おうちねっとわーくのセキュリティ
-
Upload
y1r96-ueno -
Category
Technology
-
view
170 -
download
2
Transcript of おうちねっとわーくのセキュリティ
おうちねっとわーく の
セキュリティゆーいちろー
誰?
誰?• 18歳
• 熊本の高専3年生
• コンピュータとかネットワーク,数学とかすき(できるとは言っていない)
• seccamp2013 NW組
• CTF: decrement++
• Twitter: @y1r96
今回話すこと
おうちねっとわーく を
格安で整備したので
自慢します
おうちNW 改修までの流れ
ネットワークに接続するもの• コンピュータ
• 家族用 • 私用 • 会社用*2 (自宅が父の会社で,社員さん持ち込みのPCがある)
• ゲーム機,TV,プリンタ • VMware vSphere Hypervisor
• CentOSのサーバ群(DNS, DHCP, DB, www, mail, minecraft)
IPアドレスの割り振り• 基本的にネットワーク全て同一ネットワークで192.168.1.*を用いる
• 192.168.1.2~99: DHCP
• サーバ群以外
• 192.168.1.100~: static
• サーバ群
問題なさそう?
ある日 iTunesを開くと…?
_人人人人人人人人人人_ > < > < > <
‾Y^Y^Y^Y^Y^Y^Y^Y‾
社員さんの iTunesライブラリが
私のiTunesに 表示されてる!!!
What?
https://support.apple.com/ja-jp/HT201779
ARP Spoofing
ARP (Address Resolution Protocol)
• IPアドレスとMACアドレスを変換する.
• ブロードキャストして,対応するIPアドレスからのMACアドレスの通知を待つ.
• そのReplyをARPテーブルに保存し,それを用いてMACアドレスを調べる.
偽のReplyをARPテーブルに 保存させることができる!
何ができるか• ルータのARPテーブルのWWWサーバにあたるMACアドレスを攻撃者のMACアドレスに書き換えれば,WWWサーバを乗っ取れる
ネットワーク分割 しないとまずいかも?
とりあえず, ルータにいっぱいNIC刺せば, 複数NWを実現できるのでは?
_人人人人人人人人_ > < ‾Y^Y^Y^Y^Y^Y^Y‾
複数枚なんて買えない…
ネットワーク分割なら VLANを使うといいので
は?
VLAN (Virtual Local Area Network)
• スイッチなどのネットワーク機器の機能により、物理的な接続形態とは別に仮想的なネットワークを構成することである。スイッチの接続ポートやMACアドレス、プロトコルなどに応じて、端末のグループ化を実現する。
• 近年、VLANの用途は多様化しているが、最も多いVLANの用途としてはレイヤ3スイッチを用いて、スイッチをルータとしたネットワークを構成しているものなどがある。主にブロードキャスト・ドメインの分割による通信帯域の有効活用を目的として利用される事が多いが、大企業などではスイッチを用いて部門毎にVLANを設けることでネットワークを分割し、アクセスを制限するなどネットワークセキュリティ対策手段としての用途もある。
• http://ja.wikipedia.org/wiki/Virtual_Local_Area_Network
VLAN対応スイッチ っておいくら?
http://www.netgear.jp/supportInfo/NewsList/268.html
NIC複数枚買うより安い?
そもそも, VLAN対応スイッチだけで
複数NW組めるの?
組める!
