Transcript スライド
2004年6月28日(月) 情報コミュニケーションIII A 第9回 インターネットセキュリティ(その1) 前回の演習の解答例 Internet 192.168.1.1 子供部屋 192.168.1.4 192.168.1.2 192.168.1.3 リビング 192.168.1.5 今回の講義の内容 LAN構築演習2 学内LAN,サーバ紹介(映像で) インターネットセキュリティ ーインターネット通信における危険、脅威ー 盗聴、改ざん 不正侵入(なりすまし) <来週>システム攻撃(DoS ...) <来週>コンピュータウイルス これらを防ぐ手段 暗号化通信、認証 <来週>ファイアウォール(フィルタリング、アクセス制御) <来週>侵入検知システム IPアドレスのしくみ IPアドレス(32ビットの2進数) 「ネットワーク部」と「ホスト部」に分かれる 「ネットマスク」 IPアドレスのネットワーク部の長さを表すもの ネットワーク部のビットを全て 1 にしたもの 192.168.1.0 / 24 ネットマスク長 (2進数で並ぶ1の 数) 168 . 1 ネットワークアドレス IPアドレス ネットマスク 192 . 同じネットワークで端 末毎に値が異なる . 10 11000000 10110000 00000001 00001010 11111111 11111111 11111111 00000000 AND をとると 11000000 10110000 00000001 00000000 ネットワークアドレス 192 . 168 . 1 . 0 / 24 IPアドレスの割り当て 192.168.1.0 / 26 ネットワーク部 ホスト部 ネットワークアドレス 11000000 ネットマスク 10110000 00000001 10000000 11111111 11111111 11111111 11000000 11000000 10110000 00000001 10000001 1~62まで ~ 11000000 10110000 00000001 10111110 202.255.229.0 / 24 同じネットワーク(LAN)で端末ごと に値が変わる 11001010 11111111 11100101 00000000 11111111 11111111 11111111 00000000 11001010 11111111 11100101 00000001 ~ 1~254まで 11001010 11111111 11100101 11111110 IPアドレスの割り当て 192.168.1.0 / 26 202.255.229.0 / 24 202.255.229.1 192.168.1.1 192.168.1.2 : : 192.168.1.62 同じネットワーク内にいるの で、ここまでは同じアドレス 202.255.229.2 : : 202.255.229.254 実際のIPアドレスの決め方 ルータ, サーバ計算機 IPアドレスが定まっていないと都合が悪い ⇒ IPアドレスを固定で決める 使えるアドレスの最初や最後の方を使うことが多い 192.168.1.1, 192.168.1.254 など クライアント計算機 IPアドレスは変わってもかまわない ⇒ IPアドレスを動的に割り当ててもらう DHCP(Dynamic Host Configuration Protocol) 割り当てる範囲を指定できる(例192.168.1.10 ~ 192.168.1.100) 自分でIPアドレスの設定を行う必要がないので設定が楽 家庭LAN を組むには? 対外接続(サービス)をどうするか? ダイアルアップ(電話回線) ← 昔の主流 常時接続 ISDN, ADSL (フレッツなど、最近の主流) FTTH (光ファイバを引き込む)⇒最近のマンションなど 将来の主流? 必要な機器は? モデム(最近はハブ、ルータ機能を兼ねる製品も多い) ハブ(ISDN、ADSLモデムと接続 ⇒ 接続機器を増やせる) ネットワークインターフェース(イーサネットカード) 無線LAN関係 更なる応用として 家庭で各種(Web、メール)サーバを運用 個人でドメインを取得 ⇒ hogehoge.net とか グローバルIPアドレスを取得 ← プロバイダなどから サーバ機器の用意(普通のパソコンでも十分) DNS などの各種サーバ設定 セキュリティ対策 常時接続 ← いつ、どこからでも自分の端末が狙わ れる可能性があり 一歩間違えると、犯罪や裁判沙汰にも? ⇒ このあたりはセキュリティの話題で 家庭LANと建物規模のLANの違い 物理的な接続は基本的にやり方は同じ 配線の距離 接続機器のグレード(ハブ ⇒ 高機能なルータ) 各種設定が多い DNS、ルーティングなど…(接続台数が膨大) 利用者の要望も膨大 セキュリティ対策 使用している人が多い ⇒ イタズラする人も多い インターネット上の脅威 インターネット上の通信 基本的に誰でも見れる 世界中の計算機に双方向でアクセス可能 便利な反面、さまざまな脅威が潜んでいる インターネットセキュリティの問題 