Janogia20120921 hasegawahirokazu

746 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
746
On SlideShare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
7
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Janogia20120921 hasegawahirokazu

  1. 1. APTによる攻撃の影響を減らすネットワーク設計 1 APTによる攻撃の影響を減らすネットワーク設計 名古屋大学大学院 情報科学研究科高倉・八槇研究室 M1長谷川 皓一@IIJ-IIでインターンシップ中
  2. 2. APTによる攻撃の影響を減らすネットワーク設計 2 APT(新しいタイプの攻撃)の脅威 •  特定の攻撃目標から情報搾取などを行うAPT…•  国内の大手重工メーカーや衆議院・参議院が狙われたり…•  既存攻撃の組み合わせにより、対策が困難だったり…
  3. 3. APTによる攻撃の影響を減らすネットワーク設計 3 APTへの対策 IPAのガイドラインなどによると•  FWやウイルス対策ソフトなど、 ウイルスが入り込まない対策:入口対策 だけではなく・・・・ ウイルスが入ってしまった場合!•  情報を持ち出させないための対策:出口対策も重要 •  内部分離 •  Proxy経由通信 など
  4. 4. APTによる攻撃の影響を減らすネットワーク設計 4 APTへの対策 •  具体的に対策を盛り込んで設計•  内部分離 •  ウイルスの拡散範囲を抑える •  管理系端末の防護 ➡VLANによる分離設計、裏LANによるサーバ管理•  プロキシ経由 •  バックドア通信の検知・遮断 ➡不要なルーティングをなくし、外部との通信はすべてプロキシを経由
  5. 5. 5 具体的な設計 General Servers User FW Proxy 標的システム Management Group •  一般ユーザ:部署ごとに分離•  サーバ•  管理グループ(サーバ管理用裏LAN)•  プロキシ
  6. 6. 6 一般ユーザ General User General Servers User FW Proxy 標的システム Management Group •  サーバ、プロキシとのみ通信可能
  7. 7. 7 管理グループ Management Group General Servers User FW Proxy 標的システム Management Group •  サーバ(裏LAN)とのみ通信可能(VLANのグループ内での通信のみ)
  8. 8. APTによる攻撃の影響を減らすネットワーク設計 8 今回の設計の検証 •  AlaxalA AX3630S-24TでVLANとルーティング設定 •  ホストの到達可能パス数 •  何も設定していない状態だと… 送信元 Ⅰ 一般ユーザ Ⅱ 一般ユーザ Ⅲ Server Ⅳ 管理 Ⅴ Proxy Ⅵ WAN 到達可能地点 すべて:5 すべて:5 すべて:5 すべて:5 すべて:5 すべて:5 •  ルーティング設定を行った場合 送信元 Ⅰ 一般ユーザ Ⅱ 一般ユーザ Ⅲ Server Ⅳ 管理 Ⅴ Proxy Ⅵ WAN 到達可能地点 Ⅲ , Ⅴ:2 Ⅲ , Ⅴ:2 Ⅰ,Ⅱ,Ⅴ:3 なし:0 ⅠⅡⅢⅥ:4 Ⅴ:1 ➡内部拡散の範囲を限定できた   外部との通信はプロキシを経由する場合のみ   管理グループへの外部からの到達不可能
  9. 9. APTによる攻撃の影響を減らすネットワーク設計 9 今回の設計の検証 •  AlaxalA AX3630S-24TでVLANとルーティング設定•  RATツール(PoisonIvy) の実行可能性 •  ProxyにはSquidをデフォルト設定で使用 •  Port 3460, 80 443を使うそれぞれで、Proxy経由あり/なしで検証 •  Proxy経由なし:外部と直接通信できないので実行不可 •  Proxy経由あり:3460, 80はCONNECT通信の禁止により実行不可            443はSSL用にCONNECT通信許可のため実行可能 これが使われる可能性が高い… ➡ 対策を考える必要
  10. 10. APTによる攻撃の影響を減らすネットワーク設計 10 ありがとうございました。

×