iptables、TCPwrapperで通信制御を行った場合、そもそも通信が届かない場合の3パターンで、どのようなメッセージの違いがあるか見てみましょう。

その前にsshについて説明します。

sshとは

ssh( Secure SHell )とは、パソコンなどから、遠隔にあるネットワーク機器と通信を行うプロトコルです。

例えば、東京にある本社から、沖縄や北海道にある支社のルータやスイッチなどを遠隔で操作することが出来ます。
私は始め、遠隔＝無線だと思い込んでいて理解ができなかったのですが(笑)
有線、無線は関係なく、離れている機器と通信を行うためのプロトコルです。

名前にSecureと入っている通り、ssh通信は暗号化されるため、通信を覗かれて操作内容がばれる心配はありません。

今回はCentOSを使用しますが、Linuxではsshdというサービスでsshを使用します。

iptablesとは

iptablesとは、どの通信は通って良い、どの通信は通ってはいけない、を設定する機能です。ファイアウォールとも呼ばれますが、Linuxではiptables という名前で機能が搭載されています。例えるなら、受付係や警備員さんのような機能です。

プロトコルにはポート番号という番号がそれぞれ割り振られています。

sshでいえば22番というポート番号が割り振られているので、今回は22番という穴(ポート)を塞いだり開けたりして通信の許可、拒否を設定します。

TCPwrapperとは

TCPwrapperも、通信を制御するLinuxの機能です。 iptablesでは、ポート番号やプロトコル、送信元IPアドレス、宛先IPアドレスや通信の種類によって許可、拒否を設定することが出来ます。またNATという機能も使うことができます。

それに対してTCPwrapperは、プロトコル(サービス)と送信元IPアドレスを元に通信の許可、拒否の設定を行います。

正確には、iptablesとTCPwrapperでは、処理するプロトコルのレイヤがちがうのですが、ざっくりいうと、

iptablesの方が TCPwrapper より作られたのが新しくて、より細かく設定できる。

で、いいと思います。

/etc/hosts.allowが許可する通信を記述するファイル、/etc/hosts.denyが拒否する通信を 記述する ファイルです。 /etc/hosts.allowの方が優先してチェックされます。

エラーメッセージの検証

それではエラーメッセージの違いを見てみましょう。

iptables

まずはiptablesで拒否をした場合のエラーメッセージです。
送信元IPアドレス(WindowsPC)は192.168.100.103、 宛先IPアドレス(CentOSのSSHサーバ)は192.168.100.118です。

下の図のとおり、iptablesに22番ポートを拒否(REJECT)する設定を入れました。

では、Windowsのコマンドプロンプトでsshコマンドを実行します。

Connection timed outとエラーメッセージが表示されました。

TCPwrapper

次にTCPwrapperです。先ほどのiptablesの設定は元に戻したうえで、以下のように/etc/hosts.denyファイルを書き換えます。

ssh:192.168.100.103でもよいのですが、今回は全て(ALL)を拒否の設定にしています。

ではコマンドプロンプトからコマンドを実行します。

Connection reset とエラーメッセージが表示されました。

ルートがない場合(届かない場合)

最後に、そもそも経路がなくて通信が出来ない場合をやってみましょう。

TCPwrapperの設定を元に戻し、CentOSのIPアドレスを以下の様に変更しました。

ではコマンドプロンプトから実行します。

Connection timed outとエラーメッセージが表示されました。

まとめ

教材などを見ていると、エラーメッセージが異なるという説明もあったりしますが、今回の検証では、iptablesと経路がない場合は同じエラーメッセージでした。

Windowsのコマンドプロンプトだとこのような表示になったので、クライアント側もLinuxだと、また表示が違うのかもしれません。次回はその辺りを検証できればと思います。

The post 情報セキュリティの豆知識～ssh接続のエラーメッセージ～ first appeared on CODE×CODE（コードコード）.

