2002 年度 卒業研究 ファイアウォールの活用 岡山理科大学 総合情報学部 数理情報学科 澤見研究室 I97N007 石川英治 I99N057 辻川喜之 目次 1 はじめに・・・・・・・・・・・・・・・・・・・・・・・3 2 インターネットセキュリティとその現状・・・・・・・・・4 2.1 常時接続とセキュリティの重要性 2.2 不正アクセス事例 2.3 事例から学ぶセキュリティ対策 3 インターネットの基礎知識・・・・・・・・・・・・・・・9 3.1 3.2 3.3 4 TCP/IP IP アドレス TCP と UDP ファイアウォール・・・・・・・・・・・・・・・・・・・11 4.1 ファイアウォールとは 4.2 ファイアウォールの特徴 4.3 ファイアウォールの限界 5 ファイアウォールの構築・・・・・・・・・・・・・・・・14 5.1 インターネットとパケットフィルタリング 5.1.1 iptables の機能 5.1.2 iptables の特徴 5.2 実験環境の構築 6 外部からのアクセスに対処・・・・・・・・・・・・・・・18 6.1 トロイの木馬 6.2 SUBSEVEN の実行 6.3 ポートスキャンとは 7 まとめ・・・・・・・・・・・・・・・・・・・・・・・・22 8 参考文献・・・・・・・・・・・・・・・・・・・・・・・23 2 1 はじめに ネットワーク常時接続の一般化により,パーソナルユースで 24 時間のインターネッ ト接続が珍しくなくなってきた.このインターネットを利用する上での脅威にコンピュ ータウイルスなどがあるが,我々は,その中でも外部からのコンピュータへの侵入でも あるハッキング行為の脅威について調べ,どのように対応するべきかを研究した. 最近までは,コンピュータ侵入事件の対象は公的機関が主なものだった.しかし今後 ホームユーザが標的になることは疑いない事実だと思われる.本研究は,実際にファイ アウォールを構築し,その実効性と有益性について考察することを目的としている.ま たその過程を紹介することで,ハッキング脅威の一端を警鐘できれば幸いである. 3 2 インターネットセキュリティとその現状 2.1 常時接続の普及とセキュリティの重要性 我々の身近にも,当り前のように ADSL 等のブロードバンド常時接続によるイン ターネット利用環境が整ってきた.このような高速通信の利用が可能になると,Web の閲覧が快適になるだけでなく,映像や音楽のストリーミング等のサービスも手軽に 受けることができる.また常時接続の環境を生かせば,独自の情報発信を行うことも 容易になってくる. しかしそうした便利な環境が整ってきた反面,外部からの不正アクセスを招く可能 性を大きくする結果となっている. 従来のダイヤルアップ環境にくらべ,回線速度が格段に速いため,不正アクセスを 受けたサーバがいわゆる踏み台にされた場合,周囲に大きな被害を及ぼす恐れがある. その危険性を如実に示したのが一昨年猛威を振るったCode Redワーム事件 である.高速常時接続環境が当たり前になりつつある今,セキュリティの知識はより 多くの人が身につけねばならない基本課目になるといってもよいと思う. 4 2.2 不正アクセス事例 2000 年初頭から 2001 年夏までに発生した,国内外の大きな不正アクセスの事例 を年次順にして以下に紹介する. ① 2000 年 1 月:政府機関Webジャック事件 コンピュータ 2000 年問題で顕著な問題もおこらず,情報処理部門担当者が胸をな でおろした 2000 年 1 月末,政府機関の多くのWebが不正アクセスを受け,コンテ ンツを改ざんされるという事件が起こった.この事件は一般マスコミにも大きく取り 上げられ,IT政策を推進する政府自身のセキュリティの不備をあらわした.事件の 内容そのものは,OSやアプリケーションの既知のセキュリティを突いたもので,目 新しさはなかったが,政府機関という特定のターゲットが集中して襲われたことで, 世間の注目を集めることとなった. ② 2000 年 2 月:著名サイトDDoS攻撃 2000 年 2 月初め,Yahoo,CNN,eBay,Amazonなどの著名サイ トが,DDoS(Distributed Denial of Service:分散型サービス妨害攻撃)にあい, かなりの時間サービスが提供できない事態が発生した.この攻撃はまず防御が甘いサ イトのサーバに侵入しそこにDDoSの攻撃ツールをインストールすることから始 まった.次にそれらのサーバに指令を出し,一斉にターゲットに大量のパケットを送 りつけるのである.単純だが,防御しづらい攻撃である.この事件は,DoS攻撃に 対抗するための技術や協力体制がインターネットおよびセキュリティ業界で活発に 議論されるきっかけになった. ③2000 年 5 月:Love Letterウィルス 最近のウィルスはメールの添付ファイルを介して広まるタイプが主流になってい る.