セキュリティ

Report
セキュリティ
概念編(60m)
実習編(30m)
担当: まさ <[email protected]>
概念編
• 「セキュリティ」という考え方
• 守るべきもの
• 守りかた
「セキュリティ」という考え方
• セキュリティ: 安全性
– 様々な危険から自分や組織(の情報)を守る
– セキュリティサービスの分類
– 能動的攻撃/受動的攻撃
セキュリティサービスの分類
–
–
–
–
–
–
秘匿性
認証
完全性
否認不能性
アクセス制御
可用性
能動的攻撃/受動的攻撃
• 能動的攻撃
– 侵入者が積極的に攻撃を行う。
• DoSアタック
• コンピュータウイルス
• なりすまし、メッセージ改ざん
• 受動的攻撃
– すでにある情報からの攻撃(通信の傍受等)
• 内容の取得、トラフィック解析
→ 能動的攻撃の重要な手がかり
守るべきもの
• 何を守るかは case by case
– 個人のPC
– 組織のサーバ
– ネットワーク
• すべてを守ることは非現実的
→ 「セキュリティポリシー」の策定
セキュリティポリシ
• 「どこまで守るか」を決める。
– なりすまされたくない。
– データを盗み見られたくない。
– ホストを守る。
– ネットワークを守る
情報の守りかた
• セキュリティポリシから守り方が決まる:
– なりすまされたくない。
→ パスワードや公開鍵系(後述)の利用
– データを盗み見られたくない。
→ アクセスコントロール(ホスト上)
→ 伝送路の暗号化(ネットワーク上)
– サービスをクラックされたくない
→ ソフトウェアのセキュリティホール対策
攻撃を防ぐ場所
• Firewall
– ネットワーク上の通信を遮断
– 内部から外部に攻撃するのを防げる
– 暗号化された通信上の攻撃は防げない
• End-host
– サービス単位で攻撃を遮断
– 細かい粒度でアクセスを制御できる。
– 各ホストの管理者が防がなければならない
Firewall
• 研究室のネットワークでも利用しています。
• RGNET
– 「きつきつ」ネットワークがnetscreen経由
– IDS(侵入検知システム)も稼働中
• HTNET
– ネットワーク全体がmillet経由
暗号化技術
• 慣用暗号系
– 一つの鍵(パスワード、秘密鍵)を用い、秘密鍵を相
手に渡し、同じものか比較する。
• 公開鍵暗号系
– 1組2つの(非公開鍵、公開鍵)を用い、公開鍵を相手
に渡す
– 公開鍵で暗号化したものは対となる非公開鍵だけで
復号できる。逆も同じ。
– 非公開鍵を持っていることで自分を証明
• 非公開鍵そのものをさらに暗号化することが多い。
具体的なプロトコル
• Web(通信内容を守る)
– HTTPS
• メール
– PGP,S/MIME(メール内容を守る)
– APOP(メールパスワードを守る)
• ログイン(アクセス制御)
– SSH, Kerberos(ActiveDirectory)
• 原則は「すべてのパスワードは暗号化」
補足:パスワードの付け方
• 考え方はセキュリティポリシと同じ
– 「どれぐらい守るのか」が重要
例1:暗号化されないWebのパスワードとホスト
へのログインに使うパスワードは別にする。
例2:盗られたくないものはできるだけ別にする
(どれかが盗られても被害を最小限にする)
例3:パスワードを使わず公開鍵暗号系を使う
実習編
APOP
SSH
APOP
• Authenticate Post Office Protocol
– ほとんどPOP3と同様
– パスワードの送信部分だけが異なる
– 慣用暗号系を利用
– https://shonan.sfc.wide.ad.jp/ で変更
APOPパスワードの変更
SSH
• Secure SHell
– telnet同様、相手のホストにログイン
– パスワードに限らず通信内容を全て暗号化
– ssh1とssh2がある
• 互換性は無いので注意!
– ファイル転送もできる(scp,sftp)
– 様々な認証方法を使える
• パスワード
• 公開鍵暗号
• スマートカード
これからやること
1. ソフトウェアのインストール
•
•
TeraTerm Pro + TTSSH
PortForwarder (鍵ペア作成用)
2. 公開鍵/非公開鍵のペアを作る
3. 公開鍵をサーバに登録してもらう
4. TeraTermPro + TTSSH でログイン
ソフトウェアのインストール
• TeraTermPro + TTSSH (Windows環境)
– ssh1 のクライアント
– 鍵ペアを作れないのでPortForwarderも併用。
– http://www.sfc.wide.ad.jp/rg/2002s/newcomer/files/
• OpenSSH(Unix環境)
– ssh1、ssh2両方使える。デフォルトはssh2
– たいていのUnix環境には入っている。
– 本家ssh (通称)が入っていることも。
鍵の作成
•
Windowsの場合:
–
PF-keygenを利用
1.
2.
3.
4.
鍵を置くディレクトリを用意(My Documents\ssh等)
PF-keygenを起動
Generate new keyを選ぶ。
非公開鍵のファイル名を指定し、OKする。
例) C:\My Documents\ssh\identity
5.
6.
•
パスフレーズを入力。(確認のため2度)
コメントを入力。(一般にユーザ名@ホスト名)
以下のファイルが作られる
•
•
identity:非公開鍵
identity.pub: 公開鍵
鍵の作成
•
OpenSSHの場合
–
ssh-keygenを利用
1.
ssh-keygen –t rsa を実行。
2.
3.
非公開鍵の場所を聞かれるのでそのままEnter。
パスフレーズを入力。(確認のため2度)
注: コメントは自動生成される
ユーザ名@ホスト名
–
以下のファイルが作られる
•
•
id_rsa:非公開鍵
id_rsa.pub: 公開鍵
鍵の登録
• 入りたいホストに公開鍵を登録する。
– ~/.ssh/authorized_keys に公開鍵の内容を追
加する。今後は自分で追加・削除する。
– 最初は入れないので、[email protected]
に公開鍵を送って登録依頼する。非公開鍵
を送らないように!
– 今日は [email protected] 宛!
– 本文にRGのアカウント名を書いてください。
鍵を利用したログイン(ttssh)
•
TeraTermPro + TTSSHの場合:
–
wanwan.sfc.wide.ad.jpにSSHで接続する。
鍵を利用したログイン(ttssh)
– ユーザ名と鍵の場所を指定し、パスフレーズ
を入力。
鍵を利用したログイン
(OpenSSH)
• OpenSSHの場合
– ssh ユーザ名@ホスト名
(ユーザ名が同じ場合はホスト名のみでOK)
– パスフレーズを入力
[[email protected]:~]% ssh wanwan.sfc.wide.ad.jp
Enter passphrase for key '/home/masa/.ssh/id_rsa':
Last login: Mon Apr 15 15:21:14 2002 from
2001:218:458:0:
[[email protected]:~]%
Congratulation!
• これでwanwanに入ることが出来るように
なりました。
– 皆さん、情報処理の授業は覚えています
か?:-)
– lsとかで遊んでみよう。
– sshのマニュアルを読んでみよう。
• setenv LANG ja
• setenv MANPATH /usr/man:/usr/local/man
• man ssh

similar documents