Upgrade to Pro — share decks privately, control downloads, hide ads and more …

卒業制作 サーバーの脆弱性情報管理システム

Hikaru Ashino
February 11, 2016
Programming
0
29

 卒業制作 サーバーの脆弱性情報管理システム

専門学生時代の卒業制作で開発したシステムの発表資料です。
slideshare版: https://www.slideshare.net/hikaruashinon/ss-58160639

Hikaru Ashino

February 11, 2016
Tweet

More Decks by Hikaru Ashino

See All by Hikaru Ashino
さくらのクラウド高火力プランを使って 大規模言語モデル(LLM)を動かしてみよう
picasa
1
420
クラウドの作り方(GPUサーバ編)
picasa
0
2.2k
A story until offering openSUSE on Sakura VPS
picasa
0
57
自宅サーバでマストドンを立てる
picasa
1
2.6k
さくらのサービスを支えるAPI開発のお話(仮) - APIStudy#6
picasa
0
42
Kickstartfileジェネレータを作ってみた
picasa
0
18
Amazon Cognito + SNS + Zabbixでサーバー監視アプリを作ってみた - JAWS DAYS 2015
picasa
0
45
Amazon SNSでZabbixのアラートをプッシュ通知してみた
picasa
0
35
cobbler + koan VPS作成の自動化
picasa
0
17

Other Decks in Programming

See All in Programming
WebフロントエンドにおけるGraphQL(あるいはバックエンドのAPI)との向き合い方 / #241106_plk_frontend
izumin5210
4
1.4k
Realtime API 入門
riofujimon
0
150
C++でシェーダを書く
fadis
6
4.1k
AI時代におけるSRE、
あるいはエンジニアの生存戦略
pyama86
6
1.2k
Webの技術スタックで マルチプラットフォームアプリ開発を可能にするElixirDesktopの紹介
thehaigo
2
1k
アジャイルを支えるテストアーキテクチャ設計/Test Architecting for Agile
goyoki
9
3.3k
ECS Service Connectのこれまでのアップデートと今後のRoadmapを見てみる
tkikuc
2
250
cmp.Or に感動した
otakakot
3
200
Nurturing OpenJDK distribution: Eclipse Temurin Success History and plan
ivargrimstad
0
950
GitHub Actionsのキャッシュと手を挙げることの大切さとそれに必要なこと
satoshi256kbyte
5
430
Make Impossible States Impossibleを 意識してReactのPropsを設計しよう
ikumatadokoro
0
220
Enabling DevOps and Team Topologies Through Architecture: Architecting for Fast Flow
cer
PRO
0
340

Featured

See All Featured
Six Lessons from altMBA
skipperchong
27
3.5k
GraphQLの誤解/rethinking-graphql
sonatard
67
10k
Mobile First: as difficult as doing things right
swwweet
222
8.9k
Performance Is Good for Brains [We Love Speed 2024]
tammyeverts
6
410
Making the Leap to Tech Lead
cromwellryan
133
8.9k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
131
33k
Rails Girls Zürich Keynote
gr2m
94
13k
Fantastic passwords and where to find them - at NoRuKo
philnash
50
2.9k
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
329
21k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
mongodb
42
9.2k
The Invisible Side of Design
smashingmag
298
50k
Java REST API Framework Comparison - PWX 2021
mraible
PRO
28
8.2k

Transcript

  1. + 卒業制作 サーバーの脆弱性情報管理システム Team : gippy

  2. + Agenda n Introduction n 開発経緯 n Features n システム説明

    n Architecture n アーキテクチャー説明 n Matching algorithm n 脆弱性情報のマッチング処理説明 n Demo n WebUIによる紹介 n Using Technology n 本システムで使われているソフトウェアや技術等の紹介。

  3. + Introduction n 2014年様々な脆弱性が世間を騒がせた。 n サーバーを始めとするLinux系OSを狙った「ShellShock」。 n 度重なる「OpenSSL」の脆弱性。 n クラウド化が進む中、サーバーの台数は増え続ける。

    n サーバー管理者は、脆弱性の対応が重荷になっている。 n サーバーのコモディティ化が進む。 n 安価なサーバーを一般ユーザーが借りることができる。 n セキュリティの対策は自分で行わないといけないサービスが多い。 ※コモディティ化 : 高価な商品が低価格化・普及品化すること

  4. + Introduction n 私自身、多数のサーバーを管理していた。 n インターネットからアクセス可能なサーバーを数十台管理。 n CVEが発表されるたびに、sshでサーバーに繋いで対象パッケージ のバージョン等を確認、アップデート作業が手間だった。 n

    脆弱性対応作業が重荷になっている。 n サーバーを多数管理している知人も、脆弱性対応が手間だった。 n 脆弱性対応作業が、作業×サーバー台数分なので非常に大変。 n 脆弱性対応作業を自動化したい。 n 依存パッケージが勝手にアップデートされると、別のプログラムに 影響が出る。 n パッチ当てる/アップデートについては人間が判断したい。

