IDSを使ったLinuxセキュリティアップ入門(1) | ScanNetSecurity
2024.05.06(月)

IDSを使ったLinuxセキュリティアップ入門(1)

 以前、本誌で「IDSを使った侵入検知」というシリーズを書かせていただいた。当時は、加速するADSLの普及に伴い、一般の個人ユーザの「常時接続化」が広がっている頃であり、同時にSQL Slammerのような新しいタイプのウイルスが登場、インターネットのセキュリティに対

特集 特集
facebookLINE
 以前、本誌で「IDSを使った侵入検知」というシリーズを書かせていただいた。当時は、加速するADSLの普及に伴い、一般の個人ユーザの「常時接続化」が広がっている頃であり、同時にSQL Slammerのような新しいタイプのウイルスが登場、インターネットのセキュリティに対する関心が増しつつある時期だった。そのような状況の中で、常時接続している個人ユーザに、いわゆる不正アクセスの危険性を訴える目的で書かれたのが先の連載である。

 個人ユーザをターゲットとしながら、IDSというビジネスユースの雰囲気が強いツールを使って不正アクセスの検証を行ったのは、ビジネスユーザにも関心を持ってもらおうという意図もあったが、何より、不正アクセスの危険性の高さを明らかにしたかったからである。高機能なツールを使うことで、外部からのアタックが日常的に行われていることを示すことができると思ったのだ。

 あれから1年近く経った今、私たちを囲む状況はほとんど変わっていない。それどころか脅威は増しているといっていいだろう。そこで、本稿では、如何に自分の管理するマシンが危険に晒されているかを再認識するために、改めて、IDSによる侵入検知システムの構築を行い、運用・検証の実際をレポートしていく予定である。


●増殖するLinuxユーザを見据えて

 今回使用するIDSは、前回と同様Snortである。Martin Roesch氏が中心となって開発しているSnortは、今やIDSの一大ブランドといっていいだろう。フリーで提供されているが、その高い機能は企業向けの商用IDSと比べても勝るとも劣らない実力を持つ。それゆえファンも多く、フリーのIDSの中心的な存在となってきたのである。

 前回は、SnortのWindows版をWindows XP(Home)の環境にインストールし、実際の検証を行った。なじみの薄いIDSを、個人ベースの環境で使用するということからこういった選択となったが、今回はLinux版に挑戦する。つまり、LinuxマシンにSnortを導入するのである。Snortは、もともとLinuxや各種BSD、SolarisなどのUNIX系OS用に開発されてきたものだ。Linux版Snortは、いわば本家である。

 このLinuxマシンへの導入という前提には、昨年から続くLinuxブームという背景がある。政府のe-Japan構想に始まる一連のオープンソースソフトに対する盛り上がりが、PCUNIXの中でも比較的コンシューマ受けがよかったLinux人気に火をつけたのがブームの始まりだろう。昨年秋には、Lindows OSのような、個人のデスクトップマシン向けに特化したものまで登場してきている(LindowsはLinuxのディストリビューションのひとつDebianをベースにしている)。マニアではない、一般ユーザがLinuxマシンにかかわる可能性が高くなってきているのが、昨今の状況だといっていい。

 これを受けて、今回はLinuxマシンにSnortを導入、侵入検知システムを構築していくこととした。そのため、基本的に、Linuxビギナーをメインターゲットと考えている。
 Linuxのマシン管理は敷居が高いと考えているユーザは多い。最近でこそWindowsライクなデスクトップ環境を持つディストリビューションが増えてきたとはいえ、まだまだLinuxは難しいというイメージがある。このイメージ自体は間違いではない。しかし、難しいからといって遠ざかっていては、危険は増すばかりである。この機会にトライしていきたい。


●IDSの種類と動作

 さて、本題に移る前に、IDSについて復習をしておこう。IDSは「Intrusion Detection System」の略で、すでに述べてきたように「侵入検知システム」と訳されている。現在、このIDSは、監視形態の違いから大きく2つのタイプに分けられている。ネットワーク型とホスト型だ。

 ネットワーク型は、ネットワーク上を流れるパケットを監視し、不正なパケットを検知するタイプである。検知の方法によって、ネットワーク型IDSは、さらに2種類に分けられる。あらかじめパターン化しておいた不正パケットのパターンと、現在流れているパケットのパターンを照合させることで不正パケットを発見するシグネチャ型と、通常のパケットやユーザの行動をプロファイルとして記憶させ、それらと異なるパケットや異なる動きを不正として検知する異常検出型の2つだ(シグネチャ型と異常検出型の特徴を併せ持つハイブリッド型というIDSも登場してきている)。ちなみにSnortは、ネットワーク型でシグネチャ型のIDSになる。

【執筆:磯野康孝】

(詳しくはScan本誌をご覧ください)
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec

《ScanNetSecurity》

PageTop

アクセスランキング

  1. ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

    ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

  2. モリサワ他と損害賠償金4,500万円支払で調停成立~フォント不正コピーの印刷会社

    モリサワ他と損害賠償金4,500万円支払で調停成立~フォント不正コピーの印刷会社

  3. クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

    クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

  4. 信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

    信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

  5. 山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

    山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

  6. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  7. PlayStation公式になりすましたアカウントに注意喚起、個人情報要求DMも

    PlayStation公式になりすましたアカウントに注意喚起、個人情報要求DMも

  8. 「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開

    「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開

  9. インターネット専用宝くじで当選本数の登録誤り、1 等 200 万円 10 本が 200 本に

    インターネット専用宝くじで当選本数の登録誤り、1 等 200 万円 10 本が 200 本に

  10. サイバーセキュリティ版「天国と地獄」~ サプライヤーへサイバー攻撃、身代金支払いを本体へ請求

    サイバーセキュリティ版「天国と地獄」~ サプライヤーへサイバー攻撃、身代金支払いを本体へ請求

ランキングをもっと見る
ホーム 特集 特集 記事
TOP