close
プログラミング クラウド Microsoft Azure 情報処理資格 基本情報技術者 IT基礎 応用情報技術者 開発・設計方法 オブジェクト指向 内定者・新人研修 プログラミング基礎 アルゴリズム コンピュータ数学 内定者研修 新人研修 ヒューマンスキル プロジェクトマネジメント プレゼンテーション リーダーシップ 組織マネジメント ネゴシエーション ロジカルシンキング Java UI/UX HTTP JavaScript基礎 情報処理資格 ネットワークスペシャリスト ネットワーク インターネットルーティング応用 IPアドレス データベース応用 SQL応用 パフォーマンスチューニング データベース設計 ER図 概念設計(データベース) 論理設計(データベース) IT資格 Linux基礎 OS・システム基盤 セキュリティ TCP/IP OSI参照モデル データベースセキュリティ ファイアウォール 標的型攻撃 SQLインジェクション ネットワーク基本設計 CCNA Cisco プロジェクトマネジメント資格 情報処理資格プロジェクトマネージャ 情報処理安全確保支援士 人事給与 財務会計 管理会計 簿記 生産管理 在庫管理 ERP バランススコアカード 情報処理資格 ITアーキテクト 情報処理資格 ITストラテジスト 情報処理資格 ITサービスマネジメント 情報処理資格 システム監査 PMBOK® PMP® プロジェクト計画 WBS リスクコントロール ITIL ITサービスマネジメント 要求定義 要件定義 見積手法 ビジネスインダストリ 業種・業界知識 業務知識 提案力 ソフトウェアテスト基礎 情報処理資格 データベーススペシャリスト ハードウェア基礎 外部設計(基本設計) 内部設計(詳細設計) データベース基礎 SQL基礎 RDBMS 物理設計(データベース) C++ Ruby MVC基礎 Webアプリケーション開発 JavaEE Javaプログラミング応用 フレームワーク MVC応用 Spring フレームワーク ソフトウェアテスト応用 テスト手法 Junit スマートフォンアプリ開発 Androidアプリ開発 C# 基礎 C# 応用 負荷テスト Javaプログラミング基礎 ソフトウェアテスト コーチング メンタリング HTML/CSS サーバー構築 仮想化技術 KVS (NoSQL) アジャイル スクラム ファシリテーション C言語 ITパスポート JSTQB データサイエンス 単体テスト ユニットテスト キャリアアップ インターネットルーティング基礎 パケット解析 LAN構築 データベース データサイエンティスト トレンド 障害対応 インフラ監視 HTTP/2.0 コンピュータサイエンス VPN ネットワーク物理設計 データベース障害 JavaScript モダンJS (Modern JavaScript) 応用 MVS応用 バックアップ/リカバリ 分散処理 Hadoop Hive Python AI 深層学習(DeepLearning) CentOS Linux応用 Zabbix シェルスクリプト Infrastructure as Code Windowsサーバー基礎 内部設計 Docker DevOps Windowsサーバー応用 NginX chef Ainsible ロジカルライティング R テスト自動化 Jenkins Git 継続的インテグレーション (CI) バージョン管理 Vagrant 要求分析 Redmine 継続的インテグレーション(CI) 継続的デリバリー (CD) ヒューマンリソース管理 Web API マイクロサービス コミュニケーション 業務知識/業界知識 マーケティング 語学 AWS 法務 IoT ビジネスマナー OJT 業務効率化 表計算ソフト オフィスソフト コンプライアンス フロントエンド Subversion PHP 関数型プログラミング Laravel モダンJS (Modern JavaScript) 基礎 Android Studio 機械学習 iOSアプリ開発 ぷプログラミング React 次世代高度IT人材 共創 IPA Raspberry Pi Xamarin スクリプト言語 GoF CUI VBA 資格 ビジネス文書 jQuery 研修参加レポート マネジメント OSPF テーブル設計 アンガーマネジメント クリティカル・シンキング PDU 経営改善 Pマーク 問題解決技法 サイバー攻撃 エンジニア 参加してみた エンゲージメントマネジメント 労働関連法 新人育成 ネットワーク構築 情報セキュリティマネジメント デザインパターン リファクタリング マルチスレッドプログラミング ベンダーコントロール Modern JavaScript 冗長化 VLAN インフラエンジニア チームビルディング テストケース リーダブルコード セキュリティ入門 ネットワーク入門 Node.js npm gulp ビルドツール Python入門 冗長化入門 インフラ実機演習 プロジェクト管理 Active Directory ネットワーク管理 コンテナ 正規化理論 Haskell 品質管理 OpenStack シンギュラリティ DBA中級 プロトコル UX 基本設計 FinTech トラブルシューティング 並列処理 見える化 PMO ロジカルコミュニケーション Deep Learning インデックス設計 超上流工程 BGP Excel C-CENT Selenide プライベートクラウド アセンブラ コンピュータ基礎 工数見積 CCENT 法律知識 失敗から学ぶ プロジェクト失敗事例 PDCA プログラミング入門 非エンジニア向け 4Biz DNS セルフマネジメント 片付け術 サーバーダウン サーバー タイムマネジメント GO言語 プロダクトマネジメント プロダクトマネージャ LVS ロードバランサー 負荷分散 仮想通過 犯罪心理学 情報漏えい SEカレッジ導入事例 IT研修を聞いてみた 会社規模 (100~300名) IT研修制度を聞いてみた CentOS7 開発環境構築 数字力 財務 IT人材 UI Machine Learning Go言語 (golang) データマイニング 統計学 新人教育 やり直し数学 RDB つながる工場 モチベーション WebSocket WebWorker HTML5 CSS3 Bootstrap 微分・積分 システム設計 決断力 LAMP環境 トレ担 教育研修担当者向け ルーティング Linux入門 図解術 目標設定 試験対策 インタビュー技法 Vue.js ブロックチェーン 会社規模 (~50名) DHCP 仕掛け学 BSC 財務諸表 自己分析 RIP スタティックルート バッファオーバーフロー DoS攻撃 システム開発 会社規模 (~99名) Wireshark パケットキャプチャ 管理職研修 部下育成 ワークあり 文章力 情報システム部門向け プロジェクトリーダー プロジェクトマネージャ 塗り絵 リスク管理 法改定 会社の仕組み Chainer AI人材 会話術 会社規模 (~25名) テスト技法 組織規模 51名~99名 組織規模:~199名 [組織規模]199名まで 組織規模 199名まで 組織規模199名まで 会社規模199名まで 会社規模49名まで 会社規模99名まで アプリ開発 サーバサイドJava 営業知識 Cloud 栄養学 基本コマンド ウォーターフォールモデル ヘルスケア 論理設計 ニューラルネットワーク ハンズオン UML 顧客ヒアリング マウスで学ぶ Apache EC2 Lightsail

