Transcript セキュリティ
セキュリティ 概念編(60m) 実習編(30m) 担当: まさ <[email protected]> 概念編 • 「セキュリティ」という考え方 • 守るべきもの • 守りかた 「セキュリティ」という考え方 • セキュリティ: 安全性 – 様々な危険から自分や組織(の情報)を守る – セキュリティサービスの分類 – 能動的攻撃/受動的攻撃 セキュリティサービスの分類 – – – – – – 秘匿性 認証 完全性 否認不能性 アクセス制御 可用性 能動的攻撃/受動的攻撃 • 能動的攻撃 – 侵入者が積極的に攻撃を行う。 • DoSアタック • コンピュータウイルス • なりすまし、メッセージ改ざん • 受動的攻撃 – すでにある情報からの攻撃(通信の傍受等) • 内容の取得、トラフィック解析 → 能動的攻撃の重要な手がかり 守るべきもの • 何を守るかは case by case – 個人のPC – 組織のサーバ – ネットワーク • すべてを守ることは非現実的 → 「セキュリティポリシー」の策定 セキュリティポリシ • 「どこまで守るか」を決める。 – なりすまされたくない。 – データを盗み見られたくない。 – ホストを守る。 – ネットワークを守る 情報の守りかた • セキュリティポリシから守り方が決まる: – なりすまされたくない。 → パスワードや公開鍵系(後述)の利用 – データを盗み見られたくない。 → アクセスコントロール(ホスト上) → 伝送路の暗号化(ネットワーク上) – サービスをクラックされたくない → ソフトウェアのセキュリティホール対策 攻撃を防ぐ場所 • Firewall – ネットワーク上の通信を遮断 – 内部から外部に攻撃するのを防げる – 暗号化された通信上の攻撃は防げない • End-host – サービス単位で攻撃を遮断 – 細かい粒度でアクセスを制御できる。 – 各ホストの管理者が防がなければならない Firewall • 研究室のネットワークでも利用しています。 • RGNET – 「きつきつ」ネットワークがnetscreen経由 – IDS(侵入検知システム)も稼働中 • HTNET – ネットワーク全体がmillet経由 暗号化技術 • 慣用暗号系 – 一つの鍵(パスワード、秘密鍵)を用い、秘密鍵を相 手に渡し、同じものか比較する。 • 公開鍵暗号系 – 1組2つの(非公開鍵、公開鍵)を用い、公開鍵を相手 に渡す – 公開鍵で暗号化したものは対となる非公開鍵だけで 復号できる。逆も同じ。 – 非公開鍵を持っていることで自分を証明 • 非公開鍵そのものをさらに暗号化することが多い。 具体的なプロトコル • Web(通信内容を守る) – HTTPS • メール – PGP,S/MIME(メール内容を守る) – APOP(メールパスワードを守る) • ログイン(アクセス制御) – SSH, Kerberos(ActiveDirectory) • 原則は「すべてのパスワードは暗号化」 補足:パスワードの付け方 • 考え方はセキュリティポリシと同じ – 「どれぐらい守るのか」が重要 例1:暗号化されないWebのパスワードとホスト へのログインに使うパスワードは別にする。 例2:盗られたくないものはできるだけ別にする (どれかが盗られても被害を最小限にする) 例3:パスワードを使わず公開鍵暗号系を使う 実習編 APOP SSH APOP • Authenticate Post Office Protocol – ほとんどPOP3と同様 – パスワードの送信部分だけが異なる – 慣用暗号系を利用 – https://shonan.sfc.wide.ad.jp/ で変更 APOPパスワードの変更 SSH • Secure SHell – telnet同様、相手のホストにログイン – パスワードに限らず通信内容を全て暗号化 – ssh1とssh2がある • 互換性は無いので注意! – ファイル転送もできる(scp,sftp) – 様々な認証方法を使える • パスワード • 公開鍵暗号 • スマートカード これからやること 1. ソフトウェアのインストール • • TeraTerm Pro + TTSSH PortForwarder (鍵ペア作成用) 2. 公開鍵/非公開鍵のペアを作る 3. 公開鍵をサーバに登録してもらう 4. TeraTermPro + TTSSH でログイン ソフトウェアのインストール • TeraTermPro + TTSSH (Windows環境) – ssh1 のクライアント – 鍵ペアを作れないのでPortForwarderも併用。 – http://www.sfc.wide.ad.jp/rg/2002s/newcomer/files/ • OpenSSH(Unix環境) – ssh1、ssh2両方使える。デフォルトはssh2 – たいていのUnix環境には入っている。 – 本家ssh (通称)が入っていることも。 鍵の作成 • Windowsの場合: – PF-keygenを利用 1. 2. 3. 4. 鍵を置くディレクトリを用意(My Documents\ssh等) PF-keygenを起動 Generate new keyを選ぶ。 非公開鍵のファイル名を指定し、OKする。 例) C:\My Documents\ssh\identity 5. 6. • パスフレーズを入力。(確認のため2度) コメントを入力。(一般にユーザ名@ホスト名) 以下のファイルが作られる • • identity:非公開鍵 identity.pub: 公開鍵 鍵の作成 • OpenSSHの場合 – ssh-keygenを利用 1. ssh-keygen –t rsa を実行。 2. 3. 非公開鍵の場所を聞かれるのでそのままEnter。 パスフレーズを入力。(確認のため2度) 注: コメントは自動生成される ユーザ名@ホスト名 – 以下のファイルが作られる • • id_rsa:非公開鍵 id_rsa.pub: 公開鍵 鍵の登録 • 入りたいホストに公開鍵を登録する。 – ~/.ssh/authorized_keys に公開鍵の内容を追 加する。今後は自分で追加・削除する。 – 最初は入れないので、[email protected] に公開鍵を送って登録依頼する。非公開鍵 を送らないように! – 今日は [email protected] 宛! – 本文にRGのアカウント名を書いてください。 鍵を利用したログイン(ttssh) • TeraTermPro + TTSSHの場合: – wanwan.sfc.wide.ad.jpにSSHで接続する。 鍵を利用したログイン(ttssh) – ユーザ名と鍵の場所を指定し、パスフレーズ を入力。 鍵を利用したログイン (OpenSSH) • OpenSSHの場合 – ssh ユーザ名@ホスト名 (ユーザ名が同じ場合はホスト名のみでOK) – パスフレーズを入力 [masa@omoikane:~]% ssh wanwan.sfc.wide.ad.jp Enter passphrase for key '/home/masa/.ssh/id_rsa': Last login: Mon Apr 15 15:21:14 2002 from 2001:218:458:0: [masa@wanwan:~]% Congratulation! • これでwanwanに入ることが出来るように なりました。 – 皆さん、情報処理の授業は覚えています か?:-) – lsとかで遊んでみよう。 – sshのマニュアルを読んでみよう。 • setenv LANG ja • setenv MANPATH /usr/man:/usr/local/man • man ssh