O slideshow foi denunciado.
Utilizamos seu perfil e dados de atividades no LinkedIn para personalizar e exibir anúncios mais relevantes. Altere suas preferências de anúncios quando desejar.

3

Compartilhar

Infobloxのセキュリティソリューション

DDI(DHCP, DNS, IPAM)アプライアンスのリーディングカンパニーであるInfoblox社のセキュリティソリューションを紹介します。主にDNSのセキュリティについて語ります。

Infobloxのセキュリティソリューション

  1. 1. X Infobloxのセキュリティソリューション 株式会社テリロジー コンサルティング&ソリューション技術統括部
  2. 2. 目次 • Infobloxのフォーカスポイント • DNSのセキュリティ • Infobloxのセキュリティソリューション • データ可視化ソリューション • まとめ 2
  3. 3. Infobloxのフォーカスポイント アドレス解決というネット ワークサービスを統合的に 提供 独自および他のセキュリ ティソリューションと連携し、 DNSに関連する脅威への 対策を提供 クラウドとオンプレのハイブ リッド型データセンタの プラットフォームを実現 3
  4. 4. Infobloxのフォーカスポイント アドレス解決というネット ワークサービスを統合的に 提供 独自および他のセキュリ ティソリューションと連携し、 DNSに関連する脅威への 対策を提供 クラウドとオンプレのハイブ リッド型データセンタの プラットフォームを実現 今回はこのあたりの話に 触れます (セキュリティメイン・ 少しIPAM) 4
  5. 5. DNSのセキュリティ 5
  6. 6. 多くのセキュリティソリューションは「データプレーン」を監視、防御しており、 「コントロールプレーン」であるDNSの監視は見落としがち DNSは??? 再帰DNS 権威DNS NGFW DLP WAF ISP1 ISP2 Internet DMZ APPフロント エンド層 App サーバ層 DB 層 IPS Zero Day/ Malware DDoS検知 DDoS防御 SWG リモート/ 支店NW ローカル DNS/DHCP セキュリティアーキテクチャにおけるDNS データプレーンを 監視、防御 6
  7. 7. サイバーキルチェーン 目的実行 企業サイト、SNS、ダークネットなどからターゲットの情報を収集 攻撃コード(エクスプロイト)とマルウェア(実行ファイル)の作成 取引先などになりすましたメールを送付、マルウェアを仕込んだWebサイトへ誘導し、ドライブバ イダウンロードなど(デリバリ) 攻撃コードの実行された結果、マルウェアがインストールされる C&Cサーバへ接続させ、端末を遠隔操作する。新規にマルウェアをダウンロードし、機能追加な どを行う 保存されているローカルのパスワードハッシュを使い、他のコンピュータに侵入し、足掛かりを作っ ていく 目的の情報を探し、HTTP/FTP/DNSトンネリングなどの手段で外部へ持ち出す ユーザに添付ファイルを開かせる、もしくは悪性Webサイトへアクセスさせ、脆弱性を利用した攻 撃コード(エクスプロイト)を実行 偵察 武器化 配送 攻撃 インストール 遠隔操作 侵入拡大 入 口 対 策 出 口 対 策 内 部 対 策 • 航空機や宇宙船の開発製造会社である米国のLockheed Corporationが2009年に提唱 • サイバー空間の標的型攻撃における攻撃者の行動を分解したフレームワーク • 攻撃のシークエンスを示す軍事用語「Kill Chain」に由来 7
  8. 8. 出典:JPCERT/高度サイバー攻撃への対処におけるログの活用と分析方法1.1 サイバーキルチェーンの各段階においてDNSの関与率が一番高い この関与率の高さから、企業のセキュリティチームやサービス事業者でDNSのログ管理 についての重要性が認識されてきている サイバーキルチェーンに対するDNSの関与 8
  9. 9. 正規のアプリケーション マルウェア アンチウィルスソフト URLフィルタ アンチスパム 次世代ファイアウォール 不正サイトへのアクセスチェック スパムチェック/ウィルスチェック 不正接続/不正アプリ通信判定 正規のアプリケーション(Web、 Mail、 FTP、 …etc)もマルウェアも、 「通信開始前」にDNSに名前解決を要求するため、 ファーストコンタクトとしてDNSでフィルタリングすることが有効 C&Cサーバ/不正サイトへの名前解決をブロックDNSセキュリティ パターンマッチング 迅速な端末特定 ❶ ❷ DNS(名前解決)の段階でセキュリティを導入するメリット 9
