JANOG45 Meeting Day 2 午前 #janog #janog_3f_B

4
yo @yo12525

3F-B会場ではFortinet杉井さんのセッションが始まりました。早速司会者と登壇者とで音声のコリジョン発生w #janog #janog_3f_b pic.twitter.com/kw4qUvNaPJ

2020-01-23 10:01:05
拡大
Yoshikazu GOTO @goto_ipv6

「そろそろSSL通信に本気出して向き合ってみる」 janog.gr.jp/meeting/janog4… #janog #janog_3F_B

2020-01-23 10:06:06
yo @yo12525

最初にSSLの状況について説明。常時SSL化の対応状況は上場企業の76%、クライアント通信は約8割がSSL使用。Googleサービスではほぼ9割対応でYouTubeも常時SSL。 #janog #janog_3F_B

2020-01-23 10:08:33
Yoshikazu GOTO @goto_ipv6

・実在証明 →申請者が証明書を要求→認証局が確認→認証局が証明書を発行 →ブラウザーに鍵マーク →マークをクリックすると証明書の情報がわかる →ブラウザーに信頼された認証局のリストが含まれている #janog #janog_3F_B

2020-01-23 10:08:36
Yoshikazu GOTO @goto_ipv6

→オレオレ証明書だと、警告マーク付き鍵マークに →→信頼された認証局から発行された証明書ではないことを表す →DV, OV, EV 証明書 #janog #janog_3F_B

2020-01-23 10:09:54
Yoshikazu GOTO @goto_ipv6

→EV証明書については、IIJ 須賀様がすでに JANOG で発表されています #janog #janog_3F_B

2020-01-23 10:10:26
Yoshikazu GOTO @goto_ipv6

・E2Eの暗号通信 →盗聴・改ざんのリスクがあるため #janog #janog_3F_B

2020-01-23 10:12:10
Yoshikazu GOTO @goto_ipv6

杉井さん:ダークサイド of SSL: #janog #janog_3F_B

2020-01-23 10:13:20
yo @yo12525

お題「ダークサイド」(お子さんの絵だそう) #janog #janog_3f_b pic.twitter.com/TnVi7OHUDU

2020-01-23 10:14:05
拡大
Yoshikazu GOTO @goto_ipv6

杉井さん:鍵マークがあれば本当に安心なのか?: ・ドメイン名に注目してみると? #janog #janog_3F_B

2020-01-23 10:15:22
Yoshikazu GOTO @goto_ipv6

杉井さん:ネットワークセキュリティ装置が手出してできない: ・E2E 通信が暗号化されていない場合 →セキュリティシステム(装置) により通信の中身を確認できる →→エクスプロイトコードやマルウェアなどを検知して #janog #janog_3F_B

2020-01-23 10:16:28
yo @yo12525

フィッシングサイトと見分ける件。これ本家のアドレスも怪しいだろ #janog #janog_3f_b pic.twitter.com/489mXtstKL

2020-01-23 10:16:29
拡大
Yoshikazu GOTO @goto_ipv6

・暗号化されてしまっていると →中身がわからない →→正規の Web サーバーが攻撃されてしまった場合、流れてくるコンテンツに悪いものが混じっていても検知・検査できない #janog #janog_3F_B

2020-01-23 10:17:18
Yoshikazu GOTO @goto_ipv6

杉井さん: →実際、8割は素通し →→各ベンダーも口を閉ざしている状態 #janog #janog_3F_B

2020-01-23 10:18:27
Yoshikazu GOTO @goto_ipv6

杉井さん:ダークサイド of SSL:まとめ: ・実在証明 →コンテンツの安全性は証明していない ・暗号化通信 →盗聴・改ざんのリスクはなくなる →ネットワークセキュリティ装置が無力化されてしまう #janog #janog_3F_B

2020-01-23 10:19:13
Yoshikazu GOTO @goto_ipv6

杉井さん:ネットワークレベルでの対抗策: #janog #janog_3F_B

2020-01-23 10:19:30
Yoshikazu GOTO @goto_ipv6

杉井さん:証明書インスペクション: ・サーバーから送られてくる証明書の CN を覗き、ホスト名を得て、Web フィルタリングをある程度、実施できる #janog #janog_3F_B

2020-01-23 10:20:00
Yoshikazu GOTO @goto_ipv6

・CLIENT HELLO の SNI を見る →こちらにもホスト名が含まれているので、ドメイン制御がある程度は可能に #janog #janog_3F_B

2020-01-23 10:20:31
Yoshikazu GOTO @goto_ipv6

杉井さん: ・しかしどちらも、証明書レベルでの確認でしかない →ホスト名の範囲 #janog #janog_3F_B

2020-01-23 10:20:57
Yoshikazu GOTO @goto_ipv6

杉井さん:SSL Deep インスペクション: ・中間者攻撃と同様のことを行う →中間にある装置とサーバーの間で SSL を終端 →クライアントと中間装置との間でも共通鍵 #janog #janog_3F_B

2020-01-23 10:22:28
Yoshikazu GOTO @goto_ipv6

杉井さん: ・クライアント-中間装置、中間装置-サーバー →それぞれの間で暗号化通信を行う #janog #janog_3F_B

2020-01-23 10:23:26
Yoshikazu GOTO @goto_ipv6

杉井さん:証明書エラーの対処が必要になる: ・Squid で SSL インスペクションしてみると →証明書エラーの警告が出る →証明書の発行者の問題 (オレオレ証明書と同様の状態) #janog #janog_3F_B

2020-01-23 10:25:21
Yoshikazu GOTO @goto_ipv6

→オレオレ認証局で発行したオレオレ証明書 #janog #janog_3F_B

2020-01-23 10:25:46
残りを読む(67)

コメント

コメントがまだありません。感想を最初に伝えてみませんか?