このウィルスも Windows のVBS(Visual Basic Script)プログラムである添 付ファイルを開くとスクリプトが自動実行され,Windows が感染するものである. また感染したコンピュータが,電子メールソフトウェアOutlookのアドレス帳 に登録されているアドレスに対して自身のコピーを自働で送りつける.この機能によ って,感染連鎖が起こり世界中に広まることとなった.このプログラムはそれ程高度 なものではないが,それだけに亜種や変種を多く生み出す結果となった. ④2001 年 2 月:HUCのWebサイト攻撃 ほぼ一年前の政府機関Webジャック事件では,政府機関が集中して狙われたが, この Honker Union of China を名乗るグループによる Web サーバへの組織的な攻撃 では,一般企業も含めた多数のサイトが網羅的に絨毯爆撃された.攻撃に使用された 5 のは Netscape Web サーバと Windows NT/IIS Web サーバの古いセキュリティホー ルだった. ⑤ 2001 年 5 月:sadmind/IISワーム 進入したサイトから自動的に別のターゲットに攻撃をしかけ,それによって連鎖的 に自己増殖するタイプのプログラムをワームと呼ぶ.この sadmind/IIS ワームは, まず Solaris のリモート管理ツールに含まれるサーバプログラムのセキュリティホー ルをついて進入し,同じ虚弱性を持つ Solaris の間で増殖する.そして感染したそれ ぞれの Solaris から Windows NT の IIS Web サーバの脆弱性を突く攻撃が開始され る.このワームでは Solaris と Windows NT という二つのOSを組み合わせてターゲ ットにした点が大きな特徴になっている. ⑥2001 年 7 月:Sircamウィルス 2001 年夏に世界中に猛威を振るったのが Sircam ウィルスである.LoveLetter と 同じくメール添付で感染を広げるタイプだが,メールを送信する際に Subject をラン ダムに選んだり送信元アドレスも偽造するなどし,添付ファイルを開かせる工夫や, 対策を遅らせる悪知恵に長けていた.そのため長期的に感染を起こし,副作用として, Windows の My document フォルダにあるファイルを送信するため,情報漏洩とい う深刻な被害を引き起こした. ⑦2001 年 7 月:Code Redワーム 常時接続におけるセキュリティの重要性を改めて認識させたのが,CodeRed ワー ムである.このワームは,Windows NT/2000 の IIS の脆弱性を攻撃して進入し,IIS のプログラムの一部をのっとる形で動作する.そして,外部の適当なサーバをターゲ ットにして,同じ攻撃を繰り返す.さらに同じコンセプトで作られた CodeRedⅡ は Windows2000 にしか感染しないが,感染力はよりいっそう強まり,8 月上旬に登 場するや,あっという間に世界中に広まった.中でもブロードバンドが世界一の普及 を見せていた韓国では特に深刻だったとの報告がある. 6 2.3 事例から学ぶセキュリティ対策 不正アクセスの内容を調べると,そこから以下に列記したような有用な教訓を得る ことができる. ① 狙われるのはありふれたセキュリティ上の弱点である 事例で取り上げたアクシデントで,悪用されたセキュリティホールはすでに既知 のものである.Microsoft 等のOSベンダーや CERT/CC(Computer Emergency Response Team/Coordination Center:コンピュータ緊急対応センター)の発行して いる CERT Advisory などで少なくとも数ヶ月前,ものによっては1年前以上前に 警告済みの,どれもが良く知られている問題であった.したがって修正パッチなど の日常的な対策を行っていれば十分阻止できた問題であったといえる.だが残念な がらいまだこの被害が起きるのは,セキュリティホールを閉ざさず放置しているサ イトが数多くあるからである. ② 絨毯爆撃攻撃は珍しくない 最近の悪意ある攻撃を外部から仕掛けてくるアタッカーの手口は,大規模化組織 化しており,多数のサイトを自動スキャンするプログラムで弱点を攻撃してくる手 口も珍しくない.また CodeRed のようなワーム型も今後も増加傾向にある.こう いう状況ではセキュリティホールを放置しているサイトは確実に餌食になってしま う.また有名サイトだけでなく今日インターネットにつながったばかりのサイトで も,ADSL接続の HOME/SOHO サイトでも攻撃の対象になりえる.