Microsoft Word - security.doc

Similar documents
McAfee Application Control ご紹介

6-3.OS セキュリティに関する知識 OS のセキュリティ機能として必要な機能と オープンソース OS とし Ⅰ. 概要てもっとも利用が期待される Linux のセキュリティ管理に関して 電子メール Web CGI DNS などの具体的な管理手法について学ぶ Ⅱ. 対象専門分野職種共通 Ⅲ. 受講

任意の間隔での FTP 画像送信イベントの設定方法 はじめに 本ドキュメントでは AXIS ネットワークカメラ / ビデオエンコーダにおいて任意の間隔で画像を FTP サー バーへ送信するイベントの設定手順を説明します 設定手順手順 1:AXIS ネットワークカメラ / ビデオエンコーダの設定ページ

PowerPoint Presentation

MC860dn/MC860dtn スキャン To CIFS(Windows 7 Professional) Rev.0.1 スキャン To CIFS は スキャンしたデータをネットワーク上の Windows PC の共有フォルダに転送する機能です 以下の操作にはコンピュータの管理者の

Upload path ファイル送信先ディレクトリのパスを指定します ホームディレクトリに画像を送信する場合は空白のまま サブディレクトリに画像を送信する場合はディレクトリ名を指定します さらに下位のディレクトリを指定する場合は \ マークを利用します 例 ) ホームディレクトリ以下の camera

注意 : ネットワークカメラの画像を回転させて表示した場合 モーション検知ウインドウは回転しないまま表示されますが 検知ウインドウは被写体に対して 指定した場所通りに動作します モーション検知ウインドウの縦横のサイズは 8 ピクセルで割り切れるサイズに自動調整されます モーション検知ウインドウを作成

Upload path ファイル送信先ディレクトリのパスを指定します ホームディレクトリに画像を送信する場合は空白のまま サブディレクトリに画像を送信する場合はディレクトリ名を指定します さらに下位のディレクトリを指定する場合は \ マークを利用します 例 ) ホームディレクトリ以下の camera

付録 2 システムログ一覧 () 攻撃経路 1. ファイアウォール (FW) ネットワーク型 IPS/IDS Web サーバ AP サーバ DB サーバ プロキシサーバ エラーログ SSL ログ AP ログ ホストログ 非 日時 ファイアウォールホスト名 ファイアウォールルール名及び番号 インバウン

2

ServerView RAID Manager VMware vSphere ESXi 6 インストールガイド

Microsoft Word - XOOPS インストールマニュアルv12.doc

2. Save をクリックします 3. System Options - Network - TCP/IP - Advanced を開き Primary DNS server と Secondary DNS Server に AXIS ネットワークカメラ / ビデオエンコーダが参照できる DNS サ

正誤表(FPT0417)

Microsoft Word - xfinderマニュアル.docx

動体検知によるメール送信イベントの設定方法(ファームウェアⅴ7.1ⅹ以上)

Template Word Document

URoad-TEC101 Syslog Guide

SMB スイッチ CLI に SSH を使用してアクセスするか、または Telnet で接続して下さい

Web 認証拡張機能簡易ドキュメント

PC にソフトをインストールすることによって OpenVPN でセキュア SAMBA へ接続することができます 注意 OpenVPN 接続は仮想 IP を使用します ローカル環境にて IP 設定が被らない事をご確認下さい 万が一仮想 IP とローカル環境 IP が被るとローカル環境内接続が行えなくな

ServerView Resource Orchestrator V3.0 ネットワーク構成情報ファイルツール(Excel形式)の利用方法

TECHNICAL GUIDE: ARCSERVE UDP APPLIANCE Arcserve UDP アプライアンス ハードウェアエラーの メール通知設定 2019 年 2 月 REV: 1.1

(4) 変更するアカウントを選びます の下に 作成したアカウント FAX が表示されているので クリックします (5) [ パスワードを作成する ] をクリックします (6) [ 新しいパスワード ] 欄に設定するパスワード ( ここでは例として fax ) を入力します [ 新しいパスワードの確認

