監視系を安全に構築するための 仮想分散環境 光来健一 千葉滋 (東京工業大学) 廣津登志夫 菅原俊治 (NTT未来ねっと研究所) 分散システムにおける監視系 攻撃の兆候や各ホストの状態を解析 監視プログラム (IDS, 負荷監視, ...) サーバ 攻撃による監視系の停止 • 例えば… – サーバプロセスの通信チャネルから侵入 – 監視プロセスの利用する通信チャネルから侵入 – 管理者になりすまして侵入 • 監視系の停止 – 監視プロセスの停止 – 監視ポリシーの無効化 アップデート時の監視系の停止 • 例えば… – アップデート時の手際の悪さ – 新しい監視プログラムのバグ • 綿密なテストが必要だが難しい – 別個に同じ環境を作るのは大変 – 既存の環境で共存させるのは危険 • ディレクトリやネットワークポートを変更 仮想分散環境の提案 仮想分散環境 監視系 VPN 監視 計算系 監視系の保護 • 仮想分散環境は外部からアクセスできない インターネット 監視系 計算系 VPN 監視系の安全なアップデート • 2つの仮想分散環境を用いて一時的に多重化する – アップデートが完了したら古い監視系は破棄 衝突しない 古い監視系 監視 計算系 新しい監視系 各ホストの構成 • サーバプログラムと監視プ ログラムを分離 – 監視用ポートスペース • 監視プログラムを動かす実行 環境 ホスト サーバ用 ポートスペース 監視用 ポートスペース サーバ プログラム 監視 プログラム – サーバ用ポートスペース • サーバプログラムを動かす実 行環境 – ベース環境 • その他のプログラムを動かす 既存の実行環境 ベース環境 ベースネットワーク ポートスペース [光来ら’03] • 仮想的な実行環境 – ファイルシステム空間 • ベース環境のファイルシステムを継承できる – 一から構築しなくてよい – ネットワーク空間 • ベース環境と同じIPアドレスが使える – 専用のIPアドレスが必要ない – プロセス空間 • シグナルの送信を制限できる プロセス ネットワーク スタック ファイル システム 監視用ポートスペース • サーバ用ポートスペース を監視できる – ファイルシステム – ネットワークインタフェース • VPNのみを利用する – 他の監視用ポートスペース と通信できる – 閉じたネットワークを形成 する • 仮想分散環境 サーバ用 ポートスペース 監視用 ポートスペース 監視 VPN サーバ用ポートスペース • サーバ毎に異なる環境を使う こともできる • ベースネットワークを利用する – インターネットからアクセスでき る – サーバプロセス宛てのパケット を転送する サーバ用 ポートスペース httpd port=80 popd port=110 • ポート番号による ベース環境 ベースネットワーク ファイルシステムの監視 • サーバ用ポートスペースのファイルシステム をマウント – 全体 – 変更部分のみ サーバ用 ポートスペース • unionファイルシステム の上位レイヤ • 効率のよい監視が可能 監視用 ポートスペース マウント 継承 ベース環境 ネットワークの監視 • ベース環境のネットワーク インタフェースにアクセス – パケットフィルタ(BPFなど)を 通して – 全てのパケットを取得する必 要がある サーバ用 ポートスペース 監視用 ポートスペース IDS BPF • ポートスキャンの検出など ベース環境 ドメインソケット経由の監視 • サーバ用ポートスペースにド メインソケットを作る – 例:syslogdの使う/var/run/log • 複数の監視用ポートスペー スにデータが送られる 監視用 ポートスペース サーバ用 ポートスペース syslogd サーバ – 例:全てのsyslogd syslogd • サーバ側から能動的に攻撃 できてしまうという問題 受動的な攻撃は? • 監視系が取得する情報の処理ルーチンにバ グがあると攻撃を受ける – 例:フォーマット文字列バグ • しかし、攻撃の影響は仮想分散環境内にとど まる 情報取得 VPN 監視系 計算系 関連研究(1) • IDSをカーネル内で動かす – ホストに侵入されても停止させられにくい – 制御用のシステムコール経由の攻撃 – 専用のIDSが必要 • IDSを別のホストで動かす – サーバホストの影響を受けにくい – アップデートで多重化がしやすい – ネットワーク型IDSのみ対応できる 関連研究(2) • VMI [Garfinkel et al.’03] – サーバプロセスを仮想マシンの中で 動かす • IDSは仮想マシンの外で動かす • IDSはサーバプロセス経由で攻撃され ない – IDSが直接攻撃を受ける – 仮想マシン越しにサーバプロセスを 監視するために専用のIDSが必要 ホスト 仮想マシン サーバ 監視 IDS まとめ • 仮想分散環境を提案 – 監視系の安全性を確保 – 監視系のアップデート時にも監視を継続 • 今後の課題 – 様々な監視プログラムへの対応 – 監視系に対するDoS攻撃への対処 – 監視系を多重化させた時の負荷対策
© Copyright 2024 ExpyDoc
