22.終りなきインタ−ネット接続 22-1. マルウェアとの戦いは続く (1) マルウェアとの戦いは続く * ガンブラ−によりマルウェアの脅威が マトリックスは単なるアイデアに過ぎない。実現できない場合のことも考えておかないと いけない。マルウェアやボットとのこれからも続くであろう悪との戦いに備えなければな らない。改めてマルウェアとボットとは。マルウェアは悪意のあるウィルス、ボットはマ ルウェアの一種であり外部との通信機能を持ち、群れることが他のウィルスと異なる。昨 今は通信機能を持つウィルスが普通になりつつある。また今や悪意のない愉快犯的なウィ ルスもないと言っていいだろう。パソコンのオンラインゲ−ムのアカウントを盗むウィル スが2009年5月頃に蔓延した。多分どこの企業でも何台かのパソコンは感染したので はないか。さらに感染したパソコンから社内の他のパソコンにも感染したのでないか。 2009年末から明けて正月、Gumblar 攻撃の脅威が明らかになった。当初、大手企業な どのホ−ムペ−ジが改竄されただけで、特に悪さはないと見られていた。2010年の1 月ぐらいまでは。それがFTPソフトの接続アカウントが盗まれていた。そしてそれだけ でなくパソコン内のあらゆる情報が盗まれた可能性があるということが分かってきた。フ リ−ソフトの FFFTPを対策したのに変更するだけでは済まない話になった。非常に大きな 問題である。とうとう行き着くとこまで行ったという感じがする。Gumblar はボットと言 ういい方はされてない、マルウェアと言われている。Gumblar でのパソコンの感染はボッ ト的な能動的な動きはしないものの、動きがあらかじめプログラムされている。 Gumblar の攻撃の仕組みについては、IIJのリポ−ト「Internet Infrastrucure Review」 2009 August Vol.4 の P.13〜14 の記事が一早い。IIJ のサイトで PDFも見ることができ る、2010年2月24日発行 vol.006 の "Gumblarの再流行" に詳細な記事があり、 ボットの ような動きをすることも確認されているとある。「日経コミュニケ−ション」2010/02/15, P.42〜47,"特別リポ−ト セキュリティベンダ−3社が指摘 Gumblar攻撃に打ち勝つ 肝心 なのはWeb改ざん対策"。攻撃の仕組みがなかなか詳しい。 手口は同じでも手段が刻々 と変化。パスワ−ドスティ−ラという通信内容を盗聴するプログラムが仕掛けられる。し かしパソコンのブラウザやアプリケ−ションに脆弱性がなければ攻撃は回避できた。 * トレンドマイクロのWebレピュテ−ション `28/10〜 InterScan Web Security Suiteソフトをインスト−ルして設定し、試してみること。元々 は InterScan の HTTP のウィルスチェックだったのが発展したもの。FireWall-1 と CVP という連携機能で設置設定するものだった。それがいつからか InterScan 単独で HTTPの コンテンツにウィルスが入ってないかチェックができるようになった。さらにURLのア クセス制限ができるようになった。エッチなサイトとか業務に関係ないということでスポ −ツサイトを見せないようにするとか。そしてマルウェアやボットに感染させられる危険 サイトを独自に評価してアクセスできないようにするサ−ビス、Webレピュテ−ション が加わった。この時点、業界では唯一のサ−ビスである。 トレンドマイクロから `29/05 電話あり。トレンドマイクロはこんなのも出してきました。 URLフィルタ−の WebManager アプライアンス。同時セッション 300まで30〜40万 円、筐体とソフトでえらく安い。 パソコン用の単体ソフトの Web Protection Add-On と サ−バ用ソフトの InterScan と WebManagerアプライアンス。これらはWebレピュテ− ションはできることは同じなのか。同じデ−タベ−スを使用するのか。東京のトレンドマ イクロから数ヶ月に一度電話がある。次に電話してきた時に聞いたら同じですと回答して くれた。ただし WebManagerアプライアンスはプロキシ機能はない。NetCache の置き換え として、プロキシサ−バとして機能も必要なので InterScan のソフトでやるならやる。 InterScan Web Security Suite のライセンスがあるので、Mail-Store 予備機にインスト −ルしてテストしよう。これでよさそうならInterScan Web Security Virtual Appliance を買うことにしよう。箱ものアプライアンスではない。ソフトウェアのアプライアンスと いうものである、初めて聞いた。最初何のことか分からなかった。 自社では VMware ESX を載せたHPなどのマシンを用意する。仮想環境で InterScan Web Security Suite が動 くようにしたソフトウェアのイメ−ジが提供される。イメ−ジをマシンにコピ−するだけ である。セミナ−が2009年10、11月にあり、実際の販売はそれぐらいからみたい。 メ−ルのイメ−ジの InterScan Message Security Virtual Appliance というのもある。 * トレンドマイクロのIPSサ−ビス トレンドマイクロの2009年10月のセミナ−にて。ボットを止めるのに一番、期待で きるのが Trend Micro Threat Managemnt Solution サ−ビスかも。 社内ネットワ−クに 専用装置を設置する。ハブのミラ−ポ−トでパケット全部を専用装置に流す。ここでマル ウェアの活動など怪しそうな動きを検知したらそのログをトレンドマイクロの監視センタ −に送る。そこで詳しく解析し対処方法など結果を知らせる。解析には半分ぐらい人も関 与するという。危険度が高いマルウェアの活動を検知した場合は通信を遮断する。専用装 置は Threat Discovery Appliance という。Threat Management Solutionサ−ビスはパソ コン500台で初年度800万円程かかる。次年度からは300万円位いる。 パソコンからマルウェアを自動で除去処置をしたいのなら Threat Mitigator というソフ トをサ−バに入れて動かす。Mitigator は2009年10月から提供されている、そして 各パソコンにもエ−ジェトのソフトを入れる。初年度300万円位いる、別途ユ−ザ側で VMWare ESX あるいは ESXi環境のサ−バを用意すること。次年度からは200万円位いる。 感染パソコンを検疫したければ、だいぶ前からある1Uの赤いアプライアンスの Network VirusWall Enforcer を社内ネットワ−クにかます。 検疫はつまり感染パソコンの隔離と クリ−ンナップである。クリ−ンナップだけなら Threat Mitigator でできる。Enforcer はパソコン500台で新規約300万円、更新約120万円。迷惑メ−ルは対象ではない。 このソリュ−ションは高額なので、導入前のソリュ−ション自体の評価あるいは単発での ネットワ−クの危険性を調査するサ−ビスがある。 装置の Threat Discovery Appliance を社内に設置して1ヶ月間運用する。日次レポ−ト、週のレポ−トがあがってくる。報告 会もある。TMITA( Trend Micro Internal Threat Assessment ) サ−ビスという。4つの メニュ−があり Standard の利用がとりあえずの推奨である、料金は約93万円。一番高 いメニュ−では約267万円もする。検知できる通信例にボットウィルスの活動、ゼロデ ィ攻撃、不正なURLを含むメ−ルの送受信、不正なウェブアクセス、不正なファイル転 送と書かれている。サ−ビスは分かったけどIPSとしての性能、評価はどうなのか。 * マルウェア/ボット対策の今後 トレンドマイクロのThreat Management Solution、もう少し説明。社内のネットワ−クに 専用設置でダウンロ−ダの動きを時系列的に追っていき判断する。怪しい動きを検知する 訳である。ボットも把握する。はっきりとリアルタイムでボットを検知すると言っている。 IPSのメ−カでもなかなかはっきりできますとは言ってないのに。2009年4月位か らサ−ビスが開始された。SQLインジェクション等の攻撃は検知したり止めたりはでき ない。パソコンにマルウェアが侵入しただけも検知はしない。マルウェアが活動を始め別 のマルウェアやボットを取ってきたり、メ−ルでマルウェアをばら蒔こうとしたりした際 に、その動きを検知する。こんなセキュリティ対策ソフトは他にないんじゃないか。 猫が布団の中に入ってくる時は、人の顔のところでフガフガという。それで起こされて首 元の布団をちょっと開けてやる。しかし出て行くときは黙っていつの間にか猫はでていく。 マルウェアはその逆の動きをする。入る時は黙って入ってくる。入ったまま動かないと入 ったことさえ分からない。それがごそごそ動きだし、外の親分と打ち合わせをしたり道具 をもらったり、中で情報を入手するなりして外に報告する。そこを狙って捕えるのだ。親 分がいる場所なり情報をアップする場所が分かっていれば、その場所にアクセスしようと するタイミングを狙えばいい。最後でそのアクセスを止めて、発信元の社内のパソコンを 突き止めればいい。そうなってくると、一番欲しい機能はWebレピュテ−ションである。 アジトをできるだけ速く探し出してブラックリストに載せること。敵も賢くアジトが分か らないようにボットで乗っ取った個人のパソコンなんかに、情報を仮り置きするかもしれ ない。Webレピュテ−ションで検知できないのはやはりIPSの出番である。万が一社 内のパソコンにボットが侵入したとしても、ボットが社内に蔓延するまでに幾ばくかの時 間があるはずである。あるいは外のハ−ダと何回かやりとりをするみたいだし、ボットは しばらく潜伏することもあるようだし。自分の直感では、ボットが実際にアクションを起 こすまで数分ということではないと思う。数時間あるいは数日の猶予はあると思う。その 間にIPSでもってボットを検知して、消し去ることができればいいのでないか。 * マルウェアとの戦い マルウェアが入ってこようとするところを捕まえる、出ていこうとしているところを捕ま える。入って来るのはIPSで防御する。IPSは DefensePro をメインに、ファイアウ ォ−ルに今後予定する FortiGate のIPS機能も期待したい。 それとインタ−ネットの 出入の所で、マルウェアに関係するサイトへのアクセスをWebレピュテ−ションで止め る。Webレピュテ−ションをサ−ビスしている会社はまだトレンドマイクロしかないの ではないか。 できれば早々に InterScan のWebレピュテ−ションをプロキシサ−バと して利用したいのだが、なかなか準備ができない。予備 Mail-Store のマシン Solaris 9 に設定しようとしていて、メ−ルの InterScan と同居させることができるのか。`2a/03 各パソコンにトレンドマイクロのウィルスバスタ−をインスト−ルすれば、InterScan と 同じ評価をするWebレピュテ−ション機能が利用できる。ブラウザがフリ−ズしたりす るということがあると書かれたのを見た、2009年8月どこかに書かれていた。ブラウ ザの Firefox には WOT というアドオンがある、「日経コミュニケ−ション」2010/02/15 の49ペ−ジにちょっと出ていた。WOT コミュニティというのがあり、ここで危険サイト を皆で登録しているとのこと。メ−ルの RBSブラックリストのWeb版である、個人的な 感想としては無料RBS は企業で利用したいとは思わない。以上マルウェアにはゲ−トウェ イでのIPSとトレンドマイクロのWebレピュテ−ションで戦う。 外から入って来るところを止める > 勝手に外から IFRAME 攻撃をしてくるパケットをIPSで止める。感染したサイトを自 分でアクセスする場合にWebレピュテ−ションでパケットを止める。 中に入ったのを検知して消す > パソコンでのウィルスチェックで、パタ−ンマッチングで既知のマルウェアは検知する ことはできる。マルウェアは巧妙に姿を隠すので動くまでは分からないだろう。 中に入って動いているのを止める > IPSのサ−バまたはパソコンソフトで不審な動きのパケットを止める。IPSと連動 するパソコンのソフトを入れて発信元が分かれば、そのパソコンを隔離する。 外に通信しようとしているのを止める > ファイアウォ−ルでパソコンからの IRC通信を止める。サ−バあるいはパソコン用ソフ トでのWebレピュテ−ションで、何がしか怪しいサイトにアクセスするのを止める。 アカウントを盗もうとしているのを止める > 外の送り先を押えるWebレピュテ−ション。パソコンのディスクを丸ごと暗号化する。 キ−入力の暗号化機能を使う。アカウント以外にも機密情報でも何でもある。 (2) スパイウェアで敵を知る * スパイウェアで獲られる情報 ・ネットワ−クを流れるアカウント。 ・ハ−ドディスクにあるアカウント。 ・Windows の中を流れるアカウント。 USBキ−にアカウントを保存していて、パソコンのアプリケ−ションのログイン画面に アカウントを送る。この時このアカウントは、このパソコンで動いているボットなど他の プログラムから見ることができるのか。見ることができないのであれば、いいのだが。 * スパイウェアについてのメモ キ−ロガ−はスパイウェアの一つ。ウィルスバスタ− 2009 にはキ−入力暗号化機能があ る、キ−ボ−ドからの入力を 128bit の LocalSSL で暗号化する。トレンドマイクロがそ う呼んでいる。キ−ロガ−される Windows 内を迂回してしまうということと説明がある。 ソニ−の PUPPY を使う。各種アカウントを PUPPY 内に保存する。PUPPY からアカウント をブラウザやFTPソフトに入れる。キ−ボ−ドからの入力ではない。キ−ロガ−のソフ トで捕まえられるか一度、調べてみる。 キ−ボ−ドからの入力だけでなく、プログラム間でやりとりするデ−タなども取得するの をグロ−バルフックという。SetWindowsHookEx() という関数を使えばできる。 X-Window のキ−ボ−ドにマウスの入力イベントを待っている関数みたいなものだ。 キ−ボ−ドからの入力をしないようにする。仮想キ−ボ−ドを使う。画面にキ−ボ−ドの 絵がでてきてマウスで英数字をクリックして入力する。しかし、これで何で安全といえる のだろうか。SSL-VPN の FirePass に仮想キ−ボ−ドがある、一度説明を聞いてみよう。 パソコンの操作ログ収集ソフトは、キ−ロガ−としての機能はあるのか、できるのか。マ ウスからの入力に他ソフトからの入力も。どのファイルをどのソフトでどの時間に使った か。ブラウザはどこを見たかは記録する。入力したアカウントまでは記録できそうにない。 パソコン用のウィルスチェックソフトはキ−ロガ−やスパイウェアのソフトが入っている ことを検知するのもある。ダウンロ−ドしてくる際に止める。ダウンロ−ドはすりぬけて しまい実行する際に止める。キ−ロガ−のプロセスが動いたことを検知するのだろうか。 キ−ロガ−は検索するとよく出てくる。キ−ボ−ドの盗聴。マウスと他ソフトからの入力 はあまりでてこない。