目次 目次 準備いただくもの 準備 SQLServer2008 R2 ExpressEdition のインストール インストールの前に インストール 設定一覧 機

Net'Attest EPS設定例

SAMBA Stunnel(Windows) 編 1. インストール 1 セキュア SAMBA の URL にアクセスし ログインを行います xxx 部分は会社様によって異なります xxxxx 2 Windows 版ダウンロード ボ

SAMBA Remote(Mac) 編 PC にソフトをインストールすることによって OpenVPN でセキュア SAMBA へ接続することができます 注意 OpenVPN 接続は仮想 IP を使用します ローカル環境にて IP 設定が被らない事をご確認下さい 万が一仮想 IP とローカル環境 IP

1. 一般設定 グローバル設定 ここでは 以下の 4 つのケースを想定し ファイルサーバーを設定する手順を紹介します 既に Windows ネットワーク上に存在するワークグループに参加する場合 Windows ネットワーク上に新たにワークグループを作成する場合 既に Windows ネットワーク上に

Windows XPファイル送信方法 SMB編

ホスティングA管理画面[Plesk]マニュアル コンテンツアップロード編

CloudEdgeあんしんプラス月次レポート解説書(1_0版) _docx

クライアントバックアップツールマニュアル

障害およびログの表示

Microsoft Word - SSL-VPN接続サービスの使い方

SAMBA Stunnel(Mac) 編 1. インストール 1 セキュア SAMBA の URL にアクセスし ログインを行います xxxxx 部分は会社様によって異なります xxxxx 2 Mac OS 版ダウンロー

8. Windows の補足情報 コマンドの使用についての説明です Windows からのファイル直接印刷 Windows でコマンドを使用したファイル直接印刷の方法についての説明です この機能はネットワーク接続をしているときに使用できます この方法で印刷できるファイルは 本機が搭載しているエミュレ

WebARENA SuiteX V2 EC-CUBE 2.13 インストールマニュアル ( 標準 MySQL+ 非 SSL ) 作成 :2014 年 2 月 Ver.1.1

パケットモニター (Wireshark) の使い方 第 1 版 1.Wireshark とは ネットワーク上 (LAN ケーブルに流れている ) のパケットを取得して その中の情報を画面に表示するソフトウェア (LAN アナライザーまたはパケットモニター ) の 1 つに Wiresh

レプリケーションについて レプリケーション元に設定したメイン機の共有フォルダーと レプリケーション先に指定した予備機の共有フォルダーを同期し 同じ状態に保ちます (LAN 環境により遅延が発生します ) 遠隔地へのレプリケーションにより メイン機側での災害 事故によるデータ損失のリスク低減ができます

How_to_use_integritycheck

ServerView RAID Manager VMware vSphere ESXi 5 インストールガイド

Thunderbird 利用 Windows Mac 共通 Thunderbird を利用した移行は Web メールのフォルダを階層化している場合 移行ができない場合があります この場合の移行は Outlook を利用した移行で行ってください メールの移行マニュアル 本書は Office 365 導

Maser - User Operation Manual

Windows 7ファイル送信方法 SMB編

「MT-3_2-ja

ftServerでのログの取得方法の概要

MM メール携帯の 設定マニュアル 作成 : 寺岡善隆 編集 : 中島幸喜 町中道子 作成日 :2 005 年 7 月 1/11

CUBICS Learning

KiwiSyslogServer/KiwiLogViewer製品ガイド

Shareresearchオンラインマニュアル

改版履歴 版数 改版日付 改版内容 /03/14 新規作成 2013/03まで製品サイトで公開していた WebSAM DeploymentManager Ver6.1 SQL Server 2012 製品版のデータベース構築手順書 ( 第 1 版 ) を本 書に統合しました 2