ネットワークセキュリティの基本パターン 研修コースに参加してみた

本コースならびにこのレポートは、あくまで教育研修上の観点から、仮想環境で攻撃手法を再現したものです。

以前にもレポートした 仮想環境で学ぶセキュリティ実践 というコース同様に、今回はネットワーク、オンラインを経由した攻撃にどんなものがあるのか、攻撃パターンを知るだけでなく、体験ができました。

うーむ、いちいち恐るべき攻撃であり、セキュリティは他人事ではない感が強く感じられる内容でした。。

ネットワークエンジニアだけでなく、開発・運用問わず、システムに携わっているITエンジニアは体験したほうがよい怖さに思います。
(ホラー映画を見るより、コワい?)

では、どんな内容だったのか、レポートします!!

 

コース情報

想定している受講者 PCおよびサーバー、ネットワークに関する基礎知識があること
受講目標 基本的な攻撃手法と安全性を確保するための手法について理解する

 

講師紹介

インフラと言えば、 新谷 泰英 さん です。

このレポートでは 15回目 のご登場となり、最多となりました! 本当にありがとうございます!!

新谷 泰英

新谷 泰英
どうすれば技術を身につけられるか、理解できるか、研究しつづけるインフラ系の人気トレーナー

 

ということで、いつものように「新谷と申します」という簡単な自己紹介で、コーススタートです。

 

 

ネットワークセキュリティの重要性

言わずもがなですが、セキュリティは鎖のようなもので、ネットワークだけ強化しても、他が弱ければ、意味がありません。

 

漏洩したパスワード

先程のスライドにあったパスワード流出について、少しだけ掘り下げます。

 

  • これはB2Cのパスワード
  • 人間の自然な振る舞いだと、こうなってしまう
  • 定期更新は必要だが、定期更新させると、結局、こうなってしまう
    • ちなみに `qwerty` はキーボード配列の左から右
    • “パスワードランキング 20**” のように検索すると同じように出てくる
  • “Password Dictionary” はセキュリティ担保する側の辞書

