侵入検知・防御機能サービス機能運用ガイド (ClassCat Cute(R) Server Manager IPS Edition v5.0)

●	アプライアンス製品をご購入されたお客様は、販売パートナーのサポート窓口をご利用ください。
	この場合には、弊社サポート窓口から直接ご回答することはありません。
●	このページでは、弊社ソフトウェア・ダイレクト販売経由でご購入いただきました ClassCat Cute® Server Manager IPS Edition 5.0 に関するサポート情報を提供しています。
	お問合わせの際には、製品シリアル番号を記載の上、support@classcat.com までメールでお問合わせください。

本「侵入防御・検知サービス機能運用ガイド」は、侵入防御・検知サービスの運用のヒントがまとめられています。
オンラインマニュアル「ClassCat Cute(R) Server Manager IPS v5 Users' Guide IPS (Japanese)」の補足的な位置づけですので、
必ず、管理画面上の該当オンラインマニュアルと併せてお読みください。
※ 以下で、IDS、IPS はそれぞれ、侵入検知システム(機能)、侵入防御システム(機能)の略称です。

侵入検知・防御サービス機能を利用するにあたり、基本的な注意点を記述致します。
特に重要な点は、ホワイトリストの設定と整合性チェック利用時の注意点です。

[IDS/IPS : ホワイトリストの設定]

ホワイトリストの設定は重要です。ホワイトリストの設定により、多くの場合、誤検知の回避ができます。
ホワイトリストは、[侵入防御]タブページの「侵入防御の対象から除外する IP アドレス」及び「侵入防御の対象から除外するネットワーク」で設定可能です。

ホワイトリストの設定が困難な環境でもご利用になれますが、以下の２点にご注意ください :

※ SSH 経由などでログインする際に、パスワードの入力ミスが続いた場合、誤検知される可能性があります。
※ 「タイムアウトによるブロック解除」を無効にすることはできません。

[IPS : "タイムアウトによるブロック解除" について]

誤検知の可能性を考慮して、"タイムアウトによるブロック解除" は有効にしておくことをおすすめします。
完全なホワイトリストが設定できている場合に限り、"タイムアウトによるブロック解除" の無効を検討してください。
また、ホワイトリストの設定がない場合には、「タイムアウトによるブロック解除」を無効にすることはできません。

[整合性チェック利用時の注意点]

1) 整合性チェックは、Red Hat Network によるパッケージ更新の影響を受けます。

2) 従って、整合性チェックを利用する場合、利用開始前に Red Hat Network の最新のパッチを適用しておいてください。
更に、prelink の影響も受けますので、Red Hat Network の最新のパッチを適用した後、
daily cron が一度実行された後に、整合性チェックを有効にするのがベストです。

3) ClassCat Cute 管理画面による設定変更(例えば、ユーザ追加)の影響も受けます。
従って、この場合にも警告メールがレポートされますが、３度変更されれば、以後は警告されません。

[メールの設定]

運用状況によってはかなりの量の警告(通知)メールがあがります。
そのため、警告メールの送信先として専用のアカウントを用意することをおすすめします。

[デフォルト値による運用]

閾値などの値は十分に最適化していますので、運用開始当初はデフォルト値でご利用ください。

イベント検知時やブロック実行時には、電子メールで警告メールがレポートされます。
この警告メールのフォーマットは、以下のようなフィールドを持ちます :

[Subject]

Subject はログモニタ・サービス、侵入防御サービス、整合性チェック・サービス、root チェック・サービス
それぞれのサービス毎に以下のような文字列になっています :
● Cute IPS: Lev N: ログモニタ・サービスからのお知らせ [(ホスト名)]
● Cute IPS: Block: 侵入防御サービスからのお知らせ [(ホスト名)]
● Cute IPS: Lev 7: 整合性チェック・サービスからのお知らせ [(ホスト名)]
● Cute IPS: Lev 7: root チェック・サービスからのお知らせ [(ホスト名)]

[日時]

日時は、イベントを検知した時刻、ブロックを実行した時刻です。
epoch time は、通常の意味でのエポックタイムで、1970年1月1日からの秒数を示しています。

[検知箇所]

イベントが検知されたログファイル名です。

[適用ルール]

侵入検知・防御サービス機能は、ルール・ベースで検知・防御を行ないます。
イベント検知やブロック実行時に適用されたルールの内容を示します。

[ソース IP アドレス]

警告対象となったイベントを発生させたクライアントの IP アドレスです。

[ユーザアカウント]

警告対象となったイベントに関連するユーザアカウントです。
多くの場合、ログインが試行されたアカウントになります。

[内容]

検知されたイベントの具体的なログファイルの内容です。

警告メールの内容について、補足説明しています :

[root チェック]

以下のファイルのパーミッションについて警告がレポートされますが、
これは RHEL 5(.1) のデフォルトのパーミッションですので、問題ありません :
/sys/module/sbs/parameters/capacity_mode
/sys/module/sbs/parameters/update_mode

[整合性チェック]

"Integrity checksum changed" は、内容が示すファイルについて、何らかの変更が行なわれたことを示しています。
必ずしも不正な改竄を示唆するものではなく :
1) Red Hat Network によるパッケージの更新
2) ClassCat Cute 管理画面経由の設定変更・追加
によってもファイルは変更されます。

[侵入防御]

侵入防御サービスが実行される際には :
1) ログモニタによるイベントの検知
2) アクセス制御機能、及びファイアウォール機能による、該当 IP アドレス経由のアクセスのブロック
の警告(通知)メールがレポートされます。

侵入防御サービスは、アクセスをブロックすべきイベントを検知した場合、以下の２つのブロック手段を提供します :

[アクセス制御機能]

TCP Wrapper を利用したアクセス制御です。
具体的には、/etc/hosts.deny にイベントの原因となったソース IP アドレスのエントリを追加記述します。
(タイムアウトが設定されていれば、設定時間経過後、エントリは削除されます。)

[ファイアウォール機能]

Netfilter / iptables により、ソース IP アドレスをブロックします。
ブロック中の IP アドレスは、シェル上、# /sbin/iptables -L で確認可能です。