スキップしてメイン コンテンツに移動

AWSでOSSECを導入する

前回の調査に引き続き、クラウドにおける侵入検知の一つの方式として、AWSにOSSECを導入してみました。



IDSとは
IDSはInstrusion Detection Systemの略称であり、日本語では「侵入検知システム」と呼ばれます。
IDSは大きくネットワーク型(Network IDS/NIDS)とホスト型IDS(Host IDS/HIDS)に分類されます。両者とも、検知した際にアラートを表示・記録・通知を行うことで管理者が迅速な対応を行えることを目的としています。

ネットワーク型はネットワークパケットを監視してルールベースのパターンマッチングを行い、不正アクセスや悪意ある通信と思われるパケットを検知します。また検知と同時に通信の遮断も行えるものがあり、一般的にIDPやIPS(Intrusion Detection and Protection System)と呼ばれます。現在Firewallなどのネットワーク機器に組み込まれたIDPはProtectionの機能を備えたものが主流です(例えばFortigateやSonicWallなど)。
ネットワーク型IDSとして代表的なものにSnortがあります。商用製品としてはインターネット・セキュリティ・システムズ(ISS)社のRealSecure Network Sensorが超メジャー製品でしたが、2006年にIBMに買収されて現在はほぼ死に体です...

ホスト型はサーバ上のI/Oを監視し、不正アクセスと思われる行為を検知します。検知手法としてはシステムログの監視や、ある瞬間のファイルスナップショットとの差異を確認することによる改ざん検知などがあります。
ホスト型IDSとして代表的なものにtripwireinotify(ionotify-tools)aide、そして今回導入するossecなどがあります。

OSSECについて
OSSECはGPL v2ライセンスにて配布されているオープンソース・ソフトウェアであり、ホスト型IDSです。サーバとエージェントで構成されており、サーバにてアラートの一元管理を行うことが可能です。マルチプラットフォームに対応しており、監視項目もログ監視、ファイル整合性チェック、Windowsレジストリ監視、rootkitの検出などの機能を有しています。


AWSでのOSSECの導入
OSSECは大きくサーバとエージェントの二つに分けて導入作業を行います。

(1)事前準備
サーバ用とエージェント用の二つのSecurity Groupを作成します。OSSECはサーバ側でinput 1514/udpをオープンする必要があります。またWebUIを使用するためのHTTP(80/tcp)の開放も必要になります。
agent -- input -- any:22/tcp(SSH)
        -- output -- any:any
server -- input -- agent:1514/udp
                     -- any:22/tcp(SSH)
                     -- any:80/tcp(HTTP)
        -- output -- any:any
(2)サーバの導入
OSSECのパッケージはCentOSのサードパーティリポジトリであるAtomic Repoに登録されています。まずはyumにリポジトリを追加します。
$ sudo rpm -Uvh http://www.atomicorp.com/channels/atomic/centos/6/x86_64/RPMS/atomic-release-1.0-16.el6.art.noarch.rpm

yumコマンドでOSSECメインパッケージとサーバパッケージをインストールします。
$ sudo yum install ossec-hids ossec-hids-server

OSSECを起動します。
$ sudo service ossec-hids start

次にOSSECのWeb-UIをインストールし、環境設定します。Web-UIはApacheとPHPが必要になります。php.iniのセキュリティ設定は見直しておきましょう。
$ sudo yum install httpd php

OSSECのWebサイトからWeb-UIのバイナリをダウンロードし、Webコンテンツディレクトリに展開します。
$ wget http://www.ossec.net/files/ossec-wui-0.3.tar.gz
$ tar xvzf ossec-wui-0.3.tar.gz
$ sudo mv ossec-wui-0.3 /var/www/html/ossec

Web-UIのセットアップスクリプトを実行します。
$ cd /var/www/html/ossec
$ sudo ./setup.sh
Setting up ossec ui...

