コンピュータネットワークセキュリティ

• 作者: 八木毅,村山純一,秋山満昭
• 出版社/メーカー: コロナ社
• 発売日: 2015/03/17
• メディア: 単行本
• この商品を含むブログを見る

 

目次

サイバー攻撃の概要とリスク
サイバー攻撃に関わるインターネット技術
ポートスキャン
脆弱性スキャン
マルウェア感染
誤操作による感染
ソフトウェア脆弱性による感染
対策を回避する高度な感染
感染ホストの遠隔操作
情報漏えい、認証情報の悪用
ＤＤｏＳ攻撃
ＤＮＳ攻撃
Ｗｅｂサイトへの攻撃
コンピュータネットワークセキュリティの将来

メモ

メモ程度なので、理解不足は多め。

マルウェア感染を中心としたサイバー攻撃に関する全体像の説明

ほかの本と比べて暗号がなくマルウェアや具体的な検知や難読化を扱っていて、とても学生向けの本だと感じました。

図を多用・章が短く理解不足の点が判る。

ボットをホストが構築→ボットネット・踏み台

世界初のマルウェアCreeper(1971)

マルウェア感染時・感染後の対策手段を把握する。

ISO(International Organization for Standardization)

OSI(Open Systems Interconnection)

TCP(Transmission Control Protocol)

URL(Uniform Resource Locator),統一資源位置指定子

IPペイロード　IPヘッダ以降のデータ　その後TCP/UDPヘッダ

ポート番号０～１０２３はウェルノウンポート

それ以外はエフェメラルポート

プライベートIPを活用してグローバルIPを節約→NATの技術

NAT（Network Address Translation）

ICMP（Internet Control Message Protocol)

traceroute(winではtracert) port:33434

ポートスキャン対策　ファイアウォール

５－tuple 　送信元IP　あて先IP　送信元ポート　あて先ポート　プロトコル番号

ファイアウォールのログから通信を検知

利便性の点からいくつかのポートは開く↓

通常と異なる通信：アノマリ検知（anomaly detection）

特定の通信パターン：ミスユース検知　シグネチャ検知　ブラックリスト　機械学習が盛ん

アノマリ検知　通信間隔が一定　あて先IPアドレスが多い

トラフィックデータ：tcpdump ミラーリング　代理アクセスサーバ設置

特徴ベクトル→クラスタリング（clustering）→クラスタ分析（データマイニングを使用）

Darknet :　利用していないIP　マルウェア攻撃のIP特定

honeypot 受動的観測と能動的観測　ハニークライアント

   高対話型　実際のソフトウェアを用いる　安全性を考える

   低対話型　ソフトウェアを模擬　やはり実機とは違う

HeneypotProjwct ENISAの調査論文

セキュリティプライアンスとして

 IDS（Intrusion Detection System）

 IPS (Intrusion Prevention System)

 WAF (Web Application Firewall)

DMZ(DeMilitarized Zone)　インターネットとプライベートネットワークの間を示す

マルウェアの種類

　ウィルス　ワーム　トロイの木馬（trojan） スパイウェア　アドウェア　欄サムウェア　巣ケアウェア　ダウンローダ　ドロッパ　ボット

DAC（Discretionary Access Control） 任意アクセス制御　Unix、Linux

MAC　（Mandatory Access Control） 強制アクセス制御　SELinux

UAC (User Account Control) ユーザアカウント制御　windows権限分離を行える

メモリ破壊の脆弱性

　バッファオーバーフロー（BOF）　整数オーバーフロー　フォーマットストリングス

　Use　Aftrer Free

ペイロード（攻撃コード＋シェルコード）　メモリ破壊　ポインタ　シェルコード

Bind shell , connect back shell , download exec

NOPスレッド　０ｘ９０

ヒープスプレー（heap spray） NOPとシェルコードをheapに配置

リモートエクスプロイト・ドライブバイダウンロード

難読化（obfuscation）

悪性サイトの検出

　シードURLの生成

悪性サイトと類似するドメイン

攻撃者はポリモーフィックURL（URLの一部を変化）←AutoREで対策

C&C（command & control）のトポロジー（サーバとボット接続構成）

　　スター型　多重サーバ型　階層型　ランダム型

MITM(Man In The Middle)

