More Related Content More from Kunihiro TANAKA More from Kunihiro TANAKA (7) JAWS-UG和歌山第0回キックオフミーティング1. (C)Copyright 1996-2014 SAKURA Internet Inc.
クラウドとセキュリティ
∼運用現場における実際∼
JAWS-UG和歌山第0回キックオフミーティング
さくらインターネット株式会社
田中邦裕 (@kunihirotanaka)
14年3月29日土曜日
3. • 名前 :田中邦裕(たなかくにひろ)
• 年齢 :36歳
• 出身 :大阪(今も一応、大阪在住)
• 好きなAWSサービス:Amazon S3
• 趣味
• プログラミング
– 計算機科学方面ではなく、何かを動かすのが好き
• 電子工作
– ラジオからAVR(マイコン)まで
• DTM
– SC-55を皮切りにパソ通などにアップしていた
• 旅行&鉄道
– 北海道から沖縄まで国内専門、あと乗り鉄
自己紹介
3
@kunihirotanaka
http://facebook.com/kunihirotanaka
14年3月29日土曜日
10. さくらインターネットの紹介
10
1996年
京都府舞鶴市にて創業
1998年
大阪市中央区へ移転
1999年
株式会社化、東京支社開設
大阪・東京へIDCを新設
2005年
東証マザーズへ上場
2011年
石狩IDCを新設
06/3期 07/3期 08/3期 09/3期 10/3期 11/3期 12/3期 13/3期
8678731,194
723
34985
-162
207
9,4829,164
8,584
7,812
7,106
6,204
4,398
2,758
売上高
経常利益
商号 さくらインターネット株式会社
本社所在地 大阪市中央区南本町一丁目8番14号
設立年月日
1999年8月17日
(サービス開始は1996年12月23日)
取締役
代表取締役 社長 田中 邦裕
取締役 副社長 舘野 正明
取締役 川田 正貴
取締役 村上 宗久
取締役(社外) 野村 昌雄
上場年月日 2005年10月12日(東証マザーズ)
決算 3月末日
資本金 8億9,530万円
従業員数 225名
1996年からサービスを行う
データセンター・ホスティング事業者です
14年3月29日土曜日
29. 攻撃手法ごとの対応方法の分類(共用サーバ)
29
攻撃手法攻撃手法 お客様での対応 当社での対応
1.パスワード
クラック
ブルートフォース 強度の高いパスワードを設
定する
・強度の低いパスワードが設定できないよう
にする(対応1)
・メールパスワード漏洩と見られるspam送
信の監視(対応2)
・Fail2banによる接続制限を実施
・メール送信通数制限
1.パスワード
クラック
漏洩したリストを使用 パスワードをサービスごと
に別にする。
・通報を受けた場合、警告等の対応を行う
2.公開サービス
の設定不備
DNS、NTP、メール
サーバ
対応不可
※Webコンテンツは除く
・サーバの設定、日々のメンテナンスを適切
に行う(対応3)
3.DoS攻撃 対応不可 ・検知、対応システムによる、早期発見、早
期対処(対応5)
当社が管理者権限を有するサーバ(「さくらのレンタルサーバ」等)
14年3月29日土曜日
30. 攻撃手法ごとの対応方法の分類(専用サーバ/IaaS)
30
攻撃手法攻撃手法 お客様での対応 当社での対応
1.パスワード
クラック
ブルートフォース 強度の高いパスワードを設定
する
・Fail2banをOS初期イメージへ同梱、及び
自動検知・遮断システムの構築(対応4)
・サーバ停止状態でのサービス提供開始
(VPS)
1.パスワード
クラック
漏洩したリストを
使用
パスワードをサービスごとに
別にする
・通報を受けた場合、警告等の対応を行う
2.公開サービスの
設定不備
DNS、NTP、メー
ルサーバ
サーバの設定、日々のメンテ
ナンスを適切に行う
・通報を受けた場合、警告等の対応を行う
3.DoS攻撃 対応不可 ・検知、対応システムによる、早期発見、
早期対処(対応5)
お客様が管理者権限を有するサーバ(「さくらのVPS」等)
14年3月29日土曜日
34. DoS攻撃への対応
34
• DoS攻撃とは
– 直訳すると、“サービス不能攻撃”
– 攻撃対象ホストに、無関係なパケットを大量に送りつけることによって、
そのホストが提供するサービスが正常に提供できなくなるように外部から
攻撃を行うこと。
• 単純に帯域を食いつぶす
• 帯域は少なくとも、セッションを食いつぶす
• セキュリティホールをつくクラックもDoSといえばDoS
• DNSオープンリゾルバ、NTPを踏み台とした攻撃が増加してい
る。
• 大量トラフィックの検知及びパケット破棄の仕組み(RTBH)を
構築
14年3月29日土曜日
35. スイッチ
RTBHとは?
35
• Remote Triggered Black Holeの略
– DoS攻撃の宛先IPアドレスを、内部BGPで特殊な宛先(事前に仕込む)宛に広報し、
ボーダルータで破棄する仕組み
ボーダルータ
DoS
サーバ サーバ
DoS
DoS
DoS
RTBH有りの場合RTBH 無しの場合
スイッチ
ボーダルータ DoS
サーバ サーバ
14年3月29日土曜日