この記事では、Cisco機器のIOSでパスワードを設定するさいに利用する、ハッシュ化アルゴリズムについて紹介します。
脆弱なハッシュ化方法を利用すると復号*⁰できてしまい、悪意あるものに利用されてしまう危険性があります。
用語なども解説していきたいと思います。まずはCisco IOSの設定方法から順にみていきましょう。

*⁰ 復号とは、暗号化されたデータを元に戻すことです

Cisco IOSのパスワード設定方法

まずはIOSで利用できる主なパスワードの設定方法を確認していきましょう。

ちなみにCisco IOSとは、Cisco社が販売しているルータに入っているOSのことです。スマホでいうと、Apple社が販売しているスマホ(iphone)に入っているOSです。たまたま両方ともOSの名前がIOS(iOS)ですね。

enable password

一番初歩的なパスワードの設定方法です。設定したパスワードは平文(クリアテキスト)で保存され、show runなどの設定確認コマンドで確認した時に、そのまま表示されます。

クリアテキストとは、暗号化などされていないそのままの文字の事です。
画像はTeratermからIOSルータにアクセスし、enable passwordを設定しています。

画像の通り、show runコマンドで確認したところ、「test」の文字がそのまま表示されています。では、この文字をハッシュ化(暗号化)してみましょう。

service password-encryption

設定されているパスワード類、及び、これから設定するパスワードをハッシュ化します。
先ほどenable passwordで設定した平文のパスワード「test」が、ハッシュ化して分からなくなっていますね。

ハッシュ化とは

ハッシュ化とは、元のデータを別の文字列に置き換えることです。ハッシュ化には以下の様な特徴があります。
・元のデータが大きくても、短い長さのデータ(ハッシュ値)に置き換える
・ハッシュ値は、一意性がある(「test」をハッシュ化すると、必ず021201481Fとなる)*¹
・データ内容が1文字ちがうだけで、全く異なる値になる
・ハッシュ値から元のデータを求めることが困難(不可逆性)

*¹ハッシュ化アルゴリズムによります

ハッシュ化と暗号化のちがい

暗号化も同じく元データが分からないように加工しますが、パスワードや鍵データなどの復号方法があるため、相手が復号方法を知っていれば、暗号データを送っても相手は元データを確認することが出来ます。

ハッシュ化はハッシュ値から元データを復号することが困難であるため、データの受け渡しには利用しません。

じゃあどこで使うのかというと、データが改ざんされていないかのチェックを行う場面で利用されます。*²
暗号化には復号方法が存在します。
例えば、相手に暗号化したデータを送る途中で悪い人が盗んだ場合、さらにその悪い人はパスワードを破ってしまい、データの中身を改ざんしたうえで、元の受信者に送ったとすると、元の受信者はデータの中身が正しいものか判断する方法がありません。

*²このことを完全性といいます。また別記事にしたいと思います

元の受信者は中身が変わっていることに気づけません。

ハッシュ値を求めて一緒に送ることで、受信者は改ざんを検知できます。

話が逸れてしまいましたが、ハッシュ値の利用方法はこういった場面でも利用されます。ではIOSの設定に戻りましょう。

enable secret

パスワードの設定時に暗号化する方法です。
enable passwordでは平文で保存されましたが、enable secretを使うことで設定時に暗号化することが出来ます。

画像の通り、「test2」が全く別の文字列で表示されていますね。
ちなみにenable passwordと別で保存されるため、両方設定されている場合は、enable secretのパスワードが優先されて入力を求められます。

Cisco IOSのパスワードハッシュ化アルゴリズム

さぁ、本題です。が、さくっと行きましょう。
下の画像は先ほどの画像と同じものです。よく見るとenable passwordとかの前に「5」や「7」の数字がありますね。

実はこの番号、ハッシュ化アルゴリズム*³ を指定しています。
5番はMD5という名前のハッシュ関数(ハッシュ値を算出する関数)を指定、
7番はCisco独自のアルゴリズム関数を指定しています。

*³ アルゴリズムは、考え方、計算の仕方です。

ここが問題で、この7番のCisco独自のアルゴリズム関数は、ずいぶん前に解読されてしまい復号方法が紹介されています。

keyコマンドを使ってIOS上で復号を確認できてしまいますし、下記の様な

http://www.firewall.cx/cisco-technical-knowledgebase/cisco-routers/358-cisco-type7-password-crack.html

http://ibeast.com/tools/CiscoPassword/index.asp

海外サイトで、ハッシュ値を入力することで簡単に複合できてしまいます。
※アクセスは自己責任でお願いします。

このように、登場当時は安全であったものが、安全でなくなった状態の事を「危殆化」するといいます。

まとめ

上記で解説したように、危殆化したハッシュ化方法は復号できてしまうため、IOSでパスワードを暗号化するにはenable secretを使いましょう。
MD5も脆弱性が報告されていますが…笑
比較的新しいCisco機器では、パスワードを「6番」のAESという暗号化方法で暗号化できるようなので、対応している場合はAESを推奨します。