 

最近の事例

  • 米ヤフーで全30億以上のアカウントが流出
  • Mirai というbotを使った DDoS攻撃

 

最近のパスワード流出の桁数が全く違ってしまったように感じるのは私だけでしょうか。

ちなみに、個人情報流出などのインシデント一覧があったはずと思って、ググるとありました。

 

個人情報漏洩事件・被害事例一覧

 

内容を見ると、2週間に一度ぐらいの頻度で報告されています。。SIer が名指しになっているケースもあり、他人事ではありません。。。

この中にもありますが、日本では宅ふぁいる便のパスワード流出、欧米ではFacebook/Instagram でパスワードを平文で保存していたと、ニュースになっていましたね。

 

 

ネットワークセキュリティの基本要素

  • 弱いところをつくのがハッカー
  • 弱いところを作らないようにするのがディフェンス
  • ちなみに可用性は稼働時間で見られます

 

このあたりは先日の “仮想環境で学ぶセキュリティ実践” でも触れられていましたね。

 

 

脅威とその対策

ここで、セキュリティを脅かす脅威を分類して、それに対する対策をまとめて頂きました。

 

 

なお、こういったことが起こっても復旧できるようにするのがディザスタリカバリです。

 

 

ネットワークを経由した主な攻撃パターン

全体の話から、ここからはインターネット上のシステムに対する攻撃にフォーカスします。

その攻撃の手順をまず解説いただきました。

  1. 攻撃対象をみつける
    • ポートスキャン: IPアドレス
  2. 見つけたら予備調査
    • ポートスキャン: ポート番号
  3. 脆弱性の調査
    • 弱いところ / 侵入しやすそうなところを探す
  4. 侵入
  5. 管理権限の奪取
    • バッファオーバーフロー
  6. バックドアの設置

 

では、実際に手順をなぞり、ポートスキャン、脆弱性の調査をどのように行っているのか、確かめてみます。

 

ポートスキャン

  • OSI参照モデルとポート

 

7 Application
6
5
4 TCP | UDP ポート番号 (約65,000)
3 IP IPアドレス (約37億)
2 LAN/WAN | MAC Address
1

 

  • ポートすべてを調査するのは、人間がやるには途方も無いけど、いまの 2.5GHz のスペックからすると、そんな大変なことではない
  • なので、ポートスキャンはよく行われる
  • つまり、ポートスキャンが増えたなら、攻撃の予兆とも言える

 

対策

  • 対策としては2つ
    • ファイアウォールを使ってポートスキャンそのものをさせない -> 普通の通信も遮断してしまうのでNG
    • IPS / IDS を使いましょう
      • IDS (Intrusion Detection System 侵入検知システム) で攻撃の予兆を発見
        • 事前にSSLアクセラレータなどでファイアウォール通過後に暗号通信 https を解除
        • パケットの中をスキャンして、ウィルスのパターンを検知
        • 検知パターンの更新が必要
        • 例えば、数字のみ (IPアドレス) でのアクセスならはじく
      • IPS (Intrusion Prevention System 侵入防止システム) で対策・防御

 

本来なら IDS だけで予兆を発見して防げば良いのですが、複雑になってしまうそうです。

そこで、発見だけにフォーカスをあてると出来るとのことでした。

 

実際やってみましょう

  • nmap の使い方

 

  • 結果

この情報だけでも色々とアタックできそうな箇所、OpenSSH 5.3, Apache httpd 2.2.15 などがわかります。

ポートスキャンで攻撃対象が見つかれば、それに応じて、パスワードクラックやバッファオーバーフロー、DoS攻撃などが行われます。

 

パスワードクラック

よく行われる攻撃、パスワードクラックのやり方と、どんな攻撃なのか、やってみます。

  • パスワード
    • 基本的にはパスワードは暗号化されてDBにストアされている
    • 不可逆なので復号はムリという前提
  • パスワードクラックのやり方
    • ソーシャルエンジニアリング
      • ダメ元で推測や勘などでやる
    • 辞書攻撃
      • パスワードディクショナリ
      • 数十万のパスワードリストを使う
    • ブルートフォース攻撃
      • 総当たりですべての文字の組み合わせを試す
      • ただ総当たりだと時間が掛かりすぎるので、短縮化できるレインボーテーブルなどを使う
      • Windows XPなど古いシステムは2~3分で破れる
    • 認証回避
      • IDとパスワードを入力せずに、認証そのものをパスする
      • SQLインジェクション、盗聴など
      • パスワードをいかに強化しても、それをかいくぐればいいという考え方