実際 CodeRed の攻撃元アドレスを調べるとADSL接続のユーザが多数含まれていた. 驚くべきは,ダイヤルアップユーザでさえ感染していたという現況である. ③ 手口が知れると模倣犯が出る ウィルスの典型な例だが,手口が広く知られると必ず模倣犯が出るということで ある.CERT/CC が出す勧告文は,そういう意味ではジレンマだったといえる.実 際 CERT/CC の分析によると,勧告文時発表後その手口による届出が急増する傾向 にあるとのことである.いずれにせよ広範囲に影響するセキュリティホールが発表 された場合,放置しておくのは非常に危険だということが言える. ④ セキュリティホールはなくならない 残念なことだが,OSやアプリケーションプログラムのセキュリティホールを完 全に無くすことは事実上不可能といえる.最近は Microsoft などのOSベンダも, ソフトウェア開発者も,セキュリティホールの発見と対策,そして周知広報に努力 を払っている.たとえば CodeRed の時には,Microsoft 社は Web での詳しい情報 7 提供だけでなく,独自に無料サポート電話の開設,パッチCDの配布など,多大な 経費をかけてその対応に勤めた.またYAMAHAや古河電工といった国産ルータ ベンダもファームウェアのバージョンアップの提供等をおこなった.しかし,ソフ トウェアの設計/実装の不備や,頻繁なバージョンアップがさらに新たなバグの温床 になっていることは否めないところである.だがセキュリティ情報によく気を配り, 適切なパッチを当てていく以外に根本的な解決は無いといえる. ⑤ サービス妨害攻撃(Denial of service Attack)は対応が難しい サーバやサービスを利用不可能状態まで追い込むことを目的とする DoS(Denial of Service)攻撃は,特に米国では深刻な問題に発展している.古典的な TCP SYN Flood 攻撃(注:TCP 接続の要求をシステムの処理能力以上の速度で送信する. こ のため,メモリが一杯になり,新規の接続が無視される. この結果,システムの速 度が著しく低下したり,システムがまったく利用できないように見えてしまう)や 数年前に流行した,UNIX や Windows NT などのOSにある TCP/IP 実装のバグを 突いた Ping of Death や OOB 攻撃(注:本来なら受信するわけのない 139 番ポー トに OOB フラグを付けたパケットを送るとシステムがダウンする)は,サーバの 強化やパッチ適用をするだけで防ぐことが可能である.しかし,最近の DDoS アタ ックの類は,ターゲットにされたサイトだけでは防ぐすべはなく,常時接続の普及 で踏み台として攻撃元にされるサイトが増加した今,大規模な DDoS 攻撃の増加が 以前に増して懸念されるようになってきている. 8 3 インターネットの基礎知識 ここではインターネットに関する基礎的な項目を幾つか取り上げて説明する. 3.1 TCP/IP TCP/IP(Transmission Control Protocol/Internet Protocol)とは,インターネ ットの基本をなす通信規約体系である.インターネット,イントラネットを問わず, 現在最も広く使われているプロトコルである.TCP/IP は,TCP と IP だけでなく UDP, ARP,ICMP などのほか,多くの関連プロトコルから構成されているが,これらをまと めて TCP/IP プロトコルと呼んでいる. TCP/IP は今やネットワークの基本プロトコルである.電子メールや WWW,telnet, FTP などの従来からのアプリケーションだけでなく,ゲームやチャットなどのコミュ ニケーション,ビデオ・オンデマンドのようなマルチキャスト通信を使ったアプリケ ーション,各種のクライアント・サーバ・システムなど,あらゆるアプリケーション が TCP/IP 上で利用できるようになっている. 3.2 IP アドレス IP アドレスとは,TCP/IP 環境でネットワークに接続されたコンピュータを一意的 に識別するための住所に相当する 32 ビットの数値である. TCP/IP プロトコルを使って通信するためには少なくとも一つの IP アドレスが必要 である.そしてインターネット上には同じ IP アドレスが存在することはない. 9 3.3 TCP と UDP TCP(Transmission Control Protocol)は,二つの端末装置上のプロセス間で,信 頼性のある通信を提供するためのプロトコルである.