Hoscon@2017(Taro Warita)
-
Upload
taro-warita -
Category
Business
-
view
302 -
download
0
Transcript of Hoscon@2017(Taro Warita)
![Page 1: Hoscon@2017(Taro Warita)](https://reader030.fdocuments.co/reader030/viewer/2022021507/58ecd8d11a28abe8398b4599/html5/thumbnails/1.jpg)
アタック VS 連合軍 (事業部 x CS xシステム)
GMOインターネット株式会社システム本部割田太郎
防衛
あ
ん
し
ん
![Page 2: Hoscon@2017(Taro Warita)](https://reader030.fdocuments.co/reader030/viewer/2022021507/58ecd8d11a28abe8398b4599/html5/thumbnails/2.jpg)
2
・自己紹介
・アタックへの取組み
・実証済みアイテムの紹介
・まとめ
アジェンダ
![Page 3: Hoscon@2017(Taro Warita)](https://reader030.fdocuments.co/reader030/viewer/2022021507/58ecd8d11a28abe8398b4599/html5/thumbnails/3.jpg)
3
割田太郎 Taro Warita
自己紹介
システム本部システムオペレーション開発部クオリティアシュアランスチームマネージャ
業務内容多角的にサービスの品質維持+向上を支援
①サービスの安定提供の為の各種対策②IPアドレスの管理③開発と運用の分離促進対策④各種 事務局の仕事
( ITSMS/ISMS申請, 危機管理, データセンタ全般,セキュリティ全般 )
目次⇒
![Page 4: Hoscon@2017(Taro Warita)](https://reader030.fdocuments.co/reader030/viewer/2022021507/58ecd8d11a28abe8398b4599/html5/thumbnails/4.jpg)
4
・自己紹介
・アタックへの取組み
>> 安心
・実証済みアイテムの紹介
・まとめ
アジェンダ
![Page 5: Hoscon@2017(Taro Warita)](https://reader030.fdocuments.co/reader030/viewer/2022021507/58ecd8d11a28abe8398b4599/html5/thumbnails/5.jpg)
5
アタックへの取組み
一覧 ⇒
サービス環境を脅かす
Q:アタック(Attack)にはどのようなものがありますか?
アタックの定義
![Page 6: Hoscon@2017(Taro Warita)](https://reader030.fdocuments.co/reader030/viewer/2022021507/58ecd8d11a28abe8398b4599/html5/thumbnails/6.jpg)
6
アタックへの取組み
アタックの定義
今回は、その中でも⇒
DDoSDoSハッキング
脆弱性利用型
マルウェア感染
不正入会・利用
内部からのアタック
不正利用型不正アクセス
物量型
リスト攻撃
XSSSQLi
高Session
![Page 7: Hoscon@2017(Taro Warita)](https://reader030.fdocuments.co/reader030/viewer/2022021507/58ecd8d11a28abe8398b4599/html5/thumbnails/7.jpg)
7
アタックへの取組み
アタックの定義
DDoS攻撃の意味は⇒
DDoS攻撃
今回フォーカスするのは
![Page 8: Hoscon@2017(Taro Warita)](https://reader030.fdocuments.co/reader030/viewer/2022021507/58ecd8d11a28abe8398b4599/html5/thumbnails/8.jpg)
8
アタックへの取組み
アタックの定義
Dos攻撃 ドス攻撃
(Denial of Service attack : ディナイル オブ サービス アタック)Denail = "拒否"/"否認"/"拒絶"日本語では、サービス停止攻撃とかいいますね。サーバやネットワークなどのリソース(CPU/メモリ/帯域)に対して意図的に過剰な負荷をかける攻撃
DDoS攻撃 ディードス攻撃
(Distributed Denial of Service attack : ディストリビューテッド ディナイル オブ サービス アタック)Distributed = "分配する"/"配る"日本語では、分散Dos攻撃/分散型サービス停止攻撃DoS攻撃の送信元が複数の場合の名称がこちらになります。
次は現状理解 ⇒
![Page 9: Hoscon@2017(Taro Warita)](https://reader030.fdocuments.co/reader030/viewer/2022021507/58ecd8d11a28abe8398b4599/html5/thumbnails/9.jpg)
9
アタックへの取組み
アタックの状況
Q:アタックの
頻度と規模は?