2 目次 1 はじめに 2 システム 3 ユーザインタフェース 4 評価 5 まとめと課題 参考文献

PowerPoint Presentation

Microsoft PowerPoint - APM-VE(install).pptx

スライド 1

はじめに このドキュメントではftServerに関する障害調査を行う際に 必要となるログ データの取得方法を説明しています ログ データの取得には 初期解析用のデータの取得方法と 詳細な調査を行うときのデータ取得方法があります 特別な理由でOS 側のログが必要となった場合には RHELログの取得につ

Oracle Universal Content Management ドキュメント管理 クイック・スタート・チュ-トリアル

1. 概要 この章では HDE Controller X LG Edition をお使いの方に向けて LGWAN 接続に特化した設定の説明をします HDE Controller X LG Edition 以外の製品をご利用のお客様はこの章で解説する機能をお使いになれませんのでご注意ください 452

2006

ServerViewのWebアクセス制限方法

ログインおよび設定

LSFE_FW

E S E T F i l e S e c u r i t y LAN DISK H シリーズパッケージ ( 機能追加 ) ご注意 事前に本パッケージの追加をおこなってください パッケージの追加方法は 画面で見るマニュアル をご覧ください 本パッケージの追加は HDL-H シリーズファームウェアバー

改版履歴 本書の改版履歴は以下のとおりです 日付 改版理由 変更箇所 版数 2014/09/04 初版発行 版 2015/03/30 第 1.1 版に改訂 対象 OS 追加 1.1 版 2015/07/10 第 1.2 版に改訂 対象 OS 追加 1.2 版 2015/09/04 第 1

Proselfの利用方法

Microsoft Word - ManagerIPChange.doc

MxLogonサーバサイドツールキット用UI

本文中の記号の意味 本文中で使用している記号の意味について以下に示します システムの操作上または処理の手続き上において 特に注意していただきたい事項を記載しています 記載内容を必ずお読みください システムの操作上または処理の手続き上において 参考にしていただきたい事項を記載しています 必要に応じてお

研究室LANの設定方法

ServerView RAID Manager VMware vSphere ESXi 5 インストールガイド

Microsoft Word - Gmail-mailsoft_ docx

FutureWeb3サーバー移管マニュアル

Domain Time II

EPS設定例

9 WEB監視

OSSTechドキュメント

スライド 1

汎用プロキシ利用案内 汎用プロキシ利用案内 目次 汎用プロキシ利用案内 はじめに 汎用プロキシとは 利用可能なポート 概要 動作環境 インストール Windows <I

アプリケーション インスペクションの特別なアクション(インスペクション ポリシー マップ)

マニュアル訂正連絡票

Red Hat Enterprise Linuxのcron(8)デーモンにデフォルト定義されたtmpwatch命令の動作による、WebOTXのトラブル対処方法

Outlook Express 6 の場合 (Windows XP) Outlook Express 6 の場合 (Windows XP) Windows XP に付属する Outlook Express 6 に αweb のメールアカウントを追加する方法についてご案内します 1 スタート をクリッ

メール利用マニュアル (Web ブラウザ編 ) 1

メール設定

Microsoft Word - VPN...[.U.K.C.hLinux doc

MultiStageマニュアル_メール設定編

Microsoft Word - シャットダウンスクリプトWin7.doc

conf_example_260V2_inet_snat.pdf

6-2- 応ネットワークセキュリティに関する知識 1 独立行政法人情報処理推進機構

(Microsoft PowerPoint - TASKalfa256ci\274\330\260\275\336_FAX\216\363\220ME\322\260\331\223]\221\227\220\335\222\350Ver1.1.ppt)

目次 1 環境 バージョン インストール環境 インストール手順 前提条件 CentOS SSHD の設定 VSFTPD の設定 コンテンツ管理 CGI のイ

R80.10_FireWall_Config_Guide_Rev1

ホームページ公開方法

Troubleshooting SSH connections with Reflection X

索引

D-View 6.0 Firmware Release Notes

アライドテレシス ディストリビューション・スイッチ AT-x600シリーズで実現するMicrosoft® NAP

対応 OS について WindowsOS への対応状況 2010 年 10 月時点で用意させていただいている CiscoVPN ソフトウェアですが 対応している OS は WindowsXp WindowsVista Windows7 となります また WindowsVista Windows7 の