  10. 10. DNS攻撃の種類 名前 備考 タイプ DNSリフレクター攻撃/DDoS攻撃 第三者のDNSサーバ(オープンリゾルバー) を使用して DoS/DDoS攻撃を仕掛ける攻撃手法 DDoS攻撃 DNSアンプリフィケーション攻撃 (DNS Amp攻撃) 攻撃用に作成したクエリを使用して増幅した応答クエリを 大量に送り付ける攻撃手法 DDoS攻撃 NXDOMAIN攻撃 実在しないドメイン名の大量クエリで大量応答を強制する攻撃手法 DDoS攻撃 ファントムドメイン攻撃 (DNS水責め攻撃) 実在しないドメイン名のクエリを継続的に送りつけ次第にリソースを枯渇 させる攻撃手法 DDoS攻撃 TCP/UDP/ICMPフラッド 大量のトラフィックを送りつけてネットワークまたはサービスをダウンさせる レイヤー3、4のDoS攻撃を行う攻撃手法 DDoS攻撃 DNSキャッシュポイズニング キャッシュDNSサーバに偽の情報(不正なアドレス)をキャッシュさせる 攻撃手法 DNS特有 DNSベースの エクスプロイト/プロトコルアノマリ DNSソフトウェア自体の脆弱性をついた攻撃や不正な形式のパケットや クエリを送ってサーバをクラッシュさせる攻撃手法 DNS特有 DNSサーバの偵察 ハッカーが大規模なDDoS攻撃やその他の攻撃を行う前に ネットワーク情報を取得しようとする偵察行動 その他 DNSトンネリング マルウェア等に感染した端末がDNS経由で機密情報を 外部に持ち出すための攻撃手法 その他 10
  11. 11. Infoblox社のセキュリティソリューション 11
  12. 12. DNSのセキュリティ対策には上記3点の対策が非常に重要 インシデント対応の迅速化に多大な貢献をする ユニークなソリューション Infobloxのセキュリティソリューション 1.DDoS対策 : ビジネスの根幹であるDNSインフラを守る為の対策  対象パケットをドロップまたはレートリミットし、本来処理すべきDNSクエリを保護  DDoS対策中においても、正常DNS通信(DNSクエリ・レスポンス)への影響は発生しない 2.マルウェア対策 : 感染済み端末によるC&Cサーバ接続に対する対策  ほとんどの通信は最初に名前解決を行う為、プロトコルに依存せず、DNSで不信サイトへの接続を排除  IIDの他、3rdPartyのセキュリティ機器等からのフィード受け取り可能 3.DNSトンネリング対策 : DNSによる情報漏洩に対する対策  正規のDNSクエリを使ったトンネリングでも、DNSのふるまいをリアルアイムで監視し続け検知 4.インシデント対策 : 検知後の端末特定の迅速化に対する対策  IPAMソリューションのディスカバリー機能を使用し、自発的に自動でNW情報を取得。 12
  13. 13. DNSのセキュリティ対策にはこの上記3点が非常に重要です インシデント対応の迅速化に多大な貢献をする ユニークなソリューション Infobloxのセキュリティソリューション 1.DDoS対策 : ビジネスの根幹であるDNSインフラを守る為の対策  専用ドータカードにて対象パケットをドロップまたはレートリミットし、本来処理すべきDNSクエリを保護。  DDoS対策対応中においても、正常DNS通信(DNSクエリ・レスポンス)への影響は発生しない。 2.マルウェア対策 : 感染済み端末によるC&Cサーバ接続に対する対策  全通信は最初に名前解決が必要な為、プロトコルに依存せず、DNSで不信サイトへの接続を排除。  IIDの他、3rdPartyのセキュリティ機器等からフィード可能。 3.DNSトンネリング対策 : DNSによる情報漏洩に対する対策  正規のDNSクエリを使ったトンネリングでも、DNSのふるまいをリアルアイムで監視し続け検知。 4.インシデント対策 : 検知後の端末特定の迅速化に対する対策  IPAMソリューションのディスカバリー機能を使用し、自発的に自動でNW情報を取得。 DNSサーバに対する攻撃対策 DNSを利用した攻撃に対する 対策 感染した端末がネットワークの どこにいるか特定する 13