 

最後の認証回避で出てきた 盗聴 とは、ログイン情報が送信されたときの通信を盗む、もしくはログイン後に発行されるセッションIDを盗む、どちらかで行うものです。

なので、盗聴されても中がわからないように、暗号化通信 (SSL/TLS [詳しくは後ほど] ) を推奨しましょう。

 

SQLインジェクション

認証回避の典型例である、SQLインジェクションを実際にやってみます。

以前にも、データベースのコマンドで実行していたコースがありましたが、今回は実際にWebページのログインフォームからやってみます。

  • ユーザ名: OR 'a'='a
  • パスワード: なんでもOK

 

 

なにこれ、コワい。。。 単純な攻撃なのでコストもそれほど掛かりませんね。。

詳細は他のコースでも解説していますので、ぜひ、そちらをご覧ください!

 

 

対策

では、なぜ、ファイアウォールではこのSQLインジェクション対策ができないのでしょうか。

  • ファイアウォールはIPアドレスとポート、手紙でいうと宛名しか見ていない
    • 中身 (パケット) を見ていない
    • そもそもパケット分割しているので、集約しているとパンクする
    • いまや https 通信でパケットは暗号化されている
  • Web通信に限った Web Apprication Framework (WAF) ならできる

 

結論、アプリケーション側で対策し、WAF (後述) を入れるという対策が有効です。

 

バッファオーバーフロー

SQLインジェクションにつづき、認証回避のメジャーなやり方、バッファオーバーフローについて、どのような攻撃なのか、解説いただきました。

 

  • ある文字数に制限のある名前のフォームがあったとする
    • 制限値を超えて入力
    • 超えた値は、想定していないメモリ (スタック) に保存される
    • これを利用するのがバッファオーバーフロー

 

 

防御する仕組み

今回挙がったような攻撃に対して、どのようにディフェンスする仕組みを構築するのか、アインウィルスやセキュリティ教育など、様々に紹介いただきました。

ここでは、その中からいくつか絞って紹介します。

  • SSL/TLS
    • いわゆる https 通信 (通信の暗号化)
    • NetScape社が開発
    • SSL 3 まで開発したところで、インターネットでの標準に移行
    • TLS (Transport Layer Security) となった
    • いまは TLS 1.2 が多い (1.3 がRFCに)
  • WAF (Web application Firewall)
    • Web Server を保護するもの
    • ファイアウォールと併用
    • ブラウザからみてファイアウォールの後ろに置かれる
    • Webサーバにきたパケットを連結させて検査する
    • 検査してOKならWebサーバにパケットを渡す
    • パターン検知しているので、更新が必要
  • CDNを使ったディフェンス
    • 構成
      • [インターネット] <-> [CDN (世界各地にある)] <-> [Webサーバ]
    • akamai, fastly, AWS Cloud Front など
    • キャッシュとしての機能だけでなく、最近はセキュリティ対策としても有効
    • DDoS対策
      • 攻撃を分散できる
    • その他、https 通信、サーバ証明書管理、WAFもやってくれる

 

CDNでは最近 fastly さんの事例が増えてますね。

 

 

dev.to は、感動ものの速さでしたよね。。。カックイイなぁ。

このCDNを解説いただいたところで、このコースは修了しました。

 

 

まとめ

以前にもレポートした 仮想環境で学ぶセキュリティ実践 というコース同様に、今回はネットワーク、オンラインを経由した攻撃にどんなものがあるのか、パターンとあわせて体験ができました。

コース中では、これ以外にも攻撃手法を試していて、講師用PCを対象として medusa を使ったブルートフォースや、バッファオーバーフロー、DoS攻撃などもデモしていただきました。

うーむ、いちいち恐るべき攻撃であり、セキュリティは他人事ではない感が強く感じられる内容でした。。

ネットワークエンジニアだけでなく、開発・運用問わず、システムに携わっているITエンジニアは体験したほうがよい怖さに思います。

 

 

無料見学、資料請求などお問い合わせはこちらから!!