注意 インストール中に ユーザアカウント制御 ( 以下 UAC といいます ) の実行確認画面が表示されることがあります 表示された場合ははいをクリックして インストールを進めてください なお 管理者以外の場合 管理者への昇格を求める UAC 画面が表示される場合がありますので 管理者アカウントのパ

Transcription:

サーバーのセキュリティ対策の検証 岡田佳浩 1) 千代谷一幸 1) 早川正人 1) 青木延幸 1) 1) 鬼頭良彦 1) 工学研究科 工学部技術部電子 情報技術系 はじめに近年 名古屋大学においても不正アクセス等の報告が増えてきており サーバーを安全に運用するためには セキュリティ技術の向上が不可欠である 特に サーバー管理において セキュリティ対策における不正アクセスの防止は重要課題となっている 日常対策としてアクセス制限や暗号化通信等は広く利用されているが それでも防ぎきれない場合も増えてきており 日常的な監視でその兆候をいかに見つけるかがポイントとなる そこで 本研修では OS の異なる 2 台のサーバーに 不正アクセス検知のためのセキュリティ対策ツールをインストールし ソフトの検証と不正アクセス時のログの検証を行った 1. 検証ツール及び検証方法セキュリティ対策ツールは多数存在する 用途別に代表的なものとして次のようなものがある パスワードのチェックJohn the Ripper, Crack, Kerbers, S/Key 見破られやすいパスワードを設定しているユーザーを見つける ファイルシステムの改ざんチェックTripwire, Trojan, Chkrootkit 不正アクセス等によってシステムに不審なファイルが存在していないかチェックする ログファイルのメッセージ監視Snort, Swatch, Chklastlog, Chkwtmp, Logcheck ネットワークに流れているパケットを監視し ログの中から不審なアクセスを見つける セキュリティホールのチェックCops, Saint, Nessus, Tiger, Titan, Satan システムファイルをチェックし パーミッション等の設定にエラーがないかチェックする ポートスキャンNmap, PortScanner(PC)( 本研修ではセキュリティツールの動作確認に使用 ) ネットワーク接続に利用されるポートの状況をチェックする 本研修では サーバーとなる 2 台の計算機に Solaris9 VineLinux2.1.5 の OS をインストールし フリーなソフトであるということを基本として 下線で示したセキュリティツールについて それぞれのサーバーにインストールし ソフトの検証を行った また 他のパソコンから不正アクセス等を行ったときのサーバーのログの検証を行った その中から 外敵からのセキュリティ対策にポイントをおいた John the Ripper Tripwire Snort Swatch について報告する 2. 検証結果 2.1 Joon The Ripper John the Ripper は 解読されやすいパスワードが使用されていないか調べるため ホストに保存されているパスワードファイルからパスワードの解読を行う DES MD5 等のハッシュに対応しており クラッシュ等に備え ポインタ情報が一定時間ごとにセーブされる UNIX 用の他に Windows 用もある シャドーパスワード形式の場合 パスワードファイルとシャドーファイルを結合した解析用のパスワードファイルをアンシャドーコマンドで作成し 使用する

