Products & ServicesSecurity OperationsThreat ResearchAI ResearchNaked SecuritySophos Life

中国の国営電気通信企業が「欧米諸国の重要なインターネットバックボーンを乗っ取っている」と、米海軍大学とテルアビブ大学の研究者らが米国時間10月21日に公開した学術論文で報告した。 その国営電気通信企業とは、中国電信（チャイナテレコム）のことだ。チャイナテレコムは2000年代初めに同社初のPoP（Point of Presence）を設置して以来、北米のネットワーク内で存在感を発揮している。 トラフィックはBorder Gateway Protocol（BGP）を使ってASネットワーク間を移動する。これを利用したBGPハイジャックと呼ばれる攻撃は、不正なBGP経路情報を流して、自分のネットワークに向けられたものではないトラフィックを受信するというものだ。 研究者らは論文の中で、チャイナテレコムがインターネットで最も確信的なBGPハイジャッカーの1つだとしている。 研究者らの指摘によると、中国

rancid というツールがある．ネットワーク運用するにあたって，もはや手放せなくなっている．rancid のなにが便利かについては別エントリで書こうと思うが，本来の目的よりも付随する xlogin スクリプト (clogin, jlogin, …) を気に入って使っている． xlogin について簡単に言えば ネットワークデバイスへのログインを自動化する 指定したコマンド群を逐次実行し，標準出力に出す スクリプティングによって実行コマンドを制御する ようなやつで，1. のための認証情報を~/.cloginrc に書いておく必要がある．パスワード入力が不要になるので「10 台のルーターでshow interfaces descriptions とshow bgp summary とshow ospf neighborを打ってgrep に渡す」とか「100 台のルーターでsyslog の設定

NSDI の論文で書いたように、VPN Gate で一端やっつけた中国の Great Firewall だが、最近どうやら中国国内・国外の境界にあるボーダルータのハードウェアをアップグレードしたようだ。 外部から推測した結果であるため、不正確かも知れないが、ハードウェア自身は少し前から SDN...

カナダInverseのPacketFenceプロジェクトは12月11日、オープンソースのネットワークアクセス制御（NAC）ツールの「PacketFence 4.1.0」をリリースした。新機能の追加や既存機能の強化が加わっている。 PacketFenceは、オープンソースの侵入検知システム「Snort」や脆弱性スキャナ「Nessus」を統合し、異常なネットワーク活動の検出、脆弱性スキャン、問題のあるデバイスの隔離といった機能を持つネットワークアクセス制御（NAC）システム。FreeRADIUSモジュールによるIEEE802.1xのサポートや無線と有線の一元管理、役割ベースのアクセス制御、ゲストアクセス機能、マルウェア対策、WiFiオフロード、私用情報端末の業務利用（BYOD）管理などさまざまな機能を備える。ライセンスはGPLv2。ダウンロードは30万件を上回っているという。 バージョン4.1

ということでOpenFlow、なんですが、仮想化・抽象化されたネットワークにおけるサービスの提供といった、いわゆるSDNの手法として導入されるケースが一般的かと思います。 しかし本稿でご紹介するのはそうした事例とは全く異なるもので、OpenFlowならではのクリーンなAPIとハードウェアスイッチの処理能力を生かした、効果的なDDoSアタック防御の手法です。 以下の内容は、ネットワークエンジニア向け情報サイト、Packet Pushersのコミュニティブログに寄稿した3本の記事をさくらのナレッジ向けに書き直したものです。 お題目 大規模DDoSアタックが発生すると、さくらインターネットのネットワーク網（以下：当社ネットワーク）への複数の入口から攻撃パケットが一気に流入してきます。 こうした大量のパケット流入によるネットワーク帯域輻輳を防ぐために、以前から当社ではd/RTBHという手法で対応し

,、,, ,、,, ,,　,, _,,;' '" '' ゛''" ゛' ';;,, （rヽ,;''"""''゛゛゛'';, ﾉｒ） ,;'゛ i ＿　　、＿ iヽ゛';, ,;'" ''| ヽ・〉　〈・ノ |ﾞ゛ `';, ,;''　"|　　 ▼　　 |ﾞ゛　`';, ,;''　　ヽ＿人＿ /　　,;'_ ／ｼ、　 ヽ⌒⌒ /　　 ﾘ　＼ |　　　"ｒ,,　｀"'''ﾞ´　　,,ﾐ゛　　 | |　　 　　 ﾘ、　　　　,ﾘ　　　　| |　　　i 　　゛ｒ、ﾉ,,ｒ"　i　　　_| |　　　｀ー――----┴ ⌒´ ） （ヽ　 ＿＿＿＿＿＿ ,, ＿´） （_⌒ ＿＿＿＿＿＿ ,, ィ 丁　　　　　　　　　　 | |　　　　　　　　　　　| 前回のエントリ で軽く触れましたが、ARPスプーフィングを用いると、サブネット内からデフォルトゲートウェイを通って外に出て行くはずのパケットを、自分のホ

