WEBVTT 00:00.270 --> 00:01.103 -:このレッスンでは、 00:01.103 --> 00:03.690 モニタリングと監査に焦点を当てます。 00:03.690 --> 00:05.343 まずはモニタリングから始めよう。 00:05.343 --> 00:09.090 モニタリングについて言えば、 セキュリティ・アナリストの主な仕事のひとつは、 00:09.090 --> 00:11.130 まさにネットワークのモニタリングだ。 00:11.130 --> 00:12.150 私たちは刑事のようなものだ。 00:12.150 --> 00:18.180 手動または自動化された手段によって行われる。 00:18.180 --> 00:21.150 現在、 syslogは、 さまざまなアプライアンスやソフトウェア・アプリケーションが、 00:21.150 --> 00:26.520 そのログやイベント記録を集中サーバーに送信できるようにするためのプロトコルである。 00:26.520 --> 00:30.300 現在、 syslogは標準的なクライアント・サーバー・モデルに従っている。 00:30.300 --> 00:35.490 そしてこれは、 ネットワーク上の分散システムからのイベントのロギングのためのデファクトスタンダードである。 00:35.490 --> 00:40.950 日常的に作業するシステムの多くで、 syslogが使用されているのを目にすることでしょう。 00:40.950 --> 00:45.270 現在、 syslogはほとんどのオペレーティングシステムとほとんどのネットワーク機器で動作する。 00:45.270 --> 00:47.310 だから、 Ciscoルーターを使おうが、 Windowsマシンを使おうが、 00:47.310 --> 00:51.630 Linuxサーバーを使おうが、 どれもsyslogを使うことができる。 00:51.630 --> 00:53.490 さて、 これらのメッセージを送り返すとき、 00:53.490 --> 00:55.920 syslogメッセージはどのように見えるだろうか? 00:55.920 --> 00:58.860 さて、 syslogメッセージにはいくつかのことが含まれている。 00:58.860 --> 01:01.530 優先コードであるPRIコードが含まれている。 01:01.530 --> 01:04.410 ヘッダーがあり、 メッセージ部分がある。 01:04.410 --> 01:05.610 それぞれについて話そう。 01:05.610 --> 01:08.040 まず、 このPRIコード、 優先順位があり、 01:08.040 --> 01:12.450 これは施設とデータの重大度レベルに基づいて計算される。 01:12.450 --> 01:13.710 次にヘッダーがあり、 01:13.710 --> 01:17.190 ヘッダーにはイベントのタイムスタンプとホスト名が入る。 01:17.190 --> 01:20.160 だから、 どこから来たのか、 何時頃だったのかがわかる。 01:20.160 --> 01:22.230 メッセージ部分には、 01:22.230 --> 01:28.560 イベントのソースプロセスと関連するコンテンツが含まれる。 01:28.560 --> 01:30.570 そして、 それがこのメッセージ部分のアイデアだ。 01:30.570 --> 01:33.390 これがこのメッセージの核心である。 01:33.390 --> 01:34.800 さて、 syslogを扱ったとき、 01:34.800 --> 01:37.770 オリジナル版にはいくつかの欠点があった。 01:37.770 --> 01:40.230 オリジナルのプロトコルはUDPに依存していた。 01:40.230 --> 01:45.510 UDPはファイヤー・アンド・フォゲット・プロトコルなので、 混雑したネットワークでは配信に問題が生じる可能性がある。 01:45.510 --> 01:48.270 送信し、 応答と確認を待たない。 01:48.270 --> 01:50.250 だから、 そこにたどり着いたと思い込んでいる。 01:50.250 --> 01:51.420 ネットワークが混雑していると、 01:51.420 --> 01:57.630 データが取りこぼされ、 ログサーバーに情報が届かず、 ログに記録されないことがある。 01:57.630 --> 02:00.930 初期のころは、 ネットワーク上の誰もが信頼に足る人物だと思われていたため、 02:00.930 --> 02:04.080 それでもよかったかもしれない。 