HIPとは何ですか?ゼロトラストネットワークアクセスとは?Airwallとは?

1.3K Views

August 31, 23

スライド概要

HIPってなに??? Airwallって? OTセキュリティ???
HIP=Host Identity Protocol を利用した、セキュアなリモートアクセスを実現します。ゼロトラストネットワークアクセスを容易に構築できます。

シェア

埋め込む »CMSなどでJSが使えない場合

関連スライド

各ページのテキスト
1.

セキュアなプロトコル Host Identity Protocol/HIPを利用した ゼロトラストネットワークアクセス(ZTNA)とは? 脱VPN脆弱性・IoTセキュリティ・セキュアリモートアクセス Takuma Miki

2.

は安全でしょうか? 社内・工場ネットワークは でしょうか? 御社の VPN環境は安全 でしょうか? 2020年 増加したテレワーク・現地訪問NG・海外拠点、、 「 リモート接続 」 から していますでしょうか? 2

3.

2019年・2020年 VPNを狙った攻撃が増加 コロナによるリモートアクセス増加も関連か!? インターネットに接続しているさまざまな機器を検索できる Webサービス ↓ 攻撃者は・・・・ ・公開されている脆弱性情報 や Shodan等で、脆弱性のシステムを探し出す。 ⇒次ページ参照 ・攻撃ツールは、インターネットで入手することも可能。 各メーカとも、早急に対策可能なパッチをリリース。 対応には問題無し!!! ただ、導入側のユーザ企業が怠ると・・・ 機器の脆弱性を悪用されVPNの接続に 用いられる認証情報が漏洩 VPNの脆弱性 脆弱性情報 Fortinetの脆弱性 (CVE-2018-13379) Pulse Secure/VPNサーバの脆弱性 (CVE-2019-11510) Citrix/VPNアプライアンスの脆弱性 (CVE-2019-19781) F5 BIG-IPの脆弱性 (CVE-2020-5902) Microsoft Exchange Serverの脆弱性 (CVE-2020-0688) 3

4.

間違っていけないのは・・・ 正しい運用のVPNは安全です! VPNメーカは対策を実施しています!! ただ・・・しかし、、、 は狙われてる・悪用されてます!!! 4

5.

※VPNの脆弱性を悪用した攻撃手順 攻撃の原因は・・・・・管理者? <VPNサーバのパッチ運用しているのか?> Internet VPN装置 ・脆弱性機器を把握できているのか? ・VPNサーバにパッチ運用行っているのか? 1. インターネットをスキャンしてパッチが適用されていない リモートアクセス & VPNサーバを調査 2. 「 脆弱性 」を突いて内部ネットワークへ侵入 3. ログやキャッシュなどからアカウントデータを取得 ・きっちりパッチ管理している? 「人手が足りない」「 後回し 」「運用が回らない」 結果:変更・バージョンしたがらない・・・・ <リモートアクセスの意味を理解しているか?> 4. ドメイン管理者のアカウント情報を取得 従業員・ベンダーにインターネット/VPN経由で 5. ネットワークを横方向へ移動 リモートアクセスの許可をしている。 :リモートで業務/作業などを許可するのは、 6. ランサムウェアをネットワークシステムへ拡散 7. ランサムウェア攻撃などを実施 インターネット経由のスキャン対象になる =攻撃者もサーチ(探索)可能になる

6.

インターネットVPNは、便利であり、 「 つなぐ 」 為に 「 境界(入口)で認証」 & 「暗号化 」は、 COVID-19でリモート必要・狙われるネットワーク 行われていた ただし、、、 製造業/DX化・IoTの活用・テレワーク・・・ 通過すれば、、すり抜ければ・・・・ 常に危険で、どこからでも・さまざま「つながる時代」へ そしてあなたのそばで、、、 ↓ 脆弱性が狙われている、いつも ・・・ セキュリティを考慮し、利便性を高めるには・・・

7.

ゼロトラストネットワーク

8.

ゼロトラストネットワークアクセス(ZTNA) ここにきて、 働き方改革/ テレワーク コロナ禍以前から唱えらえていた! セキュリティ が注目されている理由 • 境界型の終焉 信頼済みのリスク • VPNの脆弱性 • ラテラルムーブメント • 標的型攻撃対策 ※IPA情報セキュリティ10大脅威 第1位 2019/2020 ハイブリット/ マルチクラウド セグメンテーション の重要性 • 業務アプリ/サーバはクラウドへ • 様々な環境にある社内プラットフォーム

9.