信頼性のある通信を提供するた めには,パケット(ネットワーク上におけるデータ単位)が損傷を受けていないか,消 失(ロス)していないか,重複や遅延がないか,到着順序にズレは生じていないかな どを確認しなくてはならない.TCP ではデータ通信時にこのような事柄を検証して確 固たる信頼性を得,伝達保証性を保障するようになっている. 伝達保証性を確保するという重要な機能を果すため,エラーチェックや再送要求な どのネゴシエーション処理が増えることから,TCP は高速にデータを届けるという点 に関してはあまり得意ではない.即ち,動画や音声などをリアルタイムに転送するマ ルチメディアアプリケーションには不向きなプロトコルであるともいえる.この TCP の有する伝達保証性を低下させるかわりに,高速性を重視したプロトコルとして利用 されているのが UDP(User Datagram Protocol)である. UDP には,コネクションを確立して通信状態を管理したり,誤り訂正のためにパケ ットを再送するといった信頼性を保証するための機能がないことから,TCP のような コネクション型のプロトコルに対してコネクションレス型のプロトコルと呼ばれて いる.UDP 自身が有しているのは,データが壊れていないかどうかを確認するチェッ クサムの仕組みだけである.このことから,UDP は,信頼性は乏しいが,より高速に 相手にデータ転送できる仕組みを確立しているといえる.DNS での名前解決要求や DHCP などのレスポンス重視の通信サービスや,リアルタイム再生型のアプリケーシ ョン(Real Player や VDO Live など)などに有効なプロトコルである(表1) . TCP UDP 分 類 コネクション型 プロトコル 特 徴 エラー補正や再送機能 プロトコルの処理が高速 を搭載 フィルタリングの ポート番号 判断材料 表1 コネクションレス型 プロトコル 発信元,宛先,ポート番 号 TCP と UDP 比較表 10 4 ファイアウォール 4.1 ファイアウォールとは ネットワーク中の数多くのホストのセキュリティを一定水準以上に保つことは容 易ではない.オペレーティングシステムやアプリケーションのバージョンアップやパ ッチ当てだけでも大変な作業である.使用しているアプリケーションの都合でOSを 最新版にできなかったりもする.最近のダウンサイジングの環境では,OSの実質的 管理はマシン利用者にまかされている場合もあり,この場合,統一的に管理されてい ないのが普通である.そこで,このような場合のセキュリティ対策としてファイアウ ォールの登場となる.ファイアウォールは通常LANとインターネットを接続する部 分に設置され,外部からのアクセスをブロックし内部のLANを隠蔽する.それによ り内部のLANに問題があっても外部からの攻撃にさらされなくなる.ただし,これ が成立するのはファイアウォール以外に外部へと開いた入り口がない場合に限られ る.よって,他にリモートアクセスなどのバックドアの存在しないことが前提になる. ファイアウォールは外部からのアクセスをブロックする反面,内部からの外部アク セス,また内部からの応答に反応する外部からの通信に関しては適切な中継を行い, 内部からのインターネット上のサービスを利用可能にできる.実際のファイアウォー ルは,それに加えサイト固有のセキュリティポリシーを実現するため,プロトコル/ ホスト/ユーザなどによるアクセスコントロールを行う機能やさまざまなログ監査の 機能やアタックの試みに対する警告機能などを提供しているのが一般的である. このことからセキュリティの向上を効率的に図るためのツールとして,ファイアウ ォールは非常に有効である.ただし,導入する場合ファイアウォールについてその一 部を知っているだけでは不十分で,TCP/IP からアプリケーションプロトコル,DNS 等に至るまでかなり広い知識が必要となる.これはファイアウォールがインターネッ トの基本である,一方の端から他方の端まで IP パケットが直接届くというシンプル なモデルを崩し,より上位のトランスポート層やアプリケーション層での中継を行う ものである以上避けては通れない部分である(図1) . 内部 ファイア 外部 ネットワーク ウォール ネットワーク アクセス検査 図1 ファイアウォール概略図 11 4.2 ファイアウォールの特徴 大まかに分けてファイアウォールには 2 種類ある. パケットフィルタファイアウ ォール と アプリケーションレベルゲートウェイファイアウォール である.以下 にその特徴を列記しておく. ①パケットフィルタファイアウォール IP パケットのプロトコル情報に基づいた,基本的なネットワークアクセス制御を 行う.IP パケットがファイアウォールに到達すると,そのパケットは複数のフィル タリングルールと比較される,これらのルールによって,パケットを通過させるか, あるいはアクセスを拒否するかを決定する.