  14. 14. 内部向けDNS 外部DNS (権威DNS) Internet 再帰問い合わせDNS (外部向けキャッシュDNS) Threat Insight Active Trust DNS Firewall Advanced DNS Protection ポートに依存せずDNSにて 不信なサイトへの接続を排除 正規のDNSクエリを使ったトンネリングでも、 ふるまいを見て検知 情報漏洩、 マルウェア対策DDoS攻撃対策 「DNSに対する攻撃対策」 と 「DNSを利用した攻撃に対する対策」 ① ③ ② Infobloxのセキュリティソリューション 概略図 専用NICカードにて 攻撃パケットをドロップ またはレートリミットし、 本来処理すべきDNSクエリを保護 14
  15. 15. • 最新の攻撃パターンに対応する 「ルール/シグニチャ」を自動アップデート • ルール/シグニチャにマッチした場合、 レートリミットやブロックを実施 • コンプライアンスや報告のために 攻撃の手法を可視化 • DNS専業ベンダーの知見を活用し、 DDoS対策アーキテクチャを実現 ①: DDoS対策 自動アップデート (Threat Adapt) Advanced DNS Protection アタックタイプや重大度をレポート Reporting Server レポート データ送信 正常なトラフィック Infoblox Threat-rule サーバー Advanced DNS Protection (ADP) 専用NIC Card (ルール/シグニチャ) DNSエンジン不正トラフィック 正常トラフィック 15
  16. 16. ②: マルウェア対策 マルウェア 不正ドメイン 検知された 通信を記録 侵入したマルウエアが、 ホームドメインへ連絡を試みる 脅威情報サービス IPs、Domains、etc. Active Trust (DNS Firewall) Eco System セキュリティ他社間連携 DNSにおける対策 全てのDNSクエリ (ドメイン情報) とレスポンス (IP情報) をDNSのFirewallとして監視 • DNS Firewallは外部ソースが提供する最新の脅威情報を入手し動作している • マルウェアがDNSでC&Cサーバを探そうとして名前解決を行う動作を検知 • 他社製セキュリティ装置間連携の共通インタフェースとしてAPI、RPZ、TAXII/STIX等を用意 他のセキュリティ装置で検知する前にDNSで検知することで 悪意あるサーバにマルウェアの侵入成功を知らせない DNS Firewall 16
  17. 17. Infobloxからの 脅威情報データ 警告ページ マルウェア等に 感染したクライアント Infoblox DNS Firewall Grid Member キャッシュDNSサーバ Infoblox DNS Firewall Grid Member キャッシュDNSサーバ Grid Member ポリシー展開 Syslogに書き込み、 または Trinzic Reportingへ送信 リダイレクト ボットネットにコンタクト DNSクエリのブロック 悪意のあるサイト www.badsite.comにアクセス ゾーン転送 ②: マルウェア対策 Active Trust (DNS Firewall) DNS Firewall 動作イメージ 17
  18. 18. ③: DNSトンネリング(情報漏洩)対策 情報漏洩の例: エンコード前  エンコード後 MarySmith.foo.thief.com  123048re230.sad0f.thief.com SSN-543112197.foo.thief.com  sodfpwqe.asofos.thief.com DOB-04-10-1999.foo.thief.com  fff.saoos.fodlf.woof.thief.com MRN100045429886.foo.thief.com  21298746.120923.theif.com 盗み出したい情報 Mary Smith (氏名) SSN-543112197 (社会保障番号) DOB-04-10-1999 (成年月日) MRN100045429886 (医療記録番号)  マルウェア等が盗むデータをホスト名、 その他のDNSレコードにエンコードする  企業のDMZやサービスプロバイダの 再帰DNSサーバを通じてトンネリング  既存のシグニチャ技術で検知しにくく するための工夫がされている:  大きなデータは複数パケットに分散する  転送レートを1PPS以下  複数のクエリタイプを利用  送信元IPアドレスとして偽IPを利用 Threat InsightDNSトンネリングによる情報漏洩の仕組み 18
