特集
» 2002年06月29日 00時00分 公開

インターネット・サービス向けIIS設定ガイド:IIS安全対策ガイド・インターネット編 (9/9)

[井上孝司,著]
前のページへ 1|2|3|4|5|6|7|8|9       

 IISに限ったことではないが、Webサーバ、あるいはFTPサーバを介して行われたアクセスの状況は、すべてログ・ファイルに記録される。IISの場合、ログはODBCを介してアクセス可能なデータベースに保存することもできるが、一般的にはテキスト・ファイルに記録する方法を取ることがほとんどだろう。

 IISでは、「C:\WINNT\System32\LogFiles」以下のフォルダに、1日ごとにファイルを分ける形でログが記録されるようになっている。重要なのは、ログ・ファイルを記録するだけでなく、その内容を解析して、不正なアクセスが記録されていないかどうかを確認することだ。

IISによって記録されたログの例
 IISのログは、以下のような形式で、HTTPリクエスト1件ごとに1行ずつ記録される。

■ログの例
2002-06-18 03:45:50 192.168.0.7 - 192.168.0.2 80 GET /win2000.gif - 304 0 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+.NET+CLR+1.0.3705)
2002-06-21 05:52:19 61.XX.XX.XX - 172.16.11.80 80 GET /NetDict/images/logo-atit001.gif - 200 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+.NET+CLR+1.0.3705)
2002-06-21 05:52:19 61.XX.XX.XX - 172.16.11.80 80 GET /NetDict/images/logo-da001.gif - 200 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+.NET+CLR+1.0.3705)
2002-06-21 05:52:19 61.XX.XX.XX - 172.16.11.80 80 GET /NetDict/images/logo-east001.gif - 200 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+.NET+CLR+1.0.3705)
2002-06-21 05:52:19 61.XX.XX.XX - 172.16.11.80 80 GET /NetDict/images/logo-saseidowebdic001.gif - 200 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+.NET+CLR+1.0.3705)
2002-06-21 05:52:19 61.XX.XX.XX - 172.16.11.80 80 GET /NetDict/images/dotted_line.gif - 200 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+.NET+CLR+1.0.3705)
2002-06-21 06:09:03 61.YY.YY.YY - 172.16.11.80 80 GET /scripts/root.exe /c+dir 404 -
2002-06-21 06:09:03 61.YY.YY.YY - 172.16.11.80 80 GET /MSADC/root.exe /c+dir 404 -
2002-06-21 06:09:04 61.YY.YY.YY - 172.16.11.80 80 GET /c/winnt/system32/cmd.exe /c+dir 404 -
2002-06-21 06:09:04 61.YY.YY.YY - 172.16.11.80 80 GET /d/winnt/system32/cmd.exe /c+dir 404 -
2002-06-21 06:09:05 61.YY.YY.YY - 172.16.11.80 80 GET /scripts/..%5c../winnt/system32/cmd.exe /c+dir 404 -
2002-06-21 06:09:05 61.YY.YY.YY - 172.16.11.80 80 GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe /c+dir 404 -
2002-06-21 06:09:07 61.YY.YY.YY - 172.16.11.80 80 GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe /c+dir 404 -
2002-06-21 06:09:07 61.YY.YY.YY - 172.16.11.80 80 GET /msadc/..%5c../..%5c../..%5c/..チ ../..チ ../..チ ../winnt/system32/cmd.exe /c+dir 404 -
※後半にある、IPアドレス61.YY.YY.YYからのアクセスはCodeRedやNimdaなどの典型的なアクセス・パターン

 各行は、左から順にそれぞれ次のような意味を持っている。

項目 意味
日時 アクセスがあった時刻情報
リモートIP アクセスを行ったクライアントのIPアドレス
ホストIP WebサーバのIPアドレス。複数のIPを持つ場合は、どのIPアドレスへ接続していたかが分かる
ポート番号 Webサーバのポート番号。通常は80番
要求 実行されたコマンド。GETやPOSTなど
ステータス 正しくアクセスできたかどうかなどを表す数値
エージェント名 アクセスに使用されたユーザー・エージェント

 もし、特定のホストから不正な内容のリクエストが多数送られてきていたり、あるいはFTPサーバに対するアクセス要求拒否が多発したりした場合、不正侵入やワームの存在を疑う必要がある。また、万一、不正侵入などの被害に遭った場合でも、その時点のログが残っていれば、攻撃元を突き止める一助になる。

 こうした事情があるので、ログ・ファイルはある程度さかのぼって保管しておくようにしたい。といってもディスク容量の制限もあるので、数カ月程度前の分まで保管する、というのが現実的ではないかと思う。

 「ベクター(http://www.vector.co.jp/)」などのソフトウェア・ダウンロード・サイトを調べると、IISに対応したログ解析ツールがいろいろと公開されているので(例:「Windows NT/2000/XP > インターネット&通信 > Web用ユーティリティ > Webホスト用」カテゴリ)、そうしたツールを利用して定期的にログを解析する習慣を身に付けておきたい。

終わりに

 素性の分かっているクライアントからのアクセスに限定されるイントラネットと異なり、インターネット向けに公開するサーバでは、どこからどのような内容のリクエスト、あるいは攻撃を受けるか、予期できないのが実情である。そのため、想定し得る危険性を予測・評価した上で、可能な限り安全性を向上させる対策を講じることが必要になる。これは、Windows 2000やIISだから必要というわけではなくて、LinuxでもApacheでも同じことだ。

 万一、不正侵入やワームの感染といった被害を受けた場合、自分が迷惑をこうむるだけでなく、周囲のサイトにも迷惑が及ぶということを認識すべきだ。インターネットにおけるサーバの公開には、取るべき対策をきちんと講じるという社会的責任が伴うことを理解した上で、サーバの構築と運用を行うようにしたい。

