安全にオシロスコープで艦これをする

この記事は群馬大学電子計算機研究会 IGGG Advent Calendar 2017 1日目の記事です

安全にオシロスコープで艦これをする

前置き

元祖です．そして最近オシロスコープで再度艦これをやってみようという話です．
しかし，このような古いオシロスコープなどに搭載されているソフトウェアの多くはサポートが終了しています．セキュリティ上の懸念を解消するにはどうすればよいでしょうか？

互いのホストにおいて各ベンダーから提供されるセキュリティに関連するアップデートを実施してください．
また，今回は一定の対策が上流で実施されているネットワークにおける構築例を紹介します．

水際での対策を考える

インターネットに接続され，かつIoT機器やゲストへの提供を目的としたネットワークを構築する際には各ホスト側での対策を重点的に行うことは非常に困難となります．そこで，各ホストではなく，水際となるゲートウェイなどを利用してセキュリティ対策を実施することは可能であるかを考察します．

ネットワークを分離する

VLANなどを活用し，重要なホストが動作しているネットワークとは切り離すことが重要です．
図のように分離し，また以下で述べる処置を行います．

セグメント分割の例

ファイアウォールを導入する

パケットフィルタリングによるファイアウォールを利用することで，特定のホストやポートに関する通信のみを許可することができます．これを利用することで，特定のサービスへの攻撃を防いだり，攻撃可能性を減少させることが可能となります．
また，プロキシなどを利用することで，各アプリケーションでの通信において不審なものを検知させることも，ファイアウォールと言えます．^[1]

NAT(NAPT)配下に置く

NATを利用することによって，グローバルIPアドレスとプライベートIPアドレス^[2]が変換されます．また，NAPTにおいてはポート番号についても変換されます．外部のネットワークからは内部のホストを特定して通信することは困難になります．
つまり，特定のグローバルIPアドレスとポート番号に対して攻撃を仕掛けるような，いわゆる「ネットワークケーブルを挿しただけで感染する」タイプのマルウェア^[3]に対する対策には十分有効になります．
一方で，WANへの通信においては貫通してしまいます．よって，一旦WANへの通信が行われるものや，C&Cサーバや攻撃者が用意したホストに通信するようなマルウェアに対しては全く効果がありません．
よって，十分な対策にはなり得ませんが，単純なマルウェアやネットワークの隠蔽に対しては今でも有効といえます^[4]．

UTMを導入する

ファイアウォールのレベルでは，ある特定のサービスへの通信の制限や，ある特定のアプリケーションに対するスキャンしかできませんでした．一方で，UTMとよばれる総合脅威管理とよばれるアプライアンスをを導入することで，その下にぶらさがるホストのあらゆる通信への脅威の検知が可能になります．

これらは，各種のセキュリティ対策ソリューションを統合したものになっており，従来のファイアウォールやIDS/IPS，HTTPプロキシなどを含みます．UTMは，これらを組み合わせて1台にまとめて導入を容易にしたものと言い換えることもできます．

実践: UTMの導入 / Untangle

Untangle

Untangleは，LinuxをベースしたUTMです．
一部の機能は有料のサブスクリプションとなっていますが，基本の機能は無償で利用することができます．

無償で利用できる機能

Firewall
Intrution Prevention
Phish Blocker
Virus Blocker Lite
Ad Blocker
Application Control Lite
Spam Blocker
Spam Blocker Lite
Web Monitor
Captive Portal
OpenVPN
Tunnel VPN
Reports

Virus Blocker Lite: ClamAVによるスキャナ

ClamAVによるWebスキャナであるVirus Blocker Liteを導入しましたが，初期状態では全く動作しませんでした．
以下のようにすることで，動作を確認しました．^[4:1]

$ cd /var/lib
$ mv clamav clamav.old
# Virus Blocker Liteを再インストールします
$ mkdir /var/lib/clamav
$ chmod 777 /var/lib/clamav
$ freshclam

CalmAVによる検知の様子

Virus Blocker Liteによってマルウェアがブロックされるとこのようなページに遷移します．
HTTP通信におけるマルウェアに対する対策としては有効と言えます．

Intrution Prevention: 侵入検知

Snortを利用することができます．シグネチャを独自に追加することも可能です．
シグネチャがすでに公開されているトロイの木馬や攻撃についてはこれを利用することで迅速に対応ができます．
設定画面より，シグネチャの追加や削除が行えます．
一括選択のような機能はないので，JSONをエクスポートしてから手元で編集して書き戻すのが良いと思います．

実践: ログの可視化 / Graylog によるログ収集基盤

Graylog ダッシュボードの様子

Untangleのダッシュボード機能やログ可視化機能であるReportsはとても見やすく使いやすいですが，今回は統合なログ管理基盤としてGraylogを導入してみます．

