IDSで不正アクセスを監視したい〜swatch編〜

　IDSとは，Intrusion Detection System（イントリュージョン・ディテクション・システム）の略。不正アクセス監視システム，または侵入検知を行うためのシステム（ソフトウェア）だと捉えればよいだろう。

　日ごろからLinuxをインターネットにつなげて稼動させていると，syslogにさまざまなアクセス状況が記録される。このログを人の目で日々監視し続けるのはかなり酷なことだ。そこで，専用のツールを利用してモニタリングさせると，警告時にさまざまな動作をさせることができる。

　今回は，厳密にいえばIDSとはいえないものの，syslogをリアルタイムに監視して，キーワードとマッチする際に動作を行うツール「swatch」のインストールから設定方法を紹介しよう。ポイントは，「syslogの記録レベル確認」，「Perlモジュールのインストール」，「キーワードファイルの作成」である。

　なお，ダイヤルアップルータを使っている場合には，「ダイヤルアップルータのsyslogをサーバで一元管理させたい」Tipsを参考にして。ログファイルをLinux上に記録させておくのがよいだろう。

・現在のsyslog記録レベルを確認

　まず最初に現状のsyslog記録状況を確認する。次のように指定して設定内容を確認しよう。ここでの例で見ておくべきポイントは，「*.info」が「/var/log/messages」に記録されているという点だ。監視するログは，「info」（ファシリティレベル）で記録されている必要がある。swatchで「/var/log/messages」ファイルを監視させるのだ。次のようになっていれば，特に変更する必要はない。

　次のサイトからswatchをダウンロードしよう。2001年8月1日現在，swatch-3.0.2.tar.gzが公開中である。

swatchの入手先
http://www.oit.ucsb.edu/~eta/swatch/

・Perlモジュールのインストール

　ダウンロード後にインストールを試みてもエラーになる可能性がある。swatchはPerlで記述されているプログラムであり，次のようにswatchのメイク時に4つのモジュールがチェックされる。このモジュールの所在が不明な人は，インストールしておけば無難だ。

　チェックされるPerlモジュールは，CPANから手に入れる。次のモジュール検索ページから探してみよう。今回ダウンロードしたのは，次の4つのモジュールだ。

CPAN
http://search.cpan.org/

File-Tail-0.98.tar.gz
Date-Calc-4.3.tar.gz
TimeDate-1.10.tar.gz
Time-HiRes-01.20.tar.gz

　続いて，それぞれのアーカイブを解いてメイクを行う。同じ操作が続くため，「File::Tail」の操作例を挙げておく。

・swatchのインストール

　swatchのインストールに移ろう。アーカイブを解いたディレクトリに移動して，Perlモジュール同様にインストール用のPerlスクリプトを動かす。前述のようにCPANからのモジュールが認識され次のように表示されればOKだ。

・キーワードファイルを作成

　最後に，swatchで警告を表示させたりするためのキーワード設定ファイルを作成する。ディレクトリおよびファイル名は任意だが，ここでは「/etc/」ディレクトリ下に次のファイル名で作成した。「watchfor」以下の数行がキーワード設定になる。「/」にはさまれた文字列がキーワードになるが，例えば最上段では「reject」の文字列をログ内に見つけた場合，ビープ音のベルを3回，さらにykida@xx.xxxxxx.jp宛へメール送信を行う。

・キーワードファイルを指定して実行

　以上の設定でswatchを起動させるには，次のように指定すればよい。デーモンとしてプロセス実行される。

　次のようにプロセスが確認できればOKだ。

・こんな警告メールが届く

　ちなみに，以上の設定で監視を行って届く警告メールは次の通り。これはメールリレーを試みようとして弾いたものである。この手のアタック？　は何度もリトライしてくるものが多いが，やめてほしいものだ……。