文:Jack Wallen(Special to TechRepublic) 翻訳校正:村上雅章・野崎裕子 2009-03-03 08:00 iptablesをマスターするには時間がかかるものの、セキュリティに関する基本的なニーズを満たすことのできるいくつかのルールを知っておくだけで、あなたのLinuxシステムのセキュリティを向上させることができる。本記事では、その手始めとなる重要なルールを解説する。 iptablesは、Linuxマシンをセキュアにするための強力なツールだ。とは言うものの、その機能の多さには圧倒されてしまいがちである。そして、コマンドの構造をしっかりと理解し、マシンのどの部分をどのようにセキュアにすべきかを把握した後であっても、ややこしいことに変わりはない。しかし、iptablesの良いところは、極めて広いその適用範囲にある。このため、iptablesのルールのいくつかを
番外編 DHCPスヌーピングでよりセキュアな環境を構築する 澁谷 寿夫 AlpHa FACTORY 高鳥 正彦 Infoblox株式会社 Systems Engineer 2008/8/20 連載「もう一度見直したいDNS/DHCP」の最終回「DHCPベストプラクティスと新たな役割の模索」では、DHCPを利用した不正PCの排除方法を解説しました。しかしそこにはただし書きとして「DHCPを使わない方法でIPアドレスを設定されるとお手上げ」という一文がありました。そこでDHCPサーバとスイッチの機能を利用して、安全に不正PCを排除する方法を考えます(編集部) 以前、DHCPベストプラクティスとして、DHCPを利用して不正PCの排除を行う方法について説明しました。その際にも説明しましたが、この方法は完全ではなく、詳しい人であればIPアドレスを手動で設定してDHCPの制限を逃れることができるという
第2回 DNSベストプラクティスとは「隠す」そして「重ねる」 澁谷 寿夫 Infoblox株式会社 Systems Engineer 2007/12/14 軽視されがちのDNSにもう一度明かりをともす新連載。第2回ではDNSの最新情報と、前回の最後で図だけ提示した「DNSのベストプラクティス」構成の意味を解説します(編集部) いまだに設定ミスの多いDNS 今回も引き続きDNSについて説明していきたいと思います。まずは、おさらいをかねて、2007年11月に発表されたDNS関係のリリースを紹介したいと思います。 11月19日に開催されましたDNS DAYでも話題に上がっていたのですが、いまだに多くのDNSサーバに設定ミスが多いという問題があります。設定ミスの内容としては、いくつかありますが、その中でも深刻な問題としてはオープンリゾルバのサーバになってしまっているというものです。 前回説明した「
Windows Vistaには、Windowsファイアウォールと呼ばれる双方向のステートフルインスペクションパケットフィルタリングファイアウォールが搭載されています。Windowsファイアウォールは、すべての接続で使用可能なため、コンピュータが起動すると保護を開始します。既定では、以下の処理が行われます。 Windowsファイアウォールは、すべての受信トラフィック(ユーザーのコンピュータが送信した要求に応答して送信されたトラフィックを除く)と、例外の作成によって明示的に許可された要求していないトラフィックを破棄する。 すべての送信トラフィックは、構成された例外に一致しなければ許可される。 パケットが破棄されても通知はされませんが、それらすべてのイベントのログを作成することができます(オプション)。 ステートフルインスペクションパケットフィルタリングについて ほとんどのファイアウォールは(少
IPCopは、IPCopをインストールしたコンピュータとネットワークを保護することを唯一の目的とした特化型Linuxディストリビューションだ。IPCopは「不正パケットはここから先は侵入禁止!」と誇り高く宣言している。今回SOHO LANにIPCop 1.4.16をインストールしてみたところ、その宣言通りのことが成し遂げられていることが分かった。 私のLANの構成は常時変動しているが、最小構成時にも少なくとも2台のコンピュータと1つの無線LANアクセスポイントがある。ルータは、ラップトップからインターネットにアクセスするためと、ケーブルで接続するのが面倒な場所に置いてあるHewlett-Packard製のネットワークプリンタにアクセスするために使用している。この基本構成に雑多なコンピュータを一時的に追加したり削除したりしている。 ここで私のLANの構成を述べたのは、IPCopの導入を検討す
