第3回名古屋情報セキュリティ勉強会
(メモれた範囲で自分なりのまとめ その1です。主催者様、講師様、関係者の皆様に多大なる感謝。
足りなかったり、間違いがあったらすみません)
●ペネトレーションテストについて
ペネトレーションテストとは侵入試験のことで、コンピュータ、ネットワークに内在する弱点を検出し、実証、評価する。
侵入可能な範囲はDMZなどの公開サーバだけではなく、非公開エリアでもIPアドレスを持っていれば、実施が可能。プリンタや空調装置などの検査も出来る。
<具体的にすること>
・BOF
・認証の回避
・センシティブ情報(個人情報など)の取得が可能かどうか。
・管理者、一般ユーザの権限奪取
など。
その中で、危険度「高」の1位(7割)74%を占めるのが、パスワード関連の脆弱性。
SNMPのコミュニティ情報が10%ほどを含まれている。
●パスワードクラックの方法
大まかに次の二つに分けられる
・オンラインパスワードクラッカー
・オフラインパスワードクラッカー
○オンラインパスワードクラッカーの種類
THC-HYDRA(オンライン)
11年目。IPv6に対応。Moduleによっては不安定。
Medusa(メデューサ)
apt-get、Yumでインストール可能。HYDRA互換
Ncrack
Nmapとの親和性が高い。比較的新しい。Module少なめ。
<性能比較>
条件:100ユーザー。辞書でクラック出来ないアカウントあり。
SSHはNcrackが向いている。
FTPはHYDRA 総合的にはMedusa
○オフラインパスワードクラッカーの種類
John The Ripper
辞書やルールによっては解析できなかったりする。その都度ハッシュを作成するので、解析に時間がかかる。
RainbowCrack
前もってハッシュテーブルを用意して解析するタイプなので、解析に要する時間が短い。
ハッシュテーブルはよそから入手可能。
●パスワードクラックに有効な対策
一般的に広く知られているのは、強固なパスワードに、定期的に変更すること。
→本当にそうだといえるかどうか
○破られる可能性を減らす
ブルートフォース(すべての組み合わせを試す総当り)攻撃を想定する場合、単純な文字列や安易な単語の
パスワードはすぐに破られる。
この場合、文字列が多ければ多いほど、パスワードが破られにくくなる。
また、一定回数パスワードを間違えたら、アカウントロックをかける対策も有効。
定期的な変更<文字列を増やす
アカウントロック<文字列を増やす
○破られた時の被害範囲を減らす
・短期的な視点
オンラインバンキングの場合、
窓口でお金をおろすとメールが飛んだりするような仕組みを取り入れているところがある。
→一度に大金をおろされたらアウト。
そもそもパスワード単体の価値が低く、ワインタイムトークンやマトリックス表など別の手段と組み合わせる
のが主流。
サーバに侵入された場合
ハニーポッドに甘いパスワードを設定して観察してみたところ、数時間で再起不能になった。
90日間の定期更新では意味がない。
被害を抑えるためには、早期発見のためのしくみと、適切なアクセスコントロールが必要。
・長期的な視点
機密情報があるファイルサーバにアクセスできる、役員アカウントがハックされた場合を想定。
→権限が高いほど甘い場合がある。
継続的に更新、追加されていく情報(給与明細など)については、それ以上盗まれ続けないという効果がある。
短期的に被害最小化にはならない。
長期的には限定的な効果はある。
パスワードクラックの被害に遭う、遭わないというのは、更新頻度ではなく、パスワードの質に左右される。
趣味、誕生日などはNG。十分な長さと複数の文字種の組み合わせが望ましい。
(メモれた範囲で自分なりのまとめ その1です。主催者様、講師様、関係者の皆様に多大なる感謝。
足りなかったり、間違いがあったらすみません)
●ペネトレーションテストについて
ペネトレーションテストとは侵入試験のことで、コンピュータ、ネットワークに内在する弱点を検出し、実証、評価する。
侵入可能な範囲はDMZなどの公開サーバだけではなく、非公開エリアでもIPアドレスを持っていれば、実施が可能。プリンタや空調装置などの検査も出来る。
<具体的にすること>
・BOF
・認証の回避
・センシティブ情報(個人情報など)の取得が可能かどうか。
・管理者、一般ユーザの権限奪取
など。
その中で、危険度「高」の1位(7割)74%を占めるのが、パスワード関連の脆弱性。
SNMPのコミュニティ情報が10%ほどを含まれている。
●パスワードクラックの方法
大まかに次の二つに分けられる
・オンラインパスワードクラッカー
・オフラインパスワードクラッカー
○オンラインパスワードクラッカーの種類
THC-HYDRA(オンライン)
11年目。IPv6に対応。Moduleによっては不安定。
Medusa(メデューサ)
apt-get、Yumでインストール可能。HYDRA互換
Ncrack
Nmapとの親和性が高い。比較的新しい。Module少なめ。
<性能比較>
条件:100ユーザー。辞書でクラック出来ないアカウントあり。
SSHはNcrackが向いている。
FTPはHYDRA 総合的にはMedusa
○オフラインパスワードクラッカーの種類
John The Ripper
辞書やルールによっては解析できなかったりする。その都度ハッシュを作成するので、解析に時間がかかる。
RainbowCrack
前もってハッシュテーブルを用意して解析するタイプなので、解析に要する時間が短い。
ハッシュテーブルはよそから入手可能。
●パスワードクラックに有効な対策
一般的に広く知られているのは、強固なパスワードに、定期的に変更すること。
→本当にそうだといえるかどうか
○破られる可能性を減らす
ブルートフォース(すべての組み合わせを試す総当り)攻撃を想定する場合、単純な文字列や安易な単語の
パスワードはすぐに破られる。
この場合、文字列が多ければ多いほど、パスワードが破られにくくなる。
また、一定回数パスワードを間違えたら、アカウントロックをかける対策も有効。
定期的な変更<文字列を増やす
アカウントロック<文字列を増やす
○破られた時の被害範囲を減らす
・短期的な視点
オンラインバンキングの場合、
窓口でお金をおろすとメールが飛んだりするような仕組みを取り入れているところがある。
→一度に大金をおろされたらアウト。
そもそもパスワード単体の価値が低く、ワインタイムトークンやマトリックス表など別の手段と組み合わせる
のが主流。
サーバに侵入された場合
ハニーポッドに甘いパスワードを設定して観察してみたところ、数時間で再起不能になった。
90日間の定期更新では意味がない。
被害を抑えるためには、早期発見のためのしくみと、適切なアクセスコントロールが必要。
・長期的な視点
機密情報があるファイルサーバにアクセスできる、役員アカウントがハックされた場合を想定。
→権限が高いほど甘い場合がある。
継続的に更新、追加されていく情報(給与明細など)については、それ以上盗まれ続けないという効果がある。
短期的に被害最小化にはならない。
長期的には限定的な効果はある。
パスワードクラックの被害に遭う、遭わないというのは、更新頻度ではなく、パスワードの質に左右される。
趣味、誕生日などはNG。十分な長さと複数の文字種の組み合わせが望ましい。
スポンサーサイト
| ホーム |