Web教材一覧LANのセキュリティ管理

LANのセキュリティ監視

表示が不十分なときは、□をクリックすると、その部分が別ウインドウに表示されます。


IDS

ファイアウォールを設置しても,いろいろなセキュリティホールを潜り抜けて不正アクセスが侵入してきます。それを監視するのがIDS(Intrusion Detection System)です。不正アクセス監視システム,侵入検知システムともいいます。コンピュータやネットワークに対する不正行為を検出し、通知するためのシステムです。

IDSは,ホストの状態を監視するホスト型とネットワークを流れるパケットを監視するネットワーク型に区分できます。また,何をどのように監視するのかにより,ファイル監視型,シグネチャ監視型,異常検出型などに区分できます。

ホスト型・ファイル型
対象となるホストにツールをインストールしておき,そのホストのファイルへの変更,ファイルサイズやアクセスフラグ,書き込み時刻などの変更を自動で監視し,変更点を検出します。Webページの改ざん検出などに用いられます。
ネットワーク型・シグネチャ型
専用の装置を監視対象セグメントに設置します。ウイルスソフトと同じように攻撃パターンの特徴をシグネチャという情報として登録しておき,ネットワーク上のパケットにそのシグネチャと同じものがきたら攻撃されていると判定します。
異常検出型(ホスト型,ネットワーク型)
ホストやネットワークの正常な許容範囲を設定しておき,MRTGなどによる統計的な値がそれを逸脱したら警報を発します。異常にトラフィックが増大したらDoS攻撃を受けている危険がありますし,異常にCPUの稼働率が増大したら不正プログラムが実行されている危険があります。

ネットワーク型IDSの存在が外部に知られると、IDS自体が直接の攻撃の対象になってしまうことがあります。それで、ネットワークインターフェイスに対してIDS自身を見えなくしておく必要があります。それをステルスモードといいます。
 また、VPN環境ではパケットが暗号化されているので、ネットワーク型IDSではパケットが復号後に通過するネットワーク上に設置する必要があります。それには既存のネットワーク構成を変更する必要があるので、VPN環境では一般にホスト型IDSが利用されます。

LANアナライザ

LANアナライザは、ネットワーク障害の原因を調べるために使用するものですが、セキュリティ対策にも利用できます。
 しかし、LANアナライザにはネットワークを通過するパケットを表示できるものがあるので、盗聴などに悪用されないように注意する必要があります。
 正規のポート以外に臨時のポート(ミラーポート)を設置して、正規のポートを通過するパケットをスイッチによりミラーポートにも送ることができます。LANアナライザをミラーポートに設置することにより、LANアナライザの負荷や誤操作による正規の処理への影響を防ぐことができます。

LANの管理ツール

SNMP(Simple Network Management Protocol)
SNMPとは,TCP/IPでのLAN管理のプロトコルです。
LANを構成する機器のことをエージェントといい,SNMPでそれらを管理するツールをマネージャといいます。エージェントは,ネットワークインタフェース,経由したパケット量,エラーパケットの量,機器の温度などの情報をMIB(Management Infomation Base)という形式で持っています。これらの情報は標準以外に負荷状況や稼働率なども設定できます。
マネージャがエージェントにリクエスト(get-request)すると,エージェントは応答(get-response)してMIBデータをマネージャに戻します。また,マネージャはエージェントに管理情報の変更をするのをset-requestといい,異常発生をエージェントからマネージャに知らせるのを trap といいます。
MRTG(Multi Router Traffic Grapher)
MRTGとは,SNMP機能を持つとともに,MIB情報を最大値・最小値・平均値などの統計値をグラフ化して表示する機能を持っています。
tcpdumpコマンド
tcpdumpはUNIXのコマンドで,パケットキャプチャツールです。LANのネットワークを流れているパケットを収集することにより,そのパケットのTCPヘッダやIPヘッダを分析することができます。

これらはLAN管理に不可欠なツールですが,逆にこの情報が第三者に漏洩すると,深刻なセキュリティホールになってしまう危険があります。

ログ管理

アクセスのログを採取して分析することは、利用状況の把握をするためだけでなく、セキュリティ対策として重要です。
 不正侵入は,まずログインを試みることから始まります。正規の利用者ならば、自分のパスワードや対象となるファイルの存在を知っているので1回で成功するでしょうが,不正者は試行錯誤で探すので、失敗に終わった試みの回数が多ければ、不正アクセスが行われていると判断できます。
 また、機密データに対する利用者のアクセスログを取り,定期的にチェックすることにより、不正アクセスが行われていないか、漏洩していないかを知ることができます。

なお、証拠となりうるデータを保全し,その後の訴訟などに備えることをフォレンジクス(Forensics)といいます。これは、外部からの侵入だけでなく、例えば社内で法令違反の疑いがあるとき、コンピュータの記録を差し押さえて警察が証拠資料とする場合にも用いられます。

IPS

IDSは侵入の検知が主ですが、DoS攻撃などを検知したらリアルタイムな防御を行うステムへと発展してきました。それをIPS(Intrusion Prevention System、侵入防止システム)といいます。
 ネットワーク型IPSでは、侵入を検知したらこれを遮断し、管理者へ通知し、記録をとります。ホスト型IPSでは、バッファオーバーフロー攻撃や管理者権限取得攻撃などに対してOSレベルで防げるように、通常のOSよりも強力な機能を提供します。

セキュリティ実験など

ぺネトレーションテスト
ファイアウォールや公開サーバに、専門家が不正侵入を試みて,セキュリティホールや設定ミスの有無の確認など脆弱性を発見するテスト手法です。
ハニーポット
「おとりサーバ」です。警察やセキュリティ対策組織が、あえて脆弱性のあるホストやシステムを設置し,受けた攻撃の内容を観察するものです。新規のウイルスや不正アクセスの手口などを収集して、その対策を検討するのに用います。

理解度チェック

過去問題: 「LANのセキュリティ監視」