  5. + Introduction n 脆弱性対応作業の流れ n 調査 n 脆弱性情報を探す or 発表された情報を確認。

    n 脆弱性によって、どのような問題が発生するか確認。 n 対策するか否かについて検討。 n 対策情報を探す。 n 対象サーバーの確認。 n テスト n 対象サーバーと同等の環境を用意し対策を行った場合、他のソフト ウェアに影響が発生しないか検証を行う。 n 実施 n 対象サーバーに対して、対策を実施。 n 対策を実施したことで影響が発生していないか確認。 n 本システムでは、調査段階の省力化を目指して開発。

  6. + Introduction n これらの解決のために n 脆弱性対応オペレーションの省力化を補助するシステムを開発。 n サーバーにインストールされている、ミドルウェア/パッケージ情 報管理と脆弱性情報の管理と可視化を行う。 n

    システムは脆弱性対策をするかどうかの判断材料の提供までを行う。 n 脆弱性対策の実施、判断を行うのはサーバー管理者自身で。

  7. + Features n Server / Agent によるシステム n 管理対象(Agent)にはエージェントプログラム。 n

    管理側(Monitoring Server)にはサーバープログラム。 n サーバーにインストールされているパッケージ情報の管理 n ミドルウェア/パッケージの情報等管理。 (name,vendor,version,release,etc…) n インストールされているパッケージ情報をAgentが自動取得、Monitoring Serverに送信。 n install / remove / updateに対応、情報が変更される度に自動取得。 n AgentをProject -> AgentGroup -> Agentという階層構造で管理。 n 脆弱性情報の管理と可視化 n 脆弱性情報データベース(NIST)からCVE情報を自動取得。 n パッケージが、脆弱性のあるバージョンかどうかチェック。 n WebUIを通して、Agentにインストールされているパッケージ情報と関連す る脆弱性情報を表示。

  8. + Architecture NIST NVD Monitoring Server Software Version OpenSSL 1.0.2c

    NIST NVDより脆弱性情報(CVE)を取得。

  9. + Architecture Monitoring Server Web2(Agent) OpenSSL 1.0.2c Web1(Agent) OpenSSL 1.0.1e

    {“software” : “OpenSSL”, “version” : “1.0.1e”} {“software” : “OpenSSL”, “version” : “1.0.2c”} Software Version OpenSSL 1.0.2c Agentから、インストールされているパッケージ情報を送信。

  10. + Architecture Monitoring Server Web2(Agent) OpenSSL 1.0.2c Web1(Agent) OpenSSL 1.0.1e

    Host Software Version Web1 OpenSSL 1.0.1e Web2 OpenSSL 1.0.2c Software Version OpenSSL 1.0.2c Host Software Version Web1 OpenSSL 1.0.1e Web2 OpenSSL 1.0.2c Agentから取得した情報と、CVE情報を突き合わせて脆弱性情報の有無をチェック。

  11. + Architecture Monitoring Server Host Software Version Web1 OpenSSL 1.0.1e

    Web2 OpenSSL 1.0.2c Software Version OpenSSL 1.0.2c Host Software Version Web1 OpenSSL 1.0.1e Web2 OpenSSL 1.0.2c H S V × ◻ ◦ WebUIを通して、Agentにインストールされているパッケージ情報と 関連する脆弱性情報を表示。

  12. + Matching algorithm Software CVE ID Name Version 2 openssl

    1.0.2c Agent ID Name 1 Web02 CPE ID CPE Name Version 3 cpe:/a:openssl:openssl:1.0.2c openssl 1.0.2c ID CVEID CVSS Score …. CPE 4 CVE-2015-**** 8 …. cpe:/a:openssl:openssl:1.0.2c ※実際の実装と基本的には同等のアルゴリズムです。 ※完全一致しないSoftwareについては、脆弱性情報を誤検知・見逃しをする可能性があります。(改良中)

  13. + WebUI - AgentGroup AgentGroupに所属するAgentの一覧を表示。

  14. + WebUI - Agent Agentにインストールされているパッケージに関する情報を表示。

  15. + WebUI - Software パッケージの情報と関連する脆弱性情報を表示。 誤検知の場合、非表示に することが可能。 該当するバージョンに脆弱性が存在して いても、リリース番号を調べることで fixされている事もあるので、changelog

    も表示。

  16. + WebUI - CVE 脆弱性情報の詳細表示。

  17. + WebUI - Search 検索画面、Agent情報から該当するAgentを検索と 任意のパッケージがインストールされているAgentを検索可能。

  18. + WebUI - SearchResult 任意のパッケージがインストールされているAgentを検索した結果。 クリックする事で下部にインストールさ れているAgentの一覧を表示。

  19. + Using Technology n OS n Server (Monitoring Server) n

    CentOS 6.7 n Agent(動作検証) n CentOS 6.x, CentOS 7.x n Red Hat Enterprise Linux 7.2 n Oracle Linux 5.x, 6.x, 7.x n Fedora 23 n Program n Server (Monitoring Server) n Python(2.7.6) n Django(1.8) n Agent n Python(2.7.6) n DB n PostgreSQL(9.5) n MySQL(5.1.73)