正解は ⇒
![Page 10: Hoscon@2017(Taro Warita)](https://reader030.fdocuments.co/reader030/viewer/2022021507/58ecd8d11a28abe8398b4599/html5/thumbnails/10.jpg)
10
アタックへの取組み
アタックの状況
頻度月15回~30回程度(1G以上のもの)
2日に1回から2回
これらアタックへ対応する為に ⇒
規模平均3.5Gbps程度
12月の最大値 14.3Gbps
0
5
10
15
20
2016年10月 2016年11月 2016年12月 2017年1月 2017年2月
UDP:NTP関連 19 9 15 9 19
その他 6 5 12 6 5
件数推移
0.00
2.00
4.00
6.00
8.00
10.00
12.00
14.00
16.00
2016年10月 2016年11月 2016年12月 2017年1月 2017年2月
平均帯域(Gbps) 3.75 3.92 3.32 3.31 2.40
最大値(Gbps) 12.35 6.37 14.32 5.25 6.15
規模
![Page 11: Hoscon@2017(Taro Warita)](https://reader030.fdocuments.co/reader030/viewer/2022021507/58ecd8d11a28abe8398b4599/html5/thumbnails/11.jpg)
11
アタックへの取組み
まずは人員の体制強化 ⇒
体制強化の為に何をすれば?!
![Page 12: Hoscon@2017(Taro Warita)](https://reader030.fdocuments.co/reader030/viewer/2022021507/58ecd8d11a28abe8398b4599/html5/thumbnails/12.jpg)
12
アタックへの取組み
まずは人員の体制強化 ⇒
1.人員強化(組織強化)
2.情報強化
3.枠組み強化
体制強化
![Page 13: Hoscon@2017(Taro Warita)](https://reader030.fdocuments.co/reader030/viewer/2022021507/58ecd8d11a28abe8398b4599/html5/thumbnails/13.jpg)
13
アタックへの取組み
体制強化(その1) = 人員強化 連合軍の結成
人員の体制の次は ⇒
事業部
シス
テム
カスマー
サービス
週1回キープ実施
チャットで随時情報交換
アイディア出し合い
各部署内とも参加メンバが中心となり調整
対策を横展開
連合軍(れんごうぐん)の結成
![Page 14: Hoscon@2017(Taro Warita)](https://reader030.fdocuments.co/reader030/viewer/2022021507/58ecd8d11a28abe8398b4599/html5/thumbnails/14.jpg)
14
アタックへの取組み
体制強化(その2) = 情報強化 各セグメントで情報収集
OpenStack
傾向情報
情報整備の後は⇒
DDos対策機器
基幹ルータ
弊社管理各種機器
検知ログ
傾向情報OpenvSwtich
情報ログ
帯域情報
基幹ルータからNetFlow情報
DDoS対策機器のアタックログ
管理機器への異常通信ログ
OpenvSwitchから傾向情報取得
OpenStack基盤から課金用帯域情報
外部 情報 外部ブラックリスト/JPCERT:CCAbuse連絡など
![Page 15: Hoscon@2017(Taro Warita)](https://reader030.fdocuments.co/reader030/viewer/2022021507/58ecd8d11a28abe8398b4599/html5/thumbnails/15.jpg)
15
アタックへの取組み
体制強化(その3) = 枠組み強化 基本サイクル作成
実際の代表的な成果としては ⇒
•情報収集(仕組み作り)
•分析
•対策方法検討
•手動での実施
•自動化対応
•導入(逐次+定期MTG)
•横展開(継続的対応)
ログや傾向情報
判断の為の分析
実利用検討
まずはナレッジ
作業効率化
実利用開始
他環境でも!