MITB(Man In The Browser)

テイント解析　データにタグをつけて（属性情報）伝搬を追跡

SYN(SYNchronization)Flood攻撃

DDoS攻撃の対策　監視装置へ送信する　統計プロトコル（NetFlow）

DNSアンプ攻撃＝　DNSサーバ　＋　DDoS攻撃

キャッシュ汚染攻撃

　本物の構成DNSサーバより早く取り、偽の通信をキャッシュDNSサーバに出す

DNSのメッセージにはIDが必要（IDは16bit→短時間でパケットを通信）

対策として　DNS SECの公開鍵暗号　ポート番号をランダム化　DNSSECは恒久的な解決策だがサービス処理性能の負荷大

代理DNS鯖

webサイトの攻撃

OWASP(Open Web Application Security Project)がtop10を発表している

SQLインジェクション　OSコマンドインジェクション　ディレクトリトラバーサル

ファイルインクルージョン　PHPコードエグゼキューション　クロスサイトスクリプティング　

webサイトの保護として　WAFや機械学習が盛ん　WAFのシグネチャを生成するために、webサーバ型のハニーポットを適用する。Glasopf(低対話型)

最適なベイジアンネットワークの構築はNP難解

ベイジアンネットワークのGUIでWekaがある

CVE(Common Vulnerabilities and Exposures) 共通脆弱性識別子

ITKeys SecCap 大学で連携してMWS　

実践 パケット解析 第2版 ―Wiresharkを使ったトラブルシューティング : Chris Sanders, 高橋 基信, 宮本 久仁男, 岡 真由美 : 本 : Amazon.co.jp

1章　パケット解析とネットワークの基礎
	1.1　パケット解析とは？
	1.2　パケットスニッファの評価
		1.2.1　サポートされているプロトコル
		1.2.2　ユーザーフレンドリかどうか
		1.2.3　コスト
		1.2.4　スニッファのサポート体制
		1.2.5　OSのサポート
	1.3　パケットスニッファの仕組み
		1.3.1　収集
		1.3.2　変換
		1.3.3　解析
	1.4　コンピュータはどのように通信するのか
		1.4.1　ネットワークプロトコル
		1.4.2　OSI参照モデル
		1.4.3　プロトコルの相互作用
		1.4.4　データのカプセル化
		1.4.5　プロトコルデータユニット
		1.4.6　ネットワークハードウェア
		1.4.7　トラフィックの分類

2章　ケーブルにもぐりこむ
	2.1　プロミスキャスモードの使用
	2.2　ハブで構成されたネットワークでのスニッフィング
	2.3　スイッチで構成されたネットワークでのスニッフィング
		2.3.1　ポートミラーリング
		2.3.2　ハブの使用
		2.3.3　ARPキャッシュポイゾニング
		2.3.4　Cain & Abelの使用
	2.4　ルータで構成されたネットワークでのスニッフィング
	2.5　ネットワーク図

3章　Wireshark概要
	3.1　Wiresharkの歴史
	3.2　Wiresharkの利点
		3.2.1　サポートされているプロトコル
		3.2.2　ユーザーフレンドリかどうか
		3.2.3　コスト
		3.2.4　スニッファのサポート体制
		3.2.5　OSのサポート
	3.3　Wiresharkのインストール
		3.3.1　システム要件
		3.3.2　Windowsでのインストール
		3.3.3　Linuxでのインストール
	3.4　Wiresharkの基本
		3.4.1　最初のパケットキャプチャ
		3.4.2　メインウィンドウ
		3.4.3　設定画面
		3.4.4　パケットの色分け