ここ数年でインターネットが膨大 セキュリティ関連の被害も一層深刻化 インシデント(不正アクセスなど)報告件数の推移 JPCERT(www.jpcert.or.jp) 報告(3ヶ月毎) 2000年 1~3月 ネットワークを流れるデータが晒される危険 盗聴 通信中のデータの覗き見する行為 個人情報 (クレジットカード番号、住所、電話番号) パスワード(ログイン、メール受信も含む) 覗き見(盗聴) ネットワークを流れるデータが晒される危険 通信内容の改竄(かいざん) 通信中のデータを書き換える行為 送信者の意図と異なったデータに 書き換える(改竄) 組織のシステムが晒されている危険 なりすまし、不正侵入 利用者になりすまし、他人のシステムを利用 盗聴で得られたパスワードを利用して侵入 データの改竄 ⇒ ホームページ改竄の被害も急増 偽装メール(送信者、受信者を偽る) データやシステムの破壊が目的 単なるいたずらのケースも多数 セキュリティ問題に対する対応状況 数年前・・・ それほどインターネット利用者は多くなかった 主に研究目的での利用 大規模システムのサーバなどが攻撃対象 台数が少ないので、システム管理者が攻撃に備える準備を 十分に行うことができた 現在では・・・ インターネット利用者が急増 常時接続の普及(今や、一般家庭にも浸透) いつでも、誰でも、どこでも攻撃が可能 大規模システムに限らず、一般家庭のコンピュータも対象 情報漏洩の被害が急増 大手プロバイダ、通販会社などの顧客情報 情報漏洩の問題 なぜ起こるのか? ホームページの構造やシステムの初歩的な設定ミス 初心者が無意識のまま被害にあうこともあり 悪意を持ったクラッカーによる技術的要因 システム上の欠陥(セキュリティホール)を発見し、 個人情報を盗み出す 内部関係者による犯罪的行為 組織における情報管理が不十分 技術面よりも意識の低さが問題 セキュリティ攻撃に対する防御 一般家庭のコンピュータも攻撃に備える必要 芋づる式に伝播するような攻撃が多い 特にコンピュータウイルス 攻撃されて被害を受けるのは自分だけではない 踏み台にされて、あたかも自分が他人に攻撃していると 判断され、被害に対する責任問題が自分に来る 盗聴、不正侵入などに対する防御の技術 通信路の暗号化 ユーザ認証 暗号技術 盗聴からデータを保護する技術 他人に読み取られても解読不能な状態にする 鍵と暗号化アルゴリズムにより暗号化する 元の状態に戻す作業を復号という 平文 (暗号化したいデータ) 送信 (これを他人が見ても 意味不明) 暗号文 (暗号化されたデータ) 暗号化 復号 鍵 共通鍵暗号と公開鍵暗号 データを暗号化する際には鍵の扱いが重要 鍵の扱い方により 共通鍵暗号 公開鍵暗号 の二種類がある 共通鍵暗号方式 両者が共通の鍵(秘密鍵)を利用 この鍵により暗号,復号を行う A B 送信 暗号化 復号 鍵 公開鍵暗号方式 公開鍵と秘密鍵の二つの鍵を利用 公開鍵で暗号化し,対応する秘密鍵で復号 公開鍵 みんなに公開して誰でも見れる 認証局(CA)に登録するのが普通 秘密鍵 人に見られてはいけない 公開鍵暗号方式によるデータ送信 公開鍵で暗号化し、秘密鍵で復号する A B 送信 公開鍵で 暗号化 公開鍵 CA CAから 鍵を取得 登録された Aの公開鍵 あらかじめ 登録 秘密鍵で 復号 公開鍵暗号の特徴 鍵の秘密配送が不要 すでに公開されている公開鍵を利用すればよい 管理する鍵が少ない 前の例のAは一組の公開鍵と秘密鍵があればよい 共通鍵暗号だと相手ごとに違う鍵が必要 B用の秘密鍵、C用の秘密鍵・・・・・ 電子メールでの利用 PGP(Pretty Good Privacy) S/MIME SSL (Secure Socket layer) Netscape社が提唱したシステム あらゆるTCP/IPの通信を暗号化 WWWと組み合わせて使うことが多い https: //...... と表記 インターネットでの通信販売 クレジットカード番号や住所など SSLで通信中はブラウザに鍵マークがつく メールソフトでも利用 Outlook Express などが対応 SSH(Secure SHell) ホスト間の通信路の暗号化やホスト認証を行う プログラム(リモートシェル) Telnet(rlogin), FTP での認証パスワード、 流れるデータが暗号化 主にUNIX で利用(Linux, BSD系では標準) 最近はWindows Macでも Windows: Teraterm+SSH, Cygwin(OpenSSH), Putty Mac: MacSSH ポートフォワーディングによるトンネリング あるプロトコルのパケットを別のプロトコルでカプセル化 して外部から守る 課題 以下の項目について、メールで送信すること (〆切 7/4) LAN構築演習2(ファイル名: jc3a2-k0xxxxx.ppt) SSH を用いたアプリケーションに関する解説のWeb ページを検索して、そのURLなど内容を簡単に説明 本日の講義に関する質問、コメント、苦情などを メールで送信すること 送信先 : [email protected] 題名 : 0628 学生番号、名前を忘れずに