2011年11月30日(水)　11:45～13:00 講師 株式会社日本レジストリサービス 技術研究部 民田 雅人 株式会社日本レジストリサービス 技術広報担当 森下 泰宏 https://internetweek.jp/program/l1/

インターネットの重要な基盤技術の1つであるDNSに対して新たな攻撃手法が公開され、その安全性が脅かされている。DNSにセキュリティ機能を提供するための技術であり、普及が進んでいるDNSSECについて、仕組みと運用方法を紹介する。（編集部） インターネットを支えるDNSとは インターネット上では、通信するコンピュータを特定するためにIPアドレスを使用する。しかし、数字のみで構成されるIPアドレスは人間にとって扱いづらいため、覚えやすいように名前を付ける方法が考案された。 このとき、人間が使用する名前（ドメイン名）とコンピュータが使用するIPアドレスを対応付ける仕組みが必要になる。この役割を担うのが、ご存じDNS（Domain Name System）である。 DNSSEC導入の背景——カミンスキー型攻撃 DNSは、インターネットの爆発的な普及に伴うドメイン名利用の急速な拡大にも対応し、インタ

ベンチャー企業の独Ipoqueは9月7日（ドイツ時間）、オープンソースのディープパケットインスペクション（DPI）エンジン「OpenDPI」を発表した。DPIに関するディスカッションを奨励し、ユーザー啓蒙につなげていきたいとしている。 OpenDPIは、Ipoqueが商用で提供しているトラフィック分類技術「Protocol and Application Classification Engine（PACE）」を土台としたもので、アプリケーションプロトコルに応じてパケットを分類・分析できる。PACEと比較すると機能が制限されており、暗号化されたプロトコルに対応しておらずIPv6にも未対応だが、今後開発を進めていく。 DPIは個々のネットワークパケットを分析してネットワークを保護する手法だが、ネットワークの中立性やオンラインプライバシーなどの面から議論がある。Ipoqueでは、DPIエンジン

サーバをファイアウォールの背後に隠して保護することは、システム管理者にとってベストプラクティスだが、決して万全ではない。隠しておいても、nmapやnessusといったネットワークスキャナを使えば見える。SMTPやHTTPのようなサービスには、当然、外部からのアクセスがあるし、社内限定のサーバであっても、出張中のスタッフによる社外からのアクセスがあったときは、これに応じなければならない。この問題に悩んでいる企業は、単一パケット認証のためのオープンソースユーティリティ、 fwknop を使用してみたらどうだろう。ネットワーク上のいたずらからサーバを保護するのにきっと役に立つ。 単一パケット認証（SPA）は、2003年に使われはじめたポートノッキング手法の派生形である。Wikipediaでポートノッキングを調べると、「ファイアウォールで守られたポートを外部に向けて開く手法。前もって指定されている

企業からの個人情報漏えいや，偽造されたWebページを使った詐欺事件などが珍しくなくなっています。個人情報保護法や，不正アクセス禁止法などセキュリティに関する法律も整備されてきました。しかし，法律でコンピュータ・セキュリティが保護されたと安心しているユーザーはほとんどいないでしょう。ネットワークを使って安心して買い物や銀行取引をするには，法律のみならず，技術についての理解が欠かせません。 セキュリティに関する技術というと，SELinuxやファイアウオールの設定，SSHやIPsecなどのプロトコルのことを思い浮かべる人も多いかもしれません。また，セキュリティに関するさまざまな技術について断片的には理解しているが，それがどういう目的でどういう役目を果たしているのかを頭の中で整理できていない人もいるのではないでしょうか。 そこで本連載は，セキュリティの基本技術である暗号化技術やPKI（公開鍵暗号方

© 2024 SANS™ Internet Storm Center Developers: We have an API for you! Link To Us About Us Handlers Privacy Policy