@IT:運用 IIS安全対策ガイド・インターネット編 8.ログの管理について
運用 | ||
IISに限ったことではないが、Webサーバ、あるいはFTPサーバを介して行われたアクセスの状況は、すべてログ・ファイルに記録される。IISの場合、ログはODBCを介してアクセス可能なデータベースに保存することもできるが、一般的にはテキスト・ファイルに記録する方法を取ることがほとんどだろう。
IISでは、「C:¥WINNT¥System32¥LogFiles」以下のフォルダに、1日ごとにファイルを分ける形でログが記録されるようになっている。重要なのは、ログ・ファイルを記録するだけでなく、その内容を解析して、不正なアクセスが記録されていないかどうかを確認することだ。
| IISによって記録されたログの例 FTPとは何か■ログの例 2002-06-18 03:45:50 192.168.0.7 - 192.168.0.2 80 GET /win2000.gif - 304 0 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+.NET+CLR+1.0.3705) 2002-06-21 05:52:19 61.XX.XX.XX - 172.16.11.80 80 GET /NetDict/images/logo-atit001.gif - 200 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+.NET+CLR+1.0.3705) 2002-06-21 05:52:19 61.XX.XX.XX - 172.16.11.80 80 GET /NetDict/images/logo-da001.gif - 200 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+.NET+CLR+1.0.3705) 2002-06-21 05:52:19 61.XX.XX.XX - 172.16.11.80 80 GET /NetDict/images/logo-east001.gif - 200 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+.NET+CLR+1.0.3705) 2002-06-21 05:52:19 61.XX.XX.XX - 172.16.11.80 80 GET /NetDict/images/logo-saseidowebdic001.gif - 200 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+.NET+CLR+1.0.3705) 2002-06-21 05:52:19 61.XX.XX.XX - 172.16.11.80 80 GET /NetDict/images/dotted_line.gif - 200 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+.NET+CLR+1.0.3705) 2002-06-21 06:09:03 61.YY.YY.YY - 172.16.11.80 80 GET /scripts/root.exe /c+dir 404 - 2002-06-21 06:09:03 61.YY.YY.YY - 172.16.11.80 80 GET /MSADC/root.exe /c+dir 404 - 2002-06-21 06:09:04 61.YY.YY.YY - 172.16.11.80 80 GET /c/winnt/system32/cmd.exe /c+dir 404 - 2002-06-21 06:09:04 61.YY.YY.YY - 172.16.11.80 80 GET /d/winnt/system32/cmd.exe /c+dir 404 - 2002-06-21 06:09:05 61.YY.YY.YY - 172.16.11.80 80 GET /scripts/..%5c../winnt/system32/cmd.exe /c+dir 404 - 2002-06-21 06:09:05 61.YY.YY.YY - 172.16.11.80 80 GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe /c+dir 404 - 2002-06-21 06:09:07 61.YY.YY.YY - 172.16.11.80 80 GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe /c+dir 404 - 2002-06-21 06:09:07 61.YY.YY.YY - 172.16.11.80 80 GET /msadc/..%5c../..%5c../..%5c/..チ ../..チ ../..チ ../winnt/system32/cmd.exe /c+dir 404 - ※後半にある、IPアドレス61.YY.YY.YYからのアクセスはCodeRedやNimdaなどの典型的なアクセス・パターン 各行は、左から順にそれぞれ次のような意味を持っている。 Outlook 2003でインターネットメールアカウントの設定を見つけるためにどこに
|
もし、特定のホストから不正な内容のリクエストが多数送られてきていたり、あるいはFTPサーバに対するアクセス要求拒否が多発したりした場合、不正侵入やワームの存在を疑う必要がある。また、万一、不正侵入などの被害に遭った場合でも、その時点のログが残っていれば、攻撃元を突き止める一助になる。
こうした事情があるので、ログ・ファイルはある程度さかのぼって保管しておくようにしたい。といってもディスク容量の制限もあるので、数カ月程度前の分まで保管する、というのが現実的ではないかと思う。
「ベクター( NT/2000/XP > インターネット&通信 > Web用ユーティリティ > Webホスト用」カテゴリ)、そうしたツールを利用して定期的にログを解析する習慣を身に付けておきたい。
終わりに
素性の分かっているクライアントからのアクセスに限定されるイントラネットと異なり、インターネット向けに公開するサーバでは、どこからどのような内容のリクエスト、あるいは攻撃を受けるか、予期できないのが実情である。そのため、想定し得る危険性を予測・評価した上で、可能な限り安全性を向上させる対策を講じることが必要になる。これは、Windows 2000やIISだから必要というわけではなくて、LinuxでもApacheでも同じことだ。
私のmyspaceのコメントボックスにYouTubeのビデオを投稿する方法
万一、不正侵入やワームの感染といった被害を受けた場合、自分が迷惑をこうむるだけでなく、周囲のサイトにも迷惑が及ぶということを認識すべきだ。インターネットにおけるサーバの公開には、取るべき対策をきちんと講じるという社会的責任が伴うことを理解した上で、サーバの構築と運用を行うようにしたい。
