セキュリティ 概念編 (60m) 実習編 (30m) 担当 : まさ. 概念編...
Post on 22-Dec-2015
235 views
TRANSCRIPT
概念編• 「セキュリティ」という考え方• 守るべきもの• 守りかた
「セキュリティ」という考え方
• セキュリティ: 安全性– 様々な危険から自分や組織(の情報 ) を守
る
– セキュリティサービスの分類– 能動的攻撃/受動的攻撃
セキュリティサービスの分類– 秘匿性– 認証– 完全性– 否認不能性– アクセス制御– 可用性
能動的攻撃/受動的攻撃• 能動的攻撃
– 侵入者が積極的に攻撃を行う。• DoS アタック• コンピュータウイルス• なりすまし、メッセージ改ざん
• 受動的攻撃– すでにある情報からの攻撃 ( 通信の傍受等 )
• 内容の取得、トラフィック解析→ 能動的攻撃の重要な手がか
り
守るべきもの• 何を守るかは case by case
– 個人の PC– 組織のサーバ– ネットワーク
• すべてを守ることは非現実的→ 「セキュリティポリシ
ー」の策定
セキュリティポリシ• 「どこまで守るか」を決める。
– なりすまされたくない。– データを盗み見られたくない。
– ホストを守る。– ネットワークを守る
情報の守りかた• セキュリティポリシから守り方が決ま
る:– なりすまされたくない。
→ パスワードや公開鍵系(後述)の利用– データを盗み見られたくない。
→ アクセスコントロール(ホスト上)→ 伝送路の暗号化(ネットワーク上)
– サービスをクラックされたくない→ ソフトウェアのセキュリティホール対策
攻撃を防ぐ場所• Firewall
– ネットワーク上の通信を遮断– 内部から外部に攻撃するのを防げる– 暗号化された通信上の攻撃は防げない
• End-host– サービス単位で攻撃を遮断– 細かい粒度でアクセスを制御できる。– 各ホストの管理者が防がなければならない
Firewall
• 研究室のネットワークでも利用しています。
• RGNET– 「きつきつ」ネットワークが netscreen 経由– IDS (侵入検知システム)も稼働中
• HTNET– ネットワーク全体が millet 経由
暗号化技術• 慣用暗号系
– 一つの鍵(パスワード、秘密鍵)を用い、秘密鍵を相手に渡し、同じものか比較する。
• 公開鍵暗号系– 1 組 2 つの(非公開鍵、公開鍵)を用い、公開鍵を
相手に渡す– 公開鍵で暗号化したものは対となる非公開鍵だけ
で復号できる。逆も同じ。– 非公開鍵を持っていることで自分を証明
• 非公開鍵そのものをさらに暗号化することが多い。
具体的なプロトコル• Web (通信内容を守る)
– HTTPS
• メール– PGP,S/MIME (メール内容を守る)– APOP(メールパスワードを守る)
• ログイン(アクセス制御)– SSH, Kerberos(ActiveDirectory)
• 原則は「すべてのパスワードは暗号化」
補足:パスワードの付け方• 考え方はセキュリティポリシと同じ
– 「どれぐらい守るのか」が重要
例 1 :暗号化されない Web のパスワードとホストへのログインに使うパスワードは別にする。
例 2 :盗られたくないものはできるだけ別にする(どれかが盗られても被害を最小限にする)
例 3 :パスワードを使わず公開鍵暗号系を使う
実習編APOP
SSH
APOP
• Authenticate Post Office Protocol– ほとんど POP3 と同様– パスワードの送信部分だけが異なる– 慣用暗号系を利用
– https://shonan.sfc.wide.ad.jp/ で変更
APOP パスワードの変更
SSH
• Secure SHell– telnet 同様、相手のホストにログイン– パスワードに限らず通信内容を全て暗号化– ssh1 と ssh2 がある
• 互換性は無いので注意!– ファイル転送もできる (scp,sftp)– 様々な認証方法を使える
• パスワード• 公開鍵暗号• スマートカード
これからやること
1. ソフトウェアのインストール• TeraTerm Pro + TTSSH• PortForwarder ( 鍵ペア作成用 )
2. 公開鍵/非公開鍵のペアを作る3. 公開鍵をサーバに登録してもらう4. TeraTermPro + TTSSH でログイン
ソフトウェアのインストール• TeraTermPro + TTSSH (Windows 環境 )
– ssh1 のクライアント– 鍵ペアを作れないので PortForwarder も併用。– http://www.sfc.wide.ad.jp/rg/2002s/newcomer/files/
• OpenSSH(Unix 環境 )– ssh1 、 ssh2 両方使える。デフォルトは ssh2
– たいていの Unix 環境には入っている。– 本家 ssh ( 通称 ) が入っていることも。
鍵の作成
• Windows の場合:– PF-keygen を利用
1. 鍵を置くディレクトリを用意 (My Documents\ssh 等 )
2. PF-keygen を起動3. Generate new key を選ぶ。4. 非公開鍵のファイル名を指定し、 OK する。
例 ) C:\My Documents\ssh\identity
5. パスフレーズを入力。(確認のため 2 度 )
6. コメントを入力。 ( 一般にユーザ名@ホスト名 )
• 以下のファイルが作られる• identity :非公開鍵• identity.pub: 公開鍵
鍵の作成
• OpenSSH の場合– ssh-keygen を利用
1. ssh-keygen –t rsa を実行。2. 非公開鍵の場所を聞かれるのでそのまま Enter 。3. パスフレーズを入力。 ( 確認のため 2 度 )
注 : コメントは自動生成されるユーザ名@ホスト名
– 以下のファイルが作られる• id_rsa :非公開鍵• id_rsa.pub: 公開鍵
鍵の登録
• 入りたいホストに公開鍵を登録する。– ~/.ssh/authorized_keys に公開鍵の内容を追
加する。今後は自分で追加・削除する。– 最初は入れないので、 [email protected]
に公開鍵を送って登録依頼する。非公開鍵を送らないように!
– 今日は [email protected] 宛!– 本文に RG のアカウント名を書いてくださ
い。
鍵を利用したログイン (ttssh)
• TeraTermPro + TTSSH の場合:– wanwan.sfc.wide.ad.jp に SSH で接続する。
鍵を利用したログイン (ttssh)
– ユーザ名と鍵の場所を指定し、パスフレーズを入力。
鍵を利用したログイン (OpenSSH)
• OpenSSH の場合– ssh ユーザ名@ホスト名
( ユーザ名が同じ場合はホスト名のみで OK)
– パスフレーズを入力
[masa@omoikane:~]% ssh wanwan.sfc.wide.ad.jpEnter passphrase for key '/home/masa/.ssh/id_rsa':Last login: Mon Apr 15 15:21:14 2002 from 2001:218:45
8:0:[masa@wanwan:~]%
Congratulation!
• これで wanwan に入ることが出来るようになりました。– 皆さん、情報処理の授業は覚えています
か? :-)– ls とかで遊んでみよう。– ssh のマニュアルを読んでみよう。
• setenv LANG ja• setenv MANPATH /usr/man:/usr/local/man• man ssh