セキュリティ情報コーナー

最近、不正アクセスらしきものが多いような気がしてきました。そこで、できるだけみなさんに情報を開示するとともに、みなさんからも情報を寄せていただき、セキュリティを UP させるとともに、不正アクセスの実体を突き止めていきたいと考えています。

ページ紹介

  1. 基本的な考え方
  2. 不要なサーバーを立ち上げないこと
  3. アカウントの厳重な管理
  4. 最新のサーバを導入すること
  5. フィルターやトラフィックの管理
  6. アンチウィルスソフトの活用
  7. バックアップ

基本的な考え方

最近、Code Red やこんなアクセスが頻繁にあったので、今一度セキュリティを再考してみたいと思います。参考にしたのはSLチャレンジクラブです。

セキュリティを高めるに当たって、基本的な考え方は、

  1. どんなことをやっても、絶対に安全なセキュリティは存在しない(..;)らしいのです。世界のMSのサイトですら、やられるのですからね。
  2. 費用が分相応であること。過分な費用をかけてなにを守ろうというのでしょうか。
  3. ネットワークの利便性も考慮されること。
  4. 素人(こんな私)にも可能であること、であると考えています。

その上で、危険がどこにあるかによって対策は異なってくるらしく、大別すれば、
○ イントラネット(内部)からの危険
○ インターネット(外部)からの危険があり、

○ イントラネットからの危険では、PC の不正な操作や、不正ログオン・シャットダウン、不正インストール、不正な環境の変更などがあるそうだ。そして、その対策としては、キーボードやスイッチなどを不用意に押されないようにするだけ。不正ログオンされないよう、アカウント管理が重要です。まぁ、自宅サーバなら、泥棒に入られないようにすることと、家族にさわられないようにすること。そして自分のスキル不足で知らないうちに不正アクセスをしないこと、もとい、これって「失敗」っていうんだよね。PC の不正操作防止という点では、Linux だったら、一枚も二枚も上手。キーボードもマウスも接続しないで運転可能だからね。

○ インターネットからの危険では、これがいっぱいあって、

  1. リモートコントロール用サーバへの不正ログイン
  2. 通信の盗聴や、データの窃盗・改竄、システムの破壊など
  3. 共有に対する不正なアクセス
  4. SMTPサーバの不正利用
  5. サーバのセキュリティホールへの攻撃
  6. ホスト名やIPアドレスの詐称
  7. 不完全なパケット、または変形したパケットの送付
  8. 大量の同時アクセス、または巨大なデーの送付
  9. 最近多いのが、メールによるウィルスの送付などなど、があるそうな。(おいおい、急に「昔話」口調になってどうする。)

これに対する対策ですが、

  1. リモートコントロール用サーバへの不正ログインには、これらのサービスを立ち上げないようにするのがベスト。そうもいかない場合には、インターネットからのは標準のサービスポートにアクセスできなくする。有名な Telnet サービスは標準で TCP/23 を使用するので、これをルータやファイアウォールで閉じてしまう。それで不都合が出るのであれば、アカウント管理でしょうか。
  2. 通信の盗聴や、データの窃盗・改竄、システムの破壊などには、Telnet や FTPサーバなどに不正ログインされた場合に生じるものらしいので、リモートコントロール用サーバの不正ログオンと同様、どうもアカウント管理しかないようです。
  3. 共有に対する不正なアクセスも、これを設定しなければよいのですが、どうしても、サービスを提供するのであれば、ルータやファイアウォールで135、137、138、139、445 のTCP/UDPを閉じてしまいましょう。
  4. SMTPサーバの不正利用に対しては、これに対応したサーバを使用し、適切な設定を行うのみです。
  5. サーバのセキュリティホールへの攻撃に対しては、素人は無力です。サポート情報に気を配り、最新のパッチやサービスパックを導入し、少しでもセキュリティホールをなくすのみ。
  6. ホスト名やIPアドレスの詐称、こんなこと素人にはどうも理解できないが、とにかくルータやファイアウォールで、外部からのプライベートアドレスでの進入を排除するのみ。
  7. 不完全なパケット、または変形したパケットの送付によって、サーバが誤動作やハングアップすることを意味するらしく、常に最新版のサーバを利用するのみ。
  8. 大量の同時アクセス、または巨大なデータの送付に対しては、ネットワークのトラフィックをコントロールできるソフトを導入すること。
  9. メールによるウィルスの送付に対しては、アンチウィルスソフトの導入あるのみ。