AESは日本政府が公開しているCRYPTREC暗号リストにも掲載されている強固な暗号化方式です。

またこのようなセキュリティ関連のお話ができたらと思います。

The post 情報セキュリティの豆知識～Cisco IOSから学ぶパスワードの危険なハッシュ化～ first appeared on CODE×CODE（コードコード）.

セキュリティって？

セキュリティという言葉を調べてみると、「安心」や「防犯」という意味が出てきます。
確かに、セキュリティは万全です！と言われると、防犯対策を万全にしていると理解できます。
では、頭に「情報」がつく、情報セキュリティとは何でしょうか？

情報セキュリティって？

そもそも、情報とは何でしょうか？
定義が難しいですが、ここでは、何かを表す文章や数字などの内容だとしましょう。つまり、何かを表現したものですね。

そして情報資産という言葉もよく聞く様になりました。
情報資産とは、組織にとって価値のある情報、自分たち以外に漏れてはいけない情報のことです。つまり、組織にとって価値のある何かを表現したものと言えます。

情報セキュリティとは、情報資産を防犯することだと言えます。
防犯対策、 または防犯対策の取り組み自体を、情報セキュリティとも言えるでしょう。

どうして必要？

最近は情報流出や盗難、社員の持ち出しなどによる事件をよく見かけるようになりました。
現代において、情報資産はその時折で、物よりも価値がある場合があります。
例えば企業にとって、1億円の現金が盗まれるのと、全ての顧客情報が流出するのは、どちらが重大でしょうか？
組織によりますが、情報流出の方が重大と考える企業もいるでしょう。
そのため、最近は情報セキュリティの重要性が認識されています。

ISO/IEC 27000とは？

じゃあ情報セキュリティの対策をしよう！と意気込むものの、どう対応すべきか難しいですよね？

そのため、こう対策すべきだよ！という基準が国際的に定められています。

それがISO/IEC 27000シリーズと呼ばれる国際規格群です。

ISO？

ISOは、国際標準化機構（International Organization for Standardization）の略です。名前の通り、 色々なものに関する、世界で統一された基準を作成する団体です。

IEC？

IECは、国際電気標準会議（International Electrotechnical Commission） の略です。その名の通り、電気関係に関するいろいろな基準を決めるための、議論をする団体です。

ISOとIECが一緒になって、電気関係の基準を決めてそれを文章や資料にし、世界で統一された基準を作っているのです。

ISO/IECによって作られている沢山の基準のうち、情報セキュリティに関するものも、もちろん作ってくれています。

それが、 ISO/IEC 27000 シリーズなのです。

ISO/IEC 27000 シリーズ？

ISOとIECは分かったし、情報セキュリティに関する基準は27000という番号で管理されてるのね、というのは分かったけど、シリーズってなに？
ってなりますよね。

じつは情報セキュリティに関する資料は沢山あり、複数に分かれているため、ISO/IEC 27000シリーズと言えるのです。
単にISO/IEC 27000ということもありますが、私は分かりずらいので、資料全体をさす場合はISO/IEC 27000シリーズと呼んでいます。

ISO/IEC 27000 シリーズの構成

それでは、 ISO/IEC 27000シリーズ はどのような構成になっているのでしょうか？

情報マネジメントシステム認定センターという組織が公表しているISO/IEC 27000ファミリーについてという資料では、画像の様になっています。

ISO/IEC 27000は、情報セキュリティに関する用語の説明をした資料です。
ISO/IEC 27001は、情報セキュリティで実施すべき要求事項をまとめた資料です。
ISO/IEC 27002は、ガイドラインとある様に、実施例などを交えて、実際に情報セキュリティを実施する上での注意点などをまとめた資料です。
他にも ISO/IEC 270017は、情報セキュリティをクラウド環境で実施する上でガイドライン資料です。