ゼロトラストネットワークを実現する容易なネットワークセキュリティ Tempered 「Airwall」 1. :ゼロトラストネットワークアクセス(ZTNA) 2. :マイクロセグメンテーション 3. :セキュアリモートアクセス 4. :管理者の許可のもと信頼された相手とだけ繋ぐ 5. :HIP(Host Identity Protocol) 6. :デバイス認証・暗号化・デバイスクローキング 9

10.

ゼロトラストネットワークを実現する容易なネットワークセキュリティ Tempered 「Airwall」 1. :ゼロトラストネットワークアクセス(ZTNA) ちょっとまった! これ何? 3. :セキュアリモートアクセス 2. :マイクロセグメンテーション 4. :管理者の許可のもと信頼された相手とだけ繋ぐ 5. :HIP(Host Identity Protocol) 6. :デバイス認証・暗号化・デバイスクローキング 10

11.

ヒップ? エイチアイピー? HIPというプロトコル 知っていますか? 独自プロトコル?

12.

これです! | | 出典: フリー百科事典『ウィキペディア(Wikipedia)』:プロトコル番号一覧

13.

簡単に言うと・・・ Q:HIPとは???

14.

A:セキュリティを考慮して 作られたプロトコル えっ!TCP/IPは? TCP/IPは安全でない??

15.

HIP (Host Identity Protocol)とは・・・・ コンセプト: ID /ロケータの分離 ! :IDとLocatorを同時に持つIPアドレスには限界がある!!! ⇒IDベースの通信へ :識別子を2048bit の RSA 公開鍵を使って強力に暗号化して、ユニークなIDとして識別 :IDを識別子、認証し、ホワイトリストに登録されたIDの相手のみと通信を実施 :ネットワークとして、拒否(DoS)攻撃や中間者攻撃にも耐性あり! ・HIPでセッションを張った後は、IPsec同等の暗号化(AES-256)で暗号化通信

16.

TCPは繋げるを優先・・・ HIPはセキュリティを優先! Internet 3.0 – Internet 2.0 – “Network everything” “Network ONLY CRYPTO-IDENTIFIED things” アプリケーション (L5-L7) IP Address: Port トランスポート (L4) IP Address: Port セキュアに、 信頼されたNWに、 つなぐ! ネットワーク (L2-L3) 物理リンク (L1) IP Address MAC address UNTRUSTED “まずは繋ぐ, ⇒ そして認証&許可!” アプリケーション(L5-L7) トランスポート(L4) Host Identity(L3.5) ネットワーク(L2-L3) 物理リンク(L1) Host Identity Tag: Port Host Identity Tag: Port Host Identity Protocol (HIP) IP Address MAC address TRUSTED “まずは認証&許可 ⇒ そして暗号化 ⇒ 繋ぐ”

17.

HIPは 4-Way Handshake ! 端末認証・暗号化・ホワイトリスト Authentication, Authorization, Accountability (AAA) Initiator Receiver I1: HIT(i), HIT (r) R1: HIT(r), HIT(i), puzzle DH(r) K(r) sig I2: HIT(i), HIT(r), solution DH(i) K(i) sig R2: HIT(r), HIT(i), sig HIP Service HIP Service Airwall 150 Airwall 150 認証: Base Exchange は、TCP セッションの確立前に呼び出され、2 回のラウンドトリップ時間で 4 つのメッセージで構成され、DiffieHellman キーを配布してホストを認証します。

18.

HIPは 4-Way Handshake ! 端末認証・暗号化・ホワイトリスト Authentication, Authorization, Accountability (AAA) Initiator Receiver Peer-to-Peer ESP Protected Tunnel HIP Service HIP Service Airwall 150 Airwall 150 信頼できる通信: Base Exchange の後、相互に認証および承認された HIP サービスは、対称キーを使用して、証明書ベースのカプセル化セキュリティ ペ イロード (ESP) で保護されたトンネルを相互に形成します。

19.

では、このセキュアな HIPを 使っている仕組みは?

20.

Temperd 5 つ の ポ イ ン ト ! “Airwall” ① HIP による オーバレイNW&ネットワーク分離 & 暗号化通信 ② 簡単にセキュアネットワークを!※既存NW構成OK/IP重複OK! ③ オーケストレーション=センター集中の一元管理 ④ 容易なマイクロセグメントを実現 ~守りたい重要な個所を~ ⑤ VLAN/ACL/IPアドレス設計からの脱却 ⇒IDを指定するだけ!

21.

製品コンセプト:ソリューション背景    1999年:米国海軍が”HIP”を考案 2002/3年:IETF標準化団体でHIPを検討 2004年:IETF内でHIPのWorking Group組織 ◦ ボーイングR&DのDavid Mattesも参加    2005年:ボーイングプロジェクト開始。その後導入 2012年4月:Asguard社設立。商用版リリース 2014年10月:Tempered Networks設立 21

22.