  19. 19. ③: DNSトンネリング(情報漏洩)対策 Firewall x Thief Good.com SSN:123456789.foo.thief.com DOB-01012001.foo.thief.com 正常な問合せ 問合せを使って 情報を持出そうとする マルウエア DNSにおける対策 コントロールプレーン(DNSクエリ)の振る舞いをリアルタイムで検査 • 複数のDNSクエリに渡って「ふるまい解析」を実施 • スコア計算をし、総合判断で情報漏洩の危険性を認めた場合は、 DNS Firewall機能と連携してブロック、ログ、リダイレクト等の処理を行う • 正規用途のDNSトンネリング (一部のウイルス対策ソフト) と分かっている場合は、 あらかじめ除外リストに入れておく 一番狙われやすい、DNSクエリを利用した未知の(シグネチャ上にない)攻撃でも、 悪意あるDNSクエリの振舞いをリアルタイムに検知し、情報漏洩を未然に防ぐ 19 Threat Insight
  20. 20. ③: DNSトンネリング(情報漏洩)対策 • DNSクエリ内に情報量が増えたか? • 定常状態からの変化を判断 エントロピー • DNSクエリが頻繁に送られるようになったか?サイズが大きくなったか? • 多くの異なるクエリが同じ外部ドメインに対して送られているかを判断 頻度/サイズ • ホスト部の文字列がエンコードされているか? • 暗号化されているかを判断 字句解析 • 文字(言葉)として識別できるかを判断Nグラム解析 • 誤検知を統合し他の要素を含めて統合的に判断独自の方法 振る舞い検知の仕組み:5つの指標・スコアリングによる判定 20 Threat Insight
  21. 21. • DHCPリース履歴、固定IP含めた管理 – 動的、静的なIPアドレスの配布状況を確認 ⇒ 今、その端末がどのIPアドレスを利用しているのか? • IPアドレスを元に端末情報を特定 – ネットワーク上の情報精査 ⇒ どのような端末なのか?どこにいるのか? (NetBIOS名、MACアドレス、OS等) • ネットワークデバイスからの物理ポート特定 – 接続ポートを確認 ⇒ 物理的にどこに接続されているのか? (IPアドレス、MACアドレス、接続先ポートの組み合わせで特定) ④:インシデント対策 21 マルウェア感染端末はいったいどこにいる、どの端末で、 誰が利用しているかを把握できる仕組みを構築すべき ⇒ 「Network Insight」を利用したIPアドレスマネジメント Grid Member Grid Master Grid Member Network Insight コンソリデータ Network Insight 拠点用プローブ Network Insight 拠点用プローブ
  22. 22. ④:インシデント対策 22 AD ログインユーザの履歴画面 DHCPリース履歴情報画面 DHCPリース履歴にADロ グイン情報を紐づけ、端 末にログインしたユーザー 特定が可能 セキュリティインシデント対応において、DHCPリース 履歴から端末のMACアドレスの特定が可能 ADと連携することで、どのユーザが 端末を使用していたか把握することが可能
  23. 23. 23 個々のNW情報詳細から編集 OR 全体Viewのインランインから編集 ④:インシデント対策 感染端末の接続Portをリモートからシャットダウンし、端末を隔離することも可能
  24. 24. データ可視化ソリューション (Trinzic Reporting) 24
  25. 25. データ可視化の必要性 25 DNS/DHCPのピーク時はどれくらい通信量があるのだろうか? マルウェア感染が疑わしいクライアントはどれくらいいる? 過去6ヶ月のデータをさかのぼって追跡できるようにしたい! DNSサーバのパフォーマンスは常に安定しているのだろうか? 過去の情報を蓄積し、なおかつ欲しい情報を集計して見せてくれる 情報取得のインタフェースが必要 セキュリティソリューションが導入できてもそれだけでは足りない
  26. 26. Trinzic Reportingの価値 26 人手の介する作業を 低減するとともにトラブル シューティングを強化 傾向に基づいた キャパシティプランニング 自動化されたレポートによる コンプライアンス、セキュリティ を強化 長期の傾向把握や監査、分析が可能に 情報取得のインタフェース ⇒ Trinzic Reporting