番外編―NSAのセキュリティ設定ガイドラインについて

 この記事の執筆に当たっては、Windowsベースのサーバ設定に関する各種の記事やマイクロソフトのセキュリティ設定ガイドラインに加えて、アメリカの国家安全保障局(NSA:The National Security Agency、http://www.nsa.gov/)が作成・配布している、Windows 2000用のセキュリティ設定ガイド(NSA Security Recommendation Guides)も参考にした。この、NSAが作成したセキュリティ設定ガイドについて、簡単に紹介しておこう。

 NSAでは、アメリカの政府機関や米軍などが使用するコンピュータ・システムや通信システムを、セキュアな状態に保つための活動を行っている。セキュリティ設定ガイドは、そのシステム保全活動の一環として作成・配布されているもので、Windows 2000に加えて、ルータの設定や電子メールなどの利用に関するものが作成・公開されている。しばしばクラッカーの標的にされる政府機関や米軍関連のWebサイトの中には、Windowsベースのシステムを使用しているものが少なくないため、こうしたドキュメントに基づいた対策が適用されるわけだ。

 この設定ガイドは、http://nsa2.www.conxion.com/からダウンロードできる。興味のある方はダウンロードして、内容を見てみるとよいだろう。

NSA Security Recommendation Guidesの概要

 Windows 2000用の「NSA Security Recommendation Guides」は、以下のようなタイトルのPDF文書群と、ポリシーテンプレート設定用のINFファイルで構成されている。このうち、IISに関係する内容が含まれているのは、「Guide to the Secure Configuration and Administration of Microsoft Internet Information Services 5.0」だ。

 内容としては、マイクロソフトが公表しているセキュリティ強化対策と重複するものも多いが、さらに重箱の隅をつつくようにして細かいセキュリティ強化策を講じている(リストは2002年7月現在のもの)。

  • Microsoft Windows 2000 Network Architecture Guide
  • Guide to Securing Microsoft Windows 2000 Group Policy
  • Guide to Securing Microsoft Windows 2000 Group Policy: Security Configuration Tool Set
  • Group Policy Reference
  • Guide to Securing Microsoft Windows 2000 Active Directory
  • Guide to Securing Microsoft Windows 2000 DNS
  • Guide to Securing Microsoft Windows 2000 Encrypting File System
  • Guide to Securing Microsoft Windows 2000 File and Disk Resources
  • Guide to Securing Microsoft Windows 2000 Schema
  • Guide to Securing Windows NT/9x Clients in a Windows 2000 Network
  • Guide to Secure Configuration and Administration of Microsoft ISA Server 2000
  • Guide to the Secure Configuration and Administration of Microsoft Windows 2000 Certificate Services
  • Guide to the Secure Configuration and Administration of Microsoft Windows 2000 Certificate Services (Checklist Format)
  • Guide to the Secure Configuration and Administration of Microsoft Internet Information Services 5.0
  • Guide to Using DoD PKI Certificates in Outlook 2000
  • Guide to Windows 2000 Kerberos Settings
  • Microsoft Windows 2000 Router Configuration Guide
  • Guide to Securing Microsoft Windows 2000 DHCP
  • Guide to Securing Microsoft Windows 2000 Terminal Services
  • Microsoft Windows 2000 IPsec Guide
  • Guide to the Secure Configuration and Administration of Microsoft Exchange 2000

 スペースの関係もあり、具体的な内容をすべて取り上げることができいが、例えば以下のような内容が掲載されている。

  • マイクロソフトのドキュメントでは「不要なサービスは停止する」と書かれているだけだが、NSAのドキュメントでは具体的な名前を挙げて、停止すべきサービスを指定している。
  • 「C:\Inetpub\wwwroot」以下のフォルダに設定するアクセス権(ファイル・システムに設定するアクセス権)を、NSAのドキュメントではマイクロソフトの推奨設定よりも厳格にしている。具体的には、「Everyone − フルコントロール」を削除し、Web匿名アクセス用のユーザー/グループと管理者、SYSTEMなど、本当に必要なユーザーやグループのみにアクセス権を与えるように指示している。
  • その際、HTMLやGIF、JPEGといった静的コンテンツと、ASPやCGIといった実行を伴うコンテンツのフォルダを分けるだけでなく、それぞれに最適なセキュリティ設定を具体的に記載している。

 ドキュメント中では、章ごとの末尾に、必要な設定項目に関するチェックリストを掲載している点も、設定忘れを防ぐという意味から高く評価できる。またセキュリティ・ホールの最新情報などに基づき、逐次、ドキュメント自体のバージョンアップもなされている。

 なお、ポリシー・テンプレート用のINFファイルは当然ながら英語版Windows 2000システムを前提にして作成されているので、そのまま日本語版Windowsで使用できるかどうかについては、事前に確認作業が必要になる点に注意したい。

NSAについて
 
NSAはアメリカが設置している情報機関の1つで、1952年に設立された。主として、通信情報(SIGINT)の収集と暗号解読、そして自国向け暗号システムの開発を行っている。極めて秘密度が高い組織で、長い間、組織の存在そのものが秘匿されていたことから、NSAとは「No Such Agency(そんな役所はない)」あるいは「Never Say Anything(何もいうな)」の略だというジョークもある。
 NSA本部は、メリーランド州南部のフォート G. ミード陸軍基地内にある。同じ敷地の一角に「国立暗号博物館(National Cryptologic Museum)」を開設しており、ここは一般公開されている。


「運用 IIS安全対策ガイド・インターネット編」のインデックス

運用 IIS安全対策ガイド・インターネット編

前のページへ 1|2|3|4|5|6|7|8|9       

Copyright© Digital Advantage Corp. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。