IDSを使ったLinuxセキュリティアップ入門(1)
以前、本誌で「IDSを使った侵入検知」というシリーズを書かせていただいた。当時は、加速するADSLの普及に伴い、一般の個人ユーザの「常時接続化」が広がっている頃であり、同時にSQL Slammerのような新しいタイプのウイルスが登場、インターネットのセキュリティに対
特集
特集
個人ユーザをターゲットとしながら、IDSというビジネスユースの雰囲気が強いツールを使って不正アクセスの検証を行ったのは、ビジネスユーザにも関心を持ってもらおうという意図もあったが、何より、不正アクセスの危険性の高さを明らかにしたかったからである。高機能なツールを使うことで、外部からのアタックが日常的に行われていることを示すことができると思ったのだ。
あれから1年近く経った今、私たちを囲む状況はほとんど変わっていない。それどころか脅威は増しているといっていいだろう。そこで、本稿では、如何に自分の管理するマシンが危険に晒されているかを再認識するために、改めて、IDSによる侵入検知システムの構築を行い、運用・検証の実際をレポートしていく予定である。
●増殖するLinuxユーザを見据えて
今回使用するIDSは、前回と同様Snortである。Martin Roesch氏が中心となって開発しているSnortは、今やIDSの一大ブランドといっていいだろう。フリーで提供されているが、その高い機能は企業向けの商用IDSと比べても勝るとも劣らない実力を持つ。それゆえファンも多く、フリーのIDSの中心的な存在となってきたのである。
前回は、SnortのWindows版をWindows XP(Home)の環境にインストールし、実際の検証を行った。なじみの薄いIDSを、個人ベースの環境で使用するということからこういった選択となったが、今回はLinux版に挑戦する。つまり、LinuxマシンにSnortを導入するのである。Snortは、もともとLinuxや各種BSD、SolarisなどのUNIX系OS用に開発されてきたものだ。Linux版Snortは、いわば本家である。
このLinuxマシンへの導入という前提には、昨年から続くLinuxブームという背景がある。政府のe-Japan構想に始まる一連のオープンソースソフトに対する盛り上がりが、PCUNIXの中でも比較的コンシューマ受けがよかったLinux人気に火をつけたのがブームの始まりだろう。昨年秋には、Lindows OSのような、個人のデスクトップマシン向けに特化したものまで登場してきている(LindowsはLinuxのディストリビューションのひとつDebianをベースにしている)。マニアではない、一般ユーザがLinuxマシンにかかわる可能性が高くなってきているのが、昨今の状況だといっていい。
これを受けて、今回はLinuxマシンにSnortを導入、侵入検知システムを構築していくこととした。そのため、基本的に、Linuxビギナーをメインターゲットと考えている。
Linuxのマシン管理は敷居が高いと考えているユーザは多い。最近でこそWindowsライクなデスクトップ環境を持つディストリビューションが増えてきたとはいえ、まだまだLinuxは難しいというイメージがある。このイメージ自体は間違いではない。しかし、難しいからといって遠ざかっていては、危険は増すばかりである。この機会にトライしていきたい。
●IDSの種類と動作
さて、本題に移る前に、IDSについて復習をしておこう。IDSは「Intrusion Detection System」の略で、すでに述べてきたように「侵入検知システム」と訳されている。現在、このIDSは、監視形態の違いから大きく2つのタイプに分けられている。ネットワーク型とホスト型だ。
ネットワーク型は、ネットワーク上を流れるパケットを監視し、不正なパケットを検知するタイプである。検知の方法によって、ネットワーク型IDSは、さらに2種類に分けられる。あらかじめパターン化しておいた不正パケットのパターンと、現在流れているパケットのパターンを照合させることで不正パケットを発見するシグネチャ型と、通常のパケットやユーザの行動をプロファイルとして記憶させ、それらと異なるパケットや異なる動きを不正として検知する異常検出型の2つだ(シグネチャ型と異常検出型の特徴を併せ持つハイブリッド型というIDSも登場してきている)。ちなみにSnortは、ネットワーク型でシグネチャ型のIDSになる。
【執筆:磯野康孝】
(詳しくはScan本誌をご覧ください)
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》