  27. 27. Trinzic Reportingの導入メリット  より正確な増加予測 – ネットワークの増加のスピードは? – どのサービスが頻繁にアクセスされているか?  ネットワーク利用状況の推移 – どのリソースが想定より多く/少なく利用されているのか? – 利用者の上位リストや、そのアクセス先はどこか?  ユーザに気づかれる前に、問題を事前に検知 – パフォーマンス問題の切り分け – しきい値を設け、パフォーマンスの片寄りを確認  DNSクエリログ取得によるセキュリティ対策 – 内部用・外部用DNSのクエリのふるまいチェック – 既存セキュリティ製品との連携(SIEMとの連携 …etc) Grid Master Grid MemberVM Grid Member Reporting Grid Member Report DB Grid Member 27
  28. 28. キャパシティプランニング 利用シーン: 新しいサイト/データセンターの追加要件が発生 現状のインフラで新しい負荷に対処できるか調査が必要 利点: 新しいサイトが追加される前後のアプリケーションや ビジネスサービスのアップタイムを保証 ネットワーク使用率に問題はないか、 キャパシティの増強の必要はないか確認 トラフィックの状況を時間軸で確認して、 新しいサイトが与えうる影響を事前に予測 正常に移行できるようにするために 各DNSサーバのクエリーレートの状況を 時間軸で確認 DNS / DHCPシステムが現状および 将来のキャパシティに対応できるか確認 28
  29. 29. DNSクエリーとキャッシュのトレンド 利用シーン: 成長している企業やサービスで 十分なDNSキャパシティーを確保できているか? 利点: 現在そして将来のネットワークの動向を確認 キャッシュのヒット率低下が ユーザーに影響を及ぼしていないか 瞬時に判別 パフォーマンスに悪影響を及ぼす 恐れのある異常なサーバを認識 将来のプランニングのために時系列で 毎秒のDNSクエリー数を追跡 DNSの遅延を引き起こすような 不正なレスポンスの監視 29
  30. 30. セキュリティインシデント 利用シーン: ウィルス感染やマルウェアによる攻撃の可能性は? 知的所有権がリスクにさらされていないか? 利点: 断続的に疑わしいアクティビティを追跡することによって セキュリティを強化 断続的に疑わしいサイトに向かう 大量のクエリがないか確認 DNSクエリの異常値を確認することで 感染している可能性の高いクライアントを検出 30
  31. 31. 不要なDNSレコードの削除 利用シーン: 組織の合併にともない、DNSゾーンが増加 IPアドレスよりもDNSレコードの数が多いのは何故か調査 利点: 時間やコストの低減、データ要求の先細りによるリスクの低減 や 不要なレコードを排除 クエリーのないDNSレコードやゾーンを 瞬時に確認することができ、 安全に削除することが可能 31
  32. 32. まとめ • Infobloxのセキュリティソリューションは大きく分けて3つ – DNSサーバへの攻撃を防ぐもの(Advanced DNS Protection) – DNSを利用した攻撃を防ぐもの(Active Trust DNS Firewall / Threat Insight) – 感染端末がどのネットワークにいるか特定するもの(Network Insight) • 運用を安定、効率化させるためにはデータの可視化も必要(Trinzic Reporting) • Infobloxはセキュリティ対策およびデータの可視化まで対応したインフラを提供 32 サイバーキルチェーンの各段階においてDNSの関与率が一番高い しかし、DNSのセキュリティは見落とされがち
  33. 33. ありがとうございました お問い合わせは下記ブログの「ご連絡フォーム」よりお願いします テリロジー「半公式」エンジニアブログ(仮) https://terilogy-tech.hatenablog.com/ 33
  • NAOTATSUKAMOTO

    Mar. 25, 2020
  • ShokoBessha

    Feb. 18, 2019
  • Terilogy-CnSTech

    Oct. 27, 2018

DDI(DHCP, DNS, IPAM)アプライアンスのリーディングカンパニーであるInfoblox社のセキュリティソリューションを紹介します。主にDNSのセキュリティについて語ります。

Vistos

Vistos totais

1.564

No Slideshare

0

De incorporações

0

Número de incorporações

398

Ações

Baixados

0

Compartilhados

0

Comentários

0

Curtir

3

×