2009年9月30日

[debian-users:53094] Re: 侵入検知システム「Snort」について

mejikoです。返信ありがとうございます。


> セキュリティツールでなく普通のソフトでも、
> Windows の場合あり得ますね。
> 何でもインストールできてしまう、つまり、
> Debian のようなパッケージ管理システムがないわけですから、、、
> まして複数のセキュリティツール!

> その戦いはきっと壮絶なものになるでしょうね^^;

はい、そうですね。Windowsには「パッケージ管理システム」という概念すらな
いので大変ですね。なのでコンフリクトするとシステム自体に影響しますし、最
悪アンインストールもうまく行かずに残骸が残り、それも影響してしまう(アン
インストールツールというのがあるほどです)ほどです。

さらに言うと(あまり関係のないことかもしれませんが)、Windowsは管理者
(権限)でログインするのがデフォルトです……。Linuxで言うと「ルート権限」
を常用しているのと同じことです。だからワンクリックで簡単にウイルス等に感
染するわけです。

「del C:\ /S /F」(rm -rf /)

システムを弄れる権限を持っていますので、普通にログインして、このようにコ
マンド一発でハードディスクを消すことだってできます。怖すぎる……。

もし制限ユーザー(一般ユーザー権限)ならば、被害は最小限に防げます。た
だ、権限がなくて動かせないソフトも多いですが。

Windowsには「Super User Do」(Sudo)や「Swich User」(Su)といった機能が
標準でないため、仕方ないのかもしれません。


Linuxなら、システムに関わることはルート権限が必要で、「いつもは一般ユー
ザー・時々ルート」なLinuxではある意味安全かもしれません。また、実行ファ
イルを落としても「実行権限」をつけない限り動きません。脆弱性やSetuidと
いった例外もありますが。

なおDebianのパッケージ管理システムで管理されているものなら「aptitude
purge hogehohe」などで完全削除ができますね。しかも残骸をほとんど残しませ
ん。

しかし、ソースコードを「configure&make」して「make install」したものの削
除は大変ですね。必ずしも「make uninstall」に対応しているとは限りません
し。checkinstallを使うか、別ディレクトリ(/optなど)にインストールする
か、ですね。

なお、Linuxでルートの常用ログインは「ご法度」です。

>
>
> > 今まで「デスクトップマシンでサーバー並のセキュリティ対策を」とデスクトッ
> > プとサーバーのセキュリティを混在して思っていましたが、どうやらそれは違う
> > ようでしたね。
> >
> > もし捉え型が違うようでしたらすいません。
> >
>
> いえ、そのような方向でいいのではないでしょうか。

わかりました。今後この方向で対策を練ります。


> > # せっかくSnortをインストールしたのでこのまま「デスクトップ向け」に活用
> > してきたいのですが……完全削除指定(purge)して出直したほうがいいのでしょ
> > うかね?
> >
>
> 申し遅れましたが私は 'Snort' なるものをよく知らないのです^^;
> ただ Synaptic の説明では、
> バッファオーバーフロー、ステルスポートスキャン、SMB 探査などが書かれてい
> ますね。

Snortについては色々ネットや本で事前に調べてインストールしました。まさし
くその通りなソフトです。なお、プロミスキャスモードがデフォルトですから、
mejikoは自ホストのみガードできればよいので「-p」をつけて無効化していま
す。

ただメモリも食うし、幾分やや重いので、次期バージョンから「psad+fwsnort」
に切り替えたいなと思っています。(自ホストのみなので、それなりに軽くなる
だろうとは思っていたのですけどね……)fwsnortが今のバージョンにバックポー
トされればすぐにでも切り替えたいくらいなんですけどね……。

とりあえずこれで運用しています。もちろん、ネットワークやセキュリティーの
勉強も欠かさず、です。


あとプロミスキャスモードの確認について、Linuxでは「ifconfig」で確認でき
ますが、その他の確認法はあるのでしょうかね? 最初にインストールした時に
「ifconfig」で確認しましたが「PROMISC」とは出ていませんでした。(記憶が
確かであれば)