番外編―NSAのセキュリティ設定ガイドラインについて
この記事の執筆に当たっては、Windowsベースのサーバ設定に関する各種の記事やマイクロソフトのセキュリティ設定ガイドラインに加えて、アメリカの国家安全保障局(NSA:The National Security Agency、 2000用のセキュリティ設定ガイド(NSA Security Recommendation Guides)も参考にした。この、NSAが作成したセキュリティ設定ガイドについて、簡単に紹介しておこう。
NSAでは、アメリカの政府機関や米軍などが使用するコンピュータ・システムや通信システムを、セキュアな状態に保つための活動を行っている。セキュリティ設定ガイドは、そのシステム保全活動の一環として作成・配布されているもので、Windows 2000に加えて、ルータの設定や電子メールなどの利用に関するものが作成・公開されている。しばしばクラッカーの標的にされる政府機関や米軍関連のWebサイトの中には、Windowsベースのシステムを使用しているものが少なくないため、こうしたドキュメントに基づいた対策が適用されるわけだ。
この設定ガイドは、
NSA Security Recommendation Guidesの概要
Windows 2000用の「NSA Security Recommendation Guides」は、以下のようなタイトルのPDF文書群と、ポリシーテンプレート設定用のINFファイルで構成されている。このうち、IISに関係する内容が含まれているのは、「Guide to the Secure Configuration and Administration of Microsoft Internet Information Services 5.0」だ。
内容としては、マイクロソフトが公表しているセキュリティ強化対策と重複するものも多いが、さらに重箱の隅をつつくようにして細かいセキュリティ強化策を講じている(リストは2002年7月現在のもの)。
- Microsoft Windows 2000 Network Architecture Guide
- Guide to Securing Microsoft Windows 2000 Group Policy
- Guide to Securing Microsoft Windows 2000 Group Policy: Security Configuration Tool Set
- Group Policy Reference
- Guide to Securing Microsoft Windows 2000 Active Directory
- Guide to Securing Microsoft Windows 2000 DNS
- Guide to Securing Microsoft Windows 2000 Encrypting File System
- Guide to Securing Microsoft Windows 2000 File and Disk Resources
- Guide to Securing Microsoft Windows 2000 Schema
- Guide to Securing Windows NT/9x Clients in a Windows 2000 Network
- Guide to Secure Configuration and Administration of Microsoft ISA Server 2000
- Guide to the Secure Configuration and Administration of Microsoft Windows 2000 Certificate Services
- Guide to the Secure Configuration and Administration of Microsoft Windows 2000 Certificate Services (Checklist Format)
- Guide to the Secure Configuration and Administration of Microsoft Internet Information Services 5.0
- Guide to Using DoD PKI Certificates in Outlook 2000
- Guide to Windows 2000 Kerberos Settings
- Microsoft Windows 2000 Router Configuration Guide
- Guide to Securing Microsoft Windows 2000 DHCP
- Guide to Securing Microsoft Windows 2000 Terminal Services
- Microsoft Windows 2000 IPsec Guide
- Guide to the Secure Configuration and Administration of Microsoft Exchange 2000
スペースの関係もあり、具体的な内容をすべて取り上げることができいが、例えば以下のような内容が掲載されている。
-
マイクロソフトのドキュメントでは「不要なサービスは停止する」と書かれているだけだが、NSAのドキュメントでは具体的な名前を挙げて、停止すべきサービスを指定している。
-
「C:¥Inetpub¥wwwroot」以下のフォルダに設定するアクセス権(ファイル・システムに設定するアクセス権)を、NSAのドキュメントではマイクロソフトの推奨設定よりも厳格にしている。具体的には、「Everyone − フルコントロール」を削除し、Web匿名アクセス用のユーザー/グループと管理者、SYSTEMなど、本当に必要なユーザーやグループのみにアクセス権を与えるように指示している。
-
その際、HTMLやGIF、JPEGといった静的コンテンツと、ASPやCGIといった実行を伴うコンテンツのフォルダを分けるだけでなく、それぞれに最適なセキュリティ設定を具体的に記載している。
ドキュメント中では、章ごとの末尾に、必要な設定項目に関するチェックリストを掲載している点も、設定忘れを防ぐという意味から高く評価できる。またセキュリティ・ホールの最新情報などに基づき、逐次、ドキュメント自体のバージョンアップもなされている。
なお、ポリシー・テンプレート用のINFファイルは当然ながら英語版Windows 2000システムを前提にして作成されているので、そのまま日本語版Windowsで使用できるかどうかについては、事前に確認作業が必要になる点に注意したい。
| NSAについて |
TechTargetジャパン
Windows Server Insider フォーラム 新着記事
0 コメント:
コメントを投稿