close
プログラミング クラウド Microsoft Azure 情報処理資格 基本情報技術者 IT基礎 応用情報技術者 開発・設計方法 オブジェクト指向 内定者・新人研修 プログラミング基礎 アルゴリズム コンピュータ数学 内定者研修 新人研修 ヒューマンスキル プロジェクトマネジメント プレゼンテーション リーダーシップ 組織マネジメント ネゴシエーション ロジカルシンキング Java UI/UX HTTP JavaScript基礎 情報処理資格 ネットワークスペシャリスト ネットワーク インターネットルーティング応用 IPアドレス データベース応用 SQL応用 パフォーマンスチューニング データベース設計 ER図 概念設計(データベース) 論理設計(データベース) IT資格 Linux基礎 OS・システム基盤 セキュリティ TCP/IP OSI参照モデル データベースセキュリティ ファイアウォール 標的型攻撃 SQLインジェクション ネットワーク基本設計 CCNA Cisco プロジェクトマネジメント資格 情報処理資格プロジェクトマネージャ 情報処理安全確保支援士 人事給与 財務会計 管理会計 簿記 生産管理 在庫管理 ERP バランススコアカード 情報処理資格 ITアーキテクト 情報処理資格 ITストラテジスト 情報処理資格 ITサービスマネジメント 情報処理資格 システム監査 PMBOK® PMP® プロジェクト計画 WBS リスクコントロール ITIL ITサービスマネジメント 要求定義 要件定義 見積手法 ビジネスインダストリ 業種・業界知識 業務知識 提案力 ソフトウェアテスト基礎 情報処理資格 データベーススペシャリスト ハードウェア基礎 外部設計(基本設計) 内部設計(詳細設計) データベース基礎 SQL基礎 RDBMS 物理設計(データベース) C++ Ruby MVC基礎 Webアプリケーション開発 JavaEE Javaプログラミング応用 フレームワーク MVC応用 Spring フレームワーク ソフトウェアテスト応用 テスト手法 Junit スマートフォンアプリ開発 Androidアプリ開発 C# 基礎 C# 応用 負荷テスト Javaプログラミング基礎 ソフトウェアテスト コーチング メンタリング HTML/CSS サーバー構築 仮想化技術 KVS (NoSQL) アジャイル スクラム ファシリテーション C言語 ITパスポート JSTQB データサイエンス 単体テスト ユニットテスト キャリアアップ インターネットルーティング基礎 パケット解析 LAN構築 データベース データサイエンティスト トレンド 障害対応 インフラ監視 HTTP/2.0 コンピュータサイエンス VPN ネットワーク物理設計 データベース障害 JavaScript モダンJS (Modern JavaScript) 応用 MVS応用 バックアップ/リカバリ 分散処理 Hadoop Hive Python AI 深層学習(DeepLearning) CentOS Linux応用 Zabbix シェルスクリプト Infrastructure as Code Windowsサーバー基礎 内部設計 Docker DevOps Windowsサーバー応用 NginX chef Ainsible ロジカルライティング R テスト自動化 Jenkins Git 継続的インテグレーション (CI) バージョン管理 Vagrant 要求分析 Redmine 継続的インテグレーション(CI) 継続的デリバリー (CD) ヒューマンリソース管理 Web API マイクロサービス コミュニケーション 業務知識/業界知識 マーケティング 語学 AWS 法務 IoT ビジネスマナー OJT 業務効率化 表計算ソフト オフィスソフト コンプライアンス フロントエンド Subversion PHP 関数型プログラミング Laravel モダンJS (Modern JavaScript) 基礎 Android Studio 機械学習 iOSアプリ開発 ぷプログラミング React 次世代高度IT人材 共創 IPA Raspberry Pi Xamarin スクリプト言語 GoF CUI VBA 資格 ビジネス文書 jQuery 研修参加レポート マネジメント OSPF テーブル設計 アンガーマネジメント クリティカル・シンキング PDU 経営改善 Pマーク 問題解決技法 サイバー攻撃 エンジニア 参加してみた エンゲージメントマネジメント 労働関連法 新人育成 ネットワーク構築 情報セキュリティマネジメント デザインパターン リファクタリング マルチスレッドプログラミング ベンダーコントロール Modern JavaScript 冗長化 VLAN インフラエンジニア チームビルディング テストケース リーダブルコード セキュリティ入門 ネットワーク入門 Node.js npm gulp ビルドツール Python入門 冗長化入門 インフラ実機演習 プロジェクト管理 Active Directory ネットワーク管理 コンテナ 正規化理論 Haskell 品質管理 OpenStack シンギュラリティ DBA中級 プロトコル UX 基本設計 FinTech トラブルシューティング 並列処理 見える化 PMO ロジカルコミュニケーション Deep Learning インデックス設計 超上流工程 BGP Excel C-CENT Selenide プライベートクラウド アセンブラ コンピュータ基礎 工数見積 CCENT 法律知識 失敗から学ぶ プロジェクト失敗事例 PDCA プログラミング入門 非エンジニア向け 4Biz DNS セルフマネジメント 片付け術 サーバーダウン サーバー タイムマネジメント GO言語 プロダクトマネジメント プロダクトマネージャ LVS ロードバランサー 負荷分散 仮想通過 犯罪心理学 情報漏えい SEカレッジ導入事例 IT研修を聞いてみた 会社規模 (100~300名) IT研修制度を聞いてみた CentOS7 開発環境構築 数字力 財務 IT人材 UI Machine Learning Go言語 (golang) データマイニング 統計学 新人教育 やり直し数学 RDB つながる工場 モチベーション WebSocket WebWorker HTML5 CSS3 Bootstrap 微分・積分 システム設計 決断力 LAMP環境 トレ担 教育研修担当者向け ルーティング Linux入門 図解術 目標設定 試験対策 インタビュー技法 Vue.js ブロックチェーン 会社規模 (~50名) DHCP 仕掛け学 BSC 財務諸表 自己分析 RIP スタティックルート バッファオーバーフロー DoS攻撃 システム開発 会社規模 (~99名) Wireshark パケットキャプチャ 管理職研修 部下育成 ワークあり 文章力 情報システム部門向け プロジェクトリーダー プロジェクトマネージャ 塗り絵 リスク管理 法改定 会社の仕組み Chainer AI人材 会話術 会社規模 (~25名) テスト技法 組織規模 51名~99名 組織規模:~199名 [組織規模]199名まで 組織規模 199名まで 組織規模199名まで 会社規模199名まで 会社規模49名まで 会社規模99名まで アプリ開発 サーバサイドJava 営業知識 Cloud 栄養学 基本コマンド ウォーターフォールモデル ヘルスケア 論理設計 ニューラルネットワーク ハンズオン UML 顧客ヒアリング マウスで学ぶ Apache EC2 Lightsail M5Stack DevSecOps プロジェクト成果 画像認識 チャットポット コマンド レビュー 基本用語 自動構築 LPIC-1 サーバーサイドJavascript キャリア形成 ワークライフバランス インバスケット テック用語 GitHub Windows エディタ 教養 令和時代 RESTful API 物理設計 会社規模300名以上

