2014年版 抑えておきたいサーバセキュリティ
Upcoming SlideShare
Loading in...5
×

Like this? Share it with your network

Share

2014年版 抑えておきたいサーバセキュリティ

  • 81 views
Uploaded on

2014年版 抑えておきたいサーバセキュリティ

2014年版 抑えておきたいサーバセキュリティ

More in: Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
Post
    Be the first to comment
No Downloads

Views

Total Views
81
On Slideshare
81
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
0
Comments
0
Likes
2

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide
  • まずは、漏洩に対して。
  • 通信を暗号化しないとどうなるか?
  • 次は攻撃に対する方策
  • URLに注目

Transcript

  • 1. 押さえておきたい サーバーセキュリティ 株式会社ビヨンド 技術営業部岩本貴久
  • 2. 自己紹介 • 名前: • 岩本貴久(いわもん) • 所属: • 株式会社ビヨンド技術営業部 • 仕事: • 営業 • エンジニア • 他、あんな事やこんなこと • 特徴: • 基本ひきこもり • インテリア大好き! ビヨンドの「白いくまモン」
  • 3. CMです。 株式会社ビヨンドは、 「作り手を支え続ける」を企業理念とし、 お客様の希望をワンストップで実現する、 トータルITソリューションをご提供します。
  • 4. それでは、本題に。 改めまして、 押さえておきたい サーバーセキュリティ
  • 5. 今日の趣旨 クラウドが普及して、 サーバーを簡単に使える時代になりました。
  • 6. セキュリティ対策を考える前に セキュリティと利便性は相反する性質のもの 利便性セキュリティ
  • 7. セキュリティ対策 対策には2種類ある 情報の漏洩 攻撃に対する防御
  • 8. 情報の漏洩 漏洩の経路 意図しない閲覧 非暗号化による通信(盗聴) 人的な流出
  • 9. 例1:ファイル一覧が閲覧可能 意図しないファイル一覧が見えてしまっている。 DirectoryIndex index.html Options Indexes .htaccess Options Indexes ⇒ Options -Indexes
  • 10. 例2:認証 管理画面に認証はかかっていますか? AuthUserFile /home/hogehoge/.htpasswd AuthGroupFile /dev/null AuthName "Please enter your ID and password" AuthType Basic require valid-user .htaccess
  • 11. 例3:IPの指定 見せたくないページは、IP制限をしましょう。 order deny,allow deny from all allow from [IPアドレス] .htaccess
  • 12. もしもの時を考えて 情報は暗号化して保存しましょう。 それでも漏れてしまったら・・・ Google ウェブページ削除リクエストツール https://www.google.com/webmasters/tools/removals?hl=ja&pli=1
  • 13. 非暗号化による通信(盗聴) http とhttps の違いは、ご存知ですか? http https
  • 14. httpとhttpsの違い http HTTP/1.1.404.Not.Found.. Date:.Mon,.06.Jun.2014.10:15:24.GMT..Server:.Apache/2.2.17.(EL). .Content-Length:.282..Keep-Alive:.timeout=15,.max=99..Connection:.Keep-Alive.. Content-Type:.text/html;.charset=iso-8859-1....<!DOCTYPE.HTML.PUBLIC."-//IETF//DTD.HTML.2.0//EN">. <html><head>.<title>404.Not.Found</title>.</head><body>.<h1>Not.Found</h1>. <p>The.requested.URL./favicon.ico.was.not.found.on.this.server.</p>.<hr>.<address>Apache/2.2.17.(EL) .Server.at.sanma.local.Port.80</address>.</body></html>. E..2.Q@.@.X...d5..d1...+.[_...#.P..?l4......P..E......[t.v21...yU...${..X.6...- ..,.....|...y~q.6.....<...`.sJ. https .,..T.@o.S...:.....[.dM2.F.H...i...[..6...hN.*.j{...+V....b.......&....<.5..t...b..x.g.....HE...N....... k1.. (.pk.w......k...r...@5....a.xiVd..@Irk?e.?.K....S....E.1j.Z....b..,~.i.g..{.9`.9.=tX E..2.R@.@.X...d5..d1 ...+.[_...#.P..?l4......P..E.....[t.v21...yU...${..X.6...-.
  • 15. 通信の盗聴とは? インターネット サーバー ルーター ルーター スイッチ PC PC サーバー スイッチ 経路にあるデータを閲覧可能
  • 16. 人的な流出 このネタだけで、勉強会を開けるぐらいになりますが・・・  ウィルス対策ソフトをインストールする  ウィルス定義ファイルを常に最新にする  OSのセキュリティパッチを常に最新のものにしておく  「Winny」とか「Share」とか怪しいソフトを入れない  社員教育をしっかり
  • 17. 攻撃に対する防御 ぺんたごんのデータは頂きだぜっ! ひゃっはー! ※あくまでもイメージです
