0
Fourteenforty Research Institute, Inc.
1
Fourteenforty Research Institute, Inc.
最新ポートスキャナ対策
Fourteenforty Research Institu...
Fourteenforty Research Institute, Inc.
2
お題目
• ポートスキャンとは?
• Tarpit を利用した対策
• OpenBSD pf を利用した対策
• Fourteenforty が独自に考案した対策
Fourteenforty Research Institute, Inc.
3
ポートスキャンとは?
• ターゲットサーバ上で、どのようなサービスが
実行されているかを検出する技術
• 脆弱性検出の基本的な手法で、脆弱性管理に
は必須のテクニ...
Fourteenforty Research Institute, Inc.
4
Tarpit
• スキャンを遅らせ、スキャンにかかるコストを増
加させる
• Spam 対策の spam tarpit は有名
• ネットワーク経由で広まるウイル...
Fourteenforty Research Institute, Inc.
5
Tarpit の実装 (アプリケーションレベル)
• アプリケーションレベルで遅延させる(プロトコ
ル検出を遅延させる)
• sendmail 等々で同様の機能あ...
Fourteenforty Research Institute, Inc.
6
Tarpit の実装 (Layer 2, 3)
• TCP Window サイズを 0 にする
→ プロトコル検出を遅延させる
• 存在しない IP アドレスへの...
Fourteenforty Research Institute, Inc.
7
OpenBSD pf
• OpenBSD な人達が作っているファイアウォール
• {Free,Net,Open}BSD で使える
• Windows にも移植され...
Fourteenforty Research Institute, Inc.
8
OpenBSD pf - p0f について
• Passive Os Fingerprinting (受動的OS検出)
• SYN パケットの IP オプションや...
Fourteenforty Research Institute, Inc.
9
Fourteenforty 独自の SYN スキャン対策
• SYN ACK や SYN RST のパケットを強制的に IP フ
ラグメントに分割する
• IP ...
Fourteenforty Research Institute, Inc.
10
強制フラグメント方式の実装
• OpenBSD pf のルールの一部として実装
• ファイアウォールのルールと一緒として、非常
に柔軟な設定が可能
pass o...
Fourteenforty Research Institute, Inc.
11
強制フラグメント方式の構成例
• ファイアウォールとして利用する場合
X
WWW, SMTP
一般ユーザ
SYN スキャナ
強制フラグメント機能付き
Fourteenforty Research Institute, Inc.
12
結論
• ポートスキャナ対策をご紹介
• 今まで無理だと思われていた SYN スキャン対
策を Fourteenforty で考案
• これにより、攻撃にかかる...
Fourteenforty Research Institute, Inc.
13
ありがとうございました
Fourteenforty Research Institute, Inc.
株式会社 フォティーンフォティ技術研究所
http://w...
Upcoming SlideShare
Loading in...5
×

最新ポートスキャン対策

549

Published on

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
549
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
5
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Transcript of "最新ポートスキャン対策"

  1. 1. Fourteenforty Research Institute, Inc. 1 Fourteenforty Research Institute, Inc. 最新ポートスキャナ対策 Fourteenforty Research Institute, Inc. 株式会社 フォティーンフォティ技術研究所 http://www.fourteenforty.jp 取締役 技術担当 金居良治
  2. 2. Fourteenforty Research Institute, Inc. 2 お題目 • ポートスキャンとは? • Tarpit を利用した対策 • OpenBSD pf を利用した対策 • Fourteenforty が独自に考案した対策
  3. 3. Fourteenforty Research Institute, Inc. 3 ポートスキャンとは? • ターゲットサーバ上で、どのようなサービスが 実行されているかを検出する技術 • 脆弱性検出の基本的な手法で、脆弱性管理に は必須のテクニック • したがって、攻撃にも使用される技術 • nmap でスキャンした例 PORT STATE SERVICE VERSION 80/tcp open http Apache httpd 2.3.0-dev ((Unix))
  4. 4. Fourteenforty Research Institute, Inc. 4 Tarpit • スキャンを遅らせ、スキャンにかかるコストを増 加させる • Spam 対策の spam tarpit は有名 • ネットワーク経由で広まるウイルスの伝搬速度 を低下させることが出来る • ipfilter (LinuxのFirewall), LaBrea
  5. 5. Fourteenforty Research Institute, Inc. 5 Tarpit の実装 (アプリケーションレベル) • アプリケーションレベルで遅延させる(プロトコ ル検出を遅延させる) • sendmail 等々で同様の機能あり GET / HTTP/1.0 GET / HTTP/1.0 HTTP/1.0 302 Found H T T P... User AttackerServer
  6. 6. Fourteenforty Research Institute, Inc. 6 Tarpit の実装 (Layer 2, 3) • TCP Window サイズを 0 にする → プロトコル検出を遅延させる • 存在しない IP アドレスへの arp/icmp/SYN scan に答える → 存在しない IP へのポートスキャンやプ ロトコル検出はことごとくタイムアウトする
  7. 7. Fourteenforty Research Institute, Inc. 7 OpenBSD pf • OpenBSD な人達が作っているファイアウォール • {Free,Net,Open}BSD で使える • Windows にも移植されている (機能限定版) • p0f という機能を使ってスキャナー対策が可能
  8. 8. Fourteenforty Research Institute, Inc. 8 OpenBSD pf - p0f について • Passive Os Fingerprinting (受動的OS検出) • SYN パケットの IP オプションやTTL等の特徴 的パターンから接続元のOSを特定する • Fingerprint ファイルが必要 Windows nmapServer SYN SYN ACK SYN Windowsから なので接続許可 nmap からは 接続拒否 SYN RST
  9. 9. Fourteenforty Research Institute, Inc. 9 Fourteenforty 独自の SYN スキャン対策 • SYN ACK や SYN RST のパケットを強制的に IP フ ラグメントに分割する • IP フラグメントは、巨大なデータの分割送信を行う仕 組み • nmap 等のすべての SYN スキャナはフラグメントの 再構成に対応していない • 通常の TCP/IP スタックには影響を与えずに、ポート スキャンだけ出来なくなる • しかも、Fingerprint ファイルが不要!
  10. 10. Fourteenforty Research Institute, Inc. 10 強制フラグメント方式の実装 • OpenBSD pf のルールの一部として実装 • ファイアウォールのルールと一緒として、非常 に柔軟な設定が可能 pass out inet proto tcp from any port 80 to any flags SA/SA forcefrag pass out inet proto tcp from any port 80 to any flags RA/RA forcefrag → port 80 への接続について強制フラグメントを有効にする • nmap で SYN スキャンが出来なくなる事を確認
  11. 11. Fourteenforty Research Institute, Inc. 11 強制フラグメント方式の構成例 • ファイアウォールとして利用する場合 X WWW, SMTP 一般ユーザ SYN スキャナ 強制フラグメント機能付き
  12. 12. Fourteenforty Research Institute, Inc. 12 結論 • ポートスキャナ対策をご紹介 • 今まで無理だと思われていた SYN スキャン対 策を Fourteenforty で考案 • これにより、攻撃にかかるコストを増加させる 事が可能となる
  13. 13. Fourteenforty Research Institute, Inc. 13 ありがとうございました Fourteenforty Research Institute, Inc. 株式会社 フォティーンフォティ技術研究所 http://www.fourteenforty.jp 取締役 技術担当 金居良治 kanai@fourteenforty.jp
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×