特徴は以下のとおりである. 利点 →高速な処理ができる 問題点 →複雑な設定が非常に難しい ②アプリケーションレベルゲートウェイファイアウォール 各アプリケーションプロトコルごとに代理サーバを用意し,アプリケーションレ ベルでのプロトコル仕様に基づいたアクセス制御を行う.特徴は以下のとおりであ る. 利点 →TCP/IP の知識をあまり必要としない.ログを参照すると通信状況が一目 でわかる. 問題点 →処理が多いためパケットフィルタリング型よりも処理が遅い この二つのファイアウォールはメカニズムこそ異なるが,提供される基本サービス は本質的に同じである.いずれもネットワーク間のフィルタとして機能し,構成され たセキュリティポリシーに基づいて双方向のサービスを制限する. どちらが優秀であるかの議論はいまだ決着をしていない. 12 4.3 ファイアウォールの限界 インターネットにおけるセキュリティの脅威は,不正侵入行為だけでない.最近 では,電子メール爆撃などのサービス妨害型,電子メールの添付ファイルやダウンロ ードしたファイルによるウィルス感染,あるいは ActiveX や Java などの Web ブラ ウザでダウンロードされたプログラムの潜在的危険性などが無視できなくなってき ている.ファイアウォールは,外部からの能動的な攻撃に対する防御としてはきわめ て効果的だが,それ以外の分野に関してはカバーし切れていない点があることから, その限界を見ることができる.ネットワーク利用者の意識向上がますます重要となっ てくる. 13 5 ファイアウォールの構築 5.1 インターネットとパケットフィルタリング 今回,ファイアウォールを構築するにあたり,パケットフィルタリングを採用する ことにした.パケットフィルタリングファイアウォールとして Vine Linux2.5 で動く iptabels を使用した.ここでは iptabels とは何かということを簡単に説明する. 5.1.1 iptables の機能 ①パケットフィルタリング iptables とは,パケットフィルタリングを行うためのフロントエンドである. パケットフィルタリングツールの名称は netfilter という.パケットフィルタリン グ機構は Linux カーネルの 2.2 系では ipchains,2.0 系では ipfwadm がそれぞれ その役割を果たしていた.iptables が正式採用されたのは 2.4.X からである. パケットフィルタリングは,先に述べたようにパケットを選択的に通過させる仕 組みであるが,その判断材料として,送信されてきたパケットのヘッダが使われて いる.ヘッダに記述されているプロトコルの種類や送信元,受信先,ポート番号等 を総合的に判断して,パケットを通過許可するか,または破棄するのかを決定する. ②IPアドレスの相互変換 iptables の一つの重要な機能として,パケットの IP アドレスを相互変換する仕 組みを有するということがある.この仕組みはローカル IP アドレスと,グローバ ル IP アドレスの変換を行う際に必要となるが,少数のグローバル IP アドレスを多 数のコンピュータで使用するためには欠かせないものである.市販のブロードバン ドルータで,NAT やIP マスカレードと呼ばれる技術は,これと同様の仕組みを用 いている. 14 5.2.2 iptables の特徴 ①テーブルの導入 テーブルとは,複数のチェーンと呼ばれている標準パケットフィルタリングのル ールをまとめたフィルタリングルール集のようなものである. iptables は,パケットフィルタリング専用の filter テーブル,NAT/マスカレード 専用の nat テーブル,特別な方法でパケットのアドレスを変更する mangle とに区 別される(図2). ルールに一致しないパケット filter パケットフィルタリング ルール NAT/IP マスカレード アドレス変換用 ルール mangle 特殊なアドレス変換 ルール 図2 iptables の基本テーブル ②INPUT/OUTPUT と FORWARD の区別 iptables は,ルータマシン自身を出入りするパケットの流れ(INPUT/OUTPUT) とルータマシン自身を通過するパケットの流れ(FORWARD)を完全に区別して取 り扱う. インターネット側から入ってくるパケットをフィルタ処理するためには,ルータ マシン自身へのフィルタリング設定(INPUT に対する設定)と,内部 LAN に対 するフィルタリング設定(FORWARD に対する設定)の両方を指定しておく必要 がある. 15 ③ターゲットは ACCEPT/DROP/QUEUE/RETURN ターゲットとは,フィルタリングルールに一致したときに実行される処理を指す. ACCEPT とは,パケットを許可することを意味する.DROP は,パケットを破棄 (拒否)することを意味する.QUEUE は,他のルータ(コンピュータ)宛てのパ ケットを横取りして,ルールに指定されているポートにリダイレクトすることを意 味する.RETURN は,ユーザ定義チェーンからの復帰を意味する. ④モジュールによる拡張 iptables ではモジュール(独立性が高く,追加や交換が容易にできるように設計さ ,MASQUERAD れた部品)単位で拡張できるようになっており,REJECT(無視) (NAPT)LOG 等もすべてモジュールになった.