4章　Wiresharkでのパケットキャプチャのテクニック
	4.1　パケットの検索とマーキング
		4.1.1　パケットの検索
		4.1.2　パケットのマーキング
	4.2　キャプチャファイルの保存とエクスポート
		4.2.1　キャプチャファイルの保存
		4.2.2　キャプチャデータのエクスポート
	4.3　キャプチャファイルのマージ
	4.4　パケットの印刷
	4.5　時間の表示フォーマットと相対時間表示
		4.5.1　時間の表示フォーマット
		4.5.2　相対時間表示
	4.6　キャプチャフィルタとディスプレイフィルタ
		4.6.1　キャプチャフィルタ
		4.6.2　ディスプレイフィルタ
		4.6.3　［Filter Expression］ダイアログ
		4.6.4　フィルタを自力で作る
		4.6.5　フィルタの保存

5章　Wiresharkの高度な機能
	5.1　名前解決
		5.1.1　Wiresharkの名前解決ツール
		5.1.2　名前解決を有効にする
		5.1.3　名前解決の欠点
	5.2　プロトコルの分析
	5.3　TCPストリームの表示
	5.4　［Protocol Hierarchy Statistics］ウィンドウ
	5.5　エンドポイントを見る
	5.6　ネットワーク上の「対話」
	5.7　［IO Graphs］ウィンドウ

6章　一般的なプロトコル
	6.1　ARP
	6.2　DHCP
	6.3　TCP/IPとHTTP
		6.3.1　TCP/IP
		6.3.2　セッションの確立
		6.3.3　データ送信の開始
		6.3.4　HTTPの通信
		6.3.5　セッションの終了
	6.4　DNS
	6.5　FTP
		6.5.1　CWDコマンド
		6.5.2　SIZEコマンド
		6.5.3　RETRコマンド
	6.6　TELNET
	6.7　MSNメッセンジャーサービス
	6.8　ICMP
	6.9　まとめ

7章　ケーススタディ（基礎編）
	7.1　TCPの通信障害
	7.2　届かないパケットとICMPコード
		7.2.1　宛先到達不可能
		7.2.2　ポート到達不能
	7.3　IPフラグメンテーション
		7.3.1　IPフラグメンテーションを実行するかどうか
		7.3.2　順番に組み立てる
	7.4　接続不能
		7.4.1　分かっていること
		7.4.2　パケット解析開始
		7.4.3　解析
		7.4.4　まとめ
	7.5　Internet Explorerの悪魔
		7.5.1　分かっていること
		7.5.2　パケット解析開始
		7.5.3　解析
		7.5.4　まとめ
	7.6　FTPサーバとの通信
		7.6.1　分かっていること
		7.6.2　パケット解析開始
		7.6.3　解析
		7.6.4　まとめ
	7.7　私のせいじゃない！
		7.7.1　分かっていること
		7.7.2　パケット解析開始
		7.7.3　解析
		7.7.4　まとめ
	7.8　悪魔のプログラム
		7.8.1　分かっていること
		7.8.2　解析開始
		7.8.3　解析
		7.8.4　まとめ
	7.9　考察

8章　ケーススタディ（ネットワークの遅延と戦う）
	8.1　ダウンロードの遅延の原因
	8.2　ルーティングの不具合
		8.2.1　分かっていること
		8.2.2　パケット解析開始
		8.2.3　解析
		8.2.4　まとめ
	8.3　二重に見える
		8.3.1　分かっていること
		8.3.2　パケット解析開始
		8.3.3　解析
		8.3.4　まとめ
	8.4　サーバが私を拒否してる？
		8.4.1　分かっていること
		8.4.2　パケット解析開始
		8.4.3　解析
		8.4.4　まとめ
	8.5　BitTorrentの大雨
		8.5.1　分かっていること
		8.5.2　パケット解析開始
		8.5.3　解析
		8.5.4　まとめ
	8.6　メールサーバに流れ込むPOP
		8.6.1　分かっていること
		8.6.2　パケット解析開始
		8.6.3　解析
		8.6.4　まとめ
	8.7　Gnutellaも大雨
		8.7.1　分かっていること
		8.7.2　パケット解析開始
		8.7.3　解析
		8.7.4　まとめ
	8.8　考察

