監視とコンプライアンス

1.3.5 ネットワーク内へ「確立された」接続のみを許可する (PCI-DSS v3.2)

5.2 すべてのウィルス対策メカニズムが以下のように維持されていることを確実にする (PCI-DSS v3.2) - 最新の状態である - 定期的にスキャンを行う - PDI CSS要件10.7に従って監査ログを生成・保持する

(b) 標準: 監査統制。ハードウェア、ソフトウェア、およびまたは、電子的に保護された健康に関する情報を含んだり使用する情報システム内の活動を記録し、検査する手続きとしての仕組みを実装すること。 (HIPAA, 2007)

ユーザ、コマンド、ファイルシステムの監査

auditd
- Linux Audit Systemのユーザスペースのインタフェース
Linux Audit System
- Linux カーネルへの直接のフックを使い、システムで発生するイベントやアクションを通知できるようにするコンポーネント
独立しているので、他のサブシステム(syslogとか)が動いていなくても動作する
- rsyslog等と異なるところ
レポートできるイベント
- コマンドの実行
  - sudo
  - その他コマンド
  - 誰が実行した
- ファイルアクセス
  - 特定ファイルの変更
  - 時刻
  - 誰が変更した
- ユーザ認証
  - 試行
  - 失敗

モダンなCentOSやDebianベースのディストリなら最初から入ってることが多いそう
/var/log/audit/audit.logに記録される
カスタムルール
- /etc/audit/rules.d/audit.rules (RedHat)
- /etc/audit/audit.rules (Debian)
デフォルトで記録されるのはごく一部
- sudo
- 認証の試行
- などなど

HIDS: Host Intrusion Detection System
rootkit
- 本来許可されていないはずのコンピュータあるいはそのソフトウェアの領域へのアクセスを有効にするよう(悪意を持って)デザインされたソフトウェアの集まり
rootkitの検知
- 振る舞い分析
- ログ分析
- ファイルシステムやプロセスの監査
- ファイルハッシュの比較

検知方法
- 既知の正常なハッシュとのファイルハッシュ比較
- シグネチャベースで既知のrootkitの検知
- セキュリティチェックのベスプラクティス
  - rootによるSSHが許可されているかどうかなど

NIDS: Network Intrusion Detection System
ネットワーク自体に対する脅威の検知
ファイアウォールとの違い
- ファイアウォール: 侵入を未然に防止する
  - いつかは侵入されるもの
- NIDS: 侵入された後にそれを通知する
ネットワークタップを配置して生のトラフィックを確認 (tap)
- fail-openなモードを備えていること
  - 故障時、単なるカプラになるやつ (identity)
- 可用性の監視も忘れぬこと
ハードウェアタップ使え
- ハードウェアタップじゃないやつ
  - SPAN: Switched Port ANalyzer
    - Cisco Catalystスイッチのパケットミラーリング機能
    - PC WireSharkに接続されたポート(SPANポート)にも送信
  - ポートミラーリング
    - スイッチングハブやルータの機能
    - データを複製して別ポートから同時送出
- ハードウェアタップでないと、ポートがいっぱいになってしまう
ネットワークタップを配置したら、複製したトラフィックをSIEMに送る
SIEM: Security Information and Event Management (情報イベント管理)
- Bro
- Snort

コンプライアンス目的の監視の要求事項は、見た目よりも単純なことも多い
- 簡単とは限らない
  - 例えば「全て」のログを取るのは単純だが簡単ではない
auditdを使ったユーザ、コマンド、ファイルシステムの監査は、始めるのは簡単だが、役立つ状態に持っていくまでの調整が非常に大変
ルートキットやその他のホストレベルの侵入を検知するのは難しい場合がある
- rkhunterから始めるのが良い
ネットワークセキュリティにはファイアウォールは十分ではない
- ファイアウォールは「侵入を防ぐ」もの
  - いつかは侵入される
- ネットワークタップを注意深く配置し、NIDSを使うことで、たくさんの情報を取得できる
  - 侵入を検知して通知する