Upload
others
View
4
Download
0
Embed Size (px)
Citation preview
今日の内容
◼ VPN
◼ 検疫ネットワーク
◼ シングル・サインオン
◼ 電子透かし
◼ フィルタリング
◼ スパムメール対策
2019/7/23 2
2019/7/23 3
VPN
2019/7/23 4
LAN
外からLANにアクセスしたい
インターネットインターネット
外部からのアクセスを遮断
出張中の社員のパソコン
会社のLAN
2019/7/23 5
LAN
VPNとは
インターネットインターネット
外部のパソコンとLANをインターネットを経由して直接つないでしまう仕組み
VPN装置
2019/7/23 6
LAN
インターネットを通るということは
インターネット改ざんのぞき見
途中でのぞき見や改ざんの恐れがある
2019/7/23 7
LAN
パケットの暗号化
@!#%@^$
ajksd1-k(1/fajasw0jm&
パケットを暗号化して送る
2019/7/23 8
LAN
事実上の専用線
インターネット
物理的には存在しないが,事実上の(Virtual)専用線(Private Network)として利用できる→VPN
2019/7/23 9
LAN
当然ながら
インターネットインターネット
接続時にはきちんと認証を行う
パソコンYの公開鍵であることを証明します
認証
局印
VPN装置Xの公開鍵であることを証明します
認証
局印
2019/7/23 10
VPNとオレオレ証明書
VPN装置にアクセスするのは関係者のみ
オレオレ証明書でかまわない場合がある
2019/7/23 11
検疫ネットワーク
2019/7/23 12
パソコンの管理
パソコンのセキュリティを保つためには日常の管理が必要
何か?
• 技術的に難しい• 管理者の手がそこまで回らない
何もしないユーザ
会社でも最終的には各ユーザに任されている場合が多い
• セキュリティパッチの適用• ウィルス対策ソフトの導入• パターンファイルの更新
2019/7/23 13
外部でのウィルス感染
ユーザがノートパソコンを外部に持ち出したときにウィルスに感染する場合がある
何か? 自宅でウィルスに感染
2019/7/23 14
ウィルスのLANへの持ち込み
ウィルスに感染したノートパソコンをLANに接続することでLAN内にウィルスが広まる
何か?
2019/7/23 15
パソコンを「検疫」する
事前にパソコンを確認し,「危険なパソコン」は中に入れない
あなたは入れませんね
そこを何とか
2019/7/23 16
検疫ネットワーク
LAN
検疫ネットワーク
ポリシーサーバ
パッチ・ウィルス対策サーバ
通常のLANの他に検疫用のネットワークを用意
2019/7/23 17
パソコンの接続
LAN
検疫ネットワーク
ポリシーサーバ
パッチ・ウィルス対策サーバ
パソコンがネットワークに接続される
2019/7/23 18
パソコンのチェック
LAN
検疫ネットワークあらかじめ設定されたポリシーに応じてパソコンをチェックする
• ウイルスに感染していないか?• OSなどのセキュリティパッチが適用されているか?• ウイルス対策ソフトなどのセキュリティソフトが稼働しているか?• パターンファイルは最新のものか?
:
2019/7/23 19
チェックにパスした場合
LAN
検疫ネットワーク
ポリシーサーバ
パッチ・ウィルス対策サーバ
LANへの接続を許可
2019/7/23 20
チェックにパスしなかった場合
LAN
検疫ネットワーク
ポリシーサーバ
パッチ・ウィルス対策サーバ
検疫ネットワークに隔離必要な処理を行う• セキュリティパッチの適用• ウィルスの駆除
2019/7/23 21
処理の終了後
LAN
検疫ネットワーク
ポリシーサーバ
パッチ・ウィルス対策サーバ
処理が終了した後にLANへの接続を許可
2019/7/23 22
シングルサインオン
2019/7/23 23
複数のWWWサービス
サービスごとにログインとパスワードを管理する
メールサービス 教務システム
教員情報データベース会計システム
パスワード管理が大変サービスごとにログインが必要
2019/7/23 24
ユーザ認証の一本化
ログインIDとパスワードを1つのサーバでまとめて管理
メールサービス 教務システム
教員情報データベース会計システム
認証サーバ
同じログインID,パスワードで全てのサービスにログインできる
2019/7/23 25
シングルサインオン
一度認証を受けるだけで,全ての機能を利用できるしくみ
メールサービス 教務システム
教員情報データベース会計システム
主に2通りの方法エージェント型リバースプロキシ型
2019/7/23 26
エージェント型
ユーザはログイン中特殊なクッキーを保持
認証サーバメールサービス
教務システム
会計システム
教員情報データベースサーバに組み込まれたエージェントが認証処理を行う
認証済
ログインIDやパスワードは含まない
2019/7/23 27
エージェント型
ユーザはアクセスの際にクッキーを送信
認証サーバ
教員情報データベース
認証済
認証済
認証済
エージェントは受け取ったクッキーを認証サーバに送りユーザ情報を受け取る
ユーザ情報
2019/7/23 28
リバースプロキシ型
リバースプロキシサーバ
ユーザはリバースプロキシを経由してアクセス
認証サーバメールサービス
教務システム
リバースプロキシで認証を行う
教員情報データベース
会計システム
2019/7/23 29
異なる企業間でのシングルサインオン
異なる企業が提供するサービス間でシングルサインオンを実現するのは難しい
これまでのものは組織内のWWWサービスについてのシングルサインオン
企業間でユーザ情報をやり取りすることになるため
企業間でのシングルサインオン
◼ OpenID Connect
◼ ユーザ情報を直接やりとりせずに認証を行う仕組み
◼ 「○○というサイトで認証された」という情報をやりとりする
2019/7/23 30
OpenID Connectの仕組み
2019/7/23 31
FacebookのIDでJimdoを利用する場合
JimdoにFacebookでログインを試みる
OpenID Connectの仕組み
2019/7/23 32
Facebookに対してユーザの認証情報を要求する
代わりに認証して
OpenID Connectの仕組み
2019/7/23 33
ユーザがまだFacebookにログインしていなければログインする
ID:hanapass:rands
OpenID Connectの仕組み
2019/7/23 34
Facebookは認証応答をJimdoに送っていいかユーザに確認する
送っていい?
