UNIX合気道：ハードコアな防御で攻撃をかわす方法

Jay Beale（ジェイ・ビール）

すべてのサーバに毎日パッチをあてることができる人はまずいないが、例えそれが可能だったにしろ、攻撃者のみが知る、まだパッチの出ていない脆弱性か「ゼロデイ」脆弱性を通じて侵入されてしまうかもしれない！　しかし、パッチをあてていないときであっても攻撃をかわすことができる、素晴らしい防御技術やテクニックが存在する。それがUNIX合気道だ。

この講座では、Linuxシステムを不正侵入から守る方法と、あなたが行っている防御法が効果を上げているかを証明する方法を学ぶ。実際のエクスプロイトを利用してシステムに自分たちで攻撃を仕掛けることで、ハードコアなセキュリティ強化がいかにエクスプロイトを打ち負かすことが可能かを実演する。

本講座は「初心者」向けセキュリティ強化講座が終了した後に開始される。核となるベストプラクティス強化を達成するためには、どのようにBastilleを利用するかをお見せすることから始まる。いかにBastilleがポートを閉じ、パーミッションを規制し、他の攻撃路を閉鎖し、権限の拡張を阻止するかについて討議する。Bastilleの監査機能やその他のシステムのセキュリティチェッカーを用いて、いかにこれらの段階のチェックを行うかの実演を行う。

まずサーバ・アプリケーション防御から始め、脆弱性を避ける、もしくは封じ込めるために、防御的で最小特権を持つ、高度に限定されたコンフィギュレーション設定を行う。これには脆弱性を封じ込めるためにサーバデーモンを拘束することが含まれるが、同時に内部コンフィギュレーションを調整して脆弱性を攻撃から遮蔽することも含まれる。例えば、アプリケーションの保護を高めるためにPHP変数を設定すること、Apache サーバの「chroot」設定を行うこと、Apacheの将来の脆弱性が実行中のコードから来る可能性を低減するためにApacheのモジュールを無効にするといったことを行う。こうしたベストプラクティスのすべてを達成すれば、攻撃をよりうまくかわすための最新セキュリティ技術を導入することにより、深層防御は達成される。

本講座で学ぶこと：

• 脆弱なウェブ・アプリケーションを自身の欠陥から守るために、サードパーティ提供のフリーなIPS Apacheモジュールを利用する方法。
• 「iptables」のあるホストベースやマルチレッグのファイアーウォールを構築することを学ぶが、SSHデーモン、ウェブサーバ、VPNコンセントレータを攻撃者には見えないように構築するため、ポート・ノッキングの利用法を学ぶことを足がかりとする。
• システム設定を大幅に変更することなくSELinuxスタイルのエクスプロイト分断や封じ込めをいくつかの主要プログラムに集中させるため、新規にオープンソースとなったAppArmorの導入を行う方法。
• システムにどれほど深く侵入されたかを理解する助けとなる、無料の次世代Tripwire型プログラムであるOsirisや、ルートキット検知プログラムである「chkrootkit」を用いて乗っ取り発見を行う方法。

受講生は、システム・ロックダウンを行ったり、システムの乗っ取りを防いだり封じ込めたりするための新しい防御技術の導入などのスキルを習得する。本講座は特にRed Hat、SuSE、Linuxを網羅するが、システム・ロックダウンの教材はすべてのLinuxのディストリビューションには非常に直接的に、かつすべての種類のUnixに幅広く当てはまるものである。

• Bastille Linuxを利用することでLinuxの攻撃への復元力を格段に高く設定する。
• フリーな監査ツールを用いて、セキュリティ向上のためにLinuxシステムの監査を行う。
• 既知、未知の脆弱性に対するエクスプロイトを打破するようにウェブ、メール、DNS、FTP、プロキシサーバを設定する。
• 上記のサーバの各々をchroot封じ込めとAppArmor防御で閉じ込める。
• ApacheにIPS機能を付加するためにmod_securityやmod-parmguardモジュールを導入する。
• DNSスプーフィングとフィッシング攻撃を防ぐために、トランザクション・シグネチャ（TSIG）とDNSSECを設定する。
• スパマーやフィッシャーを阻止するためにSendmailにメール・フィルタレーションを加える。
• 敵対的なユーザから内部サーバを保護するため、ホストベースのLinuxファイアーウォールやマルチレッグのファイアーウォールを構築する。
• プライベート・サービスをホストしていることがインターネット上に露出する確率を格段に減少させるため、ポートノッキング技術を付け加える。
• スケーラブルな侵入検知の方法としてOsirisやchkrootkitを導入する。
• 安全なプロセスやアドミン管理を創出するために暗号（SSH、PGP/GPG、OpenSSL）を用いる。

Trainer:
Jay Beale氏は、HP-UX購入時にセキュア・コンフィギュレーション・ツールとしてデフォルトで装備されており、一般に広く使われているLinux/Unix用のセキュリティ強化・監査ツールであるBastille Linuxの作成者である。Bastilleは5つの主要なLinuxディストリビューションとHP-UX、Mac OS Xの上で動作する。

Beale氏は「Center for Internet SecurityのUnixスコアリングツール（Center for Internet Security's Unix Scoring Tool）」の作成者でもある。両方とも世界中の民間企業、官公庁で利用されている。BastilleやCenter for Internet Securityでの仕事を通じて、Beale氏はLinuxシステムのセキュリティ強化の分野で指導力を発揮し、Linux/Unixセキュリティのためのスタンダードの設定、監査、導入に尽力している。また、脆弱性評価を標準化、向上させようという官民共同の試みであるOVALプロジェクトにも精力を傾けている。Honeynetプロジェクトのメンバーでもありツール開発を行っている。またMandrakeSoft社のセキュリティチーム・ディレクターを務めていた。