どうもキ−ボ−ドに比べプログラムが難しいようだ。スパイウェア というはキ−ロガ−だけでなく他も盗聴するということ。 DLL の操作。DLL の一部として実行する、不正なプログラムが動いていることは分からな い。表面上、動いているのは本物のプログラムだから。DLL の中の APIがかきかえられて、 そのものが置き換えられている。DLL ってそんな簡単に置き換えることができるのか。 SunOS 4.1.x マシンでパケットを2つのインタ−フェ−ス間で流れのを止める設定をやっ たことがある。 カ−ネルを制御するプログラムのヘッダ−ファイル xxx.h の中の値をエ ディタで変えコンパイルし直し、できたモジュ−ルを置き換えマシンをリブ−トした。 パソコンの暗号化ソフトの SafeBoot Device Encryption はハ−ドディスクを丸ごと暗号 化する。キ−ロガ−などのクラッキングツ−ルは動かない。OSの起動前に独自のユ−ザ 認証をする。SafeBoot の会社は McAfee 社に2007年に買収された。 2008年にこ のソフトは McAfee Endpoint Encryption for Devices という名前に変更になった。 Windows Vista の暗号化機能 BitLocker。ソニ−など各社ノ−トパソコンの機能としてハ −ドディスクの暗号化機能がある。ソニ−は TPMセキュリティチップを搭載したモデルで 暗号化できる。他に暗号化機能付きのハ−ドディスク単体の製品というのもあるようだ。 * キ−ロガ−のソフトと参考資料 マイコミジャ−ナルにでていたキ−ロガ−のソフト Guptachar。パソコン > ソフト > ハ ウツ− > "キ−ロガ−でIDやパスワ−ドが盗み出される − 「キ−入力暗号化機能」で個 人情報を守る"。キ−ロガ−のソフトを検索して調べてみた。 ベクタ−に出ているのが1 つあった、シェアウェアだった。ちょっとベクタ−以外の所にあるソフトは、試すのも危 険な気がする。ダウンロ−ドするだけでも怖い。セミナ−でこうしたツ−ルの名前を聞い たことがある。たいがい配布資料には名前は出さずに、プレゼンでここでだけですなどと 名前を言っていた。「NETWORK MAGAZINE」をめくっていて2006年2月号の49ペ−ジ にキ−ロガ−のソフト"PERFECT KEYLOGER"というのがあった、日本語表示もできるみたい。 パソコンに侵入する本が数冊ある。一冊買ってみるか。「ハッカ−・プログラミング大全 攻撃編」4,200円+税 `26/03 発売がよさそうである。 http://ruffnex.co.to/kenji/ 筆 者のホ−ムペ−ジ、ここの"KeyLoggerとプロセス隠蔽についてのまとめ"、"スパイウェア の仕組みと構造 〜Windows編〜" が検索していてヒットした。そこから本があることを知 った。これまで何度か大きな本屋で見ていた。この人はクラッカ−ではない、ハッカ−で ある。クラッカ−が元々は悪さをする人のことで、ハッカ−はコンピュ−タにとても詳し い人を意味していたが、今や良貨は悪貨に駆逐されてしまった。買ってざっと見ているが 付録の CD-ROM にすぐ使えるキ−ロガ−のソフトはあるかな。仕組みのサンプルだけか?。 * キ−ロガ−のソフトを試してみる キ−ロガ−のソフトを実際に試してみる。これまで、そこまで確認しようという気持ちは なかった。しかし敵を知るにはやはり、一度は動作を自分の目で見ておく必要があると思 った。確認できる環境があるところからやってみることにしよう。 ・"ウィルスバスタ−2010" のキ−入力暗号化ではどうか。 ・SSL-VPN の FirePass のセキュア仮想の状態ではどうか。 ・ハ−ドディスクが丸ごと暗号化された状態でどうか。 先ずトレンドマイクロ社の "ウィルスバスタ−2010" のキ−入力暗号化で試してみる。デ フォルトでこの機能は入ってなかった。宣伝にはでかでか書いてあるのに、しかし入手し たのが2009年の年末だったから、入ってなかったのかも。トレンドマイクロ社の無料 ツ−ルという所から、キ−入力暗号化ツ−ル GuardeID Standard、2009/12/10公開をダウ ンロ−ドする。うまくインスト−ルされるとIEに GuardeID のツ−ルバ−が出る。自分 のパソコンには Mozilla Firefox も入れていたのだが、 これにも GuardeID が入ったよ うだった。しかし一度入れたら、パソコンを起動するたびに、新しい GuardeID が出てい ます、直ちに入れますかと出てくる。他にも何やらでてきてうっとうしいです。 ----------------------------------------------- | IEブラウザ 6.x |------------------------------------------ | アドレス| http://www.mixi.jp 無線の安全 |-------------------------------------- ↓ | □GuardeID ○オン ☆管理 @TREND MICRO 〆TRENDプロテクト ◎ |-------------↑-------------------------↑------------------------------- | 緑 | クリックしてメニュ−の Trendプロテクト の〆を外すと GuardeID は無効になる。 ハッカ−の本の第1章に載っているキ−ストロ−クの監視、グロ−バルフックのサンプル プログラムをパソコンで走らせておく。付属の CD-ROM にソ−ス・プログラムや実行モジ ュ−ルが入っていて、そのまま実行することができる。どれがどれか各自見つけること。 mixi のアカウント入力する画面の入力部にマウスをもってくると、 緑色で○オンになる。 外れると赤になる。フォ−カスされた状態が緑ということか。キ−入力したら監視プログ ラムの画面にもでた。キ−入力暗号化になっていなかった。 mixi のアカウント入力する画面の入力部で、 覚えているユ−ザ名がプルダウンで出てく る。これは監視プログラムの画面には出てこなかった。パスワ−ドはプルダウンはでてこ ない。パスワ−ドを入力したらそれは監視プログラムの画面にでてきた。 いや GuardeID が働いていると、フォ−カスされたキ−入力は、キ−ボ−ドからブラウザ のアプリまで迂回されて暗号化され、通常のキ−入力にはダミ−の文字が流れる。そう説 明書きがあった。もう一度、監視プログラムの画面に出てくる文字を確認してみたい。 * イベント・ドリブンはキ−ロガ− ハッカ−の本に出ているサンプル・プログラム。基本的な機能を確認するためだけのプロ グラムで数十行程度のものが多い。キ−入力の検知プログラムなんか、本当に10行ぐら いのものである。こんなハッカ−とかクラッカ−とか言う題名の本なので、どんなに恐ろ しいソフトウェア・ツ−ルがあるのかと思ってしまうが、まるでそんなことはない。プロ グラムでユ−ザ・インタ−フェ−スの所を書いたことがある人なら、ごくごく基本、当り 前の話である。CADなんかのGUIのプログラムはキ−入力とマウス入力のイベントの 処理のオン・パレ−ドである。UNIXの X-Window プログラミングを思い出してみれば いい。何かの入力なりアクションは全てイベントとして検知されているのである。 もう特にキ−ロガ−の検証するまでもないか。キ−ボ−ド入力、マウス入力は検知できる のは当り前。一つ未だに分からないのはプログラムの中でアカウントなどの文字を別なプ ログラムに渡す場合である。具体的には指紋認証のUSBキ−にアプリケ−ションのログ イン画面のアカウント情報をあらかじめ入れていて、自動的にそのアプリケ−ションにそ の文字列を渡す。これはキ−ロガ−では見れない訳で、どうやるのか。アカウントの文字 列はパソコン内をデ−タとして流れる、ここはネットワ−クではない。ん−どういうこと か、イメ−ジが湧かない。でも自分がそのやり方をまだ知らないだけで多分、容易にでき るのだと思う。パソコン内の盗聴は簡単にできる、そう考えて間違いない。 キ−ロガ−に関するめぼしい記事が1つあった。キ−入力でなくてログイン画面に入る文 字列を拾ってパスワ−ドを盗むという話。「NETWORK magazine」2008/12, P.150〜151 の スパイウェアの仕組みで、(1)オンラインゲ−ムの起動ウィンドウを監視、(2)起動ウィン ドウが現われた場合、ログイン認証画面のIDとパスワ−ド欄のデ−タを窃取する。(株) ラックの人の記事である。もう1つラックのコンピュ−タセキュリティ研究所の人が書い た記事がある「N+I NETWORK Guide」2005/08, P.66〜93,"第2特集:スパイウェア防御策"。 包括的によくまとまって書かれている。もう1つ、あるUSB指紋認証での機能で、ブラ ウザなどアカウント入力画面でパスワ−ドを Windows のクリップボ−ド経由で渡す。 (3) InterScan Web Security Suite `2b/07 * RHEL の仮想マシンに入れた様子 VMware ESX Server で RHEL の仮想マシンをクロ−ンでちゃちゃっと作って、IPアドレ スやホスト名を付けて、IWSS をインスト−ルしてみた。 順調に作業できれば5分もかか らず IWSS の稼働までできる。迷惑メ−ル対策の設定のように、そんなに設定すべき所は ないみたいである。トレンドのサイトから InterScan Web Security Suite 3.1、Linux版 マスタ−プログラムをパソコンにダウンロ−ドする。iwss31_lin_b1066.tar.gz、214.8MB、 2008-06-02 リリ−ス Build: 1066.00 日本語版。 パッチもとりあえずダウンロ−ドして みた 2010-08-25 iwss31_lin_patch2-b1223.tgz。パッチは IWSSの画面から、パソコンに ダウンロ−ドしたのをファイル指定して、当てることができた。 Readme : readme_iwss31_lin_b066_r4.txt インスト−ルガイド : install_guide_iwss31_lin.pdf 134ペ−ジ 管理者ガイド : admin_guide_iwss31_lin.pdf 268ペ−ジ パッチの Readme : readme_iwss31_lin_patch2_b1223.txt # cd /usr/local/source;ls -l -rw-r--r-- 1 root root 225288047 Jul 21 13:23 iwss31_lin_b1066.tar.gz -rw-r--r-- 1 root root 12402996 Jul 21 13:23 iwss_31_lin_patch2_b1223.tgz # gzip -d *.gz # tar xf *.tar # ls -F Document/ iwss31_lin_b1066.tar readme_euc.txt readme_utf8.txt Program/ iwss_31_lin_patch2_b1223.tgz readme_sjis.txt # cd Program # ./install_iwss.sh Script started, file is /tmp/install.log Enter the InterScan Web Security Suite 3.1 install .. (default /opt/trend/iwss): Use an existing database? (the version 7.4.16 above only)(default no) [y/n]: n The default username for the PostgreSQL database is "sa"... Create a password for this database account: << デ−タベ−スにアクセスする Enter the password again: << ためのパスワ−ドを決めてね。 Do you want to register to Control Manager? (default no) [y/n] n Script done, file is /tmp/install.log << /etc/iscan/log にも移された。 | IWSVA IWSS IMSS PC マシンred0 は次期 FIRE□ □red2 □red1 □red0 △Outlook Express Mail-Store として |.2 |.11 |.10 |.9 | 設定中。tarouユ− ------------------------------------------ 192.168.1.0 ザだけ作ってある。 PC から http://192.168.1.10:1812 にアクセスして IWSS の細かな設定をする。IWSVAは お試しライセンスが切れてプロキシとしてのみ機能する。下記 a) の設定で、PCのブラウ ザが外のサイトを見ることができる。b) の設定で IWSS がいろいろアップデ−トできる。 a) [HTTP]->[設定]->[プロキシ検索] HTTP待機ポ−ト番号:[8080]、◎プロキシ転送を有効にする、 〆上位プロキシサ−バ:[192.168.1.11]、ポ−ト番号:[8080]。 b) [アップデ−ト]->[設定] 〆コンポ−ネント、ライセンス、Webレピュテ−ションクエリのアップデ−トにプロキ シサ−バを使用する。ホスト名/IPアドレス:[192.168.1.11]、ポ−ト番号:[8080]。 * IWSS からメ−ルが来るようにする [通知] 画面の {通知先の設定} ----------------------------------------------------- |通知メ−ル設定 | |---------------------------------------------------| |送信者のメ−ルアドレス: [root@localhost ] | << root@nix.co.jj に。 |通知先: [root ] | << tarou@nix.co.jj に。 | | |SMTPサ−バのホスト名/IPアドレス:[localhost ] | << 192.168.1.9 に。 |SMTPサ−バポ−ト番号: [25 ] | |メ−ルキュ−を確認する間隔(分): [1 ] | |□ EHLO(Extended Hello)コマンドを使用する | << 〆してもしなくても。 ----------------------------------------------------- [通知] 画面の {HTTP検索} ----------------------------------------------------- |管理者への通知 | |---------------------------------------------------| |次が検出された場合に通知を送信する | |□ウィルス □トロイの木場 □その他のインタ−ネッ | << "ウィルス"に〆チェック。 | ト上の脅威 | |通知先: tarou@nix.co.jj | |---------------------------------------------------| |ユ−ザへの通知 | |---------------------------------------------------| |ダウンロ−ドファイルに対するメッセ−ジ:[プレビュ−]| |〆初期設定 | |□カスタマイズ | | | |アップロ−ドファイルに対するメッセ−ジ:[プレビュ−]| |〆初期設定 | |□カスタマイズ | ----------------------------------------------------- IWSS がホ−ムペ−ジにウィルスが入っているのを検知。 http://www.eicar.org/ のテス トウィルスにて確認。送信者 root@nix.co.jj、件名 ウィルスアラ−トが来た。内容は例 えば HTTPトラフィックから不正プログラムを検出。ファイル:eicar_com.zip、処理:削除。 送信者 root@nix.co.jj、件名 IWSSパタ−ンファイルアップデ−ト結果、午前2時1分に 来た。[概要]->[検索] で "ウィルスパタ−ンファイル"に◎が付いているのみだが、他の も "InteliTrap除外パタ−ンファイル" までアップデ−トされていた。 送信者 root@nix.co.jj、件名 IWSS Daily Report、午前1時6分に出ていた。 内容は日 次レポ−トが作成されました。http://red1:1812/servlet/.../report.2011.07.26。red1 のところIPアドレスでないと開けない。さて、どうしたらいいのか。 * マシン red1 の sendmail の設定 IWSS から出されるメ−ルに、mail コマンドを打っての確認メ−ル。/etc/resolv.confの 記述なしにしても。/etc/nsswitch.conf の "hosts: files dns" の dns を無しにしても メ−ルは出た。IWSS が直接インタ−ネットにアクセスできなくても、 プロキシここでは IWSVA を介して、ちゃんと機能することを確認した。 red0# cd /etc/mail マシン red0 で red1.mc ファイルを作って、red1.cf red0# m4 red1.mc > red1.cf を作った。それを マシンred1 に持って来て使用する。 red0 /etc/mail/red1.mc マシン red1 には /usr/share/ ----------------------------------------------- sendmail-cf/はない。モジュ− |include(`/usr/share/sendmail-cf/m4/cf.m4')dnl ルを入れてない。red0は入れた。 |VERSIONID(`setup for linux')dnl |OSTYPE(`linux')dnl red1#rpm -qa | grep sendmail |FEATURE(`nullclient',`192.168.1.9') sendmail-8.13.8-8.el5 /etc/mail/service.switch ------------------------- |hosts files << hostsとfiles の間はタブ。自分でこのファイルは作る。 /etc/mail/sendmail.cf << 元は red0 で作ったred1.cf、ここのコメントを外した。 ---------------------------------------------- |O ServiceSwitchFile=/etc/mail/service.switch /etc/mail/local-host-names インスト−ルのまま、設定何もしてない。 /etc/mail/access インスト−ルのまま、設定何もしてない。 # makemap hash access.db < access /etc/hosts # hostname ------------------------------------------------- red1 |127.0.0.1 localhost.localdomain localhost |#::1 localhost6.localdomain6 localhost6 # system-config-network でこ |192.168.1.10 red1 red1.nix.co.jj こらの設定はできる。 # /etc/rc2.d/S80sendmail start /etc/hosts に red1.nix.co.jjを書いたら、すぐ sendmail を起動中: [ OK ] に起動してきた。書いてないと1分ぐらい動かな sm-clientを起動中: [ OK ] かった。S80sendmail stop してからやること。 # sendmail -bt マシン red1 でメ−ル送信の展開を確認してみる。 ADDRESS TEST MODE (ruleset 3 NOT automatically invoked) Enter
> 3,0 emi@nix.co.jj canonify input: emi @ nix . co . jj 別に実在しないユ−ザ名でも構 Canonify2 input: emi < @ nix . co . jj > わない。ここで問題にするのは Canonify2 returns: emi < @ nix . co . jj > nix.co.jj のところである。 canonify returns: emi < @ nix . co . jj > parse input: emi < @ nix . co . jj > Parse0 input: emi < @ nix . co . jj > Parse0 returns: emi < @ nix . co . jj > Parse1 input: emi < @ nix . co . jj > MailerToTriple input: < 192 . 168 . 1 . 9 > emi < @ nix . co . jj > MailerToTriple returns: $# relay $@ 192 . 168 . 1 . 9 $: emi < @ nix . co . jj > Parse1 returns: $# relay $@ 192 . 168 . 1 . 9 $: emi < @ nix . co . jj > parse returns: $# relay $@ 192 . 168 . 1 . 9 $: emi < @ nix . co . jj > > Ctrl+D で抜ける。 # mail -v tarou@nix.co.jj マシン red1 でコマンドでメ−ルを出してみる。メ− Subject: emisan ルは red0 に行く。ログは /var/log/maillog に出る test desu ので、それで先ず送受信を確認する。red0にメ−ルが . 来たら PC の Outlook Express で受ける。 Cc: tarou@nix.co.jj... Connecting to [127.0.0.1] via relay... 220 red1.nix.co.jj ESMTP Sendmail 8.13.8/8.13.8; Tue, 26 Jul 2011 15:17:27 +0900 >>> EHLO red1.nix.co.jj 250-red1.nix.co.jj Hello localhost.localdomain [127.0.0.1], pleased to meet you 250-ENHANCEDSTATUSCODES 250-PIPELINING EXPN VERB 8BITMIME SIZE DSN ETRN DELIVERBY まとめて表示。 250 HELP >>> VERB 250 2.0.0 Verbose mode >>> MAIL From: SIZE=51 250 2.1.0 ... Sender ok >>> RCPT To: >>> DATA 250 2.1.5 ... Recipient ok 354 Enter mail, end with "." on a line by itself >>> . 050 ... Connecting to 192.168.1.9 via relay... 050 220 red0.nix.co.jj ESMTP Sendmail 8.13.8/8.13.8; Tue, 26 Jul 2011 15:17:27続 050 >>> EHLO red1.nix.co.jj +0900 050 250-red0.nix.co.jj Hello [192.168.1.10], pleased to meet you 250-ENHANCEDSTATUSCODES 250-PIPELINING EXPN VERB 8BITMIME SIZE DSN ETRN DELIVERBY まとめて表示。 050 >>> MAIL From: SIZE=356 050 250 2.1.0 ... Sender ok 050 >>> RCPT To: 050 >>> DATA 050 250 2.1.5 ... Recipient ok 050 354 Enter mail, end with "." on a line by itself 050 >>> . 050 250 2.0.0 p6Q6HRpc002105 Message accepted for delivery 050 ... Sent (p6Q6HRpc002105 Message accepted for delivery) 250 2.0.0 p6Q6HRSE030938 Message accepted for delivery tarou@nix.co.jj... Sent (p6Q6HRSE030938 Message accepted for delivery) Closing connection to [127.0.0.1] >>> QUIT 221 2.0.0 red1.nix.co.jj closing connection * パッチは IWSS の画面から入れる IWSS の画面からパッチを入れようとして、IWSS が止まってしまった。/etc/rc2.d/ にで きた IWSS の起動スクリプトで起動し直した。# cd /etc/rc2.d、# ./S99IWSS start。 # cd /etc/rc2.d;ls -l lrwxrwxrwx 1 root root 16 Jul 21 13:36 S99IWSS -> /usr/iwss/rcIwss [管理]->[システムパッチ] ------------------------------------------------------------------ |新しいパッチのインスト−ル | パソコンにお |----------------------------------------------------------------| いたファイル |インスト−ルするパッチの選択:[ ] [参照][アップロ−ド] | iwss_31_lin_ |----------------------------------------------------------------| patch2_b1223 |インスト−ル済みのパッチ | .tgzを[参照] |----------------------------------------------------------------| から選択した。 |パッチ番号 パッチの情報 インスト−ル先 | [ アップロ− |----------------------------------------------------------------| ド ]をクリッ |Patch2 B1223 IWSS 3.1 Linux JA Patch 07/21/2011 13:50:56 | クした、30 |アンインスト−ル 2 Build 1223 | 秒位で終了。 ------------------------------------------------------------------ * Linux IWSS のインスト−ル他 # ls -l /etc/iscan/log -rw-rw-r-- 1 iscan iscan 3539 Jul 21 15:24 CM.20110721.0001 -rw-rw-r-- 1 iscan iscan 6446 Jul 21 15:30 admin.log.20110721.0001 -rw-rw-r-- 1 iscan iscan 2298 Jul 21 15:24 audit.trail.log -rw-rw-r-- 1 iscan iscan 2539 Jul 21 13:52 ftp.log.20110721.0001 -rw-rw-r-- 1 iscan iscan 104857625 Jul 21 13:45 http.log.20110721.0001 -rw-rw-r-- 1 iscan iscan 58040876 Jul 21 15:24 http.log.20110721.0002 -rw-r--r-- 1 root root 5790 Jul 21 13:36 install.log -rw-rw-r-- 1 iscan iscan 31760 Jul 21 15:24 jscan.log.20110721.0001 -rw-rw-r-- 1 iscan iscan 0 Jul 21 14:00 jscan.report.20110721.0001 -rw-rw-r-- 1 iscan iscan 261 Jul 21 13:51 log_to_db.log.20110721.0001 -rw-rw-r-- 1 iscan iscan 3420 Jul 21 15:24 mail.log.20110721.0001 -rw-rw-r-- 1 root iscan 0 Jul 21 13:36 metric_log.20110721.0001 -rw-rw-r-- 1 iscan iscan 192 Jul 21 13:51 metricmgmt.log.20110721.0001 -rw-rw-r-- 1 iscan iscan 166 Jul 21 15:14 update.log.20110721.0001 # cd /var/spool/cron;ls -l -rw------- 1 root root 759 Jul 21 13:36 iscan # cat iscan 0 2 * * * /usr/iwss/bin/purgefile > /dev/null 2>&1 0 * * * * /usr/iwss/bin/cleanfile > /dev/null 2>&1 0 1 * * * /usr/iwss/bin/schedulepr_update > /dev/null 2>&1 5 * * * * /usr/iwss/bin/schedulereport > /dev/null 2>&1 0 * * * * /usr/iwss/bin/schedule_au.sh > /dev/null 2>&1 15 * * * * /usr/iwss/bin/schedule_au.sh > /dev/null 2>&1 30 * * * * /usr/iwss/bin/schedule_au.sh > /dev/null 2>&1 45 * * * * /usr/iwss/bin/schedule_au.sh > /dev/null 2>&1 5 2 * * * /usr/iwss/bin/DbOldDataCleanup.sh 0,5,10,15,20,25,30,35,40,45,50,55 * * * * /usr/iwss/bin/svc_snmpmonitor.sh > /de 28 0-23/2 * * * /usr/iwss/bin/db_reindex.sh > /dev/null 2>&1 v/null 2>&1 58 3 * * * /usr/iwss/bin/db_vacuum.sh > /dev/null 2>&1 48 1 * * 0 /usr/iwss/S99ISsvcmonitor restart > /dev/null 2>&1 # cd /usr/iwss; ls -F AdminUI/ S99ISmaild* iwssd@ CDT_IWSS30_Linux.sh* S99ISproxy* lib/ CollectOtherFile.sh* S99ISsvcmonitor* logtodbd* CollectProductInfo.sh* bin/ maildctl.sh* CollectProductLog.sh* cleanup-postgres-env.sh* plugin/ CollectSystemInfo.sh* clearURLCache.sh* progress_scripts/ CollectSystemLog.sh* cpu_util.sh* rcIwss* ISAGENT_MCP/ crontab.iscan readme.txt* PackageCore.sh* crontab.root resource/ PackageLogIni.sh* dbctl.sh* setup-postgres-env.sh* PostgreSQL/ installdb.sh* share/ S99ISMetricMgmtd* installdb_remote.sh* sql/ S99ISagent* isdelvd* svcmonitor* S99IScanHttpd* isftpd@ svcmonitor.sh* S99ISdatabase* ismetricmgmtd* tmi_install/ S99ISftp* isql* uninstalldb.sh* S99ISlogtodb* iwss-process* # cd PostgreSQL/bin 実態として /opt/trend/iwss/bin/PostgreSQL/bin もある。 # ./psql iwss sa でアクセスはできる。マシンのIPアドレスはここでは管理してない。 * IWSS のIPアドレスの付け替え : 上記までは red2 マシンはファイアウォ−ルを通 □Router □DNS す、red1は通さないようにしていた。それでred1 | |.3 202.241.128.0 をプロキシとして使うには、IWSSの上位プロキシ ------------------ として red2 の IWSVA を指定していたという話。 | IWSVA IWSS PC FIRE□ □red2 □red1 △ PC のブラウザでプロキシ指定を 192.168.1.11の |.2 |.11 |.10 | 8080とする。 -------------------------------- 192.168.1.0 red2 マシンを停止して、red1 マシンのIPアドレスを 192.168.1.11 にする。 red2 は コンソ−ルで # shutdown -h now をやる。 red2 は仮想アプライアンスで VMware Tools をサポ−トしてなくて、入ってないので、仮想マシンのメニュ−の [ゲストのシャットダ ウン] がないのでコマンドで停止させる。red1では [HTTP]->[設定]->[プロキシ検索] と [アップデ−ト]->[設定] でプロキシ指定 192.168.1.11 は無しにしておく。 red1 マシンでは # system-config-network で、{デバイス}と{ホスト}のIPアドレスを 192.168.1.11 に変更、 DNSサ−バは 202.241.128.3 を記入すると /etc/resolv.conf ファイルに "nameserver 202.241.128.3" と書かれる。しかしブラウザで外のサイトを見 ようとすると、"503 Service Unavailable, Failed to resolve the name of server www .asahi.com to connect" とでてしまう。# ping www.asahi.com も効かない。 上記までの設定では red1 マシンはDNSサ−バを見ない、必要なしの設定にした。その ため /etc/nsswitch.conf は "hosts: files" にしてあった。これを"hosts: files dns" にすると # ping www.asahi.com は効くようになった。しかしブラウザからのアクセスは 依然としてできなかった。マシンを再起動したら、できるようになった。 IWSS を起動す る時に nsswitch.conf の "hosts: files dns" を見るようになっているのでないか。 * IWSS のテスト稼働いろいろ `2c/01/M 2011年のクリスマス前に本体を電源から抜いて、20日ぶりにHP仮想サ−バを電源 いれた。なかなか仮想サ−バが起動してこなかった。ILO の起動ログが出てくるのでも5 分ぐらいかかった。その間パソコンの画面は真っ暗なままでいいんかしゃんと思った。こ れまで何回か電源入れ直しことがあったが、そんなに時間かからなかったと思うが。仮想 マシンの IWSS は起動していたが、プロキシサ−バとして使えなかった。 "HTTPトラフィック(×)オン" になっていた。 仮想マシンが起動しなおした際にも "HTTPトラフィック(〆)オフ" になっているか確認す ること。ftp は扱わないので "FTPトラフィック(×)オン" でいい。 これまでテストでは IWSS のポ−ト番号は 8080 だったのを 80番にする。[HTTP]->[設定]->[プロキシ検索]の HTTP待機ポ−ト番号[ 80 ] にし [保存]をクリック。仮想マシンをシャットダウンして起 動してちゃんと IWSS が稼働して、ポ−ト番号も 80 になっているか確認した。 (4) Webレピュテ−ションの仮配備 -------------------------------------------------------------------------------- Mail-Store の予備のマシン Solaris 9 に IWSS を入れてみたのが初めである。これで仮 配備ということでここでテストした。次に同じマシンに今度は IWSVAを入れて、本配備と いうタイトルを付けてみた。そして RHEL 仮想マシンに IWSS を入れた(3)、という順番。 -------------------------------------------------------------------------------- * 先ずは使ってみる インスト−ルをしたままの状態でアクティベ−ションコ−ドも入れてない。これでもうプ ロキシサ−バとして機能するのか?、する。[概要]の "HTTPトラフィック" が オフ にな ているのを オン にする。これでブラウザで 8080 ポ−トを指定してプロキシの設定をす ればOKだった。IWSS の設置は幾つかのモ−ドがある。 デフォルトではスタンドアロン モ−ドで、このままで通常のプロキシサ−バとして働く。 もうパタ−ンファイルや検索エンジンを取り込んでいるのか。もし取り込んでいるならア クティベ−ションコ−ドを入れていなくても、もうホ−ムペ−ジをチェックしているのか。 それはない。[概要]->[検索]->[アップデ−ト]をクリックしたら、細長の画面がでてきて、 "InterScan Web Security Suite 製品のアクティベ−ションが完了していません。製品の 機能は無効です。製品のアクティベ−ションを実行してください。" と書かれてあった。 * インスト−ルした初期状態 [概要]->[システムダッシュボ−ド] HTTPトラフィック赤(オフ)、FTPトラフィック赤(オフ)。 すぐにグラフが刻々と出だ した。見た時はハ−ドディスクドライブの容量使用率 19% ほど、CPU使用率0、 物理 メモリ使用率が約 88% でそのまま推移した。 [概要]->[検索] ◎ウィルスパタ−ンファイル 現在のバ−ジョン 5.887.00 前回のアップデ−ト 09/04/01 17:32:42 アップデ−トスケジュ−ル 1時間毎。他のには◎なし、現在の バ−ジョンは上から 585, 0.743.00, 0.109.00, 0.405.00, 3, 8.7.1004, 3.0.1027。 前回のアップデ−トは 09/04/01 17:32:44 とか。 8.7.1004 だけは 09/03/19 17:21 とか。コンポ−ネントの IWSSは3.1_ビルド_solaris_1191, 09/03/19。 [HTTP]->[HTTP検索]->[ポリシ−] {検索ポリシ−} 〆ウィルス検索を有効にする 〆Webレピュテ−ションを有効にする。 ポリシ−名 "ウィルス検索のグロ−バルポリシ−" をクリックして、編集画面へ。 [HTTP]->[HTTP検索]->[ポリシ−] の [Webレピュテ−ションル−ル] {設定} 〆このポリシ−でWebレピュテ−ションル−ルを使用する。{感度レベル}◎中。 {その他の機能} で〆ファ−ミング検索を含める、〆フィッシング検索を含める。 [HTTP]->[HTTP検索]->[ポリシ−] の [ウィルス検索ル−ル] {ブロックするファイルタイプ} チェックなし、圧縮ファイルをブロックする◎。 ◎検索可能なすべてのファイル。〆IntelliTrapを有効にする。◎次の場合にブロッ ク 50000,200MB,10。〆隔離ファイルを暗号化する。 [HTTP]->[HTTP検索]->[ポリシ−] の [スパイウェア検索ル−ル] ひとつもチェックなし。 [HTTP]->[HTTP検索]->[ポリシ−] の [処理] 1次処理 [削除]、2次処理 [削除]、パスワ−ドで保護されたファイル [放置]、 マクロ [放置]。備考には最初にインスト−ルした日付あり、再インスト−ルしたが。 [HTTP]->[HTTP検索]->[設定] [Webレピュテ−ション除外リスト] ◎前方一致。 [設定] 〆感染したURLのフィ−ドバックをトレンドマイクロに送信する。 [HTTP]->[URLアクセスの設定] [URLの信頼] □URLの信頼を有効にする。 [URLブロック] 〆URLブロックを有効にする、◎前方一致。 [HTTP]->[設定] [プロキシ検索] HTTP待機ポ−ト番号:[8080]、◎プロキシ転送。 [ユ−ザの識別] ◎IPアドレス。 [クエリ方法の設定] ◎暗号化HTTPを使用する。 [アップデ−ト]->[スケジュ−ル] ウィルス/スパイウェア/フィッシングなどパタ−ンファイル 毎時。 検索エンジン 毎週 木曜日 開始時刻 [02]時[00]分。 URLフィルタエンジン 毎週 火曜日 開始時刻 [04]時[00]分。 [管理]->[IWSS設定] [一般] 隔離先のディレクトリ [/etc/iscan/quarantine]。 [デ−タベ−ス] ODBCデ−タソ−ス名 IWSS、ユ−ザ名 sa、パスワ−ド ****。 [IWSSサ−バファ−ム]、[DCSの登録]、[Control Manager設定] 指定なし。 [管理]->[Webコンソ−ル] ◎非SSLモ−ド ポ−ト番号 [1812]。 * アクティベ−ションをやる 保有ライセンス確認書を見ると、InterScan VirusWall Enterprise Edition Plus ライセ ンス製品で、アクティベ−ションコ−ドとかシリアル番号が10個以上もある。それにお 客様IDにライセンスIDというのもある。別に小封筒で来た IWSS の4つのアクティベ −ションコ−ドがよく見たら、確認書に書かれていた。IWSSのアクティベ−ションコ−ド のどれを入れるのかトレンドマイクロに問い合わせてみた。どれでも構わないが改めて発 行しますとのことで、翌日メ−ルで2つのアクティベ−ションコ−ドが来た。一番上の本 体とモバイルコ−ドのである。[新規入力] でコ−ドを入れた。 2つとも有効期限が何か おかしい、サポ−ト契約終了まで残り3525日ですというのもおかしい。[ステ−タス更新] を一度クリックしたら、しばらく30秒以上だったか "アップロ−ドしてます" という小 さな画面が左上に出た。それで有効期限もちゃんと、残り172日ですと、まともになった。 [管理]->[製品ライセンス] InterScan Web Security Suite InterScan Web Security Suite Webセキュリティ強化フィルタオプション(URLフィルタ) << これも製品で別口、 要るなら買うこと。 InterScan Web Security Suite モバイルコ−ド セキュリティオプション(アプレット/ActiveX対策) 特にモバイルという言葉にはこだわらなくていい。不正なアプレットと ActiveXコントロ −ルが入ってくるのを止めると思えばいい。誤検知は全くないわけでない、注意されたい。 URLフィルタ は従来からある機能で、スポ−ツサイトはだめとかいうのである。 URLフィ ルタはやるつもりはない。これをやり出すと際限がなくなる。例えば総務部門がスポ−ツ の結果は知りたい。工場の夜勤の労働者が夜中にエッチなサイトを見ている、夜10時か ら朝まで娯楽のジャンルのとこは全部、見れないようにしてくれないかとか。ともかく特 例による制限、細かな制限をかけることになる。そんなこと貴方はやりたいですか。総務 がメ−ルユ−ザの登録など管理業務をやってくれているような会社であれば、これも総務 に仕事を払い下げしてやってもらうこともあるだろうが。たいがいはネットワ−ク管理者 または貴方の部下なりが、URLフィルタのメンテナンスをやることになるのである。 * 設定と確認のテスト [概要]->[検索] でウィルスパタ−ンファイルに◎をチェックして、[アップデ−ト] をク リックしたら、これだけ取ってきた。現在のバ−ジョン 7.133.80、 前回のアップデ−ト 10/04/28 16:14 になった。ほかのも全部アップデ−トをやるのかな。 いや全部勝手にア ップデ−トするみたいである。急ぎでなければほかっておいていい。 [HTTP]->[検索]->[ポリシ−] の [スパイウェア検索ル−ル]。多分全部にチェックを入れ て運用するのだと思う。〆してみた。メッセ−ジが出てきた、〆を外しても同じのが出た。 "変更は保存されましたが配信されていません。 初期設定では、指定された時間に配信が 実行されます([管理]->[IWSS設定]->[デ−タベ−ス])。配信する前にうんぬん"。 http://www.eicar.org/anti_virus_test_file.htm にブラウザでアクセスしてテストする。 "The Anti-Virus of Anti-Malware test file" Version of 7 September 2006、という画 面がある。http、https でダウンロ−ドしてテストするファイルがある。 eicar_com.zip は "コンテンツレ−ティングル−ル: Web Reputation - Very Low" と出て止められた。 ------------------------------------------ 他 httpでアクセスする3つのファイル |http://www.eicar.org/download/eicar.com eicar.com.txt と eicarcom2.zip も同 |----------------------------------------- じくこのように出てブロックされた。 |IWSSセキュリティイベント(hostB) | |このURLへのアクセスはフィルタ/ブロックル−ルにより規制されています。 | |URL: http://www.eicar.org/download/eicar.com |URLの種類: ウィルス感染による一時的なブロック (5) Webレピュテ−ションの本配備 * InterScan Web Security Virtual Appliance `29/05 Webレピュテ−ションによりおかしなホ−ムペ−ジへアクセスするのを防止する。この サ−バを仮想化技術の冗長化でやってみたい。サ−バのクラスタリングをやるのは、かつ て調べた時には Linux でも500万円位になった。これが幾らでできるのか。 ちょうど やりたいと思っていたことが、やられていた。CTCとトレンドマイクロが共同で検証し た。VMware ESX 上で動作する。そのセミナ−が `29/03/13 に東京で開かれた。マシンは 新しく購入しなければならない。仮配備で何ヶ月か動かして、問題ないことが確認できた ら本番機用のマシンを手配することにしよう。できればOSは Linux 系でなくてSolaris 系にしたいところだが、そうすると設定費用がくんと跳ね上がるだろう。いずれにせよ結 構マシンのリソ−スをくう。それなりのスペックのマシンを用意しないとだめである。 Trend Micro InterScan Web Security Virtual ApplianceTM と Trend Micro InterScan Messaging Security Virtual ApplianceTM。 ライセンス上の注意。InterScan VirusWall Enterprise Edition Plus はメ−ルとWeb の両方をめんどうみることができる。マシンはメ−ルとWeb別々でも構わない。むしろ パフォ−マンスの関係で同じマシンにはインスト−ルしないでくれとも言っている。とこ ろが InterScan の Virtual Appliance では、メ−ルとWebのライセンスは別になって いる。1つのマシンでメ−ルのウィルスチェックにSPAMチェック、あるいはメ−ルレ ピュテ−ションをさせるライセンスが必要である。もう1つのマシンでWebのウィルス チェックにWebレピュテ−ション、あるいはURLフィルタをさせるライセンスが必要。 トレンドマイクロのライセンスには、InterScan VirusWall Enterprise Edition Plus を 2つのライセンスに分けるメニュ−は今のところない。それでは困るんですが。 * InterScan Web Security Virtual Appliance 5.0 仮想アプライアンス `2b/03 体験版ダウンロ−ドは http://www.trendmicro.co.jp/download/ から。 インスト−ルガ イドと管理者ガイドの PDF は http://www.trenmicro.co.jp/trial/ から取ること、先ず は Readme_sjis.txt、2010/03/16 参照。インスト−ルガイド IWSVA50_InstallGuide.pdf 4,362KB。IWSVA の画面の[管理]->[ネットワ−ク設定]->[インタ−フェ−ス設定] のとこ ろで ping に反応するようにする、SSH アクセスができるようにする。 体験版ダウンロ−ド 会社名など入力したら、直ちにダウンロ−ドしてきた。仮想イメ− ジの IWSVA-5.0.1377-1-x86_64-CD.zip、604MB。パソコンにとりあえずダウンロ−ドした 618,902 KB。10分ぐらいかかった。登録したメ−ルアドレスにアクティベ−ションコ− ドをお送りしています、とある。震災の影響かちっとも来ないぞな。日をかえて登録をも う一度やったら、すぐにアクティベ−ションコ−ドがメ−ルできた。 ダウンロ−ドした ZIP ファイルを、解凍したら ISO イメ−ジが出てきた。仮想アプライ アンスは仮想サ−バにそのまま入れることができる。 特に Red Hat のライセンスがいる とかいうことはない。OSは多分 CentOS でないかということ。インスト−ルでの指定は、 どの Linux かは明確に分からないので Linux 系64ビットOSを選択する。IWSVA を設 定する際のパラメ−タ類は?、ほとんどなかった。 IWSVA をインスト−ルして起動。[概要]->[検索]->[アップデ−ト]をクリックしたら、細 長の画面がでてきて、"InterScan Web Security Suite 製品のアクティベ−ションが完了 していません。製品の機能は無効です。製品のアクティベ−ションを実行してください." と出てきた。取得したお試しのアクティベ−ションコ−ドを入力した。これは2009年 5月に来ていたコ−ドとは別物である。 インスト−ルガイドに書かれていること。 内部では PostgreSQL に Squid を使っている。 52ペ−ジには、インスト−ル中に、次のオ−プンソ−スアプリケ−ションがインスト− ルされますが、初期設定では有効になりません。 Squid 3.0 -- オプションのコンテンツ キャッシングを実現します。55ペ−ジには Squid は初期設定では無効、 有効にするに は IWSVA CLI 経由でやる。やる気になればキャッシュサ−バの機能も実装できる訳だ。 インスト−ルガイドの114ペ−ジにWebレピュテ−ションをテストする、というのが ありテストサイトが用意されている。http://wr21.winshipway.com/ にアクセスしてみる。 このURLには、企業ポリシ−に基づいてアクセスを禁止するWebセキュリティレ−テ ィングが設定されています。コンテンツレ−ティングル−ル:Web Reputation - Very Low。 とブラウザに出てきた。機能していることが確認できた。 以上はSI業者設置当日にやったこと。後日もう1台、仮想アプライアンスを自分で入れ て仮想マシンを作ってみた。同じアクティベ−ションコ−ドを入れた。新規になるのかと 思ったら、先に入れた IWSVA の有効期限が出た。IWSVAを同じIPアドレスにして1つは 活性、もう1つは不活性で試した。スワップ領域 4GB(4096MB)、ディスク領域20GBの器を 用意して。http://xxx:1812 で管理画面へ。SSH で IWSVA 管理下のコマンドが使える。 お試しのアクティベ−ションコ−ドの期限が過ぎても、ただのプロキシサ−バとしては使 える。静的経路を加えるのは、[管理]->[ネットワ−ク設定]->[静的ル−ト] の {追加}で。 全社の経路制御をレイヤ3スイッチに任せていればL3スイッチにデフォルト経路を向け ておけばいいはず。他設定 [ネットワ−ク設定]->[配信モ−ド]の {配信モ−ド} "プロキ シ転送" のみに●あり、他の項目にはチェックなし。{ユ−ザの識別} は●IPアドレス。 * 仮想マシンのIPアドレスを変えるには `2b/06 稼働中のプロキシサ−バ NetCache のIPアドレスは 192.168.1.5。IWSVA を動かした仮 想マシンのIPアドレスは 192.168.1.11 とする。 IWSVAのテストを終えて実戦配備にす る際、IPアドレスを 192.168.1.5 に変更しなければならない。 これがもたもたしたん ではいけない。それで適当なIPアドレス、たとえば 192.168.1.20 にでも試しに変更し てみる。IWSVA のWebの管理画面で簡単に変更できた。IWSVA 内部では PostgreSQL を 使っているが、その方もやってくれたみたいで問題なかった。いや、そもそも IWSVAでは マシンのIPアドレスは PostgreSQL では管理してない、IWSS も同じく。 ※IWSVA の管理画面にアクセス http://192.168.1.11:1812/、Web画面で変更できた。 [管理]->[ネットワ−ク設定]->[インタ−フェ−スの設定] _________________________ | デ−タインタ−フェ−ス \管理インタ−フェ−ス RHEL OSの /usr/sbin に |------------------------------------------ は system-config-network | ホスト名 コマンドはなかった。 |------------------------------------------ | ホスト名: [ iwsva1 ] 多分ホスト名もここで変え |------------------------------------------ ることができる。各自触っ | プロキシインタ−フェ−スの設定 てみて確認のこと。 |--------------------------------------------------- | IPアドレス ● 静的IPアドレス | IPアドレス [ 192.168.1.11 ] << 192.168.1.20。 | ネットマスク [ 255.255.255.0 ] | ゲ−トウェイ [ 192.168.1.2 ] << hostG LAN側。 | プライマリDNSサ−バ [ 202.241.128.3 ] << hostA' Mail-Relay。 | | | 〆 PINGを有効にする ----------------------------------------------------------- [保存][キャンセル] [保存] をクリックすると Windows から警告画面がでてきて、進むと次の画面がでてくる。 -------------------------------------------------------------- | ポ−ト{ポ−ト番号}の{IPアドレス}にリダイレクトしています | |------------------------------------------------------------| | 新しいIP設定が指定されたログイン画面に移動しています。 | | しばらくお待ちください。 | -------------------------------------------------------------- 1分もかからない位でIPアドレスが変わって、ログイン画面がでてくる。もうこれで変 更したIPアドレスで、プロキシサ−バとして使える。えらく簡単にできた。ゲ−トウェ イやDNSのIPアドレスを変えてみても同様の画面がでてきた。 * IWSVA いろいろ操作してみる `2b/06 [管理]->[設定のバックアップ/復元]、[システムパッチ]、[OSのアップデ−ト]、[シス テムのメンテナンス]、[製品ライセンス]、[サポ−ト情報] がある。ここの [システムの メンテナンス] で "◎ 終了" をチェックした。 コメントを入れないと先に進めなかった。 適当に [ owaridesu ] とか入れた。"アプライアンスをシャットダウンしています。しば らくお待ちください" と出た。 vSphere Client 画面でもこの仮想マシンは止まっていた。 * IWSVA パソコンの SSH でアクセス ( UTF-8 Teraterm Pro ) `2b/06 ********************************************* 限定されたコマンドしか使えな * IWSVA いようになっていた。telnetで * WARNING: Authorized Access Only はこの仮想マシンにはアクセス ********************************************* できなかった。 > ? enable Enable administrative commnads exit Exit the session help Display an overview of the CLI syntax history Display the current session's command line history monitor Monitor log files ping Ping resolve Resolve a Web address either IP or FQDNon the network show Show commands traceroute TraceRoute > show arp capture config connections conntrack daemons date db deploymode disk ethernet file firewall hostname interfaces ip kernel ldap log metrics mgmt ntp open ping process redirect running ssh statistic timezone uptime version webserver www-auth > show version IWSVA 5.0_Build_Linux_1377 $Date: 03/16/2010 12:36:40 PM$ > show ping Allow ping: yes -------------------------------------------------------------------------------- 22章では以下 IPS: DefensePro, UTM: FortiGate。大文字のIPSとUTMは一般名詞。 ProxySVRは仮想マシンで作ったIWSS、ProxyAPL はアプライアンスである NetCacheを差す。 -------------------------------------------------------------------------------- ------------------------------------------------------------------------------------ [ 付録 ] Mail-Store 予備機の Solaris 9 に IWSS を入れる `29/11〜 ● IWSS を試してみる * はじめにすること Webレピュテ−ションは注目をしてから、どんどんその有用性が大きくなってきている。 InterScan Web Security Suiteのアクティベ−ションコ−ドが2009年5月に来ている。 ドキュメントをプリントアウトする、インスト−ルガイドのめぼしいと所だけでいい。