スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

12月12日のtwitterセキュリティクラスタ

最近ISPで普及しつつあるキャリアグレードNATについて。CGNだとグローバルIPアドレスを使い回すからポート番号も記録しないと誰のアドレスかわからないのですね。
HiromitsuTakagi :第8回デジタル・フォレンジック・コミュニティ2011 in TOKYO なう。質問するつもり。

HiromitsuTakagi :質問:ログの保全について、キャリアグレードNAT(CGN)とポート番号記録の件。現状では、ISPでは、DHCPなどでIPアドレスを契約者に払い出す際にそのIPアドレスと契約者符号をログに記録する運用がされていると思うが、昨今、IPv4アドレスの不足に伴い、CGNが普及しつつあり…

HiromitsuTakagi :…あり、同一IPアドレスが複数の契約者で供用することになりつつある。捜査上の照会でIPアドレスから問い合わせを受けても、契約者を1人に絞れない事態が生ずる。この問題への対応として、ISPでNAT変換する際にソースポート番号をログに残す方法がInternet Draftに提案され…

HiromitsuTakagi :…提案されているが、既に検討されているか。従来のIPアドレス払い出し時のログよりは、NAT変換時のログは重い処理となると思われるが、実現できそうか。

HiromitsuTakagi :回答:検討はまだできていないが、課題と認識している。一般に、メディア変換時には課金があれば必然的に記録することになるが、課金にからまない変換だとログに残さない場合がある。通信の秘密の観点からそのようなログを残すことが妥当かの検討が必要と思う。


実はRFCで規定されてたりするのですね。
OrangeMorishita :@HiromitsuTakagi source port numberもとるべしというのが、既にRFC(BCP)になっていますね。RFC 6302(2011年6月発行) http://tools.ietf.org/html/rfc6302

HiromitsuTakagi :おおほんとだ。「In the wake of IPv4 exhaustion and deployment of IP address sharing techniques,…port number…」 RT @OrangeMorishita 既にRFC(BCP)になっていますね

OrangeMorishita :@HiromitsuTakagi このRFCはInformationalではなくBCPということで、ご存知の通り運用ガイドラインとしては最強です。I-Dの-00が2010年の12月なので、最近のIETFとしては提案からRFCになるまで、かなり早かった方だと思います。

HiromitsuTakagi :RFC 6302 はWebサーバ等アクセスされる側のBCPで、 は、ISP側のBCPということですかね。

OrangeMorishita :@HiromitsuTakagi ISP側というか、CGNを提供する側ですね(ISPが多いと思いますが)。tools.ietf.org/html/draft-iet… が最新のようです。で、これもBCPを目指していると。


とはいえ通信の秘密との兼ね合いで面倒そうです。
HiromitsuTakagi :昼間の件。懇親会で耳にした話だと、CGNするISPでNAT時のポート番号をログに残すことは、通信の秘密が(想像以上に)本当に障害になるらしい。総務省で整理すれば解決ってレベルじゃないっぽい。

HiromitsuTakagi :現状の運用で、IPアドレスでの照会に対して契約者を回答できるのは、たまたま本来業務のために記録をとっている(課金のためとか)からあって、用もないのにログをとるのはISPにとってh通信の秘密の侵害であり、捜査機関からの照会に備えて取っておくというのはあり得ないとか。


確かに出るという表現は聞いたことないかもしれません。
kitagawa_takuji :IPAの「『新しいタイプの攻撃』の対策に向けた設計・運用ガイド」の英語版 では出口対策を”Outbound Measures"と訳している。

kitagawa_takuji :受動的なExploitが成功してリバースコネクションが張れてシェルが取れた時、”入れたー”とか"侵入できたー”と叫ぶけど、”出れたー”とは言わないんだな。侵入者にとっては入り口に過ぎないんだよ。


その他に気になったことはこのあたり。
EijiYoshida :FinFireWireで使ってるアンロックの手口はウチの会社の「ノートパソコンを取り巻く脅威とその対策」でデモやってる。

EijiYoshida :ちなみにFinFireWireで使ってるアンロックの手口は今のところXPから7まで全て成功してる。時間が取れたらWindows 8も確認するか。


security_inci :[JVNDB] Microsoft Windows 7 における Internet Explorer サンドボックスの制限を回避される脆弱性 http://bit.ly/s39Q9p


mj_enterprise :オランダの認証局、第3者の不正侵入受けた可能性 - DigiNotarに続き http://j.mp/s2qFxe


kitagawa_takuji :ISMSは時代遅れになる?米国の情報セキュリティ戦略の転換が意味するもの :ソフトバンク ビジネス+IT


ntsuji :ウイルス検知率100%!世界No.1(2011年7-8月)というフレコミの「スーパーセキュリティZERO」( http://bit.ly/usEnTJ )のエンジンが直近の9-10月の結果では100%ではなかった件。 http://bit.ly/upXyjw


hasegawayosuke :「2011年に見つけた脆弱性をまとめてみた」みたいな記事かこうかと思ったけど、今年はほとんど見つけてなかった。

スポンサーサイト

テーマ : セキュリティ
ジャンル : コンピュータ

コメントの投稿

非公開コメント

プロフィール

bogus

Author:bogus
FC2ブログへようこそ!

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク
ブロとも申請フォーム

この人とブロともになる

QRコード
QR
カレンダー
08-2017
SUN MON TUE WED THU FRI SAT
- - 1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31 - -

07   09

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。