イギリス時間の2013年10月25日16時から27日21時まで、オンラインで開催された「NotSoSecure CTF」に挑戦した筆者によるWrite Upです。 「NotSoSecure CTF」は、NotSoSecure Labsがイギリス時間の2013年10月25日16時から27日21時まで開催したCTFで、競技はオンラインで行われました。 公式の発表によると、約1500人が登録し、25を超える国からの挑戦があり、最終的に2問とも正解をした参加者が25人いたとのことです。http://ctf.notsosecure.com/leaderboard/にてスコアボードが公開されています。 今回、私もこのCTFに挑戦しました。ここでは、各問の正解に至った道筋について解説をしたいと思います。 情報収集と経験値アップを目的に 私は、ラックという情報セキュリティサービスを提供する企業で、Webア

「Enhanced Mitigation Experience Toolkit」（EMET）は、Windowsやアプリケーションに存在する未パッチの脆弱性を悪用した攻撃を検出、阻止してくれる“かもしれない”、脆弱性緩和ツールです。今回は、この“かもしれない”ということがよく分かる実証実験にお付き合いください。 連載目次 エメット（EMET）について簡単におさらい マイクロソフトが無償提供する脆弱（ぜいじゃく）性緩和ツール「Enhanced Mitigation Experience Toolkit」（EMET）は、2014年4月の「Internet Explorer」（IE）の脆弱性に対するゼロデイ攻撃の防御策として一躍注目を集めました。 Enhanced Mitigation Experience Toolkit（マイクロソフト セキュリティ TechCenter） 本連載でも、EMET

ステートフルパケットフィルタを使ったサービスの公開：習うより慣れろ！ iptablesテンプレート集（1）（1/6 ページ） 初心者にとって、iptablesは設定が最も困難な機能の1つである。そこで、学習の第1歩としてテンプレートを自分の環境に合わせて修正することから始めよう。（編集部） インターネットに接続したLinuxサーバにパケットフィルタを適用するのはもはや常識です。社内のセキュリティ規定にも、「Linuxサーバではiptablesを適切に設定すること」などと明記されていることも珍しくありません。ネットワークに対する知識の有無にかかわらず、Linuxでサーバを立てる際にはiptablesの設定は避けて通れません。 しかしiptablesなどのパケットフィルタツールを理解するには、ネットワークについての深い知識、しかもパケットレベルのミクロな知識が必要になります。本連載では、そのよ

Tips 1 iptablesの統計情報からMRTGデータファイルを作成 第1回で、iptablesの設定確認方法として「-nL」オプションを紹介しましたが、より詳細な情報を「-nvxL」オプションで知ることができます。この出力結果をグラフ化することで、ルールにマッチしたパケットの流量などを知ることができます。パケット流量を知ることで、DoS攻撃の発生を早期に察知することもできます。 # iptables -nvxL Chain INPUT (policy ACCEPT 3468748 packets, 5112284250 bytes) pkts bytes target prot opt in out source destination Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot op

iptablesによる負荷分散とDoS対策：習うより慣れろ！ iptablesテンプレート集（3）（1/4 ページ） 第1回ではfilter、第2回ではnatテーブルを主に使用したiptablesのテンプレートを紹介しました。今回は、mangleテーブルを利用したテンプレートや以前紹介したテンプレートを応用した負荷分散方法、DoS対策を紹介します。 mangleテーブルによるQoS mangleは、特別なパケット変換に使われるテーブルです。mangleテーブルを用いることで、IPv4パケットのIPヘッダ中で定義されているTOS（Type Of Service）フィールドの値を書き換えることができます。TOSフィールドはパケット処理の優先度付けに利用され、通信品質を制御するQoS（Quality of Service）を可能にします。 ただし、iptables自身にTOSフィールドの値で通信

natテーブルを利用したLinuxルータの作成：習うより慣れろ！ iptablesテンプレート集（2）（1/6 ページ） PCはネットワークインターフェイスの増設が容易なため、市販のブロードバンドルータの代わりにPC＋Linuxをルータにするケースもあります。そこで、Linuxホストをルータとして使用する際に必要な設定を紹介します。ブロードバンドルータの重要な機能であるNATをLinuxで実現するのもiptablesの機能の1つです。 natテーブルによるNATの実現 NAT（Network Address Translation）は、パケット中のIPアドレスを書き換える技術です。ソース側を書き換える場合を「SNAT」、ディスティネーション側を書き換える場合を「DNAT」と呼びます。「1つのグローバルアドレスを複数のプライベートアドレスで同時に共有する」こともNATと呼ぶことがありますが、

Linuxで作るファイアウォール［パケットフィルタリング設定編］：ゼロから始めるLinuxセキュリティ（5）（1/2 ページ） いよいよパケットフィルタリングの設定を始める。しっかりと不要なパケットをブロックできれば、ファイアウォールの内側の安全度はより向上する。パケットの性質やiptablesの動作をここでマスターしてほしい。 前回はNATの設定方法を説明しました。これで見かけ上の経路ができたことになります。今回はファイアウォールの仕上げとして、パケットフィルタリングの設定を行います。 パケットフィルタリングの仕組み パケットフィルタリングの設定とはいかなるものかを簡単に説明すると、どのようなパケットを通過させるか、あるいは到達を許可／拒否させるかを定義することです。iptablesではIPアドレスやプロトコル、ポート、フラグメントなどで制限をかけることが可能です。さらに、送信先、送信元