IEEE 802.1Q
• IEEE 802.1 ワーキンググループが策定したネットワーク規格であり、ブリッジで連結された複数のネットワークで情報を漏洩させることなく同じネットワークリンクを透過的に共有する方式である。一般にイーサネットのネットワークでのカプセル化プロトコルを使った実装を指す。http://ja.wikipedia.org/wiki/IEEE_802.1Q
• TPID (Tag Protocol Identifier)
• IEEE 802.1Q によるタグ付きフレームであることを示すため、0x8100 という値を置く16ビットのフィールド。
• PCP (Priority Code Point)
• IEEE 802.1p で定義された優先度を指定する3ビットのフィールド。フレームの優先度を0(最低)から7(最高)で示し、各種トラフィック(音声、動画、データなど)の優先順位付けに利用できる。
• CFI (Canonical Format Indicator)
• 1ビットのフィールドで、1であればMACアドレスは正規フォーマットではないことを示す。0であれば、MACアドレスは正規フォーマットである。イーサネットの場合は常に0である。これはイーサネットとトークンリングの相互接続時に使われる。イーサネットポートでCFIが1のフレームを受信した場合、そのフレームはタグ付けされていないポートへはブリッジされない。
• VID (VLAN Identifier)
• 12ビットのフィールドで、そのフレームが属するVLANを指定する。0の場合、どのVLANにも属していないことを意味し、そのような802.1Qタグは単なる優先度タグ (priority tag) として使われていることになる。0xFFFという値は実装で使用するために予約されている。それら以外の全ての値はVLANの識別子として使われるので、最大4094個のVLANを扱える。ブリッジでは、1番 (0x001) を管理用に予約していることが多い。
• http://ja.wikipedia.org/wiki/IEEE_802.1Q
IEEE 802.1Q
IEEE 802.1Q
つまりこれ 格安でNICになるのでは!?
最終的に• 192.168.A.*: サーバ群
• 192.168.B.*: 自宅ネットワーク
• 全サーバとインターネットへのルーティングを行う
• 192.168.C.*: 会社ネットワーク
• 一部サーバとインターネットへのルーティングを行う
• 192.168.D.*: 来客向けネットワーク
• インターネットへのルーティング
• 192.168.E.*: VPN接続クライアント
• 全サーバとインターネットへのルーティング
現状の問題イメージスキャナがスキャン時にブロードキャストを必要とするので同一ネットワークでしか動かない!!!
VLAN対応スイッチを NIC代わりにするデメリット
全ネットワーク間のトラフィックが スイッチとルータ間を通る
_人人人人人人人人_ > ボトルネック < ‾Y^Y^Y^Y^Y^Y^Y‾
Linux ルータってなんか難しそう…
どうやって設定するの…
_人人人人人_ > わかる < ‾Y^Y^Y^Y‾
そんなあなたに…
VyOS• VyOSは、Vyattaから派生したオープンソースのネットワーク・オペレーティング・システムで、ソフトウェアベースのルーティング、ファイアウォール、VPNなどの機能を提供します。
• 物理環境、仮想環境双方で動作します
• 仮想環境用の準仮想化ドライバおよび統合パッケージをサポートします
• 完全にフリーかつオープンソースです
• http://wiki.vyos-users.jp/%E3%83%A1%E3%82%A4%E3%83%B3%E3%83%9A%E3%83%BC%E3%82%B8
例えば どんなふうに設定するの?
eth0にVLANを設定する場合$ configure 設定モードに切り替え
# set interfaces ethernet eth0 vif 1 eth0にVLAN ID 1としてNICを追加
# set interfaces ethernet eth0 vif 1 address 192.168.1.1/24 そのNICのIPアドレスを192.168.1.1に設定
# commit 反映
# save 保存
# exit
eth1にPPPoEを設定する場合$ configure 設定モードに切り替え
# set interfaces ethernet eth1 pppoe 0 eth1にPPPoEトンネル終端のNICを作成する
# set interfaces ethernet eth1 pppoe 0 user-id [email protected] PPPoE接続ユーザIDを設定
# set interfaces ethernet eth1 pppoe 0 password foobar PPPoE接続パスワードを設定
# commit 反映
# save 保存
# exit
ね、簡単でしょ?
まとめ• ネットワーク構築,自宅でやってみませんか!
• VLAN使えば分離されたNWが格安で作れます!
• VyOSでルータ,めっちゃ簡単なのでおすすめ!