[nsp-sec-jp] nsp-security-jpの説明

Taka Mizuguchi taka @ ntt.net
2005年 1月 25日 (火) 10:42:41 EST 

nsp-sec-jp各位、

以前、メールしたものですが、リマインドとして転送させて頂きます。
#重複して受け取っている方はごめんなさい。_o_

-----
簡単な説明みたいなものを作って送らないといけないと思って居たの
ですが、送れて居ませんでした。

取りあえず、nsp-sec-jpの参加いただいている皆様にで行って頂き
たい事、対処方法を以下にまとめて見ました。
#nsp-sec-jp-owner、過不足あれば補足願います。


-----

nsp-sec-jpでやること;
・Security Incident発生時の各ISPでの対処
	まだあまり出来ていませんが、nsp-sec等で出てきた時に
	forwardします。各ISPにおいて自AS内ホストが関与して
	いると思われる場合は、顧客連絡等対処をお願いします。

・Cymru Weekly report対処
	毎週火曜日の早朝にTeam Cymruから各種Network Security
	関連のレポートがnsp-sec-jpに送られてきます。

	上記と同じように、このレポートでは各Incident毎のリスト
	のなかに自ASがあれば、そのAS内の感染ホストリストを確認
	頂き、上記同様に対処をお願いします。

	また、この情報は、レポート内にて明記されていますが、個別
	プロジェクトとして、"ASN Alert project"として受け取る事
	ができます。こちらが分かり易くて便利ですので、参加される
	ことをお勧めします。以下「抜粋」

	-----
	ASNアラートプロジェクトは、あなたのAS内の危険にさらされた
	装置あるいは乱用された装置を含んでいる特定のURLをあなたに
	送るでしょう。今から参加してください!!下記のURLに、ASN
	アラートプロジェクトに関するより詳しい情報が記載されてい
	ます。
	    <http://www.cymru.com/nsp-sec/ASN-Alert/>
	-----

・ML参加の保障
	MLに参加されている方はご存知だと思いますが、ML参加時に
	申請の正当性の処理フローがあります。
	最初は、moderatorが信用できる方どうかを判断させて頂き、
	信頼できると判断するとML(nsp-sec-jp)にForwardさせて
	頂きます。その際、皆様がその新規参加希望者をご存知で
	保障できる場合は、本文に「保証します」と記入いただき、
	Replyして下さい。MLの皆様に保証いただける場合は、参加
	が承認されるという仕組みになっております。

まだ、うまくMLを運用できず四苦八苦しておりますが、どんどん
セキュリティ情報を提供して行こうと考えております。

MLに参加いただいている皆様には、積極的にSecurity Incidentへの
対処を行って頂きたく、よろしくお願い致します。

分からない事があれば、なんでも構いませんので質問下さい。


***注意事項***
nsp-secには、対処を行って頂く場合にメールのサブジェクト等で暗黙の
ルールがあります。nsp-sec-jpでも分かりやすいように合わせたいと思い
ます。

1.subjectルール:
各ASで対処を行って頂きたいのですが、そのレス(意思表示)をする場合
以下のようにSubjectの中に"ACK"と"ASN"を記述しています。

"Subject: ACK: as2914 Re: [nsp-sec-jp] Team Cymru Weekly Reports
2004-10-04"

2.セキュリティインシデント発生時の対処の依頼

The  Internetからセキュリティインシデントを受けて、不正なパケット
を発生したときに、nsp-sec/nsp-sec-jpに対応依頼をします。

その際の、ログのフォーマットは以下のような項目(ASN,IP-Address,
Timestamp,AS-description)を含んだ形で依頼をして頂きます。
upstreamもあるとなおいいと思います。
#nsp-secにForwardする際、簡単にforwardできるのでよろしくお願い
 します。


##### ASNs
1312    | 198.82.95.107    | VPISU Virginia Polytechnic Ins
4766    | 220.87.159.138   | KIXS-AS-KR Korea Telecom
4766    | 221.159.145.228  | KIXS-AS-KR Korea Telecom
6539    | 64.5.237.180     | GTGR GT Group Telecom Services
9800    | 211.91.253.7     | UNICOM CHINA UNICOM
22759   | 66.234.195.60    | SERI Seren Innovations
##### Upstreams
701     | 220.87.159.138   | UU UUNET Technologies, Inc.
701     | 221.159.145.228  | UU UUNET Technologies, Inc.
701     | 66.234.195.60    | UU UUNET Technologies, Inc.
3561    | 211.91.253.7     | CWU Cable & Wireless USA
3561    | 64.5.237.180     | CWU Cable & Wireless USA
4323    | 66.234.195.60    | TWTC Time Warner Telecom
7066    | 198.82.95.107    | NETWOR-95 Network Virginia
7132    | 220.87.159.138   | SIS-80 SBC Internet Services
7132    | 221.159.145.228  | SIS-80 SBC Internet Services
7132    | 64.5.237.180     | SIS-80 SBC Internet Services


上記のフォーマットは、cymru内のwhoisサーバを使うことによって簡単に
レポート形式に直すことが出来ます。

http://www.cymru.com/BGP/whois.html

また、OriginASのUpstreamASを調べるwhoisサーバもあります。
こんな感じになります。

sh2{taka}17: cat test
begin
210.145.0.1
210.154.0.1
210.160.0.1
end

sh2{taka}18: netcat whois.cymru.com 43 < test | sort -n
Bulk mode; one IP per line. [2004-10-06 10:06:24 GMT]
4713    | 210.145.0.1      | OCN NTT Communications Corpora
4713    | 210.154.0.1      | OCN NTT Communications Corpora
4713    | 210.160.0.1      | OCN NTT Communications Corpora

sh2{taka}19: netcat upstream-whois.cymru.com 43 < test | sort -n
Bulk mode; one IP per line. [2004-10-06 10:06:37 GMT]
2914    | 210.145.0.1      | VRIO Verio, Inc.
2914    | 210.154.0.1      | VRIO Verio, Inc.
2914    | 210.160.0.1      | VRIO Verio, Inc.



-----
Taka Mizuguchi
taka @ ntt.net

nsp-security-jp メーリングリストの案内