John the Ripper の起動は./john -wordfilepassword.lst./passwdfile ( ワードファイルモードでの起動例 ) のように John コマンドにオプションと解析対象のパスワードファイルを指定して実行する オプ ションには 解析モードやハッシュ等を指定する 主な解析モード指定オプションには single ユーザー ID や名前等パスワードファイルの情報を基に解析 wordfile 辞書ファイルを用いて解析 ( 使用する辞書ファイルを指定する必要がある ) incremental 総当たり解析 ( 全ての文字列を試す ) がある オプションを指定しない場合 single( シングルクラックモード ) wordfile( ワードフ ァイルモード ) incremental( インクリメンタルモード ) の順に設定ファイル john.ini の記述に 従い 解析を行う 図 1に John the Ripper の実行例 ( オプション指定なし ) を示す John the Ripper はフォアグ ラウンドで実行され 解読されるごとにパスワードとユーザー ID が表示されていく また 解析途 中に何かキーを押すと その時点の進行状況が表示される test7 までの 5 つは パスワードをユ ーザー ID または名前と同じ #./john./passwdfile に設定したため シングルク Loaded 32 passwords with 32 different salts (FreeBSD MD5 [32/32]) ラックモードにより解読さ check13 (check13) れた check10 以下はワード test12 (check12) kensyu (kensyu) ファイルモードにより解読 test6 (test6) された なお インクリメン test6 (test7) guesses 5 time 0000120 95% (1) c/s 967 trying test11931 タルモードは長時間におよ 12345678 (check10) ぶので中止した これらのこ 123abc (test11) monday (check4) とから パスワードはユーザ blue (test9) ー ID や名前等の内容と同一 friday (check6) red (test8) にしない ということや 平 yellow (test10) network (check1) 易な単語等のパスワードの guesses 13 time 0000147 0% (2) c/s 976 trying Wheels 使用は避けた方がよい とい sunday (check5) うことがいえる 2222 (test2) 図 1 John the Ripper の実行例 2.2 Tripwire Tripwire は ディレクトリやファイル情報の元になるデータベースを作成しておき そのデータ ベースと現在のディレクトリやファイルとの整合性をチェックすることによって ディレクトリや ファイルが改竄されていないかチェックする チェックするファイル等はポリシーファイルで指定 する また ファイルのハッシュ値をデータベース化してチェックする フリー版 商用版がある が 本研修では フリーのオープンソース版を使用した データベースはファイルやディレクトリのハッシュ値の集合体になっており データベースに反 映させるファイル等はポリシーファイルを参照する データベース作成でファイルが無い等の警告 が出た場合 ポリシーファイルを修正し データベースを更新する 作成したデータベースを基に 定期的に整合性のチェックを行う 整合性違反があった場合 セキュリティ上問題ないか検討 対 応する また 変更があったファイルについてポリシーファイルの修正が必要なら修正する

図 2は テキストベースのポリシーファイルから ルールに関する部分を抜粋したものである # Tripwire Binaries ( () で囲まれたルール属性部分と {} で囲まれたル rulename = "Tripwire Binaries", ール設定部分との組み合わせで1つのルールが構 severity = $(SIG_HI) ) 成される 編集するのはルール設定に関する部分 { で 必要に応じてチェックするファイルを追加 $(TWBIN)/siggen -> $(SEC_BIN) ; $(TWBIN)/tripwire -> $(SEC_BIN) ; 削除またはコメントアウトする そして このフ $(TWBIN)/twadmin -> $(SEC_BIN) ; ァイルから 暗号署名を施したポリシーファイル $(TWBIN)/twprint -> $(SEC_BIN) ; # $(TWBIN)/twcopy -> $(SEC_BIN) ; を作成し データベースを更新する } Tripwire の実行は 暗号署名を施したポリシーファイルを作成し 続いて 元となるデータベー図 2 ポリシーファイル ( ルール部分 ) スを作成しておく そのデータベースを基に 定期的に整合性のチェックを実施する 図 3は整合性をチェックしたときのレポートの一部である ユーザを1 人追加してチェックを行った 下線部 1は出力されたレポートファイルのフルパス表示であり 下線部 2は参照したデータベースのフルパス表示である 下線部 3では重要な構成ファイルのグループのファイルが1つ変更されていることを示しており このため 下線部 4で整合性違反が合計で1つ存在することを示している また 下線部 5 6では 重要な構成ファイルの /etc/passwd ファイルが変更されていることを示している なお このとき /etc/shadow ファイルはポリシーファイルに追加していなかったのでチェックにかからなかった Parsing policy file /etc/tripwire/tw.pol *** Processing Unix File System *** Performing integrity check... Wrote report file /var/lib/tripwire/report/xxxx.xxxx.engg.nagoya-u.ac.jp-20041109-161615.twr 1 Tripwire(R) 2.3.0 Integrity Check Report Report generated by Report created on Database last updated on root 2004 年 11 月 09 日 16 時 16 分 15 秒 Never ============================================================== Report Summary ============================================================== Host name xxxx.xxxx.engg.nagoya-u.ac.jp Host IP address 127.0.0.1 Host ID None Policy file used /etc/tripwire/tw.pol Configuration file used /etc/tripwire/tw.cfg Database file used /var/lib/tripwire/xxxx.xxxx.engg.nagoya-u.ac.jp.twd Command line used tripwire --check -c tw.cfg 2

