[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:53087] Re: 侵入検知システム「Snort」について



mejikoです。返信ありがとうございます。


> LAN 内で Debian を使う場合、Windows 機があれば Samba、
> クラシックマック(OS8.x以前のマック)があれば Netatalk など、
> サーバーを入れておられるかもしれません。
> また ssh サーバも不可欠だと思います。
> あと、メールサーバーとかありますが、
> Apatch はまだ運用されていないようですし、
> その動かしておられるサーバーによって、
> セキュリティ対策すべきものではないのでしょうか?

サーバーによって、ですか。なるほど。

ただ、「こういうサービス」(ウェブサーバー・メールサーバー・ファイルサーバー云々……)を提供する場所(外部か内部か)にもよりますし、目的ややり方によっても若干変わると思います。




> > ほとんど見受けられるLinux系のセキュリティ対策のページや本は、サーバー向
> > けです。なのでデスクトップではどこまでが適切なのか、よく分からないので
> > す。
> 
> このあたり、どうも歯車が噛み合っていないようなもどかしさを、
> すごく感じます。
> 私自身は原則遮断、本当に必要なものだけを通す、これに徹しています。

つまり、サーバーもデスクトップも、セキュリティーについての考えは同じ、ということですね。分かりました。
基本はすべて拒否、というポリシーは確かデスクトップ・サーバー共通だと思いますし、実際自分のマシンにも適用しています。

不適切で、かつ誤解を招くような質問をしてしまったことをお許しください。

# ただ、あまりきつく締めすぎて、「/etc/security/access.conf」を「-:ALL:ALL」にして大変なことなることもあるそうです。誰もコンソールログインできない状態に……。


> どこにどのような設定ファイルがあり、
> それをどのように書けば、どのようになる、
> そうした地味な努力が必要ではないでしょうか?

自分もLinuxを始めて約九ヶ月ほど経ちますが(Vine→Frdora→Ubuntu→Debianと流れましたが)、それでもなお「どこにどのような設定ファイルがあり、それをどのように書けば、どのようになる」といったことがよく分からず、七転八倒することがよくあります。
今回のケースもそうなのかもしれません。

そんで下手に設定したりすると、Xが起動しなくなったり、フォントがおかしくなったり……。

本や様々な知識を駆使しつつ、地道な努力をしていくほうが、上達につながるかもしれませんね。時間はかかると思いますけど。

ネットワークやセキュリティの勉強もそうかもしれません。


algoさんへ


> 侵入を検知するシステムを入れたからと言っても、泥棒はかまわず入って来ま
> すよ。窓が割れて、泥棒が入った事は教えてくれますけど、泥棒を入れないよ
> うにしたり、泥棒を捕まえてくれるわけではありません。
> 現在は侵入そのものを遮断するIPS(Intrusion Prevention System)という手法
> が一般的で、市販のルータやスイッチなどに実装されています。
> UTM(Unified Threat Management)製品というネットワーク機器がありますので、
> そちらをお調べになったほうがよいと思います。



mejikoのパソコンはルータ(CTU)を介して(レベルは高、外部から内部への接続をすべてシャットアウトしている)接続してます。(フレッツ光ですから)


当方はIDS(ホスト型やネットワーク型両方に言えますが)は侵入を検知するも、防御までしてくれないということは分かっています。

algoさんの言う通り、侵入検知ではなく侵入そのものを阻止までするとなると、ホスト型ならSELinuxやTomoyoLinuxとかありますが、ネットワーク型となるとUTWやファイアウォール、ルータのファイアウォール機能ぐらいですかね……。基本オール拒否+必要なもののみ開放とか。それでも受動的攻撃は防げませんし、アプリごとのフィルタリングもできません。

たとえOUTPUTチェインの基本ポリシーをドロップ(拒否)にすると、インターネットにつなげられませんよね。ユーザーがウェブアクセスがしたいといってポート80番のOUTPUTを許可したとしても、ふとしたときにトロイの木馬とかに感染して、機密データをポート80番で送信しまくってしまうと終わりじゃないですか?(いわゆる暴露ウイルスです)

サーバーの場合、不要なネットワークサービスを切るなり、サーバーの設定を変えるなりすることでブロックできることもあります。例えば、リッスンするアドレスをループバックにしておくとか。

そもそもLinux用のIPSは企業向けのものばかりですよね。SELinuxに実装するとか聞いたことありますけど。

http://www.itmedia.co.jp/enterprise/articles/0406/03/news011.html


ルータにIPSがあるなんて知りませんでした。情報ありがとうございます。ただCTUの場合、外向きからの攻撃は対処できるが、内向きから外向きへ行くものは特定のポートを除いて許可しているそうです。


UTMをはさむのもいいですが、家庭向けのものはありませんでした。それに一台でパソコン数台買えるほど高価ですし。