close
プログラミング クラウド Microsoft Azure 情報処理資格 基本情報技術者 IT基礎 応用情報技術者 開発・設計方法 オブジェクト指向 内定者・新人研修 プログラミング基礎 アルゴリズム コンピュータ数学 内定者研修 新人研修 ヒューマンスキル プロジェクトマネジメント プレゼンテーション リーダーシップ 組織マネジメント ネゴシエーション ロジカルシンキング Java UI/UX HTTP JavaScript基礎 情報処理資格 ネットワークスペシャリスト ネットワーク インターネットルーティング応用 IPアドレス データベース応用 SQL応用 パフォーマンスチューニング データベース設計 ER図 概念設計(データベース) 論理設計(データベース) IT資格 Linux基礎 OS・システム基盤 セキュリティ TCP/IP OSI参照モデル データベースセキュリティ ファイアウォール 標的型攻撃 SQLインジェクション ネットワーク基本設計 CCNA Cisco プロジェクトマネジメント資格 情報処理資格プロジェクトマネージャ 情報処理安全確保支援士 人事給与 財務会計 管理会計 簿記 生産管理 在庫管理 ERP バランススコアカード 情報処理資格 ITアーキテクト 情報処理資格 ITストラテジスト 情報処理資格 ITサービスマネジメント 情報処理資格 システム監査 PMBOK® PMP® プロジェクト計画 WBS リスクコントロール ITIL ITサービスマネジメント 要求定義 要件定義 見積手法 ビジネスインダストリ 業種・業界知識 業務知識 提案力 ソフトウェアテスト基礎 情報処理資格 データベーススペシャリスト ハードウェア基礎 外部設計(基本設計) 内部設計(詳細設計) データベース基礎 SQL基礎 RDBMS 物理設計(データベース) C++ Ruby MVC基礎 Webアプリケーション開発 JavaEE Javaプログラミング応用 フレームワーク MVC応用 Spring フレームワーク ソフトウェアテスト応用 テスト手法 Junit スマートフォンアプリ開発 Androidアプリ開発 C# 基礎 C# 応用 負荷テスト Javaプログラミング基礎 ソフトウェアテスト コーチング メンタリング HTML/CSS サーバー構築 仮想化技術 KVS (NoSQL) アジャイル スクラム ファシリテーション C言語 ITパスポート JSTQB データサイエンス 単体テスト ユニットテスト キャリアアップ インターネットルーティング基礎 パケット解析 LAN構築 データベース データサイエンティスト トレンド 障害対応 インフラ監視 HTTP/2.0 コンピュータサイエンス VPN ネットワーク物理設計 データベース障害 JavaScript モダンJS (Modern JavaScript) 応用 MVS応用 バックアップ/リカバリ 分散処理 Hadoop Hive Python AI 深層学習(DeepLearning) CentOS Linux応用 Zabbix シェルスクリプト Infrastructure as Code Windowsサーバー基礎 内部設計 Docker DevOps Windowsサーバー応用 NginX chef Ainsible ロジカルライティング R テスト自動化 Jenkins Git 継続的インテグレーション (CI) バージョン管理 Vagrant 要求分析 Redmine 継続的インテグレーション(CI) 継続的デリバリー (CD) ヒューマンリソース管理 Web API マイクロサービス コミュニケーション 業務知識/業界知識 マーケティング 語学 AWS 法務 IoT ビジネスマナー OJT 業務効率化 表計算ソフト オフィスソフト コンプライアンス フロントエンド Subversion PHP 関数型プログラミング Laravel モダンJS (Modern JavaScript) 基礎 Android Studio 機械学習 iOSアプリ開発 ぷプログラミング React 次世代高度IT人材 共創 IPA Raspberry Pi Xamarin スクリプト言語 GoF CUI VBA 資格 ビジネス文書 jQuery 研修参加レポート マネジメント OSPF テーブル設計 アンガーマネジメント クリティカル・シンキング PDU 経営改善 Pマーク 問題解決技法 サイバー攻撃 エンジニア 参加してみた エンゲージメントマネジメント 労働関連法 新人育成 ネットワーク構築 情報セキュリティマネジメント デザインパターン リファクタリング マルチスレッドプログラミング ベンダーコントロール Modern JavaScript 冗長化 VLAN インフラエンジニア チームビルディング テストケース リーダブルコード セキュリティ入門 ネットワーク入門 Node.js npm gulp ビルドツール Python入門 冗長化入門 インフラ実機演習 プロジェクト管理 Active Directory ネットワーク管理 コンテナ 正規化理論 Haskell 品質管理 OpenStack シンギュラリティ DBA中級 プロトコル UX 基本設計 FinTech トラブルシューティング 並列処理 見える化 PMO ロジカルコミュニケーション Deep Learning インデックス設計 超上流工程 BGP Excel C-CENT Selenide プライベートクラウド アセンブラ コンピュータ基礎 工数見積 CCENT 法律知識 失敗から学ぶ プロジェクト失敗事例 PDCA プログラミング入門 非エンジニア向け 4Biz DNS セルフマネジメント 片付け術 サーバーダウン サーバー タイムマネジメント GO言語 プロダクトマネジメント プロダクトマネージャ LVS ロードバランサー 負荷分散 仮想通過 犯罪心理学 情報漏えい SEカレッジ導入事例 IT研修を聞いてみた 会社規模 (100~300名) IT研修制度を聞いてみた CentOS7 開発環境構築 数字力 財務 IT人材 UI Machine Learning Go言語 (golang) データマイニング 統計学 新人教育 やり直し数学 RDB つながる工場 モチベーション WebSocket WebWorker HTML5 CSS3 Bootstrap 微分・積分 システム設計 決断力 LAMP環境 トレ担 教育研修担当者向け ルーティング Linux入門 図解術 目標設定 試験対策 インタビュー技法 Vue.js ブロックチェーン 会社規模 (~50名) DHCP 仕掛け学 BSC 財務諸表 自己分析 RIP スタティックルート バッファオーバーフロー DoS攻撃 システム開発 会社規模 (~99名) Wireshark パケットキャプチャ 管理職研修 部下育成 ワークあり 文章力 情報システム部門向け プロジェクトリーダー プロジェクトマネージャ 塗り絵 リスク管理 法改定 会社の仕組み Chainer AI人材 会話術 会社規模 (~25名) テスト技法 組織規模 51名~99名 組織規模:~199名 [組織規模]199名まで 組織規模 199名まで 組織規模199名まで 会社規模199名まで 会社規模49名まで 会社規模99名まで アプリ開発 サーバサイドJava 営業知識 Cloud

