侵入者は、システムに侵入後、システム管理者の権限の乗っ取りにつながる権限昇格を試みる。
----
Point
侵入者が権限昇格を行う目的は
”ログに残った不正侵入の痕跡を消去するため”
である。
[END]
----
Point
侵入者が権限昇格を行う目的は
”ログに残った不正侵入の痕跡を消去するため”
である。
[END]
SYSLOGサーバは、バリアセグメント及び社内LANの各サーバとFWから出力されたログを、UDPポート番号514で受け取り、すべて格納する。
下表は、FWで許可されている通信内容である。
----
Point1
現状のままでは、SYSLOGサーバへのセキュリティ上の脅威が2つ存在する。
それは、
”SYSLOGの内容の改ざん”
”インターネットからのDoS攻撃によるsyslogサービスの停止”
である。これらは、SYSLOGサーバをバリアセグメント上から社内LAN上に移設することにより解決する。
Point2
上記の移設後に、FWに追加で許可するSYSLOGサーバに関する通信内容は
である。
Point3
上記の移設後も、ログに対する脅威が残る。
その脅威は、
”SYSLOGサーバにログが集中した場合に転送時のログの欠落が生じる”
である (UDPによる転送のためログの取りこぼしがあるため)。
[END]
下表は、FWで許可されている通信内容である。
| プロトコル | 送信元 | 宛先 | ||
| IPアドレス | ポート番号 | IPアドレス | ポート番号 | |
| TCP | 社内メールサーバ | 任意 | 社外メールサーバ | 25 |
| TCP | 社外メールサーバ | 任意 | 社内メールサーバ | 25 |
| UDP | バリアセグメント | 任意 | NTPサーバ | 123 |
----
Point1
現状のままでは、SYSLOGサーバへのセキュリティ上の脅威が2つ存在する。
それは、
”SYSLOGの内容の改ざん”
”インターネットからのDoS攻撃によるsyslogサービスの停止”
である。これらは、SYSLOGサーバをバリアセグメント上から社内LAN上に移設することにより解決する。
Point2
上記の移設後に、FWに追加で許可するSYSLOGサーバに関する通信内容は
| プロトコル | 送信元 | 宛先 | ||
| IPアドレス | ポート番号 | IPアドレス | ポート番号 | |
| UDP | バリアセグメント | 任意 | SYSLOGサーバ | 514 |
Point3
上記の移設後も、ログに対する脅威が残る。
その脅威は、
”SYSLOGサーバにログが集中した場合に転送時のログの欠落が生じる”
である (UDPによる転送のためログの取りこぼしがあるため)。
[END]
あるサーバでは、ログファイルの出力方法として
『ディスクに空き容量がある限り、無制限に単一ファイルに書き込みを続ける』
という方法を採っている。
----
Point1
この方法では、
”ログファイルのオーバーフローを利用した攻撃によるログ情報の消失”
という脅威が想定される。
Point2
上記の脅威に備え、ログファイルの出力において考慮すべき事項は
”最適なログ出力項目を決定する”
ということであり、これにより
”大量のログ情報の採取に伴なう、重要な警告や不審な挙動の見落とし”
という問題が同時に解決できる。
Point3
ログファイルの出力方法を見直し、ログの定期的なローテーションを行いたい。
ログのローテーションの方法は、
”一つのログファイルに、サイズや期間の条件を指定し、複数世代のログファイルを保持する”
ことである。
[END]
『ディスクに空き容量がある限り、無制限に単一ファイルに書き込みを続ける』
という方法を採っている。
----
Point1
この方法では、
”ログファイルのオーバーフローを利用した攻撃によるログ情報の消失”
という脅威が想定される。
Point2
上記の脅威に備え、ログファイルの出力において考慮すべき事項は
”最適なログ出力項目を決定する”
ということであり、これにより
”大量のログ情報の採取に伴なう、重要な警告や不審な挙動の見落とし”
という問題が同時に解決できる。
Point3
ログファイルの出力方法を見直し、ログの定期的なローテーションを行いたい。
ログのローテーションの方法は、
”一つのログファイルに、サイズや期間の条件を指定し、複数世代のログファイルを保持する”
ことである。
[END]