポートスキャン対策 最新ポートスキャン対策 Presentation Transcript

    • Fourteenforty Research Institute, Inc. 1 Fourteenforty Research Institute, Inc. 最新ポートスキャナ対策 Fourteenforty Research Institute, Inc. 株式会社 フォティーンフォティ技術研究所 http://www.fourteenforty.jp 取締役 技術担当 金居良治
    • Fourteenforty Research Institute, Inc. 2 お題目 • ポートスキャンとは? • Tarpit を利用した対策 • OpenBSD pf を利用した対策 • Fourteenforty が独自に考案した対策
    • Fourteenforty Research Institute, Inc. 3 ポートスキャンとは? • ターゲットサーバ上で、どのようなサービスが 実行されているかを検出する技術 • 脆弱性検出の基本的な手法で、脆弱性管理に は必須のテクニック • したがって、攻撃にも使用される技術 • nmap でスキャンした例 PORT STATE SERVICE VERSION 80/tcp open http Apache httpd 2.3.0-dev ((Unix))
    • Fourteenforty Research Institute, Inc. 4 Tarpit • スキャンを遅らせ、スキャンにかかるコストを増 加させる • Spam 対策の spam tarpit は有名 • ネットワーク経由で広まるウイルスの伝搬速度 を低下させることが出来る • ipfilter (LinuxのFirewall), LaBrea
    • Fourteenforty Research Institute, Inc. 5 Tarpit の実装 (アプリケーションレベル) • アプリケーションレベルで遅延させる(プロトコ ル検出を遅延させる) • sendmail 等々で同様の機能あり GET / HTTP/1.0 GET / HTTP/1.0 HTTP/1.0 302 Found H T T P... User AttackerServer
    • Fourteenforty Research Institute, Inc. 6 Tarpit の実装 (Layer 2, 3) • TCP Window サイズを 0 にする → プロトコル検出を遅延させる • 存在しない IP アドレスへの arp/icmp/SYN scan に答える → 存在しない IP へのポートスキャンやプ ロトコル検出はことごとくタイムアウトする
    • Fourteenforty Research Institute, Inc. 7 OpenBSD pf • OpenBSD な人達が作っているファイアウォール • {Free,Net,Open}BSD で使える • Windows にも移植されている (機能限定版) • p0f という機能を使ってスキャナー対策が可能
    • Fourteenforty Research Institute, Inc. 8 OpenBSD pf - p0f について • Passive Os Fingerprinting (受動的OS検出) • SYN パケットの IP オプションやTTL等の特徴 的パターンから接続元のOSを特定する • Fingerprint ファイルが必要 Windows nmapServer SYN SYN ACK SYN Windowsから なので接続許可 nmap からは 接続拒否 SYN RST
    • Fourteenforty Research Institute, Inc. 9 Fourteenforty 独自の SYN スキャン対策 • SYN ACK や SYN RST のパケットを強制的に IP フ ラグメントに分割する • IP フラグメントは、巨大なデータの分割送信を行う仕 組み • nmap 等のすべての SYN スキャナはフラグメントの 再構成に対応していない • 通常の TCP/IP スタックには影響を与えずに、ポート スキャンだけ出来なくなる • しかも、Fingerprint ファイルが不要!
    • Fourteenforty Research Institute, Inc. 10 強制フラグメント方式の実装 • OpenBSD pf のルールの一部として実装 • ファイアウォールのルールと一緒として、非常 に柔軟な設定が可能 pass out inet proto tcp from any port 80 to any flags SA/SA forcefrag pass out inet proto tcp from any port 80 to any flags RA/RA forcefrag → port 80 への接続について強制フラグメントを有効にする • nmap で SYN スキャンが出来なくなる事を確認
    • Fourteenforty Research Institute, Inc. 11 強制フラグメント方式の構成例 • ファイアウォールとして利用する場合 X WWW, SMTP 一般ユーザ SYN スキャナ 強制フラグメント機能付き
    • Fourteenforty Research Institute, Inc. 12 結論 • ポートスキャナ対策をご紹介 • 今まで無理だと思われていた SYN スキャン対 策を Fourteenforty で考案 • これにより、攻撃にかかるコストを増加させる 事が可能となる
    • Fourteenforty Research Institute, Inc. 13 ありがとうございました Fourteenforty Research Institute, Inc. 株式会社 フォティーンフォティ技術研究所 http://www.fourteenforty.jp 取締役 技術担当 金居良治 kanai@fourteenforty.jp