ネットワークセキュリティの基本パターン 研修コースに参加してみた

本コースならびにこのレポートは、あくまで教育研修上の観点から、仮想環境で攻撃手法を再現したものです。

以前にもレポートした 仮想環境で学ぶセキュリティ実践 というコース同様に、今回はネットワーク、オンラインを経由した攻撃にどんなものがあるのか、攻撃パターンを知るだけでなく、体験ができました。

うーむ、いちいち恐るべき攻撃であり、セキュリティは他人事ではない感が強く感じられる内容でした。。

ネットワークエンジニアだけでなく、開発・運用問わず、システムに携わっているITエンジニアは体験したほうがよい怖さに思います。
(ホラー映画を見るより、コワい?)

では、どんな内容だったのか、レポートします!!

 

コース情報

想定している受講者 PCおよびサーバー、ネットワークに関する基礎知識があること
受講目標 基本的な攻撃手法と安全性を確保するための手法について理解する

 

講師紹介

インフラと言えば、 新谷 泰英 さん です。

このレポートでは 15回目 のご登場となり、最多となりました! 本当にありがとうございます!!

新谷 泰英

新谷 泰英
どうすれば技術を身につけられるか、理解できるか、研究しつづけるインフラ系の人気トレーナー

 

ということで、いつものように「新谷と申します」という簡単な自己紹介で、コーススタートです。

 

 

ネットワークセキュリティの重要性

言わずもがなですが、セキュリティは鎖のようなもので、ネットワークだけ強化しても、他が弱ければ、意味がありません。

 

漏洩したパスワード

先程のスライドにあったパスワード流出について、少しだけ掘り下げます。

 

  • これはB2Cのパスワード
  • 人間の自然な振る舞いだと、こうなってしまう
  • 定期更新は必要だが、定期更新させると、結局、こうなってしまう
    • ちなみに `qwerty` はキーボード配列の左から右
    • “パスワードランキング 20**” のように検索すると同じように出てくる
  • “Password Dictionary” はセキュリティ担保する側の辞書

