Transcript PPT
セキュリティ基本設定の重要性 2003年3月22日 塩月 誠人 <[email protected]> 概要 2003.03.22 セキュリティ意識が高まってきた最近ですら、インターネット 公開サーバにおいて基本的なセキュリティ設定が行われて いないケースが多く見られます。またパッチ中心の脆弱性 対策を行っているサイトも少なくありません。本セッションで はIISにおける過去の脆弱性の分析結果に基づき、事前の 基本的セキュリティ設定がいかに重要か、またそれによって パッチ管理がいかに軽減されるかを解説します。 © 2003 Makoto Shiotsuki <[email protected]> 2 パッチに関する考慮事項 セキュリティパッチにはタイムラグがある セキュリティパッチは必ずしも完全ではない 発見者が脆弱性情報をどのように取り扱うかに依存 攻撃ツール(Worm等)の蓄積 → 新たな脆弱性にすばやく対応 日本語版ゆえのパッチの遅れ … 最近はあまりない パッチは緊急的に作成(早期提供が優先) ベンダー側での検証・テストが十分でない セキュリティパッチ適用のインパクト 2003.03.22 実運用環境に適用する前にテストが必要 パッチ自体の問題、動作環境やアプリケーションとの関係 © 2003 Makoto Shiotsuki <[email protected]> 3 パッチ適用のタイムラグ パッチ提供後、脆弱性の詳細が公開 発見 認知、パッチ作成、提供 情報 公開 悪用 パッチ 適用 発見者がベンダーに通知せず詳細を公開 発見 情報 公開 悪用 認知、パッチ作成、提供 パッチ 適用 発見者が脆弱性を悪用して攻撃プログラムを作成 発見 2003.03.22 悪用 認知、パッチ作成、提供 © 2003 Makoto Shiotsuki <[email protected]> 情報 公開 パッチ 適用 4 MS03-007によるシステム障害 NTBugtraq NTDLL Attack FAQより (http://www.ntbugtraq.com/default.asp?sid=1&pid=47&aid=74) MS03-007パッチ適用後にブルースクリーン 2003.03.22 STOP error: SESSION5_INITIALIZATION_FAILED 0x00000071 (0x00000000, 0x00000000, 0x00000000, 0x00000000) W2K SP2において、特定バージョンのntoskrnl.exeがインストー ルされている環境下で発生する… らしい… © 2003 Makoto Shiotsuki <[email protected]> 5 過去から学ぶ…IISの脆弱性分析 2000年以降のIIS関連脆弱性 IIS本体(IIS4.0 / IIS5.0 / IIS5.1) FrontPage Server Extensions Index Server / Indexing Service WebDAV CVE単位に調査…52件 「脆弱性の影響」と「回避策(ワークアラウンド)」 MSセキュリティ情報をベースに、各種情報を総合的 に判断 2003.03.22 © 2003 Makoto Shiotsuki <[email protected]> 6 2000年以降のIIS脆弱性 C AN-2003-0109 C AN-2002-1182 C AN-2002-1181 C AN-2002-1180 C AN-2002-0869 C AN-2002-0422 C AN-2002-0364 C AN-2002-0150 C AN-2002-0149 C AN-2002-0148 C AN-2002-0147 C AN-2002-0079 C AN-2002-0075 C AN-2002-0074 C AN-2002-0072 C AN-2002-0071 C AN-2001-0709 C AN-2001-0545 C AN-2001-0544 C AN-2001-0508 C AN-2001-0507 C AN-2001-0506 C AN-2001-0500 C VE-2001-0333 C VE-2001-0245 C VE-2001-0241 C VE-2001-0151 C AN-2001-0146 C VE-2001-0096 C AN-2001-0004 C AN-2000-1147 C AN-2000-1090 C AN-2000-1104 C VE-2000-0970 C VE-2000-0886 C VE-2000-0884 C VE-2000-0858 C VE-2000-0778 C VE-2000-0942 C VE-2000-0770 C AN-2000-0746 C VE-2000-0631 C VE-2000-0630 C VE-2000-0457 C AN-2000-0413 C VE-2000-0408 C VE-2000-0304 C VE-2000-0302 C VE-2000-0258 C VE-2000-0246 C VE-2000-0226 C VE-2000-0098 CVE: Common Vulnerabilities and Exposures (http://www.cve.mitre.org/) 2003.03.22 © 2003 Makoto Shiotsuki <[email protected]> 7 IIS脆弱性に関する影響の傾向 セッションハイジャック 権限上昇 パーミッション侵害 クロスサイト・スクリプティング 情報漏洩 サービス妨害 プロセス実行 0 2 4 6 8 10 12 14 16 件数 2003.03.22 © 2003 Makoto Shiotsuki <[email protected]> 8 パッチ以外の回避策は? 