これらをまとめて私は ISO/IEC 27000シリーズと呼んでいます。

情報マネジメントシステム認定センターとは？

情報セキュリティを実施するための国際規格がISO/IEC 27000シリーズであることは分かりました。
ですが、実際にISO/IEC 27000シリーズに沿って情報セキュリティを実施しても、誰かに実施していることを証明してもらわないといけません。
証明してもらわないと、「あの会社は情報セキュリティを実施してるっていうけど、保証がないからなぁ」となってしまいます。

そのため、「 ISO/IEC 27000シリーズ に沿って情報セキュリティを実施してますよ！」を証明するための、認証制度を管理している団体が、情報マネジメントシステム認定センターです。

認証には、センターに「情報セキュリティを格好だけでなく、ちゃんと実施して取り組んでいますね」と認められる必要があります。
この情報セキュリティの取り組みを、「情報セキュリティマネジメントシステム(ISMS： Information Security Management System ) 」といいます。

また、この認証制度の事をISMS適合性評価制度といいます。

ですので、「ISMSを取得した」と言われたら、 ISO/IEC 27000シリーズに従って情報セキュリティを実施していて、第三者機関に認められたんだなぁと思ってください。

分かりずらいですね(笑)

CIA?

やっとタイトルの内容にたどり着きました。

情報セキュリティの中で、CIAという言葉を聞いたことがないでしょうか？

CIAは
・機密性（Confidentiality）
・完全性（Integrity）
・可用性（Availability）

の3つの頭文字をとったものです。情報セキュリティを実施する上で、CIAについて、JIS Q 27001 で記述されています。

「ISMSは，リスクマネジメントプロセスを適用することによって情報の機密性，完全性及び可用性を維持し，かつ，リスクを適切に管理しているという信頼を利害関係者に与える。」

JIS Q 27001とは… ISO/IEC 27001を和訳したものです。

また、総務省のHPでは、気密性、完全性、可用性を以下の様に説明しています。

• 機密性
  機密性（Confidentiality）とは、許可された者だけが情報にアクセスできるようにすることです。許可されていない利用者は、コンピュータやデータベースにアクセスすることができないようにしたり、データを閲覧することはできるが書き換えることはできないようにしたりします。
• 完全性
  完全性（Integrity）とは、保有する情報が正確であり、完全である状態を保持することです。情報が不正に改ざんされたり、破壊されたりしないことを指します。
• 可用性
  可用性（Availability）とは、許可された者が必要なときにいつでも情報にアクセスできるようにすることです。つまり、可用性を維持するということは、情報を提供するサービスが常に動作するということを表します。

機密性は、利用者制限とかですね。例えば、管理職は社員情報を閲覧できるが、一般社員は見れないように設定するなどです。

完全性は、例えば、機密情報は原則編集不可とする、データ編集時は必ずダブルチェックを行うなどです。

可用性は、例えば、外出先からでも社内のデータベースに、許可された社員のみがアクセスできるようにVPNを設定する、サーバに常にアクセスできるようセカンダリサーバを用意するなどです。

このCIAとは何かというと、情報セキュリティを実施する上で満たすべき性質と言えます。

どれか1つを満たせばよいものではなく、3つとも確保することで、情報セキュリティを担保できます。

例えば、 社内ネットワークやサーバも冗長構成で常に動作するように設計し、利用者権限もしっかり設定しても、業務で使用するデータが間違っていると業務になりませんし、誤った情報を使用することで情報漏洩になる可能性もあります。

まとめ

結論として、

CIAは、「情報セキュリティを実施する上で満たすべき性質 」ですし、
情報セキュリティは、「CIAを満たすようにする情報資産に対する防犯対策」です。

情報セキュリティを実施するための基準が「ISO/IEC 27000シリーズ 」で、
ISO/IEC 27000シリーズに従った取り組みのことを「ISMS」といい、
情報セキュリティの実施を認証する制度が「ISMS適合性評価制度 」です。

The post 情報セキュリティの豆知識～CIAについて学ぼう～ first appeared on CODE×CODE（コードコード）.