とあるPCヘルプデスクのトラブル対処覚書や勉強の話など。 時には趣味を語ってみたり。
よいちなヘルプデスクの雑記帖
スポンサーサイト
-----------  CATEGORY: スポンサー広告
上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
第3回名古屋情報セキュリティ勉強会(自分なりのまとめ その1)
2012-04-24-Tue  CATEGORY: 勉強(IT関連)
第3回名古屋情報セキュリティ勉強会
(メモれた範囲で自分なりのまとめ その1です。主催者様、講師様、関係者の皆様に多大なる感謝。
 足りなかったり、間違いがあったらすみません)

●ペネトレーションテストについて
 ペネトレーションテストとは侵入試験のことで、コンピュータ、ネットワークに内在する弱点を検出し、実証、評価する。
 侵入可能な範囲はDMZなどの公開サーバだけではなく、非公開エリアでもIPアドレスを持っていれば、実施が可能。プリンタや空調装置などの検査も出来る。

 <具体的にすること>
  ・BOF
  ・認証の回避
  ・センシティブ情報(個人情報など)の取得が可能かどうか。
  ・管理者、一般ユーザの権限奪取
    など。

 その中で、危険度「高」の1位(7割)74%を占めるのが、パスワード関連の脆弱性。
 SNMPのコミュニティ情報が10%ほどを含まれている。

●パスワードクラックの方法
  大まかに次の二つに分けられる
   ・オンラインパスワードクラッカー
   ・オフラインパスワードクラッカー

 ○オンラインパスワードクラッカーの種類
    THC-HYDRA(オンライン)
      11年目。IPv6に対応。Moduleによっては不安定。

    Medusa(メデューサ)
       apt-get、Yumでインストール可能。HYDRA互換

    Ncrack
        Nmapとの親和性が高い。比較的新しい。Module少なめ。

   <性能比較>
     条件:100ユーザー。辞書でクラック出来ないアカウントあり。
     SSHはNcrackが向いている。
     FTPはHYDRA 総合的にはMedusa
 
 ○オフラインパスワードクラッカーの種類
     John The  Ripper
        辞書やルールによっては解析できなかったりする。その都度ハッシュを作成するので、解析に時間がかかる。

     RainbowCrack
        前もってハッシュテーブルを用意して解析するタイプなので、解析に要する時間が短い。
        ハッシュテーブルはよそから入手可能。

●パスワードクラックに有効な対策
  一般的に広く知られているのは、強固なパスワードに、定期的に変更すること。
   →本当にそうだといえるかどうか

  ○破られる可能性を減らす
     ブルートフォース(すべての組み合わせを試す総当り)攻撃を想定する場合、単純な文字列や安易な単語の
     パスワードはすぐに破られる。
     この場合、文字列が多ければ多いほど、パスワードが破られにくくなる。
     また、一定回数パスワードを間違えたら、アカウントロックをかける対策も有効。
 
        定期的な変更<文字列を増やす 
        アカウントロック<文字列を増やす

  ○破られた時の被害範囲を減らす
     ・短期的な視点
       オンラインバンキングの場合、
           窓口でお金をおろすとメールが飛んだりするような仕組みを取り入れているところがある。
             →一度に大金をおろされたらアウト。
       
           そもそもパスワード単体の価値が低く、ワインタイムトークンやマトリックス表など別の手段と組み合わせる
           のが主流。
   
       サーバに侵入された場合
           ハニーポッドに甘いパスワードを設定して観察してみたところ、数時間で再起不能になった。
           90日間の定期更新では意味がない。

      被害を抑えるためには、早期発見のためのしくみと、適切なアクセスコントロールが必要。

     ・長期的な視点
        機密情報があるファイルサーバにアクセスできる、役員アカウントがハックされた場合を想定。
          →権限が高いほど甘い場合がある。
   
        継続的に更新、追加されていく情報(給与明細など)については、それ以上盗まれ続けないという効果がある。

      短期的に被害最小化にはならない。
      長期的には限定的な効果はある。

   パスワードクラックの被害に遭う、遭わないというのは、更新頻度ではなく、パスワードの質に左右される。
   趣味、誕生日などはNG。十分な長さと複数の文字種の組み合わせが望ましい。
スポンサーサイト
トラックバック0 コメント0
コメント

管理者にだけ表示を許可する
 
トラックバック
TB*URL


Copyright © 2017 よいちなヘルプデスクの雑記帖. all rights reserved.
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。