  • 18. 実際の攻撃 phpMyAdminの脆弱性を突いた攻撃 61.187.206.148 - - [24/May/2011:23:15:53 +0900] "GET //admin/phpmyadmin/scripts/setup.php HTTP/1.1" 404 233 "-" "-" 61.187.206.148 - - [24/May/2011:23:16:05 +0900] "GET //typo3/phpmyadmin/scripts/setup.php HTTP/1.1" 404 233 "-" "-" 61.187.206.148 - - [24/May/2011:23:16:12 +0900] "GET //phpmyadmin/scripts/setup.php HTTP/1.1" 404 227 "-" "-" 61.187.206.148 - - [24/May/2011:23:16:14 +0900] "GET //phpmyadmin1/scripts/setup.php HTTP/1.1" 404 228 "-" "-" 61.187.206.148 - - [24/May/2011:23:16:15 +0900] "GET //phpmyadmin2/scripts/setup.php HTTP/1.1" 404 228 "-" "-" 61.187.206.148 - - [24/May/2011:23:16:17 +0900] "GET //xampp/phpmyadmin/scripts/setup.php HTTP/1.1" 404 233 "-" "-" 61.187.206.148 - - [24/May/2011:23:16:19 +0900] "GET //phpmyadmin/scripts/setup.php HTTP/1.1" 404 227 "-" "-" 89.111.184.209 - - [27/May/2011:06:54:43 +0900] "GET /admin/phpmyadmin/scripts/setup.php HTTP/1.1" 404 232 "-" "ZmEu" 89.111.184.209 - - [27/May/2011:06:54:47 +0900] "GET /typo3/phpmyadmin/scripts/setup.php HTTP/1.1" 404 232 "-" "ZmEu" 89.111.184.209 - - [27/May/2011:06:54:49 +0900] "GET /phpmyadmin/scripts/setup.php HTTP/1.1" 404 226 "-" "ZmEu" 89.111.184.209 - - [27/May/2011:06:54:50 +0900] "GET /phpmyadmin1/scripts/setup.php HTTP/1.1" 404 227 "-" "ZmEu" 89.111.184.209 - - [27/May/2011:06:54:51 +0900] "GET /phpmyadmin2/scripts/setup.php HTTP/1.1" 404 227 "-" "ZmEu" 89.111.184.209 - - [27/May/2011:06:54:53 +0900] "GET /xampp/phpmyadmin/scripts/setup.php HTTP/1.1" 404 232 "-" "ZmEu" 89.111.184.209 - - [27/May/2011:06:54:55 +0900] "GET /phpmyadmin/scripts/setup.php HTTP/1.1" 404 226 "-" "ZmEu"
  • 19. なぜ攻撃をしてくる? •愉快犯 •踏み台/BOT •標的型
  • 20. 攻撃の流れ ネットワークレンジで調べる ⇒ 目星をつける ⇒ 開いているポートを見つける ⇒ 攻撃 ・ブルートフォース攻撃 ・脆弱性 BOT/踏み台にされる データを抜かれる
  • 21. ネットワークの調査 • PING応答がなければ、そこにサーバがあることは検知されに くい • 全てにPING応答するのではなく、必要な箇所のみ応答するよ うにする
  • 22. ポートの調査 • 公開する必要のないポート、特定のIPのみに公開が必要ポー トは制限を行う
  • 23. SSHのブルートフォース攻撃 • 辞書ツールを使いあらゆる文字の組み合わせで総当たりを試 る攻撃方法 • ID/パスワードの組み合わせの場合、突破される可能性が非常 に高い
  • 24. Rootユーザ • UNIX系OSの管理者アカウント • すべてのファイルに無制限にアクセスすることが可能
  • 25. SSHの認証方式 • パスワード認証から、鍵ファイルの認証に変更することで、 セキュリティは格段に向上する
  • 26. 脆弱性とは? 最新Ver. - 稼働Ver. = 脆弱性
  • 27. 特定される項目を見せない 脆弱性はソフトウェアのバージョンにより、有無が 異なる。 バージョンや種類を特定できなくすることで、 攻撃を受けるリスクを減らせます。
  • 28. ServerSignature On ⇒ Off ServerTokens OS ⇒ ProductOnly Apacheの場合 404のエラー画面 Not Found The requested URL /test was not found on this server. Apache/2.2.17 (EL) Server at testserver.com Port 80 Not Found The requested URL /test was not found on this server. httpd.conf
  • 29. PHPの場合 http://test.com/index.php/?=PHPB8B5F2A0-3C92-11d3-A3A9-4C7B08C10000 expose_php = On ⇒ Off php.ini
  • 30. セキュリティスキャナ
  • 31. 余計な物は、置かない、動かさない 不必要な物を、設置・稼働されることで、 そこにセキュリティのリスクが増えます。
  • 32. おさらい • アクセス制限を行う • 不要なポートは塞ぐ • 存知のユーザは、リモートで使わない • 不要なコンテンツは見せない • 重要な通信はきちんと暗号化をする • できるだけ最新のソフトウェアを使う • 余計な物は入れない、動かさない • バージョンは見せない
  • 33. 以上! ご清聴ありがとうございました。