HIPの歴史:別途ホワイトペーパーもご用意

23.

Zero Trust Network Access (ZTNA) ~容易にセキュアネットワーク接続・ネットワークセグメンテーション・NW管理を実現~ ①Airwall Conductor オーケストレーションエンジン 設定・変更を一元的に ②Airwall Services ③Airwall relay Airwallデバイス & Airwall IDルータ Airwallクライアントソフト 各デバイス/セグメントに配備 復号化せずにプライベートま たは非ルーティングエンドポ イント間のピアツーピア暗号 化接続を許可します

24.

Airwall ~容易にセキュアネットワーク接続・ネットワークセグメンテーション・NW管理を実現~ Clients Hypervisors Servers Appliances HIPswitch 75 HIPswitch 150 HIPswitch 250 HIPswitch 500 Clouds

25.

外部から安全に接続。OT/IoTデバイスをクローキング=隠す。VPNの脆弱性克服 ・既存のネットワークからステルス化(デバイス見えなく)し攻撃を受けなく ・ACL・FWルール・VLAN設定でのNW設計が不要=GUIでデバイス選択・登録のみ ・必要な時だけ・必要な端末だけ・管理者主導でつながせる 攻撃者からは見えない OT/IoTデバイス・サーバ・PC等 (見えない=攻撃されない) Airwall Conductor =セキュアNWを一元管理・設定== 拠点 DC L3 DeviceA 管理者が、通信する端末をGUIで登録 :変更の際は簡単に追加・削除可能 FW Host Identity Protocol(HIP)&Eencryption [AES-256] Airwall Services [Airwall Gateway ] DeviceB 重要サーバ セキュアオーバレイNW(ID通信・暗号化通信・デバイス認証) 特定デバイス Airwall Services [ Airwall Gateway ] CONTROL PLANE DATA PLANE 必ず、登録されている相手とだけ通信 必ず、登録されている相手とだけ通信 (知らない端末からの通信には応答しない) (知らない端末からの通信には応答しない) Airwall Services [ Airwall Client ] TCP/IP 社内LAN・WAN・インターネット・LTE網ネットワーク 25

26.

管理者が許可した相手とだけ通信=それ以外の通信(=攻撃)は無視 隠して守る=許可された相手とだけ通信。それ以外は応答しない(HW版) HIP( Host Identity Protocol )を使い、セキュアアクセスを実現! クローキングすることにより スキャンにさえ応答しない 脆弱性を狙う攻撃者から見つからない! 26

27.

現在の堅牢なネットワークは、設計は、構築は、、、 セキュリティを気にしながら作られるネットワークは、手間で設定が面倒である 人日工数 課題 頑張る VPNs FW RULES NAT ルータ&ファイヤーウォールで頑張る IPSEC TUNNELS ACLs interface gigabitethernet 0/3 nameif dmz CELLULAR Different: security-level 50 NETWORKS ip address 192.168.2.1 255.255.255.0 • Users no shutdown • Access Points same-security-traffic permit inter-interface route outside 0 0 209.165.201.1 1 • Locations/Networks nat(dept1) 1 10.1.1.0 255.255.255.0 nat(dept2) 1 10.1.2.0 255.255.255.0 • Roaming router rip network 10.0.0.0 default information originate FW/VPNs version 2 ssh 209.165.200.225 255.255.255.255 outside logging trap 5 APNs FW/VPNs CGNAT VLAN職人によるコンフィグ作業 Different: • IP/DNS Namespaces CERTIFICATES • Security Controls CERTIFICATES MULTI-NAT SSH KEYS SEC GROUPS • Networking Context SSH KEYS IPSEC TUNNELS VPNs FW RULES ACLs • Workloads Router>enable Router>#configure terminal • Address-Defined Router(config)#hostname CORP ISP(config)#interface serial 0/0/0 CORP(config-if)#description link to ISP CORP(config-if)#ip address 192.31.7.6 255.255.255.252 CORP(config-if)#no shutdown Different: CORP(config)#interface fastethernet 0/1 CORP(config-if)#description link to 3560 Switch • VendorsCORP(config-if)#ip address 172.31.1.5 255.255.255.252 • SystemsCORP(config-if)#no shutdown 課題 課題 Internet Different: • IP/DNS Namespaces ON-PREMISES • Security Controls CGNAT CERTIFICATES IPSEC TUNNELS FW • Networking Context RULES • Networks VPNのルールをガリガリ・・・ •ACLs Internet VLANS MULTI-NAT VPNs WIRELESS • MPLS NETWORKS • WiFi 作業・作業・作業 • Cellular • Users / Time • Locations/Networks APNs 面倒 device(config)# ip access-list standard Net1 CERTIFICATES NAT deny host 10.157.22.26 device(config-std-nacl-Net1)# ACLs device(config-std-nacl-Net1)# deny 10.157.29.12 device(config-std-nacl-Net1)# deny host IPHost1 device(config-std-nacl-Net1)# permit any device(config-std-nacl-Net1)# exit device(config)# int eth 1/1 device(config-if-e10000-1/1)# ip access-group Net1 in FW RULES ACLs VENDORS REMOTE DEVICES VPNs VLANS FW RULES ACLを追加・変更・面倒・・ 課題 VPNs VLANS

28.