もし、自宅の無線LANアクセスポイントのSSIDが、無線側MACアドレスと同一、ないしその連番、ないし、それを一部に含むものである場合、家でそれに接続するのに使用したことのあるノートPCを、家の外で無線LANの電源を入れていると、その近くに居る人は、probe requestとして放送されるSSIDを傍受することができるので、傍受したSSIDを元に、その人の自宅無線LANアクセスポイントのMACアドレスを推定し、それを元にPlaceEngineを使って自宅の場所を突き止めることができてしまう。 ギャーこれはヤバい。 とのこと。長いので分けて書くと、 無線 AP の SSID から MAC アドレスを推測することができることがある 自宅で使った無線 AP の SSID を、ノート PC が外で probe request として放送することがある SSID は簡単に傍受することができる Pl
組織化された犯罪者たちは,日々,ソフトウエアやシステムのぜい弱性を探し, あの手この手でユーザーやシステムを狙ってくる。ユーザーは犯罪者の手口を見破 り,対策を打つ自己防衛の力を養わなければならない。コンピュータやネットワー クの奥を知り尽くした正義のハッカー「ホワイトハッカー」が,コンピュータ・セ キュリティの深層を解説する。 【ハッカー】 一般に,コンピュータやネットワークに対して深い技術知識 を持ち,技術的な探究心が旺盛な人を指す。 OSの挙動を調べるために,何時間 もかけてソース・コードを読破してプログラミング技術などを磨く。 ボット,スパイウエア,標的型攻撃--。攻撃者の目的が自己顕示欲から金銭を得ることに変わる過程で,ユーザーやウイルス対策ソフトから発見されないようにするテクニックがマルウエアに追加されるようになった。それがルートキットだ。目に見えぬルートキットの恐怖を第一線で
自宅のサーバに外から安全にアクセスしようとすると(特に固定IPアドレスを持たない場合は)問題が起こる可能性があるが、Linux、PAM、NX Freeを使えば安全なリモートアクセス環境を作り出すことができる。 数か月前、自宅のあるウルグアイのモンテビデオからニューヨークに出向く用事があった。国外で数週間過ごすことになったため、自宅のサーバにアクセスできることを確認しなければならなかった。Linuxは安定しているとはいえ、自宅に残った家族が問題に見舞われることも考慮しなければならなかった。私がニューヨークから電話やメールで対策を指示できるとは限らないからだ。 すべてをうまく運ぶために、私は3つの問題を解決する必要があった。まず、自宅では固定IPアドレスなしのASDL接続を利用しているが、これは私のアドレスが変わり得ることを意味するため、IPアドレスがわからなくても私のマシンにアクセスできる必
今年の4月末にエストニアが大規模サイバー攻撃を受け、同国のインターネット・インフラストラクチャの一部が麻痺した。サイバー攻撃自体はめずらしくないが、エストニアへの攻撃は従来のクラッカー個人やグループによるものに比べて桁違いに大がかりで組織的だった。同国との関係が悪化しているロシア政府の関与を指摘する声もあり、そのため初のサイバー戦争とも見られている。Black Hat Brifingsでは、攻撃を受けている最中のエストニアを訪れたBeyond SecurityのセキュリティエバンゲリストGadi Evron氏が、国の安全保障を揺るがす新たなサイバーテロについて語った。 ロシア系住民との衝突、そしてサイバー攻撃 エストニアは人口は130万人。1991年の独立時に国家のインフラを土台から構築し直し、「IT立国」を国策として、大胆にインターネット技術を導入してきた。国民はPKIチップを備えたID
米国でiPhoneが発売され、いよいよ日本国内の携帯のガラパゴス文化が際立ってきている気がする今日この頃だが、皆さんは「携帯電話からのWeb」をどれくらい利用しているだろうか? そして、そのセキュリティをどれだけ気にしているだろうか? 6/24の高木浩光氏の日記「ケータイWebはそろそろ危険」では、 GoogleとKDDIの提携により実現されているWeb検索機能が、検索結果でのURLが自明でないという指摘がなされている。サービスを提供する側、利用する側に存在した「あまり遠くへ行かない」という暗黙の了解が通用しなくなっているのに、ユーザを保護する仕組みは旧来の前提を頑なに固持したまま実装されている、という事が解る。一方で、海外のケータイはどうかというと、ITmediaの7月2日の記事などが一つの参考になるだろう。 また、高木氏の6/29の日記「EZwebサイトでSession Fixatio
