セキュリティ(6) 05A2013 大川内 斉 前回の内容 IDS(侵入検知システム)にメール機能の追加 今回の内容 ファイアウォールと連携 ・危険な通信のパケットを破棄を行う snortのログのグラフ化 ・ログを管理するための統計ツールを作成した 統計ツール実行画面 フィルタ名(攻撃の概要) グラフ化 具体的な手順 snortが出力する項目のPriority(攻撃のレベル) が高いときだけで判断すると、正常な通信と危険な通信 の区別がつかないためフィルタ名(攻撃の概要)を表して いる項目と合わせてチェックする Priority フィルタ名 iptables Linuxに実装されているパケットフィルタリング機能、または 操作をするコマンドで 設定したルールとパケットが一致すれば、そのルールに設定 した処理を行う コマンドの例 iptables –t filter –I INPUT -p tcp –s 123.123.123.123 --dport 80 –j DROP → IPアドレスが 123.123.123.123 でポート番号80/tcp (http)を利用して入ろうとしているパケットを破棄する というルールを追加する 実験 FTPサーバに対して、ログインを試みたときに規定回数 (3回)を超えてログインに失敗したクライアントは以降 (再起動するまで)アクセスできないようにした ログイン失敗時にsnortが出力するログ 問題点 規定回数を超えると、FTPサービスだけでなく、他のサ ービスも受けられなくなる → FTPサービスのみ利用できないようにする 重複したIPアドレスを持つクライアントもアクセスできな いようになる → 有効な解決策見つかっていない 3回だと偶然、間違った可能性もある → 規定回数を増やす 今後の予定 個々の検知に対応する処理の追加 統計ツールの改良 参考資料 サイト ・ Wikipedia http://ja.wikipedia.org/wiki/ ・@IT –アットマーク・アイティ http://www.atmarkit.co.jp/ ・JavaDrive http://www.javadrive.jp/ ・Knave Web講座 http://www.site-cooler.com/
© Copyright 2024 ExpyDoc