 

最近の事例

  • 米ヤフーで全30億以上のアカウントが流出
  • Mirai というbotを使った DDoS攻撃

 

最近のパスワード流出の桁数が全く違ってしまったように感じるのは私だけでしょうか。

ちなみに、個人情報流出などのインシデント一覧があったはずと思って、ググるとありました。

 

個人情報漏洩事件・被害事例一覧

 

内容を見ると、2週間に一度ぐらいの頻度で報告されています。。SIer が名指しになっているケースもあり、他人事ではありません。。。

この中にもありますが、日本では宅ふぁいる便のパスワード流出、欧米ではFacebook/Instagram でパスワードを平文で保存していたと、ニュースになっていましたね。

 

 

ネットワークセキュリティの基本要素

  • 弱いところをつくのがハッカー
  • 弱いところを作らないようにするのがディフェンス
  • ちなみに可用性は稼働時間で見られます

 

このあたりは先日の “仮想環境で学ぶセキュリティ実践” でも触れられていましたね。

 

 

脅威とその対策

ここで、セキュリティを脅かす脅威を分類して、それに対する対策をまとめて頂きました。

 

 

なお、こういったことが起こっても復旧できるようにするのがディザスタリカバリです。

 

 

ネットワークを経由した主な攻撃パターン

全体の話から、ここからはインターネット上のシステムに対する攻撃にフォーカスします。

その攻撃の手順をまず解説いただきました。

  1. 攻撃対象をみつける
    • ポートスキャン: IPアドレス
  2. 見つけたら予備調査
    • ポートスキャン: ポート番号
  3. 脆弱性の調査
    • 弱いところ / 侵入しやすそうなところを探す
  4. 侵入
  5. 管理権限の奪取
    • バッファオーバーフロー
  6. バックドアの設置

 

では、実際に手順をなぞり、ポートスキャン、脆弱性の調査をどのように行っているのか、確かめてみます。

 

ポートスキャン

  • OSI参照モデルとポート

 

7 Application
6
5
4 TCP | UDP ポート番号 (約65,000)
3 IP IPアドレス (約37億)
2 LAN/WAN | MAC Address
1

 

  • ポートすべてを調査するのは、人間がやるには途方も無いけど、いまの 2.5GHz のスペックからすると、そんな大変なことではない
  • なので、ポートスキャンはよく行われる
  • つまり、ポートスキャンが増えたなら、攻撃の予兆とも言える

 

対策

  • 対策としては2つ
    • ファイアウォールを使ってポートスキャンそのものをさせない -> 普通の通信も遮断してしまうのでNG
    • IPS / IDS を使いましょう
      • IDS (Intrusion Detection System 侵入検知システム) で攻撃の予兆を発見
        • 事前にSSLアクセラレータなどでファイアウォール通過後に暗号通信 https を解除
        • パケットの中をスキャンして、ウィルスのパターンを検知
        • 検知パターンの更新が必要
        • 例えば、数字のみ (IPアドレス) でのアクセスならはじく
      • IPS (Intrusion Prevention System 侵入防止システム) で対策・防御

 

本来なら IDS だけで予兆を発見して防げば良いのですが、複雑になってしまうそうです。

そこで、発見だけにフォーカスをあてると出来るとのことでした。

 

実際やってみましょう

  • nmap の使い方

 

  • 結果

この情報だけでも色々とアタックできそうな箇所、OpenSSH 5.3, Apache httpd 2.2.15 などがわかります。

ポートスキャンで攻撃対象が見つかれば、それに応じて、パスワードクラックやバッファオーバーフロー、DoS攻撃などが行われます。

 

パスワードクラック

よく行われる攻撃、パスワードクラックのやり方と、どんな攻撃なのか、やってみます。

  • パスワード
    • 基本的にはパスワードは暗号化されてDBにストアされている
    • 不可逆なので復号はムリという前提
  • パスワードクラックのやり方
    • ソーシャルエンジニアリング
      • ダメ元で推測や勘などでやる
    • 辞書攻撃
      • パスワードディクショナリ
      • 数十万のパスワードリストを使う
    • ブルートフォース攻撃
      • 総当たりですべての文字の組み合わせを試す
      • ただ総当たりだと時間が掛かりすぎるので、短縮化できるレインボーテーブルなどを使う
      • Windows XPなど古いシステムは2~3分で破れる
    • 認証回避
      • IDとパスワードを入力せずに、認証そのものをパスする
      • SQLインジェクション、盗聴など
      • パスワードをいかに強化しても、それをかいくぐればいいという考え方