先日の日記で携帯の認証に関しての考察をして、とりあえずキャリア毎のIP制限を行っていれば端末IDやユーザID認証を信用していいのでは無いか?と書いたのだが、更に調べた結果どうも怪しい実態が見えてきたので危険度と合わせて再度纏めてみようと思う。 とりあえず指摘があったので前回のテストに加えて以下を試してみました。 NO uidに指定した値 実際に送信されてくる値 8 %30%31%32%33%34%35%36%37%38%39%61%62*1 1234567890ab うわ弱っ、駄目じゃん。見事にuidの詐称が成功してしまった…。 DoCoMoのユーザIDの信頼性が地に落ちた瞬間です。 2007-03-01追記)DoCoMoスゲー!昨日は確かに上記の方法で詐称できたのに、今日はもう既に対策されとるし(^^; 今、同じことを試すと以下のメッセージが出るのみでした。 IPサイトの記述に誤りがある
巡回サイトの一つである高木浩光@自宅の日記で以下のようなエントリーがあった。 高木浩光@自宅の日記 - 携帯電話向けWebアプリの脆弱性事情はどうなっているのか ここではいつもの高木氏の口調で、「携帯向けWEBアプリ開発では未だにGETパラメータでセッションIDを渡しており、それはこれまでも何度もいかんことだと言っている。」というような内容が語られている。 確かにWEB+DBの記事に対して高木氏が注釈で言っているように「IPアドレスによる制限に関して書いていない」という点に関してはWEB+DB側の落ち度だと思う。実際これを行わない限り端末IDやユーザID*1による認証が意味をなさなくなってしまうからだ。*2 但し、キャリア毎にIPアドレス制限をする限りにおいては端末IDやユーザIDは偽装不可能*3なので、むしろ他人でも入力可能なパスワード認証よりも強力な認証かもしれません。逆にいえばその認
以前に「さまざまな機器のデフォルトのパスワード一覧」ということで、ネットワーク機器など、さまざまな機器の工場出荷時のパスワードをリスト化しているページを紹介しましたが、今度はルータのみに的を絞ったサイトが出現したようです。 詳細は以下の通り。 Default Router Passwords - The internets most comprehensive router password database http://routerpasswords.com/ プルダウンリストからルータのメーカーを選んで「Find Password」ボタンをクリックすると、パスワードがわかるという仕組み。 やはりパスワードはちゃんと変更しておかないとセキュリティ的には非常に危険ということですね……。
オープン・ネットワーク(公衆の場で用意されている無料ネットワークなど)は魅力的だ。外出時でもメッセージを送受信したり,データを短時間で収集したりする必要がある場合はそう感じる。しかし,オープン・ネットワークを(会議の席やコーヒーショップやホテルなどで)利用する場合は,ガードを解いてはならない。解いてしまえば侵入者の餌食となってしまうかもしれない。 オープン・ネットワークを利用している場合は,できるだけガードを堅くしておくべきである。場合によっては特定のオープン・ネットワークを利用しないという決断を下さなければならないかもしれない。 オープン・ネットワークを利用するかどうかの決定は,2つの単純な質問に帰着する。つまり,(1)ネットワーク接続や接続解除を安全に行えると確信できるかどうか,(2)システムが潜在的なゼロデイ攻撃に耐えられるほど安全であることについて,十分な自信があるか--ということ
