Wiki と携帯型遠隔操作機器を使った情報セキュリティ対策システム

山之上卓 　小田謙太郎　下園幸一鹿児島大学

目次 はじめに システム概要 利用例 関連研究 おわりに

はじめに 大規模な組織内 LAN の情報セキュリティ強

化 ファイヤーウォールや IDS で監視

なにか異常を発見した場合には速やかに対応 ファイヤーウォールの設定や IDS 出力の解析を

行うには , 通常 , それなりの経験や専門知識が必要

組織内の出入り口のところに少数のファイヤーウォールや IDS を設置 , 少人数の基幹ネットワーク管理者によって監視

IPS もあるが防ぎきれない侵入も依然あり . IPS を組織内 LAN の隅々に配置することは困

難

ブロードバンドルータ , NAT 小さな LAN を簡単に構築 , セキュリティを強

化 , ネットワークの管理運営を容易に 侵入が困難… セキュリティ強化 接続 PC の設定が簡単 (DHCP) 大学では研究室等でも良く使われる しかしながら …

NAT 背後のパソコンがウィルスに感染する場合もある .

基幹ネットワーク管理者 監視地点から見て L3 スイッチや NAT の向こう

側にある LAN( これ以降 , NAT-LAN) の状態を詳しく知りたいことが良くある .

例えば , 組織の出入り口の IDS で組織内のホストのどれかにウィルス感染の疑いが発見された場合

そのホストの通信の送信元側 IP アドレスにより , どのサブネットワークに , そのホストが接続されているかは分かるが…

ホストの特定困難 . 時間がかかる

組織によっては , NAT の利用を禁止 しかしながら実施は困難で利用者の利便性

を損なう… PC の標準機能 , スマホ普及など

利用者の利便性を損なうことなく , NAT やL3 スイッチの向こう側を監視したい

監視だけでなく、他に被害を広げないようにして、疑わしい通信の遮断や挙動の解析を行いたい

2. システム概要

3. 利用例3.1 起動と初期設定

3.2 監視の開始

コマンド ( 実装済み )

get ip=<IP アドレス > * も ok. 例 192.168.*.*

get startsWith < 文字列 >

コマンド ( 実装中 )

lan2wan drop ip=<IP アドレス > wan2lan drop ip=<IP アドレス > lan2wan return-syn-ack ip=<IP アドレ

ス > lan2wan forward ip=<IP アドレス 1>

to <IP アドレス 2> :< ポート番号 > lan2wan dns-intercept ip=<IP アドレス

1> to <IP アドレス 2>

4. 関連研究 我々のセキュリティ監視システム

監視のみ。これを元に開発。他に与える影響を小さくして監視も可能。

Snort シグネチャ自動更新機能 Web でネットワークの状況を確認 (ACID) NAT 越の監視困難 .

山井先生 et. Al. NAT の背後にある MAC アドレスを , 外部から

識別 既存の NAT ルータの置き換え必要

石田さん et. Al. SNMP に対応していないネットワーク対応機器

を別のシステムで補う方法

NAT の外部との相互通信機能なし . Kaseya のパソコン管理システムや

Furuno Systems の無線 LAN アクセスポイント管理システム (UNIFAS) 本システムと同様に , 定期的にエージェントプ

ログラムが Web サーバにアクセスし , そこに書かれた指示をエージェントが実行し , 結果を Web サーバ側に戻す

NAT超え OK. システムはセキュリティ強化ではない 特化した Web サーバ必要

5. おわりに NAT やルータの背後にある LAN の通信を , 遠隔操作可能な携帯型デバイスと Wiki を使って制御するシステム

遠隔操作を行う側には特殊なサーバ必要なし , 汎用的な Wiki

今後 , 利用できるコマンド強化 , Snort と連携

本システムは一種の Bot Dark Side に行かないように注意必要 .