ネットワークセキュリティの基本パターン 研修コースに参加してみた

本コースならびにこのレポートは、あくまで教育研修上の観点から、仮想環境で攻撃手法を再現したものです。

以前にもレポートした 仮想環境で学ぶセキュリティ実践 というコース同様に、今回はネットワーク、オンラインを経由した攻撃にどんなものがあるのか、攻撃パターンを知るだけでなく、体験ができました。

うーむ、いちいち恐るべき攻撃であり、セキュリティは他人事ではない感が強く感じられる内容でした。。

ネットワークエンジニアだけでなく、開発・運用問わず、システムに携わっているITエンジニアは体験したほうがよい怖さに思います。
(ホラー映画を見るより、コワい?)

では、どんな内容だったのか、レポートします!!

 

コース情報

想定している受講者 PCおよびサーバー、ネットワークに関する基礎知識があること
受講目標 基本的な攻撃手法と安全性を確保するための手法について理解する

 

講師紹介

インフラと言えば、 新谷 泰英 さん です。

このレポートでは 15回目 のご登場となり、最多となりました! 本当にありがとうございます!!

新谷 泰英

新谷 泰英
どうすれば技術を身につけられるか、理解できるか、研究しつづけるインフラ系の人気トレーナー

 

ということで、いつものように「新谷と申します」という簡単な自己紹介で、コーススタートです。

 

 

ネットワークセキュリティの重要性

言わずもがなですが、セキュリティは鎖のようなもので、ネットワークだけ強化しても、他が弱ければ、意味がありません。

 

漏洩したパスワード

先程のスライドにあったパスワード流出について、少しだけ掘り下げます。

 

  • これはB2Cのパスワード
  • 人間の自然な振る舞いだと、こうなってしまう
  • 定期更新は必要だが、定期更新させると、結局、こうなってしまう
    • ちなみに `qwerty` はキーボード配列の左から右
    • “パスワードランキング 20**” のように検索すると同じように出てくる
  • “Password Dictionary” はセキュリティ担保する側の辞書