と、まぁ、一般的な知識はここまで。これまでの対策をまとめると、

  1. 不要なサーバは立ち上げないこと。「共有」を設定しないこともここにはいるかな?
  2. アカウントの管理を厳重にすること。
  3. 最新のサーバを導入すること。
  4. ファイアウォールやルータで、フィルターや、ネットワークのトラフィックを管理すること。
  5. アンチウィルスソフトを導入すること。
  6. 最後はバックアップということになるかな。

ここまでが一般的知識。これをどう実現するのか?

△ ページ紹介に戻る

不要なサーバを立ち上げないこと。

これは、よけいなソフトをインストールするな、インストールしても立ち上げるなということだから、なにもしなければよいということになる。しかし、ことはそれほど簡単ではない。試しに、「コントロールパネル」から「管理ツール」→「サービス」や、「イベントログ」をたどっていくと、出るわ出るわ、稼働しているソフト。タスクバーに表示されるアイコンなんて数ではない。これらから、必要なものと不要なものを選別して云々、となるとそう簡単なことではない。

ここでは、一つ一つがどんな機能を有しているか、それを検証していくしかないのだが、そんな悠長なことをいっている時間もないので、インターネットで情報を集めた方がいいと思われる。私は、SLチャレンジクラブの教えに従って、とりあえず、

  1. DHCP Cliant
  2. DNS Cliant
  3. ISPEC Policy Agent

を停止しています。Linux の場合については、こちらを参照してください。

△ ページ紹介に戻る

アカウントの管理を厳重にすること。

ここも、上記のSLチャレンジクラブを参考にしてほしい。

  1. パスワードに要求されるのは、他人からわかりにくく、自分からは覚えやすいこと。しかし、言うは簡単、行うは難し。もののの本によれば、良いパスワードは、大文字と小文字の両方が混在しているもの、文字だけではなく数字や記号が含まれているもの、自分にちなんだものでもその一部をアルファベットや記号で置き換えたものなんだとさ。
  2. 最近パスワードを管理するソフトが流通している。試しては。

△ ページ紹介に戻る

最新のサーバを導入すること。

これは情報さえつかめれば、あまり難しくはないと思う。それでは、情報はどうやって仕入れるか。個人がインターネットにアクセスして適切なタイミングで情報を仕入れるなんて、一日やっていたって困難だ。本業が別にあればなおのこと。そこは、しかしインターネット。情報をみんなに集めてもらえばいいのです。そのために、

  1. インターネットの情報に詳しいサイトが発行している無料メールを申し込もう。
  2. 検索エンジンソフトを使って、サイトの更新情報を定期的に、しかも一気にチェックする、などの方法が考えられる。

私は、前者の方法を利用している。理由は、メールならネットワークトラフィックが最小限にすむし、PC 情報の専門家たちが魚の目たこの目(笑)で情報を集めてくれるからだ。

△ ページ紹介に戻る

フィルターやトラフィックの管理

いろいろな手法があるようで、実行(インストールするだけ?)はともかく、理解は非常に難しい。どれも外部(インターネット側)と内部(Lan側)を分断して、内部への進入を限定する機能を提供しようとするもの。

まず、フィルターの管理を考えた場合、以下の二つの方法に大別されるようです。

  1. ルータで防御---- IP フィルターの設定、ネットワークボードの2枚差し
  2. PC で制御------ ファイアウォールソフトの導入、プロキシーサーバの導入