Section Unix File System Rule Name Severity Level Added Removed Modified --------- -------------- ----- ------- -------- Invariant Directories 66 0 0 0 Temporary directories 33 0 0 0 Critical system boot files 100 0 0 0 * Critical configuration files 100 0 0 1 System boot changes 100 0 0 0 3 Total objects scanned 18040 Total violations found 1 4 # Section Unix File System Rule Name Critical configuration files (/etc/passwd) Severity Level 100 5 Modified "/etc/passwd" 6 図 3 Tripwire のレポートの出力 2.3 Snort Snort はパターンマッチング型の NIDS( ネットワーク型侵入検知システム ) で あらかじめ用意された ルールセット と呼ばれる攻撃方法等をパターン化したシグネチャとマッチした場合に異常を検出する パケットキャプチャとしても使用でき UNIX 用の他に Windows 用もあり オープンソースである なお ルールファイルは更新用プログラムを用いて cron で定期的に更新するとよい Snort の起動方法には パケットキャプチャとして動作するスニファモードでの起動 検出内容をログに保存するパケットログモードでの起動 NIDS として機能するデーモンモードでの起動があるが デーモンモードで起動し NIDS として使用するのが一般的である 図 4に Snort が出力する監視結果のログで アラート情報が記録されているアラートファイルの内容の一部を示す 1 行目は 不正パケットの攻撃の解析結果で CodeRed が作るバックドアを利用しようとしたアタックと思われる 2 行目は [ 攻撃の種類 ] と [ 攻撃レベル ] 3 行目は 日時 送信元の MAC アドレスおよび宛先の MAC アドレス フレームタイプ ( この例では IP を示す ) パケット長と続く 4 行目は 送信元の IP アドレスとポート番号および宛先の IP アドレスとポート番号 プロトコル パケット寿命 パケットサービスタイプ パケット ID IP ヘッダ長 IP パケット長と続き 最後の DF はフラグメントなしを表し パケットを分断化させないことを意味する