 

最近の事例

  • 米ヤフーで全30億以上のアカウントが流出
  • Mirai というbotを使った DDoS攻撃

 

最近のパスワード流出の桁数が全く違ってしまったように感じるのは私だけでしょうか。

ちなみに、個人情報流出などのインシデント一覧があったはずと思って、ググるとありました。

 

個人情報漏洩事件・被害事例一覧

 

内容を見ると、2週間に一度ぐらいの頻度で報告されています。。SIer が名指しになっているケースもあり、他人事ではありません。。。

この中にもありますが、日本では宅ふぁいる便のパスワード流出、欧米ではFacebook/Instagram でパスワードを平文で保存していたと、ニュースになっていましたね。

 

 

ネットワークセキュリティの基本要素

  • 弱いところをつくのがハッカー
  • 弱いところを作らないようにするのがディフェンス
  • ちなみに可用性は稼働時間で見られます

 

このあたりは先日の “仮想環境で学ぶセキュリティ実践” でも触れられていましたね。

 

 

脅威とその対策

ここで、セキュリティを脅かす脅威を分類して、それに対する対策をまとめて頂きました。

 

 

なお、こういったことが起こっても復旧できるようにするのがディザスタリカバリです。

 

 

ネットワークを経由した主な攻撃パターン

全体の話から、ここからはインターネット上のシステムに対する攻撃にフォーカスします。

その攻撃の手順をまず解説いただきました。

  1. 攻撃対象をみつける
    • ポートスキャン: IPアドレス
  2. 見つけたら予備調査
    • ポートスキャン: ポート番号
  3. 脆弱性の調査
    • 弱いところ / 侵入しやすそうなところを探す
  4. 侵入
  5. 管理権限の奪取
    • バッファオーバーフロー
  6. バックドアの設置

 

では、実際に手順をなぞり、ポートスキャン、脆弱性の調査をどのように行っているのか、確かめてみます。

 

ポートスキャン

  • OSI参照モデルとポート

 

7 Application
6
5
4 TCP | UDP ポート番号 (約65,000)
3 IP IPアドレス (約37億)
2 LAN/WAN | MAC Address
1

 

  • ポートすべてを調査するのは、人間がやるには途方も無いけど、いまの 2.5GHz のスペックからすると、そんな大変なことではない
  • なので、ポートスキャンはよく行われる
  • つまり、ポートスキャンが増えたなら、攻撃の予兆とも言える

 

対策

  • 対策としては2つ
    • ファイアウォールを使ってポートスキャンそのものをさせない -> 普通の通信も遮断してしまうのでNG
    • IPS / IDS を使いましょう
      • IDS (Intrusion Detection System 侵入検知システム) で攻撃の予兆を発見
        • 事前にSSLアクセラレータなどでファイアウォール通過後に暗号通信 https を解除
        • パケットの中をスキャンして、ウィルスのパターンを検知
        • 検知パターンの更新が必要
        • 例えば、数字のみ (IPアドレス) でのアクセスならはじく
      • IPS (Intrusion Prevention System 侵入防止システム) で対策・防御

 

本来なら IDS だけで予兆を発見して防げば良いのですが、複雑になってしまうそうです。

そこで、発見だけにフォーカスをあてると出来るとのことでした。

 

実際やってみましょう

  • nmap の使い方

 

  • 結果

この情報だけでも色々とアタックできそうな箇所、OpenSSH 5.3, Apache httpd 2.2.15 などがわかります。

ポートスキャンで攻撃対象が見つかれば、それに応じて、パスワードクラックやバッファオーバーフロー、DoS攻撃などが行われます。

 

パスワードクラック

よく行われる攻撃、パスワードクラックのやり方と、どんな攻撃なのか、やってみます。

  • パスワード
    • 基本的にはパスワードは暗号化されてDBにストアされている
    • 不可逆なので復号はムリという前提
  • パスワードクラックのやり方
    • ソーシャルエンジニアリング
      • ダメ元で推測や勘などでやる
    • 辞書攻撃
      • パスワードディクショナリ
      • 数十万のパスワードリストを使う
    • ブルートフォース攻撃
      • 総当たりですべての文字の組み合わせを試す
      • ただ総当たりだと時間が掛かりすぎるので、短縮化できるレインボーテーブルなどを使う
      • Windows XPなど古いシステムは2~3分で破れる
    • 認証回避
      • IDとパスワードを入力せずに、認証そのものをパスする
      • SQLインジェクション、盗聴など
      • パスワードをいかに強化しても、それをかいくぐればいいという考え方

 

最後の認証回避で出てきた 盗聴 とは、ログイン情報が送信されたときの通信を盗む、もしくはログイン後に発行されるセッションIDを盗む、どちらかで行うものです。

なので、盗聴されても中がわからないように、暗号化通信 (SSL/TLS [詳しくは後ほど] ) を推奨しましょう。

 

SQLインジェクション

認証回避の典型例である、SQLインジェクションを実際にやってみます。

以前にも、データベースのコマンドで実行していたコースがありましたが、今回は実際にWebページのログインフォームからやってみます。

  • ユーザ名: OR 'a'='a
  • パスワード: なんでもOK

 

 

なにこれ、コワい。。。 単純な攻撃なのでコストもそれほど掛かりませんね。。

詳細は他のコースでも解説していますので、ぜひ、そちらをご覧ください!

 

 

対策

では、なぜ、ファイアウォールではこのSQLインジェクション対策ができないのでしょうか。

  • ファイアウォールはIPアドレスとポート、手紙でいうと宛名しか見ていない
    • 中身 (パケット) を見ていない
    • そもそもパケット分割しているので、集約しているとパンクする
    • いまや https 通信でパケットは暗号化されている
  • Web通信に限った Web Apprication Framework (WAF) ならできる

 

結論、アプリケーション側で対策し、WAF (後述) を入れるという対策が有効です。

 

バッファオーバーフロー

SQLインジェクションにつづき、認証回避のメジャーなやり方、バッファオーバーフローについて、どのような攻撃なのか、解説いただきました。

 

  • ある文字数に制限のある名前のフォームがあったとする
    • 制限値を超えて入力
    • 超えた値は、想定していないメモリ (スタック) に保存される
    • これを利用するのがバッファオーバーフロー

 

 

防御する仕組み

今回挙がったような攻撃に対して、どのようにディフェンスする仕組みを構築するのか、アインウィルスやセキュリティ教育など、様々に紹介いただきました。

ここでは、その中からいくつか絞って紹介します。

  • SSL/TLS
    • いわゆる https 通信 (通信の暗号化)
    • NetScape社が開発
    • SSL 3 まで開発したところで、インターネットでの標準に移行
    • TLS (Transport Layer Security) となった
    • いまは TLS 1.2 が多い (1.3 がRFCに)
  • WAF (Web application Firewall)
    • Web Server を保護するもの
    • ファイアウォールと併用
    • ブラウザからみてファイアウォールの後ろに置かれる
    • Webサーバにきたパケットを連結させて検査する
    • 検査してOKならWebサーバにパケットを渡す
    • パターン検知しているので、更新が必要
  • CDNを使ったディフェンス
    • 構成
      • [インターネット] <-> [CDN (世界各地にある)] <-> [Webサーバ]
    • akamai, fastly, AWS Cloud Front など
    • キャッシュとしての機能だけでなく、最近はセキュリティ対策としても有効
    • DDoS対策
      • 攻撃を分散できる
    • その他、https 通信、サーバ証明書管理、WAFもやってくれる

 

CDNでは最近 fastly さんの事例が増えてますね。

 

 

dev.to は、感動ものの速さでしたよね。。。カックイイなぁ。

このCDNを解説いただいたところで、このコースは修了しました。

 

 

まとめ

以前にもレポートした 仮想環境で学ぶセキュリティ実践 というコース同様に、今回はネットワーク、オンラインを経由した攻撃にどんなものがあるのか、パターンとあわせて体験ができました。

コース中では、これ以外にも攻撃手法を試していて、講師用PCを対象として medusa を使ったブルートフォースや、バッファオーバーフロー、DoS攻撃などもデモしていただきました。

うーむ、いちいち恐るべき攻撃であり、セキュリティは他人事ではない感が強く感じられる内容でした。。

ネットワークエンジニアだけでなく、開発・運用問わず、システムに携わっているITエンジニアは体験したほうがよい怖さに思います。

 

 

label SE カレッジの無料見学、資料請求などお問い合わせはこちらから!!


SEカレッジについて

label SEカレッジを詳しく知りたいという方はこちらから !!

