カテゴリーアーカイブ セキュリティ

著者:ym

RAID6の復旧

今日はファイルサーバのトラブル。

ここん所 1 週間くらい、なんだかアクセスやファイルを開くのが遅いなとは思っていましたが、今日、仕事にならないレベルに達し、原因調査を行いました。

QNAPの管理画面ではRAID構成も正常で、SMARTチェックをかけても正常。さらに調査していくと、LEDの点滅状態が HDD 一つだけ怪しいのを発見しました。SMARTパラメータを見てみると、やはりディスク1本だけ代替セクタが増えていて、これが原因と断定。

QNAPのホットスワップ対応品なので、電源ON状態で交換開始です。RAIDは正常なのに強制的に引っこ抜きます。

QNAPなのでLinuxのソフトウェアRAID。

バックアップはあるけど、全滅する可能性を秘めているので、ドキドキワクワクです。

RAID6 で HDD は 5 本構成。最大 2 本まで故障できる。高スペックを要求されない部分で、少しでも管理コストを軽減するために選んだ構成。当然予備ディスクも必須で常設。一方バックアップ側は、Windows サーバを使いシャドーコピーを利用できる様にし、共有サーバ側のファイルを右クリックすることで自分でも復旧できるバックアップとして使っています。勿論それは担当者レベルでできる復元機能として用意しているだけで、実際は iSCSI ストーレジを QNAP 側で担当し、ブロックレベルでは無く、ファイル単位ベースで全てのバックアップを取る形。こうやってバックアップをとり、不安材料を減らしています。

とか言って、まだ全壊の可能性は残ってるんですけどね。無事HDD交換を済ませ、只今RAID6 のリビルド中です。

ドキドキ。

  • この記事いいね! (0)
著者:ym

大事なデータやシステムのアウトソースと事業継続計画

大事なデータを、AWS などのクラウドサービスに預ける事が増えて来たので、参考に。

サーバ事業者さん。契約は結んでいませんが、あなたを訴えます (1-3):「訴えてやる!」の前に読む IT訴訟 徹底解説(55) – @IT

この記事では、「顧客」「サービスベンダー」「サーバ事業者」の3社が登場しています。

裁判結果は「顧客の責任」。

訴えた顧客の敗訴となっています。

ただしこの記事では「サーバ事業者」と「顧客」間の契約は無しのパターンの様です。他にも「サーバ事業者」ー「顧客」ー「サービスベンダー」ー「サーバ事業者」 の三角関係で契約しているパターンの場合もありえますし、勿論、契約内容次第でもあります。

大事なデータをアウトソース・預ける場合、逆に事業者やベンダーなどの預かる側も、必ず障害災害に備えて事業継続の計画は必須です。

  • この記事いいね! (0)
著者:ym

オレオレ SAN 対応証明書

最近の SSL 証明書では SAN (Subject Alternative Name) と言われるマルチドメイン対応しています。

例えば企業で以下の Web サイトを運用していた場合は、1 枚の証明書に全て含める事ができる様になっています。

  • www.cpoint-lab.co.jp
  • cpoint-lab.co.jp
  • www.c-point.co.jp
  • www.tida-cloud.co.jp
  • www.tida-square.co.jp
  • www.hamazo.co.jp

SSL 証明書のサービスで 500 ドメインまで対応とかの文字も見かけるので、相当数対応しているのではと思います。

技術的には、格納可能なバイト数として 4096 バイトの様なのでコモンネームの文字長によって変化する様です。

ただし、一度に全ての証明書更新となるため、一つの URL を追加した場合でも、全てのサーバで入れ直しする必要が出てくるので、これをめんどくさいと考えるか、一度で行えて効率化と捉えるかの判断が必要。

そんなマルチドメイン (SANs) の証明書をオレオレで作成したい。でも簡単。

openssl req \
  -newkey rsa:2048 \
  -days 3650 \
  -nodes \
  -x509 \
  -subj "/C=/ST=/L=/O=/OU=/CN=www.cpoint-lab.co.jp" \
  -extensions SAN \
  -config <( cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=\
   'DNS:www.cpoint-lab.co.jp,\
    DNS:cpoint-lab.co.jp,\
    DNS:www.c-point.co.jp,\
    DNS:www.tida-cloud.co.jp,\
    DNS:www.tida-square.co.jp,\
    DNS:www.hamazo.co.jp,\
    DNS:*.c-point.ne.jp'\
   ")) \
  -keyout server.key \
  -out server.crt