不要なスクリプト マッピングの削除 27% 特になし 34% N TFSパーティ ションの使用 2% 66% 不要な機能の 停止/削除 19% 適切な仮想 ディレクトリ設定 2% コンテンツの システムパーティション 適切な管理 分離、AC L強化 12% 4% 注) 一般的なIISサーバの場合(.aspのみマッピング、WebDAV/FPSE/Index Server使用せず、を前提) 2003.03.22 © 2003 Makoto Shiotsuki <[email protected]> 9 有効なIIS事前セキュリティ対策 不要なスクリプトマッピングの削除(htr, ida, idq, idc, shtm, shtml, stm, printer) 不要な機能の停止/削除(Index Server, FPSE, WebDAV, RDS, sample, help, …) コンテンツの適切な管理(動的コンテンツのセキュリティレビュー) システムパーティション分離、ACL強化(システムとデータ、重要コマンドACL) 適切な仮想ディレクトリ設定(動的コンテンツ→スクリプトのみ、静的→読み取りのみ) NTFSパーティションの使用 URLやヘッダの長さ制限(URLScan、MaxClientRequestBuffer、Guard3) 2003.03.22 © 2003 Makoto Shiotsuki <[email protected]> 10 脆弱性対策のポイント 事前のセキュリティ対策、最新サービスパック、最新パッチ 定期的な対策状況のチェックと把握 脆弱性情報の収集 脆弱性の評価(パッチ適用の判断) 必要なパッチの適用 → 対策状況のアップデート メンテナンス時に残りのパッチを適用(累積パッチ等) 2003.03.22 © 2003 Makoto Shiotsuki <[email protected]> 11 パッチ適用の判断 脆弱性のリスクを知る 影響を受けるソフトウェア、深刻度、問題を緩和する要素 どのような経路で侵害されるか リスクが許容できるかどうかを判断する MSセキュリティ情報 公的機関の情報(CERT/CC、JPCERT/CC、IPAセキュリティセンター等) 各種メーリングリスト(Bugtraq、NTBugtraq等) 現状の対策状況で適切に回避できるか セキュリティ侵害経路があるか できる限り早くパッチをテストして実運用環境に適用することが 理想的 2003.03.22 © 2003 Makoto Shiotsuki <[email protected]> 12 まとめ 事前の基本的セキュリティ対策をキッチリとやりましょう そして、対策状況をシッカリと確認・把握しておきましょう それによって、パッチが出る前の攻撃を防げる…場合もあります またパッチを必ずしも早急に適用しなくても良い…場合もあります でも、ソフトウェアに脆弱性(バグ)はつきものです パッチ管理の手順を確立し、環境と工数を確保しておきましょう 2003.03.22 © 2003 Makoto Shiotsuki <[email protected]> 13 参考 マイクロソフトプロダクトセキュリティ警告サービス日本語版のご案内 http://www.microsoft.com/japan/technet/security/bulletin/notify.asp マイクロソフトセキュリティ情報の深刻度評価システム http://www.microsoft.com/japan/technet/security/policy/rating.asp Microsoft Solution for Securing Windows 2000 Server: Chapter 8 - Patch Management http://www.microsoft.com/technet/security/prodtech/Windows/SecWin2k/08patman.asp CERT Coordination Center http://www.cert.org/ JPCERT/CC コンピュータ緊急対応センター http://www.jpcert.or.jp IPAセキュリティセンター http://www.ipa.go.jp/security/ Bugtraq http://www.securityfocus.com/archive/1 NTBugtraq http://www.ntbugtraq.com/ CVE: Common Vulnerabilities and Exposures http://www.cve.mitre.org/ 2003.03.22 © 2003 Makoto Shiotsuki <[email protected]> 14