RRDTOOL(Round Robin Database)と、
そのフロントエンド CACTI の組み合わせ でさまざまな情報を比較的簡単にグラフ 化できる。
外部のプログラム、スクリプトと組み合わ せて、さまざまなデータをグラフ化するこ とが可能。
RRDTOOLにはCACTI以外にも数多くのフ ロントエンドが存在するので、自分にあっ たツールを利用すると良い。
もちろん自力でRRDTOOLを操作するプロ グラムを書くのも良いでしょう。
ICMP-ECHOのレイテンシを監視
SNMPでトラヒック流量を監視
監視対象(エレメント)について
Syslog
z Syslogが吐き出すログの単位時間あたりの行数を単純 にカウントしてみる
z DoS攻撃やブルートフォースっぽい侵入手法、Virusや Wormなどの発生を知ることができる
z さらにログを分類してカウントすることで、さらに絞り込 んだ監視が可能になる
z 監視対象となるコンピュータをグループ化でさまざまな 分析も可能になる(HTTPサービスのグループ、クライア ントだけのグループ、アドレスレンジによるグループ等)
ネットワーク機器のログ
z プロトコルアノマリ(壊れたパケットや、プロトコル に従っていないパケットなど)を監視してみる
z DoS攻撃や、自分のネットワークがスプーフされている ことなどを知ることができる
z プロトコルのステートメント長を監視してみる
z 攻撃コードの実行など、異常な通信を発見できるかも しれない
設定ファイルなど
z コンピュータの設定ファイル、起動スクリプトなど をカウントしてグラフ化してみる
z これらのファイルに手が加えられれば、すぐさま 知ることができる
z 不正アクセス等による書き換えを検知できる
Snortを使って監視
z
Snort(というかNIDS)を使って、報告されたアラー トを分類したグラフを単純に描いてみる
アラート毎、アラートの種別毎に単純にグラフ化す るだけでも異常の発生を知ることができる
時間や他のイベントに関連して、検知のされかたに パターンが存在する
誤検知のアラートにもパターンが存在する これらから通常とは異なる振舞いを探し出す
Snortを使って監視
z Snortは、不正アクセス検知だけでなく、ネッ トワーク監視の強力なツールとなりえる
z Snortだけに限らず、他のツールも使い方次第
ルールを工夫して、SnortをIDSとしてでなく
ネットワーク監視ツールとして使ってしまおう
Snortを使って監視
例: SMTPのEHLOやPOPのUSER、HTTPのGETメソッド を検知するルールを書いて、検知数を一定時間ご とにRRDに記録する
Virusやインターネットワームの発生を知ることができる かも
またルールの工夫次第では、未知のワームや攻撃手法 の発生を知ることができるかもしれない
さらにサービスアベイラビリティの監視にもなる
Snortを使って監視
アイディア次第でさまざまな監視が可能
z 特徴を持ったトラヒックをカウントする
z 特定の文字列が表れるデータグラム
z 特定のフラグ構成のTCPパケット
z 特定の長さを持ったデータグラム
z どの条件にもマッチしないデータグラム
その他のツール
z TrafficLogger:
z
Monyolog
http://www.monyo.com/technical/products/monyolog/z
IPLOG
http://ojnk.sourceforge.net/ などなどどのコンピュータのどのポートから、どのコン
ピュータのどのポートへ通信が発生したかを監
視することができる
その他のツール
z その他監視系ツール
z Ntop http://www.ntop.org/ntop.html
z ShowTraffic http://demosten.com/showtraf/
どのコンピュータがどことどれくら
いのトラヒック量の通信を行ってい
るか監視できる
分散ネットワーク監視
これまで解説してきた手法をインターネット上で
行って、ネットワーク上で発生する異常を知る
自分のコンピュータで観測されている現象は他の
コンピュータでも観測されているのか?それは不
正アクセスでは無いのか?など知ることができる
かもしれない
分散ネットワーク監視
ネットワーク上の多くの地点で観測されたデータを Ipaddress順に従って並べてゆくだけでなく、ドメ イン順であったり、組織順に並べ替えてみる
不正アクセスの目標の検討をつけられるかもしれない
z 単なる気まぐれにターゲットを選んでいるのか
z 特定の機関を狙っているのか
z 日本全体を狙っているのか
発信元についても同様に分析すれば、インターネット
ワームの発生などにも比較的早く気がつくだろう
その他
z 監視エレメントのアイディアは尽きない。
z さまざまなアイディアを出し合ってネットワーク監視し よう。
z 「こういう監視をすれば、こうこう現象を知ることがで きる」
ネタあったら教えてください ヽ(´ー`)ノ
今後の予定
z システム情報を収集するエージェントの開発 を検討する
z この手法によるインシデント検知システムを 実際に構築してみる
z 定量化の手法、エレメント、シグネチャにつ いてのノウハウを蓄積する
z 自動分析ツールの可能性について模索する
z Snort ユーザ会でネタを練ってみようかな
まとめ
本来のコンピュータやネットワーク機器の監視 手法、つまりこれまで私たちが実施してきたシ ステム監視手法でも、切り口を変えることによっ て十分にインシデント発見手法として有効であ る
むやみに新しいソリューションを追わず、基
本に立ち戻ってじっくり考えてみよう。
参考資料
不正アクセス調査ガイド―rootkitの検出とTCTの使い方
伊原 秀明,渡辺 勝弘 著
オライリー・ジャパン ISBN: 4873110793
インシデントレスポンス―不正アクセスの発見と対策
ケビン マンディア , クリス プロサイス , エクストランス 訳,坂井 順行, 新井 悠 監 翔泳社 ISBN: 4798102954
ネットワーク侵入検知―不正侵入の検出と対策
武田 圭史, 磯崎 宏 著
ソフトバンクパブリッシング ISBN: 479731253X
ネットワーク不正侵入検知
ステファン ノースカット, ジュディ ノバク 著, エクストランス 訳, 矢野 博之 監 翔泳社 ISBN: 4798101427
参考資料
ネットワーク侵入解析ガイド―侵入検知のためのトラフィック解析法
ステフェン ノースカット, マット フィルノウ, マーク クーパー, カレン フレデリック 著 クイープ 訳, 武田 圭史 監
ピアソンエデュケーション ISBN: 4894714507
ハッカーの挑戦―20のシナリオで学ぶ不正侵入の手口と対策
マイク シフマン 著, 白浜 直哉 訳 翔泳社 ISBN: 4798103616
19の罠〜ハッカーの挑戦 2
マイク・シフマン, アダム・オドネル, ビル・ペニントン, デビッド・ポリーノ 著, 白浜 直哉 訳 翔泳社 ISBN: 4798104256