9章　ケーススタディ（セキュリティ解析）
	9.1　OSのフィンガープリント
	9.2　ポートスキャン
	9.3　プリンタの氾濫
		9.3.1　分かっていること
		9.3.2　パケット解析開始
		9.3.3　解析
		9.3.4　まとめ
	9.4	FTPサーバへの侵入
		9.4.1　分かっていること
		9.4.2　パケット解析開始
		9.4.3　解析
		9.4.4　まとめ
	9.5	Blasterワーム
		9.5.1　分かっていること
		9.5.2　パケット解析開始
		9.5.3　解析
		9.5.4　まとめ
	9.6	隠された情報
		9.6.1　分かっていること
		9.6.2　パケット解析開始
		9.6.3　解析
		9.6.4　まとめ
	9.7	ハッカーの視点
		9.7.1　分かっていること
		9.7.2　パケット解析開始
		9.7.3　解析
		9.7.4　まとめ

10章　無線LANのスニッフィング
	10.1　1つのチャンネルをスニッフィング
	10.2　無線LANのインターフェース
	10.3　無線LANカードのモード
	10.4　Windows上での無線LANのスニッフィング
		10.4.1　AirPcapの設定
		10.4.2　AirPcapを使ったパケットキャプチャ
	10.5　Linux上での無線LANのスニッフィング
	10.6　802.11のパケット
		10.6.1　802.11のフラグ
		10.6.2　ビーコンフレーム
	10.7　無線LAN特有の情報
	10.8　無線LAN特有のフィルタ
		10.8.1　特定のBSSIDでフィルタリング
		10.8.2　無線LANのタイプでフィルタリング
		10.8.3　特定のデータタイプでフィルタリング
	10.9	無線LANに接続できない
		10.9.1　分かっていること
		10.9.2　パケット解析開始
		10.9.3　解析
		10.9.4　まとめ
	10.10	考察

11章　推薦文献

あとがき

付録	Winnyやボットのパケット解析
	A.1　その1：Winnyパケットを追え
		A.1.1　P2P通信Winny
		A.1.2　Winny通信の解析
		A.1.3　まとめ
	A.2　その2：ウイルス、ワーム、ボットの追跡
		A.2.1　ウイルス、ワームの変質
		A.2.2　ボット（踏み台）の特徴
		A.2.3　「怪しい通信」の解析