特集・キャンペーン

よくある質問集

タグ一覧

参加してみた研修参加レポートJavaLinux基礎セキュリティ基本情報技術者プログラミングオブジェクト指向プロジェクトマネジメントネットワークPythonAISQL基礎プログラミング基礎ヒューマンスキル資格コミュニケーションIoTデータベーステーブル設計アルゴリズムエンジニアマネジメントC# 基礎仮想化技術JavaScriptソフトウェアテストLinux入門SQL応用プログラミング入門ビジネスマナーパケット解析データサイエンスLinux応用ビジネス文書ファイアウォールコンテナPMBOK®jQueryデザインパターン教育研修担当者向けシェルスクリプトプレゼンテーションRDBMSDocker問題解決技法工数見積ER図障害対応LAN構築テック用語ロジカルライティングWindowsサーバー基礎SEカレッジ導入事例テスト自動化DNS簿記IT研修制度を聞いてみたデータベース基礎AWS品質管理新人研修サーバサイドJavaPマークVLAN単体テストヘルスケアネットワーク入門Javaプログラミング基礎トレンド情報処理資格アンガーマネジメントプロジェクトマネージャRaspberry Piプロトコル要求定義応用情報技術者GoFJavaプログラミング応用C# 応用データサイエンティストロジカルコミュニケーションロジカルシンキングデータベース設計財務ExcelインフラエンジニアアジャイルベンダーコントロールコーチングIT基礎HTML5WBSActive DirectoryCSS3サーバー構築パフォーマンスチューニング試験対策CentOS7フレームワークリファクタリング営業知識マルチスレッドプログラミングCloudインフラ実機演習CCNAネットワーク構築テストケースTCP/IP決断力法律知識Modern JavaScriptLVSプロジェクト管理機械学習HTML/CSSRDBJavaScript基礎クラウドOSPFVPNデータベースセキュリティ物理設計(データベース)Python入門ZabbixITILルーティングSQLインジェクション新人育成UIスクラムインデックス設計図解術非エンジニア向け情報漏えい見える化ITパスポートDHCP会社規模99名まで経営改善CentOSLAMP環境ロードバランサーBGPエンゲージメントマネジメントセキュリティ入門プロジェクト失敗事例システム開発データベース障害セルフマネジメント統計学Deep Learning微分・積分ソフトウェアテスト基礎Vue.js片付け術サイバー攻撃UI/UX犯罪心理学正規化理論Webアプリケーション開発管理職研修JavaEECisco情報セキュリティマネジメント内定者研修LPIC-1会社の仕組み法改定UX基本コマンド要件定義冗長化次世代高度IT人材UMLサーバーサイドJavascriptPHPウォーターフォールモデルコマンドM5StackWindowsネットワーク管理顧客ヒアリング関数型プログラミングPDCAOS・システム基盤トラブルシューティング論理設計Windowsサーバー応用業務効率化DBA中級リスク管理マーケティングクリティカル・シンキングプロダクトマネージャブロックチェーンデータベース応用JunitHTTP/2.0サーバーOSI参照モデルPMO失敗から学ぶWeb API財務諸表情報システム部門向けGitキャリア形成自己分析GO言語ビジネスインダストリレビューインタビュー技法OJTインターネットルーティング応用会社規模49名までDevSecOps仮想通過IPAインターネットルーティング基礎IT人材マウスで学ぶMVC基礎プロダクトマネジメントIPアドレスITサービスマネジメントテスト手法CCENT表計算ソフト塗り絵開発環境構築栄養学HTTP令和時代会社規模199名までMachine Learningプロジェクト計画リーダーシップ論理設計(データベース)ハンズオンプライベートクラウドgulpフロントエンド超上流工程チャットポット目標設定4BizリーダブルコードRESTful APIアプリ開発Go言語 (golang)LightsailネゴシエーションGitHubDoS攻撃IT資格財務会計アセンブラタイムマネジメントビルドツールChainer数字力基本設計つながる工場内部設計見積手法会社規模300名以上OpenStackデータマイニングリスクコントロールMicrosoft Azure負荷分散共創FinTechBootstrapコンピュータ基礎AI人材モチベーション労働関連法プロジェクトリーダーシンギュラリティ業務知識/業界知識ソフトウェアテスト応用エディタWireshark継続的インテグレーション (CI)ワークライフバランスRIP冗長化入門Laravel会話術WebSocketC-CENT基本用語Node.js新人教育プロジェクト成果チームビルディング教養パケットキャプチャテスト技法並列処理PMP®Apacheシステム設計バージョン管理インバスケットスタティックルートモダンJS (Modern JavaScript) 基礎概念設計(データベース)インフラ監視ニューラルネットワークWebWorkerSelenidechefコンピュータ数学自動構築サーバーダウンnpmやり直し数学Infrastructure as Code画像認識Haskellスクリプト言語PDUEC2継続的インテグレーション(CI)バッファオーバーフロー

過去の記事