 

最後の認証回避で出てきた 盗聴 とは、ログイン情報が送信されたときの通信を盗む、もしくはログイン後に発行されるセッションIDを盗む、どちらかで行うものです。

なので、盗聴されても中がわからないように、暗号化通信 (SSL/TLS [詳しくは後ほど] ) を推奨しましょう。

 

SQLインジェクション

認証回避の典型例である、SQLインジェクションを実際にやってみます。

以前にも、データベースのコマンドで実行していたコースがありましたが、今回は実際にWebページのログインフォームからやってみます。

  • ユーザ名: OR 'a'='a
  • パスワード: なんでもOK

 

 

なにこれ、コワい。。。 単純な攻撃なのでコストもそれほど掛かりませんね。。

詳細は他のコースでも解説していますので、ぜひ、そちらをご覧ください!

 

 

対策

では、なぜ、ファイアウォールではこのSQLインジェクション対策ができないのでしょうか。

  • ファイアウォールはIPアドレスとポート、手紙でいうと宛名しか見ていない
    • 中身 (パケット) を見ていない
    • そもそもパケット分割しているので、集約しているとパンクする
    • いまや https 通信でパケットは暗号化されている
  • Web通信に限った Web Apprication Framework (WAF) ならできる

 

結論、アプリケーション側で対策し、WAF (後述) を入れるという対策が有効です。

 

バッファオーバーフロー

SQLインジェクションにつづき、認証回避のメジャーなやり方、バッファオーバーフローについて、どのような攻撃なのか、解説いただきました。

 

  • ある文字数に制限のある名前のフォームがあったとする
    • 制限値を超えて入力
    • 超えた値は、想定していないメモリ (スタック) に保存される
    • これを利用するのがバッファオーバーフロー

 

 

防御する仕組み

今回挙がったような攻撃に対して、どのようにディフェンスする仕組みを構築するのか、アインウィルスやセキュリティ教育など、様々に紹介いただきました。

ここでは、その中からいくつか絞って紹介します。

  • SSL/TLS
    • いわゆる https 通信 (通信の暗号化)
    • NetScape社が開発
    • SSL 3 まで開発したところで、インターネットでの標準に移行
    • TLS (Transport Layer Security) となった
    • いまは TLS 1.2 が多い (1.3 がRFCに)
  • WAF (Web application Firewall)
    • Web Server を保護するもの
    • ファイアウォールと併用
    • ブラウザからみてファイアウォールの後ろに置かれる
    • Webサーバにきたパケットを連結させて検査する
    • 検査してOKならWebサーバにパケットを渡す
    • パターン検知しているので、更新が必要
  • CDNを使ったディフェンス
    • 構成
      • [インターネット] <-> [CDN (世界各地にある)] <-> [Webサーバ]
    • akamai, fastly, AWS Cloud Front など
    • キャッシュとしての機能だけでなく、最近はセキュリティ対策としても有効
    • DDoS対策
      • 攻撃を分散できる
    • その他、https 通信、サーバ証明書管理、WAFもやってくれる

 

CDNでは最近 fastly さんの事例が増えてますね。

 

 

dev.to は、感動ものの速さでしたよね。。。カックイイなぁ。

このCDNを解説いただいたところで、このコースは修了しました。

 

 

まとめ

以前にもレポートした 仮想環境で学ぶセキュリティ実践 というコース同様に、今回はネットワーク、オンラインを経由した攻撃にどんなものがあるのか、パターンとあわせて体験ができました。

コース中では、これ以外にも攻撃手法を試していて、講師用PCを対象として medusa を使ったブルートフォースや、バッファオーバーフロー、DoS攻撃などもデモしていただきました。

うーむ、いちいち恐るべき攻撃であり、セキュリティは他人事ではない感が強く感じられる内容でした。。

ネットワークエンジニアだけでなく、開発・運用問わず、システムに携わっているITエンジニアは体験したほうがよい怖さに思います。

 

 

無料見学、資料請求などお問い合わせはこちらから!!