02:04.080 --> 02:05.760 私たちのデータがそこに届くようにしたい。 02:05.760 --> 02:07.920 だから、 この解決策を考えなければならない。 02:07.920 --> 02:11.640 もうひとつは、 基本的なセキュリティ・コントロールがあまりないことだ。 02:11.640 --> 02:16.080 syslogには、 暗号化や認証のようなものはデフォルトでは含まれていなかった。 02:16.080 --> 02:17.850 そして、 これもまた欠点だった。 02:17.850 --> 02:21.750 そのため、 最近のsyslogの実装では、 これらの点を修正している。 02:21.750 --> 02:23.220 現在、 このようなセキュリティ問題のために、 02:23.220 --> 02:27.510 新しいsyslog実装は、 多くの異なる機能と機能を追加しています。 02:27.510 --> 02:29.400 ここではそのうちのいくつかについて話すことにしよう。 02:29.400 --> 02:34.170 最初の新しい実装は、 一貫した配信のためにTCPを使用している。 02:34.170 --> 02:37.770 こうすることで、 ネットワークが混雑してメッセージが届かなくなっても、 02:37.770 --> 02:41.220 TCPを使っているため、 何度でも再送信される。 02:41.220 --> 02:43.470 2つ目の改善点、 新しい実装では、 TLS(トランスポート・レイヤー・セキュリティ)を使用して、 02:43.470 --> 02:49.050 サーバーに送信されるメッセージを暗号化することができる。 02:49.050 --> 02:52.580 そうすれば、 転送中のデータをネットワーク上の誰かが読むことはできない。 02:52.580 --> 02:55.200 それを読むことができるのは、 それを送信したエンドポイントと、 02:55.200 --> 02:57.510 それを受信するサーバーだけである。 02:57.510 --> 03:04.950 3つ目は、 新しい実装では認証と完全性を提供するためにMD5とSHA1も使われていることだ。 03:04.950 --> 03:07.770 こうすることで、 メッセージがネットワークを通過する際に、 03:07.770 --> 03:10.080 メッセージ認証と完全性を確保することができ、 03:10.080 --> 03:12.930 他の誰にも弄られていないことを確認できる。 03:12.930 --> 03:14.730 また、 他にもたくさんの機能がある。 03:14.730 --> 03:21.900 というのも、 TCPに移行して安定した配信ができるようになったからだ。 03:21.900 --> 03:23.910 暗号化のためにTLSに移行し、 03:23.910 --> 03:28.050 認証と完全性のためにMD5とSHA1を使い始めました。 03:28.050 --> 03:30.090 現在、 この新しいバージョンのサーバーは通常、 03:30.090 --> 03:35.490 syslog-NG(syslog next generation)、 またはrsyslogと呼ばれている。 03:35.490 --> 03:37.470 さて、 syslogについて最後に述べておきたいのは、 03:37.470 --> 03:40.560 syslogはしばしば3つの意味で使われるということである。 03:40.560 --> 03:43.380 データを送るプロトコルを指すこともある。 03:43.380 --> 03:46.410 syslogサーバーのようにサーバーを参照することもできるし、 03:46.410 --> 03:50.430 syslogデータのようにログエントリーそのものを参照することもできる。 03:50.430 --> 03:51.990 人々はしばしば、 syslogと言うだけで、 03:51.990 --> 03:55.470 この3つすべてを意味したり、 文脈によってこの3つのどれかを意味したりする。 03:55.470 --> 03:56.700 だから、 業界の人たちが話しているのを聞いて、 03:56.700 --> 04:03.810 彼らが話している3つのうちのどれがSNMPなのかを理解するように注意してほしい。 04:03.810 --> 04:06.900 SNMPとは、 Simple Network Management Protocolの略。 