Username: "ユーザー名"
New password: "パスワード"
Re-type new password: "パスワード"
Adding password for user "ユーザー名"

Setup completed successfuly.

gpasswdコマンドで、ユーザapacheをグループossecに追加します。
$ sudo gpasswd -a apache ossec
Adding user apache to group ossec

Webサーバを起動します。
$ sudo service ossec-hids restart
$ sudo service httpd start

「http://IPアドレス/ossec/index.php」にアクセスするとOSSEC Web-UIが表示されます。


次にエージェント定義を追加します。
$ sudo /var/ossec/bin/manage_agents

****************************************
* OSSEC HIDS v2.7 Agent manager.     *
* The following options are available: *
****************************************
   (A)dd an agent (A).
   (E)xtract key for an agent (E).
   (L)ist already added agents (L).
   (R)emove an agent (R).
   (Q)uit.
Choose your action: A,E,L,R or Q: A

- Adding a new agent (use '\q' to return to the main menu).
  Please provide the following:
   * A name for the new agent: agents
   * The IP Address of the new agent: 172.31.0.100
   * An ID for the new agent[001]:
Agent information:
   ID:001
   Name: agents
   IP Address: 172.31.0.100

Confirm adding it?(y/n): y
Agent added.
エージェントとサーバを結びつけするために使用するKeyの設定を行います。
****************************************
* OSSEC HIDS v2.7 Agent manager.     *
* The following options are available: *
****************************************
   (A)dd an agent (A).
   (E)xtract key for an agent (E).
   (L)ist already added agents (L).
   (R)emove an agent (R).
   (Q)uit.
Choose your action: A,E,L,R or Q: e

Available agents:
   ID: 001, Name: agents, IP: 172.31.0.100
Provide the ID of the agent to extract the key (or '\q' to quit): 001

Agent key information for '001' is:
MDAyIGFnZW50cyAxNzIuMzEuMC4wLzE2IGY5ZmZhMGFhNDU3ODVhMzFlNjVhNjAyMDAzYWUxOTFlODUxZjkwMDM2MWM3MzRkNGQxYjk4YTZhYmQ5ZWJkNDE=

** Press ENTER to return to the main menu.
 以上でサーバ側の設定は終了です。

(3)エージェントの導入
サーバと同様にAtomic RepoからOSSECメインパッケージとクライアントパッケージをインストールします。
$ sudo rpm -Uvh http://www.atomicorp.com/channels/atomic/centos/6/x86_64/RPMS/atomic-release-1.0-16.el6.art.noarch.rpm
$ sudo yum install ossec-hids ossec-hids-client

OSSECの設定ファイルは/var/ossec/etc/ossec.confですが、クライアントパッケージの場合/var/ossec/etc/ossec-agent.confのリンクになっています。ossec-agent.confを編集し、サーバのIPアドレスを指定します。
$ sudo vi /var/ossec/etc/ossec-agent.conf
... 略 ...
<server-ip>172.31.0.10</server-ip>
... 略 ... 

次にサーバ側で作成したKeyをインポートします。
$ sudo /var/ossec/bin/manage_client
****************************************
* OSSEC HIDS v2.7 Agent manager.     *
* The following options are available: *
****************************************
   (I)mport key from the server (I).
   (Q)uit.
Choose your action: I or Q: i

* Provide the Key generated by the server.
* The best approach is to cut and paste it.
*** OBS: Do not include spaces or new lines.

Paste it here (or '\q' to quit): MDAyIGFnZW50cyAxNzIuMzEuMC4wLzE2IGY5ZmZhMGFhNDU3ODVhMzFlNjVhjAyMDAzYWUxOTFlODUxZjkwMDM2MWM3MzRkNGQxYjk4YTZhYmQ5ZWJkNDE=

Agent information:
   ID:001
   Name:agents
   IP Address:172.31.0.100

Confirm adding it?(y/n): y
Added.
** Press ENTER to return to the main menu.

最後にOSSECエージェントを起動します。
$ sudo /var/ossec/bin/ossec-client.sh start
Starting OSSEC HIDS v2.7 (by Trend Micro Inc.)...
2013/10/21 04:51:14 DEBUG: I am creating the SQLite table.
Started ossec-execd...
Started ossec-agentd...
2013/10/21 04:51:14 ossec-logcollector(1103): ERROR: Unable to open file '/queue/ossec/.agent_info'.
Started ossec-logcollector...
2013/10/21 04:51:14 ossec-config(1756): ERROR: Duplicated directory given: '/etc'.
2013/10/21 04:51:14 ossec-config(1756): ERROR: Duplicated directory given: '/bin'.
Started ossec-syscheckd...
Completed.
初回のみagent_infoファイルが無いエラーが発生します。またDuplicatedエラーはは/var/ossec/etc/ossec.confと/var/ossec/etc/shared/agent.confに二重で設定されているために発生しているようですが、起動としては問題ありません。本来は修正すべき点です。

最後に
今回はAWSにOSSECをインストールし、サーバ1台とエージェント1台の構成を作成しましたが、OSSECの集中管理という利点を活かすためにはVyattaなど他OSのログの集積なども検討が必要だと思います。
またサーバ側でmanage_agentsを使ってエージェントを登録する際にIPサブネットを指定することが出来ますが、複数のサーバで同じエージェント定義を使ったところ、2台目以降がうまくサーバと通信できませんでした。Scale Outを考慮するとIPサブネット指定したエージェント定義に対し複数台のエージェントを紐つける構成がしたいところです。



Amazon Web Services クラウドデザインパターン実装ガイドAmazon Web Services クラウドデザインパターン実装ガイド
大澤 文孝,玉川 憲,片山 暁雄,鈴木 宏康

日経BP社
売り上げランキング : 17216

Amazonで詳しく見る by AZlink

コメント

このブログの人気の投稿

リモートワークは仕組みじゃなくて文化です

ここ最近、コロナウイルス関連の報道が数多くあるが、その中でも多くの企業がリモートワークを推奨するという記事やプレスリリースが注目を浴びている。それ自体はもちろん大変望ましい。不要な対面での接点を減らすことで感染リスクを抑えることが出来るし、通勤ラッシュや首都圏への経済集中も抑制出来るからだ。 だがちょっと待ってほしい。リモートワークというのは社員が在宅で働くことだけを指すのではない。 社員が在宅で働いても出社時と同じパフォーマンスが出ること をリモートワークというのだ。だからこの記事のタイトルで「リモートワークは仕組みじゃなくて文化です」と書いた。 弊社がリモートワークを導入したのは2011年の東日本大震災がきっかけだけれど、9年経った今、どのようにリモートワークを運用して、そしてパフォーマンスを維持しているかを共有したいと思う。以下のことが文化として根付けば、その会社のメンバーはリモートワークでもオフィスでも同じようなパフォーマンスが発揮出来るはずだ。 1.勤怠を厳密に管理しない え、だってダルくないすか。管理するの。何時に働き始めて何時に働き終わったかなんて関係ないっしょ。大事なのは働いた結果のアウトプットであり、働いた時間なんか問題じゃない。 2.休憩も厳密に管理しない え、だってダルくないすか。管理するの。何時に休憩し始め(ry 3.工数を厳密に管理しない え、だ(ry 4.目に見えるアウトプットを意識する 当然のことながら、仕事は結果が全てであり、結果が出なければどこで何時間働いたって意味がない。そして結果というのは目に見えなければ意味がない。 だからこそ、アウトプットを出すこと、アウトプットを評価することに徹底的にこだわる。それはドキュメントかもしれないし、お客様やパートナーとコミュニケーションするためのメールかもしれないし、社内の改善活動かもしれないし、メンバーへのフォローかもしれないし、ブログかもしれないし、Slackでの発言かもしれない。 とにかく目に見えないものは周りも認められない。目に見えるアウトプットしか評価されないし、そのために徹底的にアウトプットするんだ、という意識を社内でしっかりと作ることが重要。 5.コミュニケーションコストを意識する どんなに頑張っても、オンラインのコミ