SEカレッジについて

特集・キャンペーン

よくある質問集

タグ一覧

参加してみた研修参加レポートセキュリティJava基本情報技術者プロジェクトマネジメントLinux基礎Pythonプログラミングオブジェクト指向コミュニケーションAISQL基礎プログラミング基礎テーブル設計マネジメントネットワークJavaScriptヒューマンスキルデータベースファイアウォールビジネス文書C# 基礎SQL応用エンジニア仮想化技術IoTソフトウェアテストビジネスマナー資格jQueryPMBOK®アルゴリズムネットワーク入門RDBMSLinux応用トレンドDockerパケット解析データベース基礎コーチング問題解決技法プレゼンテーションコンテナデータサイエンステスト自動化ロジカルシンキングデータベース設計障害対応情報処理資格教育研修担当者向けCCNA要求定義マルチスレッドプログラミングIT研修制度を聞いてみたJavaプログラミング応用Raspberry Piインフラ実機演習新人研修Javaプログラミング基礎SEカレッジ導入事例デザインパターンシェルスクリプトPマークER図財務リファクタリングLAN構築アンガーマネジメントロジカルライティングHTML/CSS新人育成JavaScript基礎単体テスト簿記ITILOSPFSQLインジェクションVLANTCP/IPUI/UXDeep LearningインフラエンジニアJavaEE工数見積IT基礎サイバー攻撃CentOSプログラミング入門ベンダーコントロールデータサイエンティストデータベースセキュリティネットワーク構築応用情報技術者C# 応用クラウド非エンジニア向けModern JavaScript物理設計(データベース)LVS機械学習パフォーマンスチューニングZabbix品質管理GoF経営改善Active DirectoryアジャイルエンゲージメントマネジメントロジカルコミュニケーションPython入門関数型プログラミング統計学ITパスポートCiscoデータベース応用要件定義業務効率化会社の仕組みDBA中級WBSマーケティング正規化理論クリティカル・シンキングVPN内定者研修サーバー構築インデックス設計図解術テストケースAWS見える化データベース障害法律知識プロジェクト管理UX情報セキュリティマネジメントOS・システム基盤冗長化次世代高度IT人材ソフトウェアテスト基礎試験対策セキュリティ入門プロジェクトマネージャWebアプリケーション開発スクラムIPアドレスExcelインタビュー技法セルフマネジメントJunit塗り絵会社規模49名までルーティングPDCA仮想通過IPA会社規模199名までIT人材HTTP/2.0OSI参照モデルWindowsサーバー基礎Vue.js片付け術HTTPLinux入門犯罪心理学会社規模99名までUICCENTプロダクトマネージャ表計算ソフトプロトコルフレームワーク情報漏えいMachine Learning決断力HTML5自己分析法改定インターネットルーティング基礎PMOMVC基礎ロードバランサーCSS3PHPインターネットルーティング応用BGPITサービスマネジメントテスト手法CentOS7プロジェクト失敗事例FinTechインフラ監視Bootstrapコンピュータ基礎chefスタティックルートGO言語テスト技法モチベーション労働関連法Infrastructure as CodeOJTシンギュラリティプロジェクト計画業務知識/業界知識管理職研修概念設計(データベース)トラブルシューティング微分・積分コンピュータ数学バッファオーバーフロープロダクトマネジメント冗長化入門LaravelWebSocketC-CENTNode.js新人教育リスク管理チームビルディングリーダーシップアプリ開発IT資格並列処理財務会計システム設計DoS攻撃モダンJS (Modern JavaScript) 基礎WebWorkerSelenide内部設計見積手法財務諸表サーバーダウンnpmChainer開発環境構築やり直し数学リスクコントロールネゴシエーション情報システム部門向けHaskellスクリプト言語サーバサイドJavaPDU継続的インテグレーション (CI)システム開発プライベートクラウドビジネスインダストリサーバーgulpフロントエンドAI人材RDB超上流工程Microsoft Azure目標設定4Bizリーダブルコードソフトウェアテスト応用プロジェクトリーダー営業知識Go言語 (golang)LAMP環境失敗から学ぶ継続的インテグレーション(CI)Wireshark基本設計アセンブラWindowsサーバー応用RIPタイムマネジメントビルドツール会話術数字力つながる工場DNSOpenStackCloudデータマイニングPMP®パケットキャプチャ負荷分散ネットワーク管理共創

過去の記事