Airwall アジア諸国 ~管理者が定めたデバイスだけ いつでも、どこでも、容易に 守りたい 安全につなぎたい IoTデバイス つなぐ!~ The Condctor ~全ての設定を行う~ 欧州 アメリカ HIP Switch HIP Relay ~IDでルーティングを~ ~HIP装置~ 守りたい 安全につなぎたい ~クライアントソフト~ 端末 社内LAN・WAN・インターネット・LTE網 守りたい 安全につなぎたい PC HIP Client 日本

29.

HIP × IDN こんな使い方どうでしょう 29

30.

こんなシーンで簡単なセキュアネットワークのご利用! ~NW分離・暗号化通信を必要~

31.

実際の利用ケース① クラウドとつなぐ! ◆マイクロセグメンテーションとHIPトンネルによるセキュアNW接続 お悩み • 自治体システムの運営を委託されているが、自治体側と自社 自治体 Proxy クラウド の異なるセキュリティポリシーを共存させる必要がある メリット • マイクロセグメンテーションとホワイトリスト設定による 通信端末の限定 ポイント • 既存NWを使用したまま、NW分離の実現 • AWS環境を利用したサーバレス構成 Internet

32.

実際の利用ケース② IoTとつなぐ!&隠して守る ◆ステルス化とLTE網によるガントリークレーンの制御と集中管理 お悩み • ガントリークレーンへの貨物データの配信や制御の為、個別 にUTM及びWifi網を設置していたが運用コストが高い上に個 別の設定ミスによる事故を心配 メリット • UTMからHIPスイッチへ置き換え • 通信先を限定へ ポイント • マイクロセグメンテーション化による安全性の向上と IDNによる集中管理による運用コスト低減と設定ミス防止 LTE網

33.

実際の利用ケース③ ビルシステムを安全につなぐ! ◆ビルディングオートメーション を セグメンテーション化! お悩み • ビル内のネットワーク(空調/エレベータ/電気等)はL2フラッ トで構成されており、攻撃を受けた際にビル全体に被害が及ぶ危 空調 システム エレベータ システム 険性がある。 メリット • 既存NWのシステム前段にHIPSwitchを設置するだけで、各シス 電気 システム テムごとにマイクロセグメンテーション化。また、外部から各シ ステムへの攻撃もステルス化により抑制。 ポイント • NW上に挟むだけでマイクロセグメンテーションが可能許可した デバイス間の通信のみ疎通が可能なので、外部攻撃による内部探 索や感染拡大を抑制可能 管制室 エレベータ システム 空調 システム 電気 システム

34.

私たちは、 最近こんなことやって みました!

35.

国内拠点工場セキュリティ&Secure Remote Access ~工場内へのリモートアクセス & 工場セキュリティ/Nozomi Networksへセキュアリモートアクセス~ WAN越え・キャリア越えは クラウド上のHIP RelayでIDルーティング実施 本社 Conductors HIP HIP Relay 国内拠点 HitrianDB Non-Windows/ Non-Linux Servers SCADA/DCS HIP Internet 本社SOC :Nozomiを監視 :生産ラインを監視 Line インターネット 生産ラインシステム インターネット回線が無い工場 工場内NWに接続可能なポイントに モバイルSIM利用可能な Airwall GWを配備 稼働情報 Server ・スイッチからミラーポートでパケット取得 ・解析データについては、 Nozomi ⇒ Airwall GW :マネージメントネットワーク経由 35

36.

ハイブリット環境でセキュアなPeer to Peer! 「オンプレDC と AWS と Azureをつなぐ!」 「NW設計意識せずにGUIでクリックするだけで」 Airwall Conductor Test stage/DevOps Production/DevOps Production/DevOps オンプレDC DevOps リモート接続/DevOps

37.

諸外国とHIPを利用してPeer to Peer! 端末認証・トンネル・エンドツーエンドで暗号化(ESPモード)

38.

Fin. Zero Trust Network Access セキュアリモートアクセス IoTセキュリティ(隠して守る)