![Page 16: Hoscon@2017(Taro Warita)](https://reader030.fdocuments.co/reader030/viewer/2022021507/58ecd8d11a28abe8398b4599/html5/thumbnails/16.jpg)
16
アタックへの取組み
代表的な実施成果
①DDoS対策機器強化(環境強化)現状を分析+報告し予算確保
②アタック自動分析(対応迅速化)傾向分析情報を利用
③Abuseへの対処迅速化(原因軽減)
etcもうすこしDDoSの部分掘り下げますね ⇒
![Page 17: Hoscon@2017(Taro Warita)](https://reader030.fdocuments.co/reader030/viewer/2022021507/58ecd8d11a28abe8398b4599/html5/thumbnails/17.jpg)
17
アタックへの取組み
説明
DDoS対策機器の動き
①基幹ルータのFlow情報を元に通信監視
②アタック検知時には、該当通信をBGPで制御し
該当通信をCleanBOX経由に切り替える
③CleanBOXでアタック判別を自動実施
④正常通信は通常経路に戻しアタックは破棄
他含めた対応としては ⇒
![Page 18: Hoscon@2017(Taro Warita)](https://reader030.fdocuments.co/reader030/viewer/2022021507/58ecd8d11a28abe8398b4599/html5/thumbnails/18.jpg)
18
アタックへの取組み
通信制限の取組み
DDoS
対策機器
•[CleanBOX]で
アタックと正常通信を自動判断し
アタックのみ停止(自動)
Flowspec
• フロースペック機能等で
アタック情報を元に
特定通信のみ制限(管理者)
アタック先IPでの通信制限を少しでも減らす為に常に環境増強すると共に新しい対策を常に考え実施していきます!
逐次増強
自動対応強化
削減
![Page 19: Hoscon@2017(Taro Warita)](https://reader030.fdocuments.co/reader030/viewer/2022021507/58ecd8d11a28abe8398b4599/html5/thumbnails/19.jpg)
19
アタックへの取組み
お持ち帰りのもの確認
安 心では2つ目のお話に行きます ⇒
![Page 20: Hoscon@2017(Taro Warita)](https://reader030.fdocuments.co/reader030/viewer/2022021507/58ecd8d11a28abe8398b4599/html5/thumbnails/20.jpg)
20
・自己紹介
・アタックへの取組み
・実証済みアイテムの紹介
>> 運用に行かせるアイディア
・まとめ
アジェンダ
![Page 21: Hoscon@2017(Taro Warita)](https://reader030.fdocuments.co/reader030/viewer/2022021507/58ecd8d11a28abe8398b4599/html5/thumbnails/21.jpg)
21
実証済みアイディアの紹介
チャットBOTの運用
こんな感じの使い方 ⇒
[利用内容]・決まった文字列に反応と情報に
反応させ各種情報を表示
[技術的内容]・チャット側公開API(REST)利用・HubotやAPIモジュールをつくり展開
![Page 22: Hoscon@2017(Taro Warita)](https://reader030.fdocuments.co/reader030/viewer/2022021507/58ecd8d11a28abe8398b4599/html5/thumbnails/22.jpg)
22
実証済みアイディアの紹介
チャットBOTの運用
また、ほかには ⇒
『アタック VS 連合軍』1.アタックへの取組み2.実証済みアイディアの紹介
[神様]HosCon 割田太郎
BOT-API 2月16日19:21
BOT
割田 2月16日19:20
[IP] 192.168.0.100[SERVICE] HosCon2017[VM-NO] 150-8512
割田 2月16日19:22
BOT
[神様]USER 192.168.0.100
BOT-API 2月16日19:23
1.BOT用の書き込みである宣言[神様]
2.BOTに下記①②を渡す①実行コマンドHosCon: 発表内容表示USER : 商材と利用VM情報
②付加情報名称 や IPアドレス
3.BOTから①②を元に各種情報が表示される
付帯効果 ⇒
![Page 23: Hoscon@2017(Taro Warita)](https://reader030.fdocuments.co/reader030/viewer/2022021507/58ecd8d11a28abe8398b4599/html5/thumbnails/23.jpg)
23
実証済みアイディアの紹介
チャットBOTの運用
少し小ネタ ⇒
[導入しての付帯効果]①利用頻度が見える
②利用者が見える
③要望を直接利用者から聞ける
④利用者も要望を開発者に言いやすい