しかしSyslogにプロミスキャスモードについてのログが出ていましたので、プロ
ミスキャスモードが有効になっているかは確認できました。

インストールして最初の起動(たぶん上二つ)と再設定したとき(たぶん下二
つ)と二つありますが、いずれも同じログです。もちろん再設定でプロミスキャ
スモードを無効化したので、これ以降のログにはこの二行はありませんでした。

このようなログです。調べてみると、このページに解説がかかれてありました。

また、lsatでスキャンしたときも「You are on a 2.6 kernel, you must check syslog
to see if you are in promisc mode」とか書いてありました。

kernel: [ 328.491515] device eth0 entered promiscuous mode
kernel: [ 328.497987] device eth0 left promiscuous mode
kernel: [ 328.501978] device eth0 entered promiscuous mode
kernel: [ 458.857612] device eth0 left promiscuous mode

http://ossmpedia.org/messages/linux/2.6.9-34.EL/29494.ja


ネットで調べた話によると、pingとarpを使って検知する方法もあるということ
も聞きました。それを使ったソフト「Promiscan」というソフトもありますが、
Linux版がないのが残念なところです。Linuxでは検査できないのでしょうかね。

もしpingでできるのなら、事前にpingを許可しておかないといけませんね。
(カーネルオプションとファイアウォールでがっちりブロックしているので)


またsnortを「-p」オプションでプロミスキャスモードを無効にしているのにも
関わらず、chkrootkitがこのように「snort」をスニファと検知します。
(dhclientについてはいろいろ調べてみた結果、誤検知のようみたいです)それ
以外は検知しませんでした。

Checking `sniffer'...
lo: not promisc and no packet sniffer sockets
eth0: PACKET SNIFFER(/usr/sbin/snort[4873], /sbin/dhclient3[5203])

rkhunterでは異常無しでしたし、プロミスキャスモードにはなっていないと出て
ました。
また、integritのログにも怪しいところは見つかりませんでした。

なんか食い違う……。

> ちなみに個人的にはよく分からないソフトをインストールするのは、
> 好きではありません。

そうですね。mejikoは最近野良の「deb」「run」ファイルはインストールしてい
ません。したとしても、信頼できるところ(大企業の大手プリンターメーカー・
グラボメーカー、Sourceforgeとか)からしか落としてません。

どこやらに落ちていたファイル、あういうのはある意味危険ですよね。特に
md5・sha1sumを開示していなくて完全性がはっきりしないソフトや、ファイルサ
イズだけ書いてあるがよくありますが、このようなファイルは極力扱いたくあり
ません……。

改竄してあっても気づかれない、ということですから。md5・sha1sumファイル
や、記載してあるページも改竄してあったらダメですけど。(まさか、こういう
ときこそGPGの出番?)

しかしそうはいっても扱わなければいけないときもありますが、その時は危険物
を扱うように慎重に……。

Debianのアーカイブからaptで落としてインストールしたほうが安全かもしれま
せん。といっても、中にはソフトの「内容」が分からないソフトもありますね。
やはりインストールする前に、ソフトの内容や説明をみて、自分にとって必要か
否かをみないといけませんね。


あと一度Debianの「non-free」「contrib」セクションのファイルをインストー
ルしまくり、後々ライセンスを読んで冷汗掻いたことがありました。シェアウェ
アだった、ってことも……(即刻消しました……。例えばnon-freeの「rar」パッ
ケージとか)


それ以来、極力こだわりがなれれば「main」リポジトリを使い、
non-free.contribのソフトは「ライセンス」をよく読んでインストールしてま
す。確かmainセクションは「Debianフリーソフトウェアガイドライン」に合致し
たものしかアップできないのですよね?

投稿者 xml-rpc : 2009年9月30日 15:07
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/89045
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。