これにより以前のバージョンよ り汎用性が増したといえる. またこの他のものに,tcp(TCP パケットのルール指定時に使用する) ,udp(UDP パケットのルール指定時に使用する) ,icmp(ICMP パケットのルール指定時に使 用する) ,mac(パケットの送信元のネットワークカードに割り振られている MAC アドレスを指定する時に使用する) ,state(接続状態を指定する時に使用する)な どの iptables が標準で有しているモジュールがある. その他にも,string モジュール(パケットで送られてきたデータに含まれる文字 列を基にフィルタリングするときに使用する) ,limit(ルールに記載されている単 位時間当たりで制限された回数を基にフィルタリングする時に使用),multiport (最大 15 個までの送信元ポート,宛先ポートの指定時に使用,owner(パケット 生成者を基にフィルタリングする際に使用) ,tos(TypeOfService フィールド(IP ヘッダにある基にフィルタリング)などに代表される,有益なモジュールが次々に 登場してくることが予想される. ⑤モジュールの自動ロード オプション[-m]を使用することで,必要なモジュールが自動的にロードされる ような仕組みになった. また,オプション[-modprobe=/sbin/modprobe]を指定すれば,必要なモジュー ルを指定してロードすることも可能である. 16 5.2 実行環境の構築 今回,PC3台を使用し,他のネットワークから分離したネットワークを作成し実験 を行った.OSに関しては1台は攻撃用のPCとして WindowsXP を導入し,ファイアウ ォールマシンとして VineLinux2.5,ネットワーク内部のPCとして Windows2000Server を導入し用いた.またおのおのが別のネットワークになるよう IP を設定した. ネットワーク構成の概要を次に示す(図2). LAN内部 LAN外部(インターネット) ネットワーク内部PC ファイアウォール OS :Windows2000Server OS :Vine Linux2.5 IP :192.168.0.2 内部IP :192.168.0.1 外部IP :X.X.X.X X.X.X.XとY.Y.Y.Yは異なるグローバルアドレス 図2 実験環境概略 17 攻撃マシン OS :Windows XP Professional IP :Y.Y.Y.Y 6 外部からのアクセスに対処 今回の実験では,トロイの木馬型としてもっとも有名であり,また入手も容易な点か ら SUBSEVEN を使用した.これを用いてコンピュータに感染させ,その影響を調べるこ とによってファイアウォールの有効性を検証した. 6.1 トロイの木馬 トロイの木馬とは,PC利用者の隙を突くか,正体を偽って(善意のプログラムに見 せかけて)コンピュータに侵入し,データの外部流出,破壊,改ざん,他のコンピュー タへの攻撃やネットワーク経由でシステムを制御可能にするバックドアを作成した りするなどのプログラムの総称を指している(図3) . 18 トロイの木馬を仕掛ける 悪意ある PC 被害を受ける PC トロイの木馬が バックドアを作成 覗き見 ポートスキャン 破壊 改ざん 盗聴 サーバ 踏み台 不正アクセス 図 3 トロイの木馬動作イメージ 19 6.2 SUBSEVEN の実行 SUBSEVEN とは,現在最も使用されているトロイの木馬型リモートアクセスプログラ ムである.コネクションが確立されると,攻撃者は感染したコンピュータにリモートア クセスできるようになり,コンピュータのシャットダウンや再起動,システムレジスト リの変更,ファイルのアップロード,ダウンロード,削除などその他様々な攻撃が可能 である.