[**] [112568] WEB-IIS CodeRed v2 root.exe access [**] [Classification Web Application Attack] [Priority 1] 11/09-162232.352709 0D04xxxxxx > 0C76xxxxxx type0x800 len0x160 192.168.xxx.xxx37167 > 133.6.xxx.xxx80 TCP TTL61 TOS0x0 ID45361 IpLen20 DgmLen338 DF ***AP*** Seq 0x391F3B60 Ack 0x16438FAD Win 0x8218 TcpLen 32 [Xref => http//www.cert.org/advisories/ca-2001-19.html] 図 4 /var/log/snort/alert ファイルの内容の一部 5 行目の先頭のフラグは TCP の通信の状況を示すために利用されるもので 有効なものは頭文字等の省略形で 無効なものは * で表示される 続いて シーケンス番号 ACK 番号 ウィンドウサイズ TCP ヘッダ長である 6 行目は 参考となる URL を表示している Snort が出力するログは膨大な量におよび すべてを解析するのは困難である そこで このログを解析するための Perl で書かれたスクリプトで SnortALog(Snort Analyser logs) というツールがある 解析の結果を テキスト HTML PDF の各形式で出力でき 結果をメールで送ることもできる 図 5は解析結果を HTML 形式で出力してブラウザで表示させた例である 図 5 SnortALog による HTML 形式の解析結果 2.4 Swatch Swatch はリアルタイムでシステムログを監視し 指定した文字列にマッチするログを検知すると BEEP 音を鳴らしたり メールを送る等の指定したアクションを実行する不正侵入アクセス監視ツールである Swatch のインストールには Perl5 の他に計時 日付計算 ファイル読み込み 日付解析の 4 つの Perl のモジュールをあらかじめインストールしておく必要がある Swatch の起動は以下のように swatch コマンドと 必要に応じてオプションを指定して起動する # /usr/bin/swatch -c /etc/.swatchrc -t /var/log/messages & -c オプションは設定ファイルの指定で -t オプションは監視対象ログファイルの指定である 最後に & を付加することで バックグラウンドで実行される オプションなしで起動した場合 設定ファイルは起動したユーザーのホームディレクトリの.swatchrc を参照する もし 設定ファイルが存在しなかった場合には あらゆる行をランダムな形式で表示する また 監視対象のログは デフォルトでは /var/log/messages であるが このファイルが存在しなかった場合 /var/log/syslog が監視対象となる なお 複数のログを異なる内容で監視する場合 監視するログ個々に設定ファイルを作成し ログごとにオプションの指定を変更して起動し 複数の Swatch を動作させる 図 6 図 7にログのサンプルを示す 図 6は実在するユーザーが間違ったパスワードでログインしようとした場合で 以下のような内容である

1. ユーザ認証ができなかった 2. Userkensyu の sshd サービスの認証に失敗した 3. Userkensyu のパスワードが間違っている 4. 読み取りに失敗し 接続がリセットされた # Oct 14 132558 joho sshd[1143] could not reverse map address 192.168.xxx.xxx Oct 14 132558 joho PAM_pwdb[1143] authentication failure; (uid=0) -> kensyu for sshd service Oct 14 132558 joho sshd[1143] Failed Password for kensyu from 192.168.xxx.xxx port 3517 ssh2 Oct 14 132600 joho sshd[1143] fatal Read from socket failed Connection reset by peer 図 6 実在するユーザーが間違ったパスワードでログインしようとした場合のログのサンプル 図 7は 存在しないユーザー asdf でログインしようとした場合のログのサンプルで 以下のような内容である 1. 不正なユーザー asdf からリクエストがあった 2. IP アドレス 192.168.xxx.xxx を確認した 3. 不正なユーザからのアクセスは 192.168.xxx.xxx のポート 3520 番からであった 4. 読み取りに失敗し 接続がリセットされた # Oct 14 132816 joho sshd[1144] input_userauth_request illegal user asdf Oct 14 132821 joho sshd[1144] Could reserved map address 192.168.xxx.xxx Oct 14 132821 joho sshd[1144] Failed Password for illegal user asdf from 192.168.xxx.xxx port 3520 ssh2 Oct 14 132823 joho sshd[1143] fatal Read from socket failed Connection reset by peer 図 7 存在しないユーザー asdf でログインしようとした場合のログのサンプル まとめセキュリティ対策ツールは用途別に様々なものがあり サーバーを管理する上で 状況に応じてツールを組み合わせ 日常の監視を行うのが有効である 今回報告したセキュリティ対策ツールは 不審なアクセスを監視するもので 不正アクセス防止のためのアクセス制限や暗号化通信等で防ぎきれないものへの対応である また セキュリティ対策ツールを生かすためには ログの判読も必要不可欠である 参考文献 1. 高町健一郎 UNIX ネットワークセキュリティ導入ガイド, 秀和システム 2. 一条博 ネットワーク監視システム, 工学社 4. http//akademeia.info/main/security_lecture.htm 3. http//www.atmarkit.co.jp/index.html

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック