[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:53087] Re: 侵入検知システム「Snort」について

From: canon <kame55-itasenpara123@xxxxxxxxxxxxx>
Subject: [debian-users:53087] Re: 侵入検知システム「Snort」について
Date: Tue, 29 Sep 2009 16:57:22 +0900
List-help: <mailto:debian-users-ctl@debian.or.jp?body=help>
List-id: debian-users.debian.or.jp
List-owner: <mailto:debian-users-admin@debian.or.jp>
List-post: <mailto:debian-users@debian.or.jp>
List-software: fml [fml 4.0.3 release (20011202/4.0.3)]
List-unsubscribe: <mailto:debian-users-ctl@debian.or.jp?body=unsubscribe>
X-ml-info: If you have a question, send e-mail with the body "help" (without quotes) to the address debian-users-ctl@debian.or.jp; help=<mailto:debian-users-ctl@debian.or.jp?body=help>
X-ml-name: debian-users
X-mlserver: fml [fml 4.0.3 release (20011202/4.0.3)]; post only (only members can post)
X-spam-checker-version: SpamAssassin 3.1.7-deb3 (2006-10-05) on osdn.debian.or.jp
X-spam-level: *
X-spam-status: No, score=1.1 required=10.0 tests=GAPPY_SUBJECT,KI,PLING_QUERY, SUBJECT_ENCODED_TWICE autolearn=disabled version=3.1.7-deb3
References: <1253954900.11773.65.camel@xxxxxxxxxxxxxxxxxxxxxxxxxx> <f38522190909280558t5f926216x242e6f1ecd4b6296@xxxxxxxxxxxxxx> <1254148500.3513.39.camel@xxxxxxxxxxxxxxxxxxxxxxxxxx> <1254189748.2812.79.camel@xxxxxxxxxxxxxxxxxxxxx>
Message-id: <1254211041.9520.101.camel@xxxxxxxxxxxxxxxxxxxxxxxxxx>
X-mail-count: 53087
X-mailer: Evolution 2.22.3.1

mejikoです。返信ありがとうございます。


> LAN 内で Debian を使う場合、Windows 機があれば Samba、
> クラシックマック（OS8.x以前のマック）があれば Netatalk など、
> サーバーを入れておられるかもしれません。
> また ssh サーバも不可欠だと思います。
> あと、メールサーバーとかありますが、
> Apatch はまだ運用されていないようですし、
> その動かしておられるサーバーによって、
> セキュリティ対策すべきものではないのでしょうか？

サーバーによって、ですか。なるほど。

ただ、「こういうサービス」（ウェブサーバー・メールサーバー・ファイルサーバー云々……）を提供する場所（外部か内部か）にもよりますし、目的ややり方によっても若干変わると思います。




> > ほとんど見受けられるLinux系のセキュリティ対策のページや本は、サーバー向
> > けです。なのでデスクトップではどこまでが適切なのか、よく分からないので
> > す。
> 
> このあたり、どうも歯車が噛み合っていないようなもどかしさを、
> すごく感じます。
> 私自身は原則遮断、本当に必要なものだけを通す、これに徹しています。

つまり、サーバーもデスクトップも、セキュリティーについての考えは同じ、ということですね。分かりました。
基本はすべて拒否、というポリシーは確かデスクトップ・サーバー共通だと思いますし、実際自分のマシンにも適用しています。

不適切で、かつ誤解を招くような質問をしてしまったことをお許しください。

# ただ、あまりきつく締めすぎて、「/etc/security/access.conf」を「-:ALL:ALL」にして大変なことなることもあるそうです。誰もコンソールログインできない状態に……。


> どこにどのような設定ファイルがあり、
> それをどのように書けば、どのようになる、
> そうした地味な努力が必要ではないでしょうか？

自分もLinuxを始めて約九ヶ月ほど経ちますが（Vine→Frdora→Ubuntu→Debianと流れましたが）、それでもなお「どこにどのような設定ファイルがあり、それをどのように書けば、どのようになる」といったことがよく分からず、七転八倒することがよくあります。
今回のケースもそうなのかもしれません。

そんで下手に設定したりすると、Xが起動しなくなったり、フォントがおかしくなったり……。

本や様々な知識を駆使しつつ、地道な努力をしていくほうが、上達につながるかもしれませんね。時間はかかると思いますけど。

ネットワークやセキュリティの勉強もそうかもしれません。


algoさんへ


> 侵入を検知するシステムを入れたからと言っても、泥棒はかまわず入って来ま
> すよ。窓が割れて、泥棒が入った事は教えてくれますけど、泥棒を入れないよ
> うにしたり、泥棒を捕まえてくれるわけではありません。
> 現在は侵入そのものを遮断するIPS(Intrusion Prevention System)という手法
> が一般的で、市販のルータやスイッチなどに実装されています。
> UTM(Unified Threat Management)製品というネットワーク機器がありますので、
> そちらをお調べになったほうがよいと思います。



mejikoのパソコンはルータ（CTU）を介して（レベルは高、外部から内部への接続をすべてシャットアウトしている）接続してます。（フレッツ光ですから）


当方はIDS（ホスト型やネットワーク型両方に言えますが）は侵入を検知するも、防御までしてくれないということは分かっています。

algoさんの言う通り、侵入検知ではなく侵入そのものを阻止までするとなると、ホスト型ならSELinuxやTomoyoLinuxとかありますが、ネットワーク型となるとUTWやファイアウォール、ルータのファイアウォール機能ぐらいですかね……。基本オール拒否＋必要なもののみ開放とか。それでも受動的攻撃は防げませんし、アプリごとのフィルタリングもできません。

たとえOUTPUTチェインの基本ポリシーをドロップ（拒否）にすると、インターネットにつなげられませんよね。ユーザーがウェブアクセスがしたいといってポート80番のOUTPUTを許可したとしても、ふとしたときにトロイの木馬とかに感染して、機密データをポート80番で送信しまくってしまうと終わりじゃないですか？（いわゆる暴露ウイルスです）

サーバーの場合、不要なネットワークサービスを切るなり、サーバーの設定を変えるなりすることでブロックできることもあります。例えば、リッスンするアドレスをループバックにしておくとか。

そもそもLinux用のIPSは企業向けのものばかりですよね。SELinuxに実装するとか聞いたことありますけど。

http://www.itmedia.co.jp/enterprise/articles/0406/03/news011.html


ルータにIPSがあるなんて知りませんでした。情報ありがとうございます。ただCTUの場合、外向きからの攻撃は対処できるが、内向きから外向きへ行くものは特定のポートを除いて許可しているそうです。


UTMをはさむのもいいですが、家庭向けのものはありませんでした。それに一台でパソコン数台買えるほど高価ですし。

Follow-Ups:
- [debian-users:53089] Re: 侵入検知システム「Snort」について
  - From: tw

References:
- [debian-users:53057] 侵入検知システム「Snort」について
  - From: canon
- [debian-users:53078] Re: 侵入検知システム「Snort」について
  - From: Taku YASUI
- [debian-users:53080] Re: 侵入検知システム「Snort」について
  - From: canon
- [debian-users:53084] Re: 侵入検知システム「Snort」について
  - From: tw

Prev by Date: [debian-users:53086] Re: 侵入検知システム「Snort」について
Next by Date: [debian-users:53088] Re: リモートデスクトップ(vino)の設定に関して
Previous by thread: [debian-users:53084] Re: 侵入検知システム「Snort」について
Next by thread: [debian-users:53089] Re: 侵入検知システム「Snort」について
Index(es):
- Date
- Thread