ブラウザのプロキシ設定を自動化するWPADの仕組みを悪用し、悪意のあるプロキシサーバにトラフィックを誘導されてしまう問題があることが分かった。 ブラウザのプロキシ設定を自動化するWPAD(Web Proxy Automatic Discovery)プロトコルの仕組みを悪用し、悪意のあるプロキシサーバにトラフィックを誘導されてしまう問題があることが分かり、Microsoftが技術文書を公開して回避策を紹介した。 Microsoftによると、WPADを利用する設定になっているクライアントソフトは、プロキシ自動設定ファイル(Wpad.dat)が置かれたホストを参照する仕組みになっているが、そのためにはWPADエントリをDNS(Domain Name System)かWINS(Windows Internet Naming Service)に登録しておく必要がある。 この仕組みを悪用し、密かにWP
もし辞書を使って力ずくで攻撃されたら――SSHに対するこの種の攻撃は珍しくないため、そう心配する人は多いだろう。しかし、こうした攻撃からSSHを守ってくれる新しいツールsshguardが登場した。まだベータ段階だが、十分に使えそうだ。 TelnetやFTPなどといった第1世代のネットワーク・プロトコルでは、ログイン手順は平文で処理される。したがって、そのセキュア版としてOpenSSHが登場したのは当然だろう。だが、Telnetの代わりにSSHを使っているからといって十分とはいえず、慎重に用いるべき点は同じだ。SSHに使うパスワードが弱いと、辞書を利用した力ずくの攻撃で、パスワードを平文で送ったのと同じくらいやすやすと解読されてしまうからだ。 そのポート22を力ずくの攻撃から保護しようと考え出されたのがsshguardだ。このツールはSSHへのログイン要求を監視し、攻撃があるとそのIPアドレ
Vyattaは20日(米国時間)、ルータ/ファイアウォール製品(Vyatta OFR)のオープンソース版「Vyatta Community Edition 2」の提供を開始した。対象プラットフォームはDebian GNU/Linuxのみ、バイナリパッケージはLinuxカーネルなど必要最低限の機能で構成されたLive-CD形式で提供される。 今回のリリースでは、シリアルインタフェースのサポートが改善。Sangoma Technologies社製のマルチポートT1/E1カード、および1ポートのT3カードに対応した。前バージョンと比較してパフォーマンスも向上、BGPルート追加時は約80%、削除時は約70%にまで収束時間を短縮できるという。ベースとなるLinuxディストリビューションも、Debianの最新リリース「Etch」に更新されている。 Vyatta OFRは、オープンソースのIPルータソフ
米国シマンテックとインディアナ大学の研究者らは、悪意のあるJavaScriptコードによって、家庭用ルータが乗っ取られる可能性があるというテスト結果を発表した。研究者らは対策として、ルータの管理パスワードをデフォルト設定から変更するようユーザーに呼びかけている。 研究者らによると、この攻撃は2つの条件が満たされたときに可能になるという。1つはユーザーが悪意あるJavaScriptコードを含むWebページにアクセスしたとき、もう1つはルータの管理パスワードをデフォルトの状態で利用しているときだ。 研究者らは、シスコシステムズのリンクシス部門であるディーリンク(D-Link)の無線ルータ「DI-524」を利用し、ファームウェアを変更したうえでテストを行った。その結果、DI-524経由でインターネットにアクセスしたユーザーを、指定したDNS(Domain Name System)サーバ経由で特定
1. はじめに Shareと呼ばれるP2P型ファイル交換・共有システムがここ二年ほどで急速に普及し、Winnyについで第2の巨大P2Pネットワークを構成している事は皆様もご存知かと思います。以前、ネットワーク脆弱性スキャナ「Retina」(http://www.scs.co.jp/eeye/)にWinnyの検出機能を実装致しましたが、同様にShareの検出機能も実装して欲しいという強い要望を日本の皆様から頂いておりました。このためには、Shareを解析せねばなりません。 どうせShareを解析するならば、利用されている暗号アルゴリズムやプロトコルを詳細に解析し、現在日本で大きな社会的問題となっているShareネットワークでの情報漏えい問題に何か手を打てればと思い、年明けからShare EX2の解析に着手しました(以降、「Share」 = 「Share EX2」とする)。この甲斐あって、Re
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く