TOP
>
サーバ構築・運用
> iptablesの効果は?〜意外に大きい
セキュアなVM環境を作る
第7回:APT環境の整備をする
著者:
宮本 久仁男
2006/11/2
前のページ
1
2
iptablesの効果は?〜意外に大きい
今回、各サーバーの構築時にiptablesのルールを(一部の例外を除いては)すべてのインターフェイスに対して適用する、という形にしましたが、このようにすることで、以下のような効果が得られます。
そのようなサーバー構成をとるDomain-0の上でホストされるDomain-Uも同様に(外部からは)保護される
表18:iptablesの効果
ただし、このようになっていると、XenのVMを一つ使ってハニーポットを構築するような場合に不便になります。というのも、今回構築したDomain-0と同じレベルで接続を制限されているVMでは、ハニーポットにならないケースがあるからです。
このような場合には、Domain-0で適用する各ルールに対して「-i eth0」というように、インターフェイスを指定して適用しましょう。
Xenをテーマにしたセキュリティ関連の研究例〜Xebek
Xebekとは、Sebekという、Honeynet Projectというセキュリティ関連の研究プロジェクトで開発されたツールのアーキテクチャを、Xen環境での使用に最適化したものです。本稿を書いている段階でコードは公開されていないのですが、機能がSebekと同様という以外は、ポリシーが異なることから、完全にスクラッチからかかれたものと考えてよさそうです。
Sebekが実現している機能は、以下のようなものですが、Sebekはこのやりとりをネットワークスタックに渡します。
Sebekクライアントはカーネルモジュールとして動作する
Sebekクライアントがインストールされたマシン上での各種挙動(一部のシステムコールの実行履歴)をSebekサーバーに送る(Sebek3の場合)
SebekサーバーはSebekクライアントから送られた情報を記録する
表19:Sebekが実現している機能
Xebekは、このやりとりを、Domain-0とDomain-Uの間で相互参照可能な共有メモリ経由で実施します。Xebekそのものを発見しづらくするために、Xebekクライアントをカーネルモジュールとして実装するのではなく、カーネルパッチとして実装しているというのもありますが、Xen上で動作しているVMでhoneypotを構成している例として、興味深いものといえます。
なお、Xebek関連のプレゼンテーション資料は、以下のURLをはじめとして、何箇所かで閲覧可能です(Googleにて「Xebek」「PPT」という2つのキーワードで検索)。
http://eusecwest.com/esw06/esw06-nguyen.ppt
前のページ
1
2
著者プロフィール
宮本 久仁男
某大手SIerに勤務。OSおよびミドルウェア、アプリケーション開発、インターネットサーバの運用管理、社内技術支援などを経て、現在は動向調査業務に従事する。業務の傍ら、大学にも所属(博士後期課程)し、研究生活を送る。あらゆる分野に興味を持ち、それらについて自学自習で学びつつ、成果をコミュニティにフィードバックしたり、研究/検証テーマを模索したりという日々。Microsoft MVP (Windows - Security)というアワードも受賞しているものの、どこにでもいそうなエンジニア風。
INDEX
第7回:APT環境の整備をする
作成した雛形に各種設定を付加(APT環境の整備)
iptablesの効果は?〜意外に大きい