ルータでの IP フィルターの設定については、ここを参照してください。要は、サーバを公開しなければならないにしても、限定して公開する。そのためにルータに割り当てられたグローバルアドレスをプライベートアドレスに変換する際に、限られたPCの、限られたポートのみを開放して、それ以外は閉じてしまうことがポイントになるかと思います。だから原則すべて非公開、個別に公開という原則に従って設定していくことになる。また、内部の情報が外に出ていかないようにすることです。

ネットワークボードの2枚差しは、要はルータを段階的に設置(ルータを複数個設置したのと同じで、費用の安いネットワークボードでそれを実現したもの。)し、Lan 側で異なるネットワークを構成して、仮に公開しているサーバにアクセスすることはやむを得ないとしても、それ以上内部には入れないようにする仕組みです。UNIX系のシステムにはポピュラーな手法のようですが、Win系でも実現できます。複数のPCをお持ちであれば、是非導入したいシステムです。また、現在流通しているダイアルアップルータの仕様は 10base-T ですが、これを設置すれば、Lan 内部だけは 100base-TX になるので、システムのスキルアップにもなります。

  1. やり方は、非常に簡単です。2 枚のネットワークボードを購入してきて、これを PC の PCI バスに設置し、ドライバーをインストールし OS に認識させます。
  2. 次に、1枚目(ルータに接続されている方)を、ルータと同じネットワーク系列の IP アドレスを割り当てます。たとえば、ルータのアドレスが 192.168.0.1 だとしたら、1 枚目に 192.168.0.2 と。(ほかで使用しているアドレスと重複しないように気をつけてください。)
  3. 2枚目(公開 PC から内部 Lan に接続されている方)には、1枚目と異なったネットワークアドレスを設定します。たとえば、193.168.1.1 とか。
  4. WINのレジストリエディタで、HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\IPEnableRouter のREG_DWORD の値を 0 から 1 に変更する。これで IP フォワーディングが有効となりました。
  5. 次にルーティング情報を設定しなければなりませんが、コマンドラインから route を使用する方法もありますが、面倒。ここは RIP リスナーとか言うサービスに任せよう。コントロールパネルからアプリケーションの追加と削除を開き、Windowsコンポーネントの追加と削除を選択、ネットワークサービスを選択し、RIP リスナーにチェックを入れ、インストールしてください。後はシステムを再起動すれば、自動的にルーティングされているはずです。

--こんな感じ--

  ルータ 1台目の PC 2台目の PC
1枚目の IP アドレス 192.168.0.1 192.168.0.2 192.168.1.2
2枚目の IP アドレス   192.168.1.1  
ゲートウェイ 192.168.0.1 192.168.1.1
 

このPCが2台目のルータの機能を果たしている。

 3台目の PC
1枚目の IP アドレス 192.168.1.3
2枚目の IP アドレス  
ゲートウェイ 192.168.1.1


3枚以上でも可能なはずです。自分は実践しておりませんが。

ファイアウォールソフトについては、ホスト型とネットワーク型に大別されます。ホスト型は、文字通りインストールした PC を個々に監視します。ということは、システムによっては、すべての PC にインストールする必要があることになりますね。ネットワーク型は、ネットワークの入口を監視します。だから、最前線の PC にインストールすれば足りることになる?はずなんですが、セキュリティに絶対はないというからどうでしょうか。(ネットワーク型は、ポートを監視しているだけで、ブロックはしません。「進入検知システム 」(IDS = Intrusion Detetion System )と呼ばれています。だからファイアウォールソフトととは別にすべきなのかもしれませんが、便宜上、一緒にさせていただきます。)

○Free版

ソフト名 備考
ZoneAlarm ホスト型、個人利用に限りFree
Sygate Personal FireWall ホスト型、個人利用に限りFree
Tyny Personal Firewall ホスト型、個人利用に限りFree
Netmon ネットワーク型?監視ツール、Free
Snort ネットワーク型、Free、WINPcap いうDDLが必須。GUIで操作する場合は、ここに説明があります。