実験の手順は,以下の通りである (1) 感染していない状態でポートスキャンを行いポートの状態をチェック (2) 感染した状態でのポートのチェック (3) ファイアウォールの無い状態で SUBSEVEN によるリモート操作の実行 (4) ファイアウォールを設置してポートの状態をチェック(ポートが見えない状況 になっているかどうかの確認) (5) ファイアウォールを設置して,SUBSEVEN によるリモート操作の実行 ここでの重要なチェックポイントは,現在までに判明している SUBSEVEN が使用 TCP/IP ポートを iptables 上で閉める事により,ウイルスに感染しているにもかかわら ず,望まない操作を防止できるかどうかの検証である.現在判明しているポートは以下 の通りである(表2) . 1243 旧バージョンのデフォルト接続ポート 2772 画面キャプチャー用 2773 キー入力の記録用 6711 不明 6776 バックドアと呼ばれる裏道作成用 7215 マトリックス チャットプログラム用 27374 バージョン v2.0 用デフォルトポート 54283 スパイ用 表2 SUBSEVEN が使用すると考えられるポート 20 6.2 ポートスキャンとは サーバアプリケーションの稼動中は,常に待受ポート(クライアントアプリケーシ ョンに接続されるポート)にデータが来ているかどうか が監視されている.その利用状況を調べることにより,セキュリティホールのある サーバアプリケーションの使用状況や,セキュリティの対応状況等を知る事ができる (図4) . 被害を受けるP Z.Z.Z.Z:0 Z.Z.Z.Z:1 ・・・ Z.Z.Z.Z:2 悪意のあるPC Z.Z.Z.Z はグローバルアドレス 0〜65535 はポート番号 図 4 ポートスキャン動作イメージ またこの機能を使用して,悪意のある攻撃を仕掛けることができる.この攻撃は,Ping of death 攻撃と呼ばれ,短時間に大量の ping パケットを送信することによって,被 害者の接続容量をあふれさせ停止を図ることができる.このような不正アクセスに対 しても iptables により対処をすることができる.この攻撃は単位時間当たりの ping パケットを制限することにより防止することができる,今回は,秒間 1 パケットしか 受信しないよう設定した.そのために次のようにルールを設定する. iptables ‐A input ‐p icmp ‐icmp‑type echo‑request ‐m limit ‐limit 1/s ‐j ACCEPT また ping 等 ICMP 通信を受信しないよう設定することによって,ネットワーク上から 隠蔽を図ることができる.ただしこの場合,他のさまざまな有益なコマンドも破棄さ れることになる.それを防ぐため,特定の IP から来るパケットのみを受信できるよう にするという方法もある. 21 7 まとめ パーソナルユースにおいても,インターネット接続している場合は,今後はセキュリ ティに配慮し正しく対応して行くことが必須である.ただしこのためにはある程度専門 知識が必要な点は否めないところである.しかしたとえばパーソナルルータの設置,フ ァイアウォールソフトウェアの導入,ウェブブラウザの設定,セキュリティホールの 日々の更新をすることによって,適切に対応することが可能である. iptables は自由度の高いソフトウェアなので,ルールをより詳細に指定することが できる.よって実用上の支障が起きない範囲で,セキュリティホールをより少なくする ことが可能であることがわかった. 22 8 参考文献と関連 URL [1]技術評論社第 2 編集部 編,ファイアウォール&ネットワークセキュリティ実践テクニ ック,技術評論社,2001 [2]吉村圭太郎,沓名亮典,安藤葉子 共著,RedHatLinux7.2 入門キット,秀和システム, 2002 [3]高原利之 著,RedHatLinux7.3 サーバー構築入門,ソーテック社,2002 [4]D.Brent Chaoman,Elizabeth D.Zwicky 共著,歌代和正 監訳,鈴木克彦 訳,ファイア ウォール構築インターネットセキュリティ,オーム社,1996 [5]安井健次郎,榊原大輔 共著,Linux でパソコンをルーターにする,ディ・アート社,2002 [6]ハカー小林,吉野健太郎 共著,少林ハッカー THE セキュリティ,ソフトバンクパ ブリッシング社,2002 [7]SUBSEVEN http://www.subseven.ws/ [8]己を守るにはまず敵を知れ!! http://www.upsizing.co.jp/news/ report0418.htm [9]篠塚エンタープライズ ポートスキャンツール spp.exe0.01 Windows パケットモニタ PacketMania1.2 http://homepage2.nifty.com/SEP/sep.html [10]内田法道著,はじめてのファイアウォール,技術評論社,2002 23
© Copyright 2024 Paperzz