OK!
OpenID Connectの仕組み
2019/7/23 35
認証応答をJimdoに送信
認証されてます
OpenID Connectの仕組み
2019/7/23 36
認証応答を検証する
偽物じゃないな
OpenID Connectの仕組み
2019/7/23 37
ユーザのプロフィール情報を要求する
情報を送って
OpenID Connectの仕組み
2019/7/23 38
プロフィール情報をJimdoに送信
OpenID Connectの仕組み
2019/7/23 39
Jimdoへのログインが完了する
電子透かし
2019/7/23 40
2019/7/23 41
電子透かし
デジタルデータに画質や音質に影響を与えずに情報を埋め込むこと
http://ja.wikipedia.org/
実際には目に見えないものが用いられる
不正コピーそのものを防ぐ効果はない
複製物に対して著作権を主張することが可能
フィルタリング
2019/7/23 42
2019/7/23 43
WWWフィルタリング
子どもが閲覧できるWWWサイトを制限する
参考https://www.daj.jp/cs/filtering/lessons/
フィルタリングサービス
◼ 有償のもの
◼ i-フィルター(デジタルアーツ)
◼ 無償のもの
◼ なし
◼ 以前は「Yahoo!あんしんねっと」というのがあった(2017/5/31終了)
2019/7/23 44
スパムメール対策
2019/7/23 45
2019/7/23 46
スパムメール対策
◼ スパムメールの問題を根本的に解決する方法は今のところ存在しない
2019/7/23 47
なぜスパムは防げないのか?
これだけ問題になっているのに今だに決定的な対策が打てないのはなぜなのか?
2019/7/23 48
メールのプロトコル
SMTP(Simple Mail Transfer Protocol)
メールを送るときに使われるプロトコル
すごく単純なプロトコル
2019/7/23 49
SMTPによる通信の例
220 mail.sfc.keio.ac.jp ESMTP Sendmail 8.9.3/3.7W-SFC; Sat, 5 Jan 2002 07:56:02 +0900 (JST)
HELO taro
250 mail.sfc.keio.ac.jp Hello ccz02 [133.27.4.214], pleased to meet you
MAIL FROM: [email protected]
250 [email protected]... Sender ok
RCPT TO: [email protected]
250 [email protected]... Recipient ok
DATA
354 Enter mail, end with "." on a line by itself
From: [email protected]
Subject: smtp test
test
// taro
.
250 HAA11092 Message accepted for delivery
QUIT
221 mail.sfc.keio.ac.jp closing connection
出典:http://www.soi.wide.ad.jp/class/20010012/slides/11/30.html
2019/7/23 50
シンプルにも程がある
From:行が偽造されてないか確認しない
本文が偽造されていないか確認しない
本文の暗号化もしない
なーんにもしない
SMTPは,受け取った文章を,指定されたあて先に「書かれたとおりに」送るだけ
送信者が誰であるか確認しない
受信者が受け取りたいかどうか確認しない
2019/7/23 51
わかっているけど変えられない
プロトコルはみんなが守る約束
いちど広く普及したプロトコルを変えるのは非常に困難(それが重要であればあるほど)
メールは特に難しい→送り手と受け手の関係
新しい形式は受け取れない
かも
古い形式で送ってくる
かも
結局古い形式でやり取りする
2019/7/23 52
管理者の対策
◼ メールサーバで受け取らないようにする
◼ スパムの送信元をブラックリストに登録
◼ 自動的に振り分ける
◼ メール中の文字列を解析してスパムを判別
◼ たまに間違える
◼ スパムを見逃してしまう
◼ スパムでないメールをスパムと判定
◼ 勝手に振り分けるよりスパムであることを記載してユーザの判断に任せるほうが安全
2019/7/23 53
ユーザの対策
◼ 読まずに捨てる
◼ 返信しない
◼ 添付ファイルを開かない
◼ アドレスを取られないようにする
◼ WWWやブログにメールアドレスを載せない
◼ アドレスを画像で表示するという手もある
◼ 捨てアドレスの利用
◼ 会員登録等には無料のWWWメールのアドレスを利用
2019/7/23 54
Outbound Port 25 Blocking
インターネット
メールサーバしかメールを外部に送れない
メールサーバ
自分のLANがスパムの発信元になるのを防ぐための方策
ファイアウォールで25番ポート(外向き)を閉じる
Webメールの問題
◼ Webメールは世界中どこからでもログインし,メールを送信できる
◼ WebメールのID,パスワードが漏洩すると,スパムメールの送信に利用される
◼ 本学も何度もやられています
2019/7/23 55
2019/7/23 56
まとめ
◼ VPN
◼ 検疫ネットワーク
◼ シングル・サインオン
◼ 電子透かし
◼ フィルタリング
◼ スパムメール対策