JANOG45 Meeting Day 2 午前 #janog #janog_3f_B

yo @yo12525

3F-B会場ではFortinet杉井さんのセッションが始まりました。早速司会者と登壇者とで音声のコリジョン発生w #janog #janog_3f_b pic.twitter.com/kw4qUvNaPJ

拡大

Yoshikazu GOTO @goto_ipv6

「そろそろSSL通信に本気出して向き合ってみる」 janog.gr.jp/meeting/janog4… #janog #janog_3F_B

Yoshikazu GOTO @goto_ipv6

杉井さん：SSL 特徴： #janog #janog_3F_B

yo @yo12525

最初にSSLの状況について説明。常時SSL化の対応状況は上場企業の76％、クライアント通信は約8割がSSL使用。Googleサービスではほぼ9割対応でYouTubeも常時SSL。 #janog #janog_3F_B

Yoshikazu GOTO @goto_ipv6

・実在証明 →申請者が証明書を要求→認証局が確認→認証局が証明書を発行 →ブラウザーに鍵マーク →マークをクリックすると証明書の情報がわかる →ブラウザーに信頼された認証局のリストが含まれている #janog #janog_3F_B

Yoshikazu GOTO @goto_ipv6

→オレオレ証明書だと、警告マーク付き鍵マークに →→信頼された認証局から発行された証明書ではないことを表す →DV, OV, EV 証明書 #janog #janog_3F_B

Yoshikazu GOTO @goto_ipv6

→EV証明書については、IIJ 須賀様がすでに JANOG で発表されています #janog #janog_3F_B

Yoshikazu GOTO @goto_ipv6

・E2Eの暗号通信 →盗聴・改ざんのリスクがあるため #janog #janog_3F_B

Yoshikazu GOTO @goto_ipv6

杉井さん：ダークサイド of SSL： #janog #janog_3F_B

yo @yo12525

お題「ダークサイド」（お子さんの絵だそう） #janog #janog_3f_b pic.twitter.com/TnVi7OHUDU

拡大

Yoshikazu GOTO @goto_ipv6

杉井さん：鍵マークがあれば本当に安心なのか？： ・ドメイン名に注目してみると？ #janog #janog_3F_B

Yoshikazu GOTO @goto_ipv6

杉井さん：ネットワークセキュリティ装置が手出してできない： ・E2E 通信が暗号化されていない場合 →セキュリティシステム(装置) により通信の中身を確認できる →→エクスプロイトコードやマルウェアなどを検知して #janog #janog_3F_B

yo @yo12525

フィッシングサイトと見分ける件。これ本家のアドレスも怪しいだろ #janog #janog_3f_b pic.twitter.com/489mXtstKL

拡大

Yoshikazu GOTO @goto_ipv6

・暗号化されてしまっていると →中身がわからない →→正規の Web サーバーが攻撃されてしまった場合、流れてくるコンテンツに悪いものが混じっていても検知・検査できない #janog #janog_3F_B

Yoshikazu GOTO @goto_ipv6

IIJ 須賀さん ・janog.gr.jp/meeting/janog3… ・janog.gr.jp/meeting/janog3… ・janog.gr.jp/meeting/janog4… ・janog.gr.jp/meeting/janog4… #janog #janog_3F_B

Yoshikazu GOTO @goto_ipv6

杉井さん： →実際、8割は素通し →→各ベンダーも口を閉ざしている状態 #janog #janog_3F_B

Yoshikazu GOTO @goto_ipv6

杉井さん：ダークサイド of SSL：まとめ： ・実在証明 →コンテンツの安全性は証明していない ・暗号化通信 →盗聴・改ざんのリスクはなくなる →ネットワークセキュリティ装置が無力化されてしまう #janog #janog_3F_B

Yoshikazu GOTO @goto_ipv6

杉井さん：ネットワークレベルでの対抗策： #janog #janog_3F_B

Yoshikazu GOTO @goto_ipv6

杉井さん：証明書インスペクション： ・サーバーから送られてくる証明書の CN を覗き、ホスト名を得て、Web フィルタリングをある程度、実施できる #janog #janog_3F_B

Yoshikazu GOTO @goto_ipv6

・CLIENT HELLO の SNI を見る →こちらにもホスト名が含まれているので、ドメイン制御がある程度は可能に #janog #janog_3F_B

Yoshikazu GOTO @goto_ipv6

杉井さん： ・しかしどちらも、証明書レベルでの確認でしかない →ホスト名の範囲 #janog #janog_3F_B

Yoshikazu GOTO @goto_ipv6

杉井さん：SSL Deep インスペクション： ・中間者攻撃と同様のことを行う →中間にある装置とサーバーの間で SSL を終端 →クライアントと中間装置との間でも共通鍵 #janog #janog_3F_B

Yoshikazu GOTO @goto_ipv6

杉井さん： ・クライアント－中間装置、中間装置－サーバー →それぞれの間で暗号化通信を行う #janog #janog_3F_B

Yoshikazu GOTO @goto_ipv6

杉井さん：証明書エラーの対処が必要になる： ・Squid で SSL インスペクションしてみると →証明書エラーの警告が出る →証明書の発行者の問題 (オレオレ証明書と同様の状態) #janog #janog_3F_B

Yoshikazu GOTO @goto_ipv6

→オレオレ認証局で発行したオレオレ証明書 #janog #janog_3F_B