04:06.900 --> 04:12.000 これはTCPプロトコルで、 ネットワークに接続された機器やコンピューターの監視を支援する。 04:12.000 --> 04:14.520 SNMPはネットワーク管理・監視システムに組み込まれており、 04:14.520 --> 04:18.840 管理・監視の概念で多用されている。 04:18.840 --> 04:21.870 SNMPは3つの要素に分かれている。 04:21.870 --> 04:26.370 管理対象機器、 エージェント、 そしてネットワーク管理システムそのものだ。 04:26.370 --> 04:28.020 私たちはマネージド・デバイスについて話している。 04:28.020 --> 04:34.380 これは、 ネットワーク管理システムによってエージェントを使用して監視されるコンピュータやその他のネットワーク接続機器である。 04:34.380 --> 04:37.560 エージェントは、 管理対象デバイスにロードされるソフトウェアである。 04:37.560 --> 04:42.510 これにより、 監視を行うネットワーク管理システムに情報をリダイレクトすることができる。 04:42.510 --> 04:44.700 また、 ネットワーク管理システム(NMS)とは、 04:44.700 --> 04:48.120 ネットワークに接続されたすべての機器やコンピューターの監視を制御する、 04:48.120 --> 04:52.230 1台または複数のサーバー上で実行されるソフトウェアのことである。 04:52.230 --> 04:58.080 SNMPは、 SNMPプロトコルを使って、 これら3つすべてを互いに会話させるための接着剤だ。 04:58.080 --> 05:00.570 では、 ネットワーク内部ではどうなっているのだろうか? 05:00.570 --> 05:03.180 さて、 ここに簡単な図が表示されている。 05:03.180 --> 05:05.910 左側がネットワーク・マネジメント・ステーション(NMS)で、 05:05.910 --> 05:09.000 ネットワーク・マネジメント・システムの一部です。 05:09.000 --> 05:10.830 これがマネージャーとして機能し、 05:10.830 --> 05:12.630 ネットワーク上のすべての管理対象デバイス、 05:12.630 --> 05:17.850 ルーター、 スイッチ、 サーバーにメッセージを送受信するんだ。 05:17.850 --> 05:19.290 情報が欲しくなったら、 05:19.290 --> 05:20.860 getリクエストを送り、 05:20.860 --> 05:25.890 それらのデバイスはsetリクエストを使って情報を送り返す。 05:25.890 --> 05:27.960 トラップ・リクエストと呼ばれるものもあり、 05:27.960 --> 05:31.320 これは管理デバイスから未承諾の情報を受信するもので、 05:31.320 --> 05:34.440 定期的に必要に応じて情報を送信する。 05:34.440 --> 05:40.620 SNMPを使ってネットワーク管理を行う場合、 データの送信先には2つの選択肢がある。 05:40.620 --> 05:44.670 インバンド通信と呼ばれる、 使用しているネットワーク経由で送信することもできるし、 05:44.670 --> 05:46.830 アウトオブバンドで送信することもできる。 05:46.830 --> 05:47.940 インバンドを行うということは、 05:47.940 --> 05:54.120 企業情報や通常のデータを運んでいるのと同じネットワーク上で管理データを送るということだ。 05:54.120 --> 05:57.600 これは安価で簡単だが、 安全性に欠ける。 05:57.600 --> 05:58.710 より安全にするためには、 05:58.710 --> 06:00.930 帯域外のネットワークを作るべきだ。 06:00.930 --> 06:04.560 これはセカンダリー・ネットワークで、 そこではすべてのマネジメントが行われるが、 06:04.560 --> 06:06.780 プライマリー・インバンド・ネットワークはまだあり、 06:06.780 --> 06:10.050 そこではユーザーが取得するすべてのデータが行われる。 06:10.050 --> 06:11.610 管理は常に帯域外のネットワークで行うべきである。 06:11.610 --> 06:18.993 なぜなら、 セキュリティを高め、 管理機能をユーザーが触れたり見たりできる場所から排除できるからだ。