内部からの脅威

ドキュメント内 スライド タイトルなし (Page 51-59)

WWW サーバ

1) 内部からの脅威

• 典型的に、 Worm 等の内部感染の脅威

• どうする?

– 内部を IDS 等で監視

異常を発見したら、端末を特定し切り離し

– 端末のセキュリティを強化

サーバーと違い、数が多いのでパッチ適用なども 大変

ウィルスではやっている

集中管理の仕組みが必要

資料ソース: 

NETWORLD+INTEROP T201 ネットワークセキュリティ技術

大学・研究機関でのセキュリティ

大学・研究機関で起りうる問題

サーバが不正侵入され、データが書き換えられたり破壊 されたりする

サーバが不正侵入され、外部に対する攻撃の「踏み台」

に使われる

サーバが

SPAM

メールの不正な中継に使われる

内部の人間が、内部から外部に対して不正行為を行う

内部の人間が、内部のサーバ上で不適切な情報発信を 行う

内部のネットワークに、権限を持っていない人間がコン ピュータを接続して悪用する

大学・研究機関の特殊条件

ポリシーをトップダウンで決めることが困難

サーバは分散

(

独立

)

管理されている

サーバが簡単に

(

安易に

)

立てられる

内から外へはあまりきつい制限はできない

外部からのアクセスも、ほぼ必須要件

• UNIX, Windows, Macintosh …

のサポートが必要となる

ユーザの技術レベルに大きな差がある

高速なネットワーク環境

学生はお行儀が良いとは限らない

大学・研究機関の特殊性(1)

現状の把握が困難

誰が何のアプリケーションを使っているかわからない

セキュリティポリシーの策定・合意が困難

多くの場合、管理者は権限者ではない

わがままなユーザ

見切り発車すると、クレーム続出

既存環境の変更が困難

研究室単位にサーバが運用されているため

設定・利用の変更の周知徹底が困難

大学・研究機関の特殊性(2)

「××のアプリケーションが使えなくなった」

導入後にいろいろ変更が必要になる場合が多い

「内部から外部へは全部通す」設定にしてくれ

あらゆるアプリケーションに対応できる

魔法のファイアウォールは存在しない

– NAT

箱の方が設定は楽なことは多い

問題になりやすいアプリケーション

– H.323

などマルチメディア系、

ICQ

侵入検知システム の利用も一案

大学・研究機関の特殊性(3)

高速なネットワーク環境への対応が求められる

1Gbps

に対応できるファイアウォールや

IDS

があるか?

外部

(

インターネット

)

からのアクセスが必須

• Windows

より簡単になった

Linux

危ないサーバがますます増える

• <

情報コンセント

>

に接続される機器の管理

ユーザ認証に基づくネットワークへの接続・利用

悪いことをする子供の問題、「教育」の必要性

危機管理体制

インターネットから内部へのアクセス

リモートログインなら

SSH

– UNIX

は○

, Windows

は○、

Macintosh

が△

• Remote Access VPN (IPsec)

は透過的で良いが

– VPN

製品

IPsec

クライアント

Windows

は○、

Macintosh

対応は少数

– OS

IPsec

標準対応増えてくる

→ 相互接続性はいいま1歩

メールだけなら

– APOP

SSL-POP/SSL-IMAP

ドキュメント内 スライド タイトルなし (Page 51-59)

関連したドキュメント