利用と改善の良いサイクル
![Page 24: Hoscon@2017(Taro Warita)](https://reader030.fdocuments.co/reader030/viewer/2022021507/58ecd8d11a28abe8398b4599/html5/thumbnails/24.jpg)
24
実証済みアイディアの紹介
チャットBOTの運用
アイディアの2つ目は ⇒
[技術メモ]ChatWorkのAPIを手軽に試したいときにはまる日本語変換の知恵perl -Xpne 's/¥¥u([0-9a-fA-F]{4})/chr(hex($1))/eg'
curl -X GET -H "X-ChatWorkToken:xxxxxxxxxxxxxx” ¥“https://api.chatwork.com/v1/rooms/[ROOM]/messages?force=0" | ¥sed 's/¥"message_id/¥n¥"message_id/g' | ¥perl -Xpne 's/¥¥u([0-9a-fA-F]{4})/chr(hex($1))/eg'
![Page 25: Hoscon@2017(Taro Warita)](https://reader030.fdocuments.co/reader030/viewer/2022021507/58ecd8d11a28abe8398b4599/html5/thumbnails/25.jpg)
25
実証済みアイディアの紹介
プライベートWHOISの運用
実際の利用はこんな感じ ⇒
[利用目的]
・IPアドレスに関する情報の集約・各種情報回答(利用ブランド,環境,連絡先etc)
[技術情報]JWhoisServer利用(Java Whois Server 0.4.1.3)
![Page 26: Hoscon@2017(Taro Warita)](https://reader030.fdocuments.co/reader030/viewer/2022021507/58ecd8d11a28abe8398b4599/html5/thumbnails/26.jpg)
26
実証済みアイディアの紹介
プライベートWhoisの運用
[wari]$whois –h privatewhois 210.xxx.20.100
network: 210.xxx.20.128/26inetnumstart: 210.xxx.20.128inetnumend: 210.xxx.20.191[gmo_info]size: 64organization: GMO InternetBrand: HosCon-SERVERnetwork_name: GMOCL-SENYOcontrol_flg: OFFdc: SHIBUYA
Whoisコマンドで、迅速に情報を機械的に取得することが出来るようになる
該当IPが参加するIP範囲の情報
該当IPの用途や付加情報を取得
これをBOTと連携 ⇒
![Page 27: Hoscon@2017(Taro Warita)](https://reader030.fdocuments.co/reader030/viewer/2022021507/58ecd8d11a28abe8398b4599/html5/thumbnails/27.jpg)
27
実証済みアイディアの紹介
プライベートWhoisの運用
network: 210.xxx.20.128/26inetnumstart: 210.xxx.20.128inetnumend: 210.xxx.20.191[gmo_info]size: 64organization: GMO InternetBrand: HosCon-SERVERnetwork_name: GMOCL-SENYOcontrol_flg: OFFdc: SHIBUYA
割田 2月16日19:25
BOT
[神様]WHOIS 210.xxx.20.100
BOT-API 2月16日19:25
付帯効果としては ⇒
1.BOT用の書き込みである宣言[神様]
2.BOTに下記①②を渡す①実行コマンド
WHOIS : プライベートWHOIS②付加情報IPアドレス
3.BOTから①②を元にWHOIS情報が表示される
![Page 28: Hoscon@2017(Taro Warita)](https://reader030.fdocuments.co/reader030/viewer/2022021507/58ecd8d11a28abe8398b4599/html5/thumbnails/28.jpg)
28
実証済みアイディアの紹介
プライベートWhoisの運用
[導入しての付帯効果]①各種自動化の足掛かりになる
②IPの利用内容確認の時間短縮
③他部署からの利用参照業務解消
では まとめ ⇒
![Page 29: Hoscon@2017(Taro Warita)](https://reader030.fdocuments.co/reader030/viewer/2022021507/58ecd8d11a28abe8398b4599/html5/thumbnails/29.jpg)
29
実証済みアイディアの紹介
まとめ
1.アタックへの取組み(安心)
2.運用のアイディア2つプライベートWHOIS運用
チャットBOT運用
ご清聴ありがとうございました。