これで完璧!本当に役立つテレワークマナー

コロナ禍によってテレワークを導入する企業が増えた昨今、皆様いかがお過ごしでしょうか。僕は4連休明けでダルかったので有給を取得し妻とデートしてきました。イェーイ。 さて、 弊社 も今年2月以降は全社員完全テレワークに移行しました。弊社は2011年からテレワークを導入し各自が自由に活用していたため、特に大きな問題も無くテレワーク体制に移行したのですが、全社員完全テレワークは初めての状況であり、幾つかの課題が発生しました。特に、その状況下でも新しく入社する社員がいますので、これまで社内で培ってきた暗黙の了解が共有出来ないことは大きな課題でした。 ということで、本記事では、弊社のテレワークマナーについてご紹介したいと思います。皆さんのご参考になれば幸いです。 業務の開始と終了はチャットで宣言する これはオフィス出社時でもテレワークでも変わらないのですが、業務開始時と業務終了時にはSlackで宣言しています。弊社ではこれを開店/閉店と呼んでいます。 気をつけて頂きたいのは、これは 報告ではなく共有である ということです。業務開始と業務終了を共有しておくことで、同僚が相談したり依頼をしたりできる時間を把握出来ます。この共有をしておかないと、業務開始前や業務終了後にMentionがバンバン飛んで来るかもしれません。もちろん飛んできたからって怒るメンバーはいないのですが、お互いちょっとした気遣いが出来るように、自分が働いている時間は共有しておくと良いでしょう。 これは休憩時間も同様です。昼休みにのんびりゲームしているときにスマホがブーブー鳴っていたら気が散るかもしれません。休憩開始と終了をSlackで宣言することでゆっくり休憩することが出来ます。休憩中は Display name の後ろに「休憩中」等と付けておくのも良いでしょう。 マイクとスピーカーはPC内蔵のものを使わない PCの性能は以前と比べて格段に上がっていますが、残念ながらマイクとスピーカーはそうではありません。マイクについては音質は向上しているものの、指向性が無いために周囲の音を拾ってしまいます。そしてPC操作時には、どうしても打鍵音がダイレクトに響いてしまいます。またスピーカーは、まぁ正直全く駄目です。音楽を聞くのにさえ向いていないのに、音声のやり取りなんか出来るわけがない。 マイクとスピーカーは必ず別に用意しましょ

ネガティブなフィードバックをする時に意識したい7つのこと

僕は現在は取締役兼事業本部長という立ち位置でお仕事させて頂いてますが、元々はエンジニアで、かつピープルマネージメントを15年以上しておりました。僕がマネジメントしたメンバーは合算すると200人以上になります。正直に言えば、楽しいことはたくさんあったけれど、もちろん辛いことも多々経験していまして、特にメンバーに対してネガティブなフィードバックをすることは大きな苦しみの一つです。 最近、自分の部署の若いマネージャーから、ネガティブなフィードバックを上手に行うことが難しく課題に感じている、という声があったので、僕の経験をまとめてみました。 ポジティブなフィードバックをセットにして伝える どんな人にとっても、悪い話を聞くことは楽しい経験ではありません。悪い話だけを聞き続けると、不愉快な感情が理性を覆い隠してしまいます。しかしフィードバックとは叱ることではなく、どのように改善していくかを議論するためのきっかけであり、感情的になることはマイナスに働きます。ネガティブなフィードバックを伝える時は、ポジティブなフィードバックをセットに、出来れば先に伝えます。良い点がない人はいません(そんな人は採用していないはずです)から、必ず褒めるポイント、褒めるべきアウトプットがあるはずです。ポジティブなフィードバックをセットすることで、相手の感情のバランスを取ることが出来ます。 ネガティブな内容を責めるのではなく事実として伝える 上述の通り、フィードバックの目的は叱責ではなく改善なので、「なんで出来ないんだ」とか「どうして出来なかったんだ」ではなく、事実としてのネガティブな現状を正確に伝えることが重要です。例えそれが叱責に値する内容であったとしても、どちらか一方が感情的になると必ずもう片方も感情的になるので、冷静に正しく事実のみを伝えます。 期待値を提示する ネガティブなフィードバックには、必ずあるべき姿、こちらが期待していた姿があるはずなので、それを伝えます。その際には一方的に伝えるのではなく、こちらの期待値を根拠と併せて伝え、その上で一緒にその期待値の妥当性を議論します。この期待値のすり合わせをしないと、メンバー本人の振り返りも生まれず、改善のためのアクションも「言われたからやる」だけになってしまいます。 なぜネガティブな結果になったのかをヒアリングする 人それぞれ様々な事情や環境がある