WWW サーバ
1) 内部からの脅威
• 典型的に、 Worm 等の内部感染の脅威
• どうする?
– 内部を IDS 等で監視
•
異常を発見したら、端末を特定し切り離し– 端末のセキュリティを強化
•
サーバーと違い、数が多いのでパッチ適用なども 大変•
ウィルスではやっている•
集中管理の仕組みが必要資料ソース:
NETWORLD+INTEROP T201 ネットワークセキュリティ技術
大学・研究機関でのセキュリティ
大学・研究機関で起りうる問題
•
サーバが不正侵入され、データが書き換えられたり破壊 されたりする•
サーバが不正侵入され、外部に対する攻撃の「踏み台」に使われる
•
サーバがSPAM
メールの不正な中継に使われる•
内部の人間が、内部から外部に対して不正行為を行う•
内部の人間が、内部のサーバ上で不適切な情報発信を 行う•
内部のネットワークに、権限を持っていない人間がコン ピュータを接続して悪用する大学・研究機関の特殊条件
•
ポリシーをトップダウンで決めることが困難•
サーバは分散(
独立)
管理されている•
サーバが簡単に(
安易に)
立てられる•
内から外へはあまりきつい制限はできない•
外部からのアクセスも、ほぼ必須要件• UNIX, Windows, Macintosh …
のサポートが必要となる•
ユーザの技術レベルに大きな差がある•
高速なネットワーク環境•
学生はお行儀が良いとは限らない大学・研究機関の特殊性(1)
•
現状の把握が困難–
誰が何のアプリケーションを使っているかわからない•
セキュリティポリシーの策定・合意が困難–
多くの場合、管理者は権限者ではない•
わがままなユーザ–
見切り発車すると、クレーム続出•
既存環境の変更が困難–
研究室単位にサーバが運用されているため–
設定・利用の変更の周知徹底が困難大学・研究機関の特殊性(2)
•
「××のアプリケーションが使えなくなった」–
導入後にいろいろ変更が必要になる場合が多い•
「内部から外部へは全部通す」設定にしてくれ–
あらゆるアプリケーションに対応できる魔法のファイアウォールは存在しない
– NAT
箱の方が設定は楽なことは多い•
問題になりやすいアプリケーション– H.323
などマルチメディア系、ICQ
、…
侵入検知システム の利用も一案大学・研究機関の特殊性(3)
•
高速なネットワーク環境への対応が求められる–
〜1Gbps
に対応できるファイアウォールやIDS
があるか?•
外部(
インターネット)
からのアクセスが必須• Windows
より簡単になったLinux
–
危ないサーバがますます増える• <
情報コンセント>
に接続される機器の管理•
ユーザ認証に基づくネットワークへの接続・利用•
悪いことをする子供の問題、「教育」の必要性•
危機管理体制インターネットから内部へのアクセス
•
リモートログインならSSH
– UNIX
は○, Windows
は○、Macintosh
が△• Remote Access VPN (IPsec)
は透過的で良いが– VPN
製品IPsec
クライアント→
Windows
は○、Macintosh
対応は少数– OS
のIPsec
標準対応増えてくる→ 相互接続性はいいま1歩
•
メールだけなら– APOP
、SSL-POP/SSL-IMAP
ドキュメント内
スライド タイトルなし
(ページ 51-59)