オライリーだけど本のページ数が170ページで薄い。

これは第一版です。今は二版出ています。

WireSharkのパケットキャプチャ入門と比べると、機能よりも概念を書いている

この本の良い点は、実際にネットワークのトラブルがあった時に、対処の一連を書いているところで、やはり多くの事例を経験していかないといけないと気づく。

オライリーだが全体的に読みやすく、流し読みでも十分理解ができる。特に前半のパケットの概念やWireSharkの使い方など。

３ウェイハンドシェイクが詳しくもっと知りたい（SYN　SYN/ACK　ACK）

ARP（Adress Resolution Protocol）が理解が足りない

Telnetは通信が危険SSHを使うべき

Loki　ICMPパケットにデータを埋め込みこっそりと送信すること

Cain&Abel　ググる　ARPキャッシュポイゾニング

無線LANのスニッフィングはAirPcapがメイン　無線LANを理解することでトラブルシューティングの細部を理解する助けになる

付録が最後のメインみたいなとこある。

Winnyの通信１１バイトごとに通信

次は、第二版を読んで熟読し知識をしっかりと自分のものにしたい

無線LANは最近出るパケットキャプチャを読みたい

「徳丸浩のwebセキュリティ教室」

【第1章・概要】狙われるWebサイト、セキュリティ確保は経営問題に

　　　1-1　進化する手口、変わらぬ本質

　　　　　 Web侵入事件の歴史に学ぶ

　　　1-2　設計や仕様にも危険が潜む

　　　　　 脆弱性の本質を理解しよう

【第2章・攻撃手法】パスワード破りやなりすましの危険、攻撃はもはや防げない

　　　2-1　相次ぐSQLインジェクション攻撃

　　　　　 発注者の意識不足が原因の一端

　　　2-2　21秒ごとに1文字ずつ盗み出す

　　　　　 SQLインジェクションの手口

　　　2-3　「パスワード破り」が相次ぐ

　　　　　 利用者とサイトの両方に問題

　　　2-4　セキュリティ機能が通用しない

　　　　　 「XSS」の本当の怖さを理解する

　　　2-5　“誤認逮捕”に発展する恐れ

　　　　　 「なりすまし投稿」を防ぐ

　　　2-6　仮想サーバーのOSを入れ替える

　　　　　 Web改ざんの恐るべき手口

　　　2-7　世間を騒がせた「GHOST」脆弱性

　　　　　 Webサイトも影響を受ける恐れ

　　　2-8　クラウドサービスが乗っ取られる？

　　　　　 ハイパーバイザーの脆弱性に注意

【第3章・対策】セキュリティ対策の主役は発注者。
 費用対効果の高い方法を選択しよう

3-1　パッチの提供期間に注意

適用の容易さも考慮すべき

3-2　切り札「WAF」への関心高まる

ホワイトリスト方式は運用困難

3-3　RFPにセキュリティ要件は必須

発注者の意識が何よりも重要に

3-4　脆弱性未対策はベンダーの重過失

賠償金2000万円超の衝撃判決

3-5　パスワードは頻繁に変更すべきか

定量的評価から見えた意外な結果

3-6　相次ぐパスワード漏洩に有効

「ログインアラート」の導入を

3-7　クッキーの「属性」に落とし穴

誤った使い方が危険を招く

3-8　いまだに存在する「怖いクッキー」

悪用される前に改めて確認を
3-9　コストを抑えて安全性を向上

費用対効果が高い対策の導入を

3-10 Webに潜む脆弱性を洗い出す
検査対象の「絞り込み」が重要

3-11　「安全なサイトの作り方」が改訂

 脆弱性の根本的な解消に有効

3-12　プロキシー経由で情報漏洩の恐れ

適切なキャッシュ制御が不可欠

3-13　書籍のサンプルコードに脆弱性

 周りの若手に注意を促そう
3-14　急増するネットバンキング不正送金

　トランザクション認証で対策を

赤いほうの徳丸本ですね。

最初のSQLインジェクションがとても読みやすくわかりやすい。

SQLの入門書にSQLインジェクションやセキュリティ対策の章がないのは共感する。唯一あるのが、CTF本(リンゴ・ハリネズミ本)くらい、ブラインドインジェクションの説明がある本を探しているけど見つからない。

高校の商業科の人が、SQLかじったらしいけどセキュリティ対策を一切習ってないあたり仕事で軽く組んだらなかなか怖い。

 XSSにはメタ文字が原因となる。＆で始まる文字列を文字実体参照

CSRF(クロスサイトリクエストフォージェリ) 2012年のパソコン遠隔操作事件 罠のページにアクセスすると仕組まれたらJavaScriptが作動 一本釣り ACTION属性にはドメイン指定なし

DNSリバイディング DNSを攻撃対象サイトのIPアドレスに変換

2015/1 GHOST Linuxディストリビューションのライブラリglibc パッチ当てて対策

バッファオーバーフロー gethostbyname関数 PHPでも確認 IPv6により深刻度は低い←getaddrinfo関数

「Webアプリの発注側も、情報セキュリティを体系的に理解すべきである」

日経コンピュータの連載をまとめたもの

コードが少なく最近のセキュリティの脆弱性を読み物として読んでいくような書籍

 受注者「SQLインジェクションあるんだけど^^」

開発者「セキュリティ要件の仕様書に書いてないから知らなーい^^」

裁判官「SQLインジェクション位するでしょ。経産省やIPAが注意してるし。裁判で二千万の賠償ね！」

 WAF(web Application Firewall)

webを運営する人はセキュリティになるべくお金をかけたくない、無償のウイルススキャンや「脆弱性を根絶する。」ではなく作りこまないように努力したり、パッチをあてたりすることが重要。脆弱性ごとに生じやすい箇所があり、外部のweb管理ベンダーに頼んだほうが良い。IPAの「安全なサイトの作り方」

安全なウェブサイトの作り方：IPA 独立行政法人 情報処理推進機構