Graylogの導入

公式に配布されている仮想アプライアンスを利用して導入しましたが，Dockerizeされているものも存在します．
OVAを導入後，ログの収集が上手くいかない場合はシェルログイン後sudo graylog-ctl reconfigureを打ち込むと正常にログ収集が可能になります．

GraylogでUntangleのsyslogを収集する

はじめに，Graylogでsyslogを収集できるようにします．
Graylogにログインした後，System -> Inputs -> Select Input -> Syslog TCP / UDP (どちらでもよい)で追加をしましょう．
また，Global inputsに向けておきます．

その後Untangleへログインして，syslogを有効にしてサーバをGraylogに向ければ完了です．

Untangleのsyslogを見やすい形に整形する

Untangleから出力されるsyslogのmessageはこのような形式になっています:

INFO  uvm[0]:  {"timeStamp":"2017-12-01 07:13:19.987","s2pByte... (JSON) ..."}

ここで，Extractorを作成して，Graylog(Elasticsearch)が読めるように各keyをしっかりと格納させてあげます．
Extractorの方式には正規表現を使う方法やGrokを使う方法があります．また，JSON形式であればそのままExtractorにかけられます．
JSONをそのまま受け取った場合，そのままExtractorにかければよいですが，今回は頭にJSONではないものが付いているので外してあげる必要があります．

はじめに，Graylogを開いてInputs -> (syslog) -> Manage Extractorsをクリックします．
Load Messageをクリックしたのち，messageの横にあるSelect Extractor Typeをクリックします．

messageの横にあるSelect Extractor Typeをクリック

ここで，Replace with Regular Expression(正規表現)を選択します．

以下のように設定することで，単純に置換しているだけですがJSONデータを取り出すことができます．

Extractor Configuration

次に，そのJSONデータを使ってキーを取り出してあげます．
同じようにLoad Messageをクリックして，raw_json(今回の場合)の横にあるSelect Extractor Typeをクリックし，JSONをクリックします．
ウィザードに従い，そのまま作成すると，互いのキーと値がきちんと入っていることが確認できます．

Streamの設定

Streamには流れてきたログを振り分ける機能があります．ここに，振り分け条件としてSnortのログおよびClamAVの設定を施してフィルタしてみましょう．
Stream -> Create Streamで新規Streamを作成できます．
作成すると，以下のように表示されます．
Stream
後は条件に従うようにフィルタすれば良いです．例えば，Snortであればblockedが1のとき，ClamAVであれば，virusnameが含んでいるときということになります．

Snortの例

ClamAVの例

Slackへ流す

GraylogにはSlackプラグインが存在し，Incoming Webhookによる投稿が可能です．
GraylogのOutputと呼ばれる部分，もしくはAlarmの機能で利用可能となっています．
Alarmに設定する場合，メッセージを自由に変更できるので，このようにアラートを流すことができます．

Snortの例

##########
IPS detected and blocked suspicious packet.
##########

${if backlog}Last messages accounting for this alert:
${foreach backlog message}Message: ${message.fields.msg}
Category: ${message.fields.category}
Dst: ${message.fields.ipDestination}
Src: ${message.fields.ipSource}
${end}${else}<No backlog>
${end}

ClamAVの例

##########
ClamAV detected and blocked suspicious packet.
##########
Please look at dashboard for detail.

${if backlog}Last messages accounting for this alert:
${foreach backlog message}Virus: ${message.fields.virusname}
${end}${else}<No backlog>
${end}

今回は，OSSのUTMとログ管理ソフトウェアを使って不審な通信を検出し水際で防ぐ方法について書きました．
Untangleについては上流にファイアウォールがない場合にはフィルタルールを設定した上でファイアウォールを設定しても良いかもしれません．
Graylogについてはログ管理ソフトウェアとして様々な活用方法が期待されます．また，Slackなどの連携や，Extractorについても多く公開されている^[5]印象があります．

ゲートウェイを置くことで，ホストに対する攻撃の一部は防ぐことができます．しかし，不審な通信をいち早く見つける力や日々からのアップデートなども重要です．
対策を過信しすぎず，自身のネットワークは自身で守っていくことが重要です．

Wikipediaより ↩︎
外部のネットワーク側に通じている(WAN)IPアドレスをグローバルIPアドレス，内部のネットワーク側に通じている(LAN)IPアドレスをプライベートIPアドレスと表現します． ↩︎
一方で，WannaCryのようなLAN上のホストに対して直接攻撃するマルウェアに対しては今回の対策は無意味と言えます． ↩︎
https://forums.untangle.com/virus-blocker-lite/36710-virusblocker-lite-not-working-new-installs-after-fix-smtp-not-working.html ↩︎ ↩︎
https://marketplace.graylog.org/addons?tag=Extractor ↩︎