iptablesの効果は?〜意外に大きい
iptablesの効果は?〜意外に大きい
今回、各サーバーの構築時にiptablesのルールを(一部の例外を除いては)すべてのインターフェイスに対して適用する、という形にしましたが、このようにすることで、以下のような効果が得られます。
- そのようなサーバー構成をとるDomain-0の上でホストされるDomain-Uも同様に(外部からは)保護される
ただし、このようになっていると、XenのVMを一つ使ってハニーポットを構築するような場合に不便になります。というのも、今回構築したDomain-0と同じレベルで接続を制限されているVMでは、ハニーポットにならないケースがあるからです。
このような場合には、Domain-0で適用する各ルールに対して「-i eth0」というように、インターフェイスを指定して適用しましょう。
Xenをテーマにしたセキュリティ関連の研究例〜Xebek
Xebekとは、Sebekという、Honeynet Projectというセキュリティ関連の研究プロジェクトで開発されたツールのアーキテクチャを、Xen環境での使用に最適化したものです。本稿を書いて いる段階でコードは公開されていないのですが、機能がSebekと同様という以外は、ポリシーが異なることから、完全にスクラッチからかかれたものと考え てよさそうです。
Sebekが実現している機能は、以下のようなものですが、Sebekはこのやりとりをネットワークスタックに渡します。
- Sebekクライアントはカーネルモジュールとして動作する
- Sebekクライアントがインストールされたマシン上での各種挙動(一部のシステムコールの実行履歴)をSebekサーバーに送る(Sebek3の場合)
- SebekサーバーはSebekクライアントから送られた情報を記録する
Xebekは、このやりとりを、Domain-0とDomain-Uの間で相互参照可能な共有メモリ経由で実施します。Xebekそのものを発見し づらくするために、Xebekクライアントをカーネルモジュールとして実装するのではなく、カーネルパッチとして実装しているというのもありますが、 Xen上で動作しているVMでhoneypotを構成している例として、興味深いものといえます。
なお、Xebek関連のプレゼンテーション資料は、以下のURLをはじめとして、何箇所かで閲覧可能です(Googleにて「Xebek」「PPT」という2つのキーワードで検索)。
バックナンバー
この記事の筆者
筆者の人気記事
Think ITでは、技術情報が詰まったメールマガジン「Think IT Weekly」の配信サービスを提供しています。メルマガ会員登録を済ませれば、メルマガだけでなく、さまざまな限定特典を入手できるようになります。