先 ず Mail-Store の予備機にインスト−ルしてみよう。InterScan VirusWall Version 7 を 止めて、インスト−ルされたディレクトリをコピ−してバックアップしてから。 http://www.trendmicro.co.jp/download/ 画面から "InterScan Web Security Suite" を クリック。実行モジュ−ル、ReadMe、インスト−ルガイド IWSS31_Sol_InstallG.pdf、管 理者ガイド IWSS31_Sol_AdminG.pdf。InterScan Web Security Suite 3.11 Solaris 版を ダウンロ−ドした、iwss31_sol_b1191.tar.gz バ−ジョン 3.1、2009/05/11公開 126.9MB。 InterScan Web Security Suite 1.1 Solaris は古いバ−ジョンである。 モジュ−ルを2009年11月にダウンロ−ドして、マシンに展開しただけでほかってい た。2010年4月末にインスト−ルを再開した。その時、ダウンロ−ドの画面の日付を 見たら ReadMe は 2009/12/25、 iwss31_sol_b1191.tar.gz は 2010/02/16 になっていた、 InterScan Web Security Suite 3.1 Solaris Critical Patch は 2010/01/21、 パッチは ここでは当てるつもりはない。Webレピュテ−ションの機能を確認するだけなので。 ReadMe のシステム要件には PostgreSQL 7.4.18 と書かれている。インスト−ルのモジュ −ルには同梱されている。 注意には、IWSS 3.1 Solaris 版をインスト−ルしたサ−バに Trend Micro InterScan Messaging Security Suite をインスト−ルすることはサポ−ト されていません、とある。これがどういう意味なのか分からず、ほかっておくことになっ た。設定した後の感想だが、これはパフォ−マンス的に難しいだろうということだと思う。 # gzip -d iwss31_sol_b1191.tar.gz [ 付録参照、ディスク容量が減る現象 ] # tar xf iwss31_sol_b1191.tar # ls -F Document/ iwss31_sol_b1191.tar readme_sjis.txt Program/ readme_euc.txt readme_utf8.txt ↑ホ−ムペ−ジの ReadMe の方が新しい。 # ls Program binary-20090319.tar.gz license.tx data-20090319.tar.gz migration.sh db_backup_2x.sh register_user_agent_header.exe install_iwss.sh uninstallIwss20.sh install_main.sh uninstall_iwss.sh isinst.ini util.tar.gz * インスト−ルする前 Mail-Store 予備機には InterScan VirusWall のバ−ジョン7をインスト−ルしてスタン バイさせている。略して InterScan7 とこれまで呼んでいる。正式な名称は以下の通りで 名前が長いので略して IMSS と以後呼ぶこともある。今回、同じマシンにインスト−ルす る InterScan Web Security Suite も IWSS と呼ぶこともある。 InterScan7 は以前に /usr/local/trend/ を指定してインスト−ルした。ここには imss/ と installlog/ ができただけである。PostgreSQL の実行モジュ−ルなどは指定とは関係 なく /opt/trend/imss/PostgreSQL/ に入った。 そして PostgreSQL の InterScan7 用の 'デ−タベ−ス' も、同じく指定とは関係なく /var/imss/pgdata/ にできた。 IWSS をインスト−ルする前に、InterScan7 が使っている PostgreSQL の'デ−タベ−ス' を念のため 退避させておく。IWSS のインスト−ル過程で消えるかもしれない、上書きさ れるかもしれない。マニュアルにはそこのところ何も書かれていない。一緒にインスト− ルするのは推奨しないとだけある。 PostgreSQL はいったん止めてから関連ディレクトリをコピ−する。 RDBではソフトが 動いている状態で 'デ−タベ−ス' をコピ−すると、きちんとデ−タが渡らない可能性が ある。/var/imss/ 内は結構ボリュ−ムがある。IWSS のインスト−ルで特に問題ないと分 かればコピ−した /var/imss.tmp/ は消去しておくこと。多分、問題なさそうである。 # cd /usr/local/trend/imss/script # ./dbctl.sh stop postmaster デ−モンがなくなっていることを確認。 # cd /opt/trend # cp -pr imss imss.tmp すぐに終わった。 # cd /var # cp -pr imss imss.tmp 3分位かかった。 * IWSS のインスト−ル 展開したファイルの install_iwss.sh コマンドでインスト−ルを実行する。IWSS はデフ ォルトで /opt/trend/iwss/ にインスト−ルされる、場所は指定できる。iscan ユ−ザと グル−プが作成される、iscan と言うユ−ザとグル−プは元はなかった。 デフォルトのインスト−ルでは PostgreSQL v.7.4.18 が自動的に入り、 ユ−ザ名 sa の iwss31 デ−タベ−スが作成される。インスト−ルの指定で、既に動いている PostgreSQL を使うことができる。同じマシンまたは別のマシンの PostgreSQL でもいい。 利用ポ−ト番号は 8080, 21, 161, 1812。別なソフトが 5432 を使っていると警告が出る とのこと。確認したところ 21 は FTP で、実際インスト−ルで警告がでた。 それで下の ようにやって21番ポ−トを無効にした。 /etc/inetd.conf ftp をコメントにして # kill -HUP PID とやった。 ---------------------------------------------------------- |ftp stream tcp6 nowait root /usr/sbin/in.ftpd in.ftpd -a 5432 は InterScan7 が使用している PostgreSQL のポ−ト番号である。 今回のインスト −ルでは PostgreSQL は InterScan7 で入れたものを共用する。 'デ−タベ−ス' が別々 に作ることができればそれで問題ないはずである。PostgreSQL は動いていること。 # ls -F /usr/local/trend IWSS をディレクトリ指定してインスト−ルした後の様子。 imss/ installlog/ iwss/ installlog/ には IMSS の ImssInstall.log だけあった。 /usr/iwss -> /opt/trend/iwss/bin/ このようにシンボリックリ /var/iwss -> /opt/trend/iwss/data/ ンクができた。 /usr/iwss, /etc/iscan -> /usr/local/trend/iwss/data/ /var/iwss, /etc/iscan は /opt/trend/iwss/bin -> /usr/local/trend/iwss/bin/ 元はなかった。 /opt/trend/iwss/data -> /usr/local/trend/iwss/data/ ● IWSS インスト−ルの詳細 * 予備 Mail-Store の設定状態の確認 /etc/resolv.conf /etc/hosts ----------------------- ---------------------------------------------------- |domain nix.co.jj |127.0.0.1 localhost |nameserver 192.168.1.5 |192.168.1.9 hostB hostB. hostB.nix.co.jj loghost □ Router □ Mail-Relay 予備 Mail-Store では named は稼働してない。 | | 仮想IP ------------------------ /etc/nsswitch.conf | □ Mail-Relay ------------------ | | 予備 |hosts: files dns FireWall □------- Mail-Store Mail-Store | □ □ □NetCache |.2 |.1 |.9 | .5 ------------------------------------------------------ 192.168.1.0 Mail-Store 予備機の /etc/resolv.conf でDNSを見にいくのを 192.168.1.5 にしてあ る。これは主に IWSS がパタ−ンファイルを取りに行くのにURL指定で行ない、この際 にURLからIPアドレスへの変換をするのに使う。192.168.1.5 は NetCache のプロキ シサ−バで、ここからは Mail-Relay マシンで動いているDNSサ−バを見にいくように している。別に NetCache を介する必要は特にない、直接 Mail-Relay を指定して構わな い。これまでのいきさつでそのようになっているだけである。参考まで。 * 初めてインスト−ルした様子 # cd /etc/rc2.d PostgreSQL は動いていること。 # ./S98dbctl start Sun Microsystems Inc. SunOS 5.9 Generic May 2002 waiting for postmaster to start.... done postmaster started # ./install_iwss.sh 展開したディレクトリにてインスト−ルを実行する。 使用許諾契約書について | トレンドマイクロ株式会社 2008年7月 ===========End of license agreement Do you agree to the above license terms? (y/n):y ###################################################### ## Trend Micro InterScan Web Security Suite 3.1 ## ## Installation ## ###################################################### System Check (Swap Space) スワップ領域は 4GB が推奨だが 2764 MB し Checking swap space... かない。それでも手続きを続行しますか?。 The available swap space on your computer is [2764 MB] Warning: The swap space is below the recommended level of 4 GB. When traffic levels are high, IWSS may experience an error when spawning a new process. Do you want to proceed with the installation? (y/n): [n] y ######################################## InterScan Web Security Suite は所々 ## Source File and Install Location ## 詰めるため IWSS と書き換えています。 ######################################## Enter the IWSS 3.1 install location: [/opt/trend/iwss] /usr/local/trend/iwss Detected a previous installation of InterScan Web Security Suite (version 3.1). IWSS 3.1 Solaris installation does not support migration from version 3.1 to 3.1 Do you want to perform a fresh install (f) or quit installation (q)? (f/q): [q] f You have chosen a fresh install. WARNING: The previous version will be removed. Do you want to continue? (y/n): [y] You have chosen to proceed to a fresh install. Sun Microsystems Inc. SunOS 5.9 Generic May 2002 << 以下この表示は略。 Stopping SVCMonitor daemon... The SVCMonitor daemon is not running. Stopping metrics management daemon... The metrics management daemon is not running. Stopping InterScan Web Security Suite 3.1 Control Manager MCP Agent ... The InterScan Web Security Suite 3.1 MCP Agent is shutdown. Using CATALINA_BASE: /usr/local/trend/iwss/bin/AdminUI/tomcat Using CATALINA_HOME: /usr/local/trend/iwss/bin/AdminUI/tomcat Using CATALINA_TMPDIR: /usr/local/trend/iwss/bin/AdminUI/tomcat/temp Using JRE_HOME: /usr/iwss/AdminUI/jre /var/iwss/pids/IWSSFtpMain.pid doesn't exist. InterScan Web Security Suite FTP service has stopped. Stopping database logging daemon... The database logging daemon is not running. Stopping the InterScan Web Security Suite mail daemon... The daemon did not start up properly. Backed up '/usr/iwss/ISAGENT_MCP/Agent.ini' to /opt/trend/backup/iwss31/etc/ Backed up '/usr/iwss/ISAGENT_MCP/Product.ini' to /opt/trend/backup/iwss31/etc/ Removing all IWSS 3.1 files except the default installed PostgreSQL database...done All IWSS 3.1 components except the default installed PostgreSQL database have been successfully uninstalled. Unpacking InterScan Web Security Suite 3.1 package...this may take a few minutes. ################################# すでに存在している PostgreSQL を使うか、 ## Database Installation ## yes。'