SEカレッジについて

特集・キャンペーン

よくある質問集

タグ一覧

参加してみた研修参加レポートJavaセキュリティLinux基礎基本情報技術者プロジェクトマネジメントPythonプログラミングオブジェクト指向AIプログラミング基礎SQL基礎ネットワークコミュニケーションデータベースヒューマンスキルマネジメント資格JavaScriptC# 基礎アルゴリズムテーブル設計エンジニアファイアウォールIoTソフトウェアテストSQL応用仮想化技術デザインパターンビジネスマナーパケット解析ビジネス文書jQueryDockerPMBOK®問題解決技法Linux入門プログラミング入門Linux応用教育研修担当者向けプレゼンテーションLAN構築工数見積Raspberry Piテスト自動化RDBMS単体テストJavaプログラミング基礎トレンド情報処理資格障害対応データベース基礎ネットワーク入門インフラエンジニアコンテナWindowsサーバー基礎IT研修制度を聞いてみたJavaプログラミング応用データサイエンスAWSロジカルシンキングデータベース設計SEカレッジ導入事例GoFアジャイルVLANサーバサイドJavaコーチング要求定義マルチスレッドプログラミングロジカルライティングアンガーマネジメントプロジェクトマネージャWBS新人研修インフラ実機演習パフォーマンスチューニングC# 応用テストケースModern JavaScript簿記Active DirectoryER図シェルスクリプトDNSPマークリファクタリングCCNAExcelHTML/CSS新人育成JavaScript基礎ベンダーコントロールVPNプロトコルデータベースセキュリティ非エンジニア向けインデックス設計プロジェクト管理ZabbixITIL品質管理RDBOSPFSQLインジェクションスクラムPython入門財務JavaEEITパスポート統計学Deep Learning応用情報技術者Vue.jsサイバー攻撃CentOSクラウドCloudサーバー構築ネットワーク構築データサイエンティスト物理設計(データベース)LVS機械学習データベース障害DHCP経営改善エンゲージメントマネジメント試験対策UI/UXCentOS7Webアプリケーション開発ロジカルコミュニケーションヘルスケアIT基礎TCP/IP営業知識内定者研修トラブルシューティングCisco要件定義片付け術業務効率化DBA中級マーケティング正規化理論リスク管理プロダクトマネージャUIクリティカル・シンキングブロックチェーン図解術フレームワーク決断力法律知識見える化情報セキュリティマネジメント会社の仕組み法改定UXOS・システム基盤冗長化次世代高度IT人材会社規模99名までソフトウェアテスト基礎BGPセキュリティ入門ウォーターフォールモデルプロジェクト失敗事例関数型プログラミングデータベース応用JunitルーティングPDCAリーダーシップ仮想通過IPA論理設計(データベース)プロダクトマネジメントIT人材HTTP/2.0論理設計OSI参照モデル犯罪心理学CCENT表計算ソフト塗り絵開発環境構築管理職研修情報漏えい栄養学会社規模199名までMachine LearningHTML5ビジネスインダストリサーバーインターネットルーティング応用インターネットルーティング基礎基本コマンドLAMP環境MVC基礎ロードバランサーPMOCSS3Windowsサーバー応用財務諸表PHPIPアドレスITサービスマネジメントテスト手法システム開発自己分析GO言語インタビュー技法セルフマネジメントOJTHTTP会社規模49名までプロジェクト計画業務知識/業界知識Wiresharkマウスで学ぶ微分・積分RIP冗長化入門Laravel会話術WebSocketC-CENTNode.jsチームビルディングネゴシエーションパケットキャプチャIT資格新人教育Apacheシステム設計スタティックルートモダンJS (Modern JavaScript) 基礎テスト技法並列処理財務会計ニューラルネットワークWebWorkerSelenide内部設計見積手法サーバーダウンnpmリスクコントロールMicrosoft AzureHaskellスクリプト言語やり直し数学EC2継続的インテグレーション (CI)バッファオーバーフローPDUハンズオンプライベートクラウドgulpフロントエンド超上流工程目標設定4Bizリーダブルコードソフトウェアテスト応用アプリ開発Lightsail失敗から学ぶ継続的インテグレーション(CI)DoS攻撃Go言語 (golang)UMLアセンブラタイムマネジメントビルドツールChainer数字力基本設計つながる工場情報システム部門向けOpenStackPMP®負荷分散ネットワーク管理共創概念設計(データベース)データマイニング顧客ヒアリングBootstrapコンピュータ基礎chefコンピュータ数学AI人材FinTechインフラ監視モチベーション労働関連法Infrastructure as Codeプロジェクトリーダーシンギュラリティ

過去の記事