オラオラ~な証明書なので、ワイルドカードも含めたりとなんでもし放題です。自己CA局作ってブラウザにインストールする場合は、CA局を事前に構築する必要がありますが、証明書だけ使えれば良いという事であれば、この 1 行でサクッと作る事ができます。

subjectAltNameに対応した自己署名証明書の作り方 – Qiita

  • この記事いいね! (1)
著者:ym

情報セキュリティ10大脅威 2018

IPA のサイトを見ていた所、「情報セキュリティ10大脅威2018」が出ていました。

情報セキュリティ10大脅威 2018:IPA 独立行政法人 情報処理推進機構

今年は。

個人がクレジットカード情報不正利用で、組織は標的型攻撃の被害。

組織で、知らない間に情報を取られていたりと、騙されて引っかかるパターンが多い様ですね。

新入社員が入社された企業も有ると思いますが。IPAのサイトではわかりやすく動画のコンテンツも提供している様なので、見ておくと良いですね。

映像で知る情報セキュリティ ~映像コンテンツ一覧~

  • この記事いいね! (0)
著者:ym

車内LAN、車載Ethernetが日産リーフに採用

車載 Ethernet の話。

[特報]次世代車載LANが日本車にも、日産が新型リーフで採用 – 日経 xTECH(クロステック)

この車載 Ethernet って、配線はどうなっているのだろうか。CANやLINとは違うのだろうか?リアルタイム性が求められるLANなので有線だろうけど、ボディーアースで1本の+配線で処理できる電源と同じ様な対応でPoE-LANが取り回せるのであれば結構良い感じがします。でも、気軽にアクセサリやリレーを取り付けられなくなると車両としては面白く無いし。

  • この記事いいね! (1)
著者:ym

異なるメーカー&複数ルータ機種でDNS不正書き換え被害

ルータの DNS 設定が書き換えられる件、結構な被害へ広がっている様ですね。

異なるメーカー Logitec、Buffalo、NTT東西、異なる複数の機種でも症状が有るらしい。

しかもゼロデイ状態。まだ原因が突き止められていない様子。

 

DNS 設定が書き換えられ、偽装された Facebook サーバや、Google サーバへ接続してしまう症状。

ISP側で今回の不正サイトへのトラヒックを制御して防ぐとかしないとやばいような気もする。

結構怖い。

  • この記事いいね! (0)
著者:ym

SEP から Norton Security by Symantec

Symantec Endpoint Protection (SEP) から「ノートンセキュリティ by Symantec」へ。

スタッフが沢山いる会社では SEP の方が、管理面や統合ポリシー管理・配布など、多くの管理面からよいですが、小さな企業では逆に出費が増えてしまいます。

そのため、社内のウィルス対策ソフトは、今までと同じく「シマンテック」なウィルススキャンエンジンの「ノートンセキュリティ」へ変更することにしました。

ブラウザは Google Chrome や Firefox 側にまかせて、機能については必要最低限に絞っていくかな。

Norton Security by Symantec

Norton Security by Symantec

  • この記事いいね! (0)
takahashi 著者:takahashi

Torの仕組み

よくハッカーが出てくる映画で、「クソッ、複数の海外サーバーを経由されていてアクセス元が特定できない!!!」なんて展開がよく出てくるかと思います。
実際のところ、現実でそんなことが可能なのかと思ってしまいますが、実際に複数のノードを経由することで自分のアクセス元情報を隠して相手サーバーに接続することができる仕組みが存在します。
しかも、それを利用するのに映画に出てくるハッカーのような特別な知識は必要ありません。誰でも利用できます。

この仕組みは”Tor”とよばれています。
名前を聞いたことがある方は多いのではないでしょうか。

Torの仕組みはちょっと面白いです。
まず、Torを使ったネットワークでは、デフォルトで必ず3つのノードを経由するようになっています。

匿名通信「Tor」はどういう仕組みなのか分かりやすく解説 – Gigazine

◆リレーのタイプ
デフォルトではTorは3つのリレーを経由することになっています。この3つのリレーはそれぞれ特定の役割を担っています。

・ガードリレー(Guard Relay)
Torネットワークの入り口部分にあるリレーが「エントリー/ガード リレー」です。安定して高帯域を持つと示されたリレーがガードリレーに選ばれます。

・中間リレー(Middle Relay)
「中間リレー」はガードリレーから出口リレーへトラフィックを中継するリレーです。このリレーを配置することで、ガードリレーと出口リレーがお互いの情報を得られないようにしています。

・出口リレー(Exit Relay)
「出口リレー」はTorネットワークの終端にあるもので、その名の通り通信の出口となる部分です。出口リレーが最終的な目的地にトラフィックを送ることになります。

以下の図はTorネットワークでの経路を簡単に示したもの。ユーザー(Client)はTorネットワークの入り口となるガードリレーから中間リレーを経由し出口リレーに到着し、最終的な目的地となるウェブサイトなどに到着するというわけ。もちろんこの経路は複数あるリレーの組合わせなので、一定時間ごとに変更されるようになっています。

ただ、これだけではまだ完全に安全とは言えません。
各ノードに、どのIPのユーザーのデータがどこへルーティングされたかが各ノードに記録される可能性があるためです。

そこで、TorはTorネットワークへ情報を送信する前にデータを暗号化し、さらにノードを経由するごとに多重に暗号化をかけていくことで、どのネットワークからアクセスされたのかを、最終的に把握できないようにしています。
これにより、Torネットワークでは、提供される各中継ノードが信頼できなくてもセキュア性を保てる設計になっています。


Gigazineより引用
一見するとただのアンダーグランドなツールに見えてしまいますが、なぜこんな仕組みが存在しているのでしょうか。
そこには社会的な理由があります。

それは、インターネット上の自由な表現を政治的な検閲や弾圧から守る必要があるからです。
日本に住んでいるとピンとこないですが、国によっては、インターネット上での情報取得や、発言を検閲し、意図的に制限、場合によっては懲罰を行う国があります。
しかし、インターネットは本来的に自由な空間です。誰でも自分の好きな意見を発信し、好きなように表現をすることができます。
そのインターネットに対して、言論の統制を目的とした介入を行う国が、残念ながら出てきてしまいました。

自由な表現を保護するため。自由な発言しても迫害を受けないように保護するため。
Torは自由な思想が認められない国々にいる人々の人権保護に、一役買っているというわけです。

どんな技術も、使い方次第では薬にもなるし、毒にもなります。そしてそれは強力であればあるほど影響力も大きくなります。
Torが強力なのは必然でした。”権力”という、強力な圧力に勝てるだけの物が必要だったからです。

願わくば、Torのような仕組みに頼らなくてもインターネットを安心して自由に楽しめるような世の中になってほしいものですが、現状を見るとその日が来るのはまだまだ先のことなのかもしれません。

  • この記事いいね! (0)
takahashi 著者:takahashi

世界中のサイバー攻撃を地図上に可視化しているサイト

サイバー攻撃という、かつては映画にしか出てこなかったようなワードが当たり前のように聞こえてくるようになってしまった昨今。
そんなサイバー攻撃の状況を、地図上にわかりやすく可視化するサービスを提供しているところがあります。

今回は、個人的に分かりやすいと思ったサイトをいつくか紹介します。

NORSE

NORSEは運営元のNORSE社が世界各地に設置したハニーポット(一見脆弱性対策されていない、攻撃者が攻撃しやすいように見せかけわざと攻撃させることでその攻撃手法を解析する目的で設置されるホスト)から受け取ったデータを解析し、発信元と発信先、使用プロトコルを地図上に可視化してリアルタイムに表示しているサイトです。

プロトコルごとに色分けされており、視覚効果もビームを打った/打たれたような表現になっていて非常に分かりやすいです。
見ていると常に何かしらドンパチやっている様子がうかがえますが、まれに大量のトラフィックが見えることがあり、”あっ、集中攻撃されているな…”というのがよくわかるときもあります。

CYBERTHREAT REAL-TIME MAP(カスペルスキー)

有名なセキュリティソフトベンダーであるカスペルスキーが運営しているサイバー攻撃可視化サイトです。
こちらはカスペルスキー社製の各製品から報告された脅威の統計をリアルタイムで表示しているようです。

セキュリティソフトが検知する情報なので、ネットワーク経由の攻撃だけでなく、ウイルスやスパイウェア、脆弱性の検出なども表示されます。

Digital Attack Map(Google)

こちらはGoogle Ideas提供の攻撃可視化サイト。
内容としてはDDoS攻撃元の発信元と発信先を可視化しています。

自分が確認した時点でも、常時攻撃のトラフィックが表示されていて、ちょっと衝撃的です。
ただ、どういった仕組みで取得されているのかがよくわからかったので、何を基準にしてDDoSと普通の通信を見分けているのかは不明です。
もしかすると、一部通常の通信も混じっているかもしれませんね。

ちなみに、UI的にはちょっと見づらいですが、日本でもNICTという団体が可視化サービスを公開しているようです。
NICTERWEB – NICT

見ていると世界中のサイバー攻撃の規模の大きさにただただ驚くばかりです。
もし自分がこれらの攻撃の対象になってしまったら…そんな最悪な事態を想定しながら、できるところから対策していきたいですね。

  • この記事いいね! (0)
著者:ym

memcachedで秒間1TBデータが押し寄せる

先日、公表 memcached のぜい弱性を利用し、GitHub にたいして DDoS 攻撃が行われていましたが、なんとデータ量 1TBps 長の攻撃の様です。

1 に 1TB のデータが押し寄せてくるのです。

GitHub に 1 TBps 超の攻撃、「memcached」を利用する新たな DDoS 手法を解説 – トレンドマイクロ セキュリティブログ

こういった攻撃に対して以下のような対策が可能な様です。

  • memcached 攻撃を理解すること
  • 送信受信、共にトラヒックを関しすること
  • 複数のISP回線を契約すること
  • ISP側の対策を理解すること
  • ホスト側ではアクセス制御を実施すること

というか、そもそも 11211/udp を許可しているという事自体が運営体制的に不思議ではあるけど。

  • この記事いいね! (0)