デ−タベ−ス' の名前は iwss31 と ################################# する。アクセスするユ−ザ名は sa。 By default, IWSS 3.1 installs a copy of PostgreSQL database on this machine. Do you want to use an existing remote/local PostgreSQL database? (y/n): [n] y PostgreSQL server hostname or IP address: hostB PostgreSQL server port: [5432] Database name for IWSS 3.1 in PostgreSQL: [iwss31] Enter the PostgreSQL user name with superuser privileges: sa Enter the password for this database account [sa]: henomohe << デ−タベ−スに Testing if hostB is reachable across the network... アクセスするた hostB is reachable across the network. めのパスワ−ド。 Testing connection to PostgreSQL... 以前設定したの Connected successfully to PostgreSQL. を入力する。 Creating Database "iwss31"... CREATE DATABASE Creating PostgreSQL procedural language "plpgsql"... NOTICE: using pg_pltemplate information instead of CREATE LANGUAGE parameters Creating IWSS 3.1 tables and stored procedures... Starting to create DB objects and insert initial entries... CREATE TABLE CREATE TABLE | CREATE INDEX INSERT 0 1 | INSERT 0 1 CREATE TABLE CREATE INDEX CREATE FUNCTION | CREATE FUNCTION addinitvalues --------------- 0 (1 row) Modifying odbc.ini... Modifying intscan.ini... PostgreSQL setup complete. Setting up InterScan Web Security Suite 3.1 Control Manager Agent... Do you want to register IWSS to Control Manager? (y/n): [n] Skip Control Manager registration. You can use the IWSS Web console to register to Control Manager after installation. Starting the InterScan Web Security Suite mail daemon... Starting the InterScan HTTP daemon... Please wait while the InterScan Web Security Suite daemon is being checked....ok Starting the InterScan FTP daemon... Using CATALINA_BASE: /usr/local/trend/iwss/bin/AdminUI/tomcat Using CATALINA_HOME: /usr/local/trend/iwss/bin/AdminUI/tomcat Using CATALINA_TMPDIR: /usr/local/trend/iwss/bin/AdminUI/tomcat/temp Using JRE_HOME: /usr/iwss/AdminUI/jre Starting DataBase logging daemon ... Starting metrics management daemon... Starting SVCMonitor daemon ... Starting InterScan Web Security Suite 3.1 Control Manager MCP Agent... The InterScan Web Security Suite 3.1 MCP Agent is running now. ############################################################# ## Trend Micro InterScan Web Security Suite 3.1 ## ## Installation Complete ## ############################################################# ## ## ## インスト−ルはできた。http://192.168.1.9:1812 に ## ## ユ−ザ名何がし、パスワ−ド何がしでアクセスされた ## ## しというメッセ−ジが出ている。 ## ############################################################# Installation log has been moved to /etc/iscan/log/IWSS31Install.log. Press [Enter] to exit installation. # インスト−ルはできたみたい。下はインスト−ル直後の関連プロセスの様子。 # ps -ef UID PID PPID C STIME CMD imss 6355 1 0 14:36:56 .. /opt/trend/imss/PostgreSQL/bin/postmaster -D 続 iscan 7413 1 4 14:42:34 .. /usr/iwss/svcmonitor /var/imss/pgdata -i iscan 7274 1 0 14:42:10 .. /usr/iwss/iwssd -M iscan 7327 1 0 14:42:19 .. /usr/iwss/isftpd iscan 7357 1 0 14:42:22 .. /usr/iwss/AdminUI/jre/bin/java -D ログファイル iscan 7446 1 0 14:42:35 .. ./En_Main iscan 7387 1 0 14:42:29 .. /usr/iwss/ismetricmgmtd iscan 7367 1 0 14:42:27 .. /usr/iwss/logtodbd iscan 7265 1 0 14:42:07 .. /usr/iwss/isdelvd iwssd と PostgreSQL は5個ずつプロセスがあった。isftpd は6個あった。他にrpcbind, inetd -s, syslogd -t, sendmail3つ, popper, .../jvm/jre1.4/bin/java 等が稼働して いた。PostgreSQL のRDBソフトは IMSS と IWSS で共通に使用するということである。 * IWSS を止めてみた時の様子 # cd /etc/rc2.d # ./S99IWSS stop Stopping SVCMonitor daemon... Sun Microsystems Inc. うんぬんと The SVCMonitor daemon is not running. いうのが所々出ているが、省略した。 Stopping metrics management daemon... > Stopping database logging daemon... > Using CATALINA_BASE: /usr/local/trend/iwss/bin/AdminUI/tomcat Using CATALINA_HOME: /usr/local/trend/iwss/bin/AdminUI/tomcat Using CATALINA_TMPDIR: /usr/local/trend/iwss/bin/AdminUI/tomcat/temp Using JRE_HOME: /usr/iwss/AdminUI/jre Stopping InterScan Web Security Suite FTP daemon ............. InterScan Web Security Suite FTP service has stopped. Please wait while the InterScan Web Security Suite daemon is being checked...ok Shutting down the InterScan HTTP daemon... Stopping the InterScan Web Security Suite mail daemon... Stopping InterScan Web Security Suite 3.1 Control Manager MCP Agent ... Stopping InterScan Web Security Suite 3.1 MCP agent...stopped. * PostgreSQL の 'デ−タベ−ス' の様子 # cd /var/imss/pgdata;ls -F PG_VERSION pg_hba.conf pg_tblspc/ postmaster.opts base/ pg_ident.conf pg_twophase/ postmaster.pid global/ pg_multixact/ pg_xlog/ pg_clog/ pg_subtrans/ postgresql.conf # ls -l -rw------- 1 imss imss 4 11月 26日 2008年 PG_VERSION drwx------ 7 imss imss 512 4月 27日 14:40 base/ drwx------ 2 imss imss 512 5月 6日 12:05 global/ drwx------ 2 imss imss 1536 4月 26日 13:16 pg_clog/ -rw------- 1 imss imss 3471 1月 16日 2009年 pg_hba.conf -rw------- 1 imss imss 1460 11月 26日 2008年 pg_ident.conf 何も設定なし。 drwx------ 4 imss imss 512 11月 26日 2008年 pg_multixact/ drwx------ 2 imss imss 512 5月 6日 11:01 pg_subtrans/ drwx------ 2 imss imss 512 11月 26日 2008年 pg_tblspc/ drwx------ 2 imss imss 512 11月 26日 2008年 pg_twophase/ drwx------ 3 imss imss 512 5月 6日 01:01 pg_xlog/ -rw------- 1 imss imss 13682 11月 26日 2008年 postgresql.conf -rw------- 1 imss imss 63 4月 27日 16:08 postmaster.opts -rw------- 1 imss imss 43 4月 27日 16:08 postmaster.pid * アンインスト−ルしてみた ログイン画面で管理者のアカウントを入れても無視される。2010年の5月の連休前に IWSS をインスト−ルして、連休明けてやってみたらそうなった。IWSS はそのまま動いて いるし、プロキシの機能も有効に働いている。どうも IWSS はインスト−ルしたらすぐに 管理者のパスワ−ドを変更しないといけないのでないか。ほかっておくとデフォルトのパ スワ−ドは無効になってしまうのでないか。アカウントを入れる画面で、どんなのを入れ ても何のメッセ−ジも出てこない。InterScan7のログイン画面で違うパスワ−ドを入れて みると、だめですとメッセ−ジが出てくる。仕方ないので IWSS を入れ直すことにする。 # ./uninstall_iwss.sh Stopping SVCMonitor daemon... >>>>>>>>>>>>>>>>>>>>>>>> Stopping metrics management daemon... >>> Stopping InterScan Web Security Suite 3.1 Control Manager MCP Agent ... Stopping InterScan Web Security Suite 3.1 MCP agent...stopped. Using CATALINA_BASE: /usr/local/trend/iwss/bin/AdminUI/tomcat Using CATALINA_HOME: /usr/local/trend/iwss/bin/AdminUI/tomcat Using CATALINA_TMPDIR: /usr/local/trend/iwss/bin/AdminUI/tomcat/temp Using JRE_HOME: /usr/iwss/AdminUI/jre Stopping InterScan Web Security Suite FTP daemon ........... InterScan Web Security Suite FTP service has stopped. Stopping database logging daemon... > Stopping the InterScan Web Security Suite mail daemon... Please wait while the InterScan Web Security Suite daemon is being checked...ok Shutting down the InterScan HTTP daemon... Removing all IWSS 3.1 files including the default installed PostgreSQL database...done All IWSS 3.1 components including the default installed PostgreSQL database have been successfully uninstalled. http://192.168.1.9:1812/ の画面はでなくなった。 # ps -ef | grep iwss は無し。postmaster は4つ動いている。 # su - sa 中身は変わってないみたい。IWSS の $ /opt/trend/imss/PostgreSQL/bin/psql -l 'デ−タベ−ス' は削除されてないぞ。 List of databases Name | Owner | Encoding # cd /var/imss/pgdata/global -----------+-------+----------- # cat pg_database imss | sa | UTF8 "postgres" 10792 1663 499 499 iwss31 | sa | UTF8 "imss" 16385 1663 499 499 postgres | imss | SQL_ASCII "iwss31" 475861 1663 3315504910 94279435 template0 | imss | SQL_ASCII "template1" 1 1663 499 499 template1 | imss | SQL_ASCII "template0" 10791 1663 499 499 (5 rows) # ls /usr/iwss /usr/iwss: ファイルもディレクトリもありません。 # ls /var/iwss /var/iwss: ファイルもディレクトリもありません。 # ls /etc/iscan /etc/iscan: ファイルもディレクトリもありません。 # ls /opt/trend/iwss /opt/trend/iwss: ファイルもディレクトリもありません。 # ls /usr/local/trend/iwss /usr/local/trend/iwss: ファイルもディレクトリもありません。 * 再びインスト−ルしてみた # ./install_iwss.sh | System Check (Swap Space) | Enter the IWSS 3.1 install location: [/opt/trend/iwss] /usr/local/trend/iwss Unpacking IWSS 3.1 package...this may take a few minutes. ################################# ## Database Installation ## ################################# By default, IWSS 3.1 installs a copy of PostgreSQL database on this machine. Do you want to use an existing remote/local PostgreSQL database? (y/n): [n] y PostgreSQL server hostname or IP address: hostB PostgreSQL server port: [5432] Database name for IWSS 3.1 in PostgreSQL: [iwss31] Enter the PostgreSQL user name with superuser privileges: sa Enter the password for this database account [sa]: Testing if hostB is reachable across the network... hostB is reachable across the network. Testing connection to PostgreSQL... Connected successfully to PostgreSQL. Creating Database "iwss31"... The database: iwss31 already exists. You can choose to: 1) Reuse this existing database (please make sure it is a valid IWSS 3.1 database) 2) Drop it and create a new one with the same name 3) Enter another PostgreSQL server information and try again 4) Quit installation Please type your selection (1/2/3/4): [1] Modifying odbc.ini... Modifying intscan.ini... PostgreSQL setup complete. Setting up InterScan Web Security Suite 3.1 Control Manager Agent... Do you want to register IWSS to Control Manager? (y/n): [n] Skip Control Manager registration. You can use the IWSS Web console to register to Control Manager after installation. Starting the InterScan Web Security Suite mail daemon... Starting the InterScan HTTP daemon... Please wait while the InterScan Web Security Suite daemon is being checked....ok Starting the InterScan FTP daemon... Using CATALINA_BASE: /usr/local/trend/iwss/bin/AdminUI/tomcat Using CATALINA_HOME: /usr/local/trend/iwss/bin/AdminUI/tomcat Using CATALINA_TMPDIR: /usr/local/trend/iwss/bin/AdminUI/tomcat/temp Using JRE_HOME: /usr/iwss/AdminUI/jre Starting DataBase logging daemon ... Starting metrics management daemon... | http://192.168.1.9:1812/ の画面に入って、すぐにパスワ−ドを変更した。 アクティベ −ションコ−ドも入れた。[概要] を見たら HTTPトラフィックも FTPトラフィックも緑に なっていた。上から5つのパタ−ンファイルは、前回のアップデ−トがインスト−ルした 日付になっていた。つまり最新のになっていた。これでいいかと思いきや十日程、経って また同じことになった。サポ−トセンタ−に問い合わせした。問い合わせフォ−ムでアク ティベ−ションコ−ドとか記入してである。その日の内に返事がきて対処手順をやったら ログインできた。そもそも同じマシンで IMSS と IWSS をテストでもインスト−ルするの 動作保証外だと書いてきた。別なマシンでテスト稼働して下さいとのことだった。ログを 念のため送ってくれとあったので、パソコンからマシンに ftpアクセスしようとしたらで きなかった。インスト−ルの時点で、このマシンの /etc/inetd.conf で ftp を外さない ことには先に進めなかったのだ。仕方ないのでこのマシンに telnet で入って、Apolloに ftp をかけてファイル転送し、そしてパソコンから Apollo に ftp をかけた。 ● IMSS に IWSS のいろいろ * どんどんディスクを食う InterScan のバグ InterScan Web Security Suite をダウンロ−ドして展開して、 そのままほかっておいた。 本番機の Mail-Store でも予備機でも、どうもディスク容量が減っている。見るたびにパ −ティションの /var の容量が増加しているようなのだ。予備機なんぞは普段は何もメ− ルのやりとりはしていないにも関わらずだ。`2a/04改めて両方のディスク容量を調べてみ た。まるで /var の領域は足りない、df -k では95%が使用とか出た。メ−ルボックス は /var/mail/ にある、このままではメ−ルがパンクしてしまう。CTCのサポ−トセン タ−に問い合わせて聞いてみた。メ−ルのアナウンスをちゃんと見てればよかった?。 そしたら InterScan のバグと判明した。 InterScan が内部で使っているRDBソフトの PostgreSQL のバグで、 /var/imss/pgdata/ 内でデ−タベ−スがどんどん大きくなるとい うのだ。不要なデ−タを削除するスクリプトがあり、それを走らせたら使用ディスク容量 が95%が10%になった。IWSS も PostgreSQLを使うわけで同じ現象が起きるのでない か。トレンドマイクロのサポ−トの画面を見ると IMSS の不具合は書かれているが、IWSS のはない。念のためサポ−トに聞いたら大丈夫ですとの答えだった。しかし、その実バグ は無くなってはなくて、圧縮するスクリプトが以下のように cron に仕込まれていた。 * IWSS が起動しないようにするのとDB圧縮 Super-User から root 宛に、cron からメ−ルが出た。/usr/iwss/bin/schedule_au.shを 実行しましたという。cron の root ファイルに /usr/iwss/bin のコマンドが実行される ように10個、記述されていた。これら消すかコメントにすること。以下のスクリプトを 見て分かったことだが、 PostgreSQL のデ−タベ−スが肥大化するのを防ぐプログラムが 入っているようである。名前からして db_vacuum.sh がそうである。 IWSS でも基本的に は PostgreSQL のデ−タベ−スの肥大化は改善されていない。 # cd /etc/rc2.d # mv S99IWSS xS99IWSS << IWSS の本家本元が動かないように名前を変えておく。 /var/spool/cron/crontabs/root -------------------------------------------------------------------------------- |10 3 * * * /usr/sbin/logadm |15 3 * * 0 /usr/lib/fs/nfs/nfsfind |1 2 * * * [ -x /usr/sbin/rtc ] && /usr/sbin/rtc -c > /dev/null 2>&1 |30 3 * * * [ -x /usr/lib/gss/gsscred_clean ] && /usr/lib/gss/gsscred_clean |#10 3 * * * /usr/lib/krb5/kprop_script ___slave_kdcs___ |0 * * * * /usr/trend/imss/script/S99SCHEDULED start >/dev/null 2>&1 << IMSSです。 |0 2 * * * su - iscan -c "/usr/iwss/bin/purgefile" >/dev/null 2>&1 << ここから | | 下が追加。 |0 22 * * * su - iscan -c "/usr/iwss/bin/db_vacuum.sh" >/dev/null 2>&1 |48 1 * * * su - iscan -c "/usr/iwss/S99ISsvcmonitor restart" >/dev/null 2>&1 # cat /etc/passwd iscan:x:2000:112::/etc/iscan:/bin/sh << IWSS のインスト−ルで最後に追加された。 値は例えばである。完全に IWSSを消すな # cat /etc/group ら、こうしたのも消しておくこと。 imss::111: iscan::112: << IWSS のインスト−ルで最後に追加された。 * IMSS と IWSS を1つマシンで同居させるには Mail-Store 予備機の状態としては httpd とか apache とか言う名前のプロセスは動いて ない。InterScan7 を稼働させると HTTP/8455 が稼働する。 InterScan Web Security を 稼働させると HTTP/1812 が稼働する。詳しくはみてないが、これら HTTPのデ−モンとい うかサ−ビスが勝ち合っているみたいである。InterScan の制御画面はどちらかしか出な い。つまり同時には動かせない。そのため IWSS のテストをする時には InterScan7 を停 止させること。逆もしかりで IWSS のテストを終えたら、 IWSS を止めて InterScan7 を 稼働させること。このことだけ注意すれば1つのマシンでテストするのは可能である。ト レンドマイクロによれば両者は別なマシンで稼働させてくれとのこと。同じマシンで稼働 させる場合は保守の対象にはならない。1つのマシンで両者を動かしてみたが、そこはか となく挙動がおかしいような気がした。あくまでもテストに留めておく方が望ましい。 [ InterScan7 が稼働していて IWSS をテストしたい時 ] # /etc/rc2.d/S88sendmail stop sendmail は止めなくても構わない。 # cd /usr/local/trend/imss/script InterScan7 は /usr/local/trend/imss/ にある。 # ./imssstop.sh stop InterScan7 を止める。 # cd /etc/rc2.d # ./S99IWSS start IWSS を稼働させる。 [ IWSS のテストを終えて InterScan7 を再稼働させる ] # ./S99IWSS stop IWSS を止める。 # ./S99CMAGENT start 以下 InterScan7 を稼働させる。 # ./S99IMSSUI start # ./S99MONITOR start