ここでは、Snortの導入方法を解説します。

  1. ダウンロードした winpcap.exe をダブルクリップしてインストールします。
  2. Snortはzip形式で圧縮されているので、解凍ツールで任意のディレクトリーに解凍する。そしてそこにインストールされている Snort.conf をエディタで開き、編集する。33 行目にある var HOME_NET 10.1.1.0/24 をインストールした PC のネットワークアドレスに書き換える。たとえば192.168.0.1/24 などと。最小限の設定はこれだけ。
  3. Snort_panel.zipを解凍し、setup.exe をダブルクリックするとインストールが開始される。インストールが終了するとタスクトレイに常駐している
  4. snort.panel をダブルクリックして起動し、
  5. Application タブでは、snort.exe をフルパスで指定する。
  6. Log&Alerts タブでは、snort のログファイルを保存するディレクトリを指定することと、Enable Logging にチェックを入れる。
  7. Rules タブでは、Enable Rules にチェックを入れることと、snort.conf ファイルをフルパスで指定する。
  8. Snort Control タブでは、デフォルトのままにする。
  9. Preferrences タブでは、ログ確認用エディタをフルバスで指定するだけ。Reset Alrert After Viewing Alerts Files は自分の環境に合わせて設定すればよい。Start Snort when snort_panel is started のチェックはつけた方が便利だと思います。以上です。

Snort が進入を検知すると、タスクトレイのアイコンが点滅します。これは許可された進入か不許可の進入かを問いません。これがログファイルに記録されていきます。アイコンの右クリックメニューで開く Open Alert_IDS を選択し、中身を確認することにより、不正な進入だった場合は、必要な対応をとるといった具合となるかと思います。

○有償版(資金が潤沢な方はどうぞ)

BlackICE Defender ネットワーク型?、はっきりしませんが、これにはブロック機能があります。ダウンロード版で 6,500 円、TCP の監視とディフェンダー、あらゆるプロトコルに対応したサーバ版は 49,500 円から
WinWrapper ホスト型、ファイアウォール、Webフィルタリング機能、ステルス化機能など。13,545 円
WinGate4 ファイアウォールとプロキシー機能、機能とライセンス数によって 6,000 円〜 150,000 円

有名どころでは、アンチウィルスソフトの2大巨頭、Trendmicro 社のウィルスバスター 2001 や、Symantec 社のインターネットセキュリティにはパーソナルファイアウォール機能が付いています。アンチウィルスソフトも必須となると、アンチウィルスソフトとパーソナルファイアウォール機能が付いている、こちらの方が得かも? パーソナルファイアウォールを勧める記事がありました。この中では、新たな Outpost という Free のファイアウォールも紹介されています。

-- 注意 --
ファアウォールは、「火災の延焼をくい止める防火壁のように、外部のインターネットと内部のネットワークを隔てて防御するセキュリティシステム」などと説明されており、具体的にはファイアウォールソフトを指すことが多いようです。しかし、これは、外部のネットワークから不正なアクセスを防御するシステムを総称する概念で使用されるべきであり、ファイアウォールソフトはソフト的に、IP フィルターはハード的にこれを実行しているだけだと考えます。従って、このページでも、説明の都合上、ファイアウォールをソフトの紹介としておりますが、IPフィルターやネットワークルーティングなどと同列に扱わせていただきました。

いろいろ紹介しておりますが、「完全ではない」ことに留意してください。IP フィルターは許可しないパケットを排除するだけであり、外部からのアクセスを許可しているパケットは当然通過するし、これにウィルスが含まれているかなんて監視されていない。ネットワーク型のファイアウォールにしてもせいぜい流れている IP パケットのヘッダを調査しているだけだとの指摘もあるようです。これなら、性能の良いルータでもできること。要は、コストに見合うだけの効果があるかどうかということになると思いますが、Free 版もあるようですので、「完全ではないこと」を念頭に、導入を検討されると良いと思います。

proxyサーバの活用については、こちらを参考にしてください。

△ ページ紹介に戻る

アンチウィルスソフトの活用

フィルター管理は、内部に入れるか入れないかを決定するもの。内部に入れたパケットの中身までをチェックするには、アンチウィルスソフト。導入あるのみ

元々、「ウィルス」は、自然界のウィルスのように、感染、潜伏、発病という3つのサイクルを持っているのを指していたのだそうです。感染ルートはフロッピーやインターネット、メールなどで、PCに入り込み、ファイルにとりつき、潜伏期間を経て発病するからです。でも、ファイルにとりつくのではなく、プログラムそのものが悪さをする「トロイの木馬」という不正プログラムが発見されるにいたり、今日では不正なプログラムを含めて「ウィルス」と呼ぶようになったそうです。<Trendmicro 社より>
  1. Trendmicro 社のウィルスバスター 2001
  2. Symantec 社のインターネットセキュリティ
  3. なんと Free で利用できるものもありました。PC Saverただし、現在はサービスメンテナンスのために新規ダウンロードサービスは休止中です。残念ですが。

これらのアンチウィルスソフトでは、Port 110 の監視にとどまり、SMTP の Port 25 は監視していないようです。だから、メールクライアントでの受信時に、ウィルスファイルが添付されたメールをブロックされるようですので、送付されるメールが自分宛であれば不都合はないようですが、ISP のように、メールを SMTP でリレーするサービスを提供し出すと、ウィルスファイルが添付されたメールを事前にチェックし(あるいは駆除して)配送するということにはできないようです。別にサーバー用のアンチウィルスソフトを導入する必要があるようです。

パケットの中身という点では、スパイウェア対策も必要です。スパイウェアとは、ユーザーの個人情報を盗み見て,漏洩させるソフトのことです。いまのところ悪質なものは少ないのですが,自分の知らないところで,個人情報が漏れているかもしれないし、トラフィックを無駄に浪費したり、システムを不安定にさせる要因にもなります。スパイウェアを駆除するソフト「Ad-ware」がFreeで提供されています。一度、試されてはいかがでしょうか。「SpyBlocker」は有料になったようです。

△ ページ紹介に戻る

バックアップ

ハード的なバックアップとソフトによるバックアップが考えられます。

ハードによるものは、RAID 1 システムを構築することです。RAID カードとハードディスクを複数用意して二重化するシステムです。数万円の投資が必要です。RAID にもいろいろなシステムがありますが、よく知られていて、個人的にも手が出るシステムには以下のものがあります。セキュリティの観点からは、RAID 1 または、RAID 0+1 を採用することが必要です。当サイトでは Promise FASTRACK 100 Pro を使用し、RAID 1 を実現しています。

RAID 0

(別名:ストライピング)

 データをストライプ単位(数KBなど)に分割して、2個以上のHDDに記録していきます。複数のドライブが並列アクセス可能であれば、単純計算でディスクのREAD・WRITEにかかる時間はディスク台数分の1となり、それだけの高速化が見込めます。エラー防止の機構を持たないので、純粋に高速化のためだけのRAIDと言えます。
RAID 1

(別名:ミラーリング)

 2台のHDDにまったく同じ内容を記録することで、データに冗長性を持たせ、ディスクの信頼性を高める性質を持ちます。片側のHDDが壊れてもデータはもう一方に同一内容が記録されているわけですから、ディスクシステムの信頼性は飛躍的に向上しますが、データの記録効率は伸びません。
RAID 0 + 1 単純に「RAID 0」と「RAID 1」を組み合わせたものです。4 台のHDDを使い、ストライピングの 2 台をもう 2 台の HDD でミラーリングを行います。高速性とデータの信頼性の両立となりますが、データの記録効率はミラーリングと同じく半分程度になってしまいます。

ソフトウェアによるバックアップは、バックアップソフトを使用して、同一の媒体の別のディレクトリや、別の記録媒体にバックアップファイルを作ることです。

 トップページに戻る

△ ページ紹介に戻る