2011年8月1日月曜日

"CentOS 6.0"に"Deep Security Agent"をインストール

スズキです。

"cloudpack"でも取り扱っていますが、"Trend Micro Deep Security"という、
統合型サーバセキュリティソリューションがあり、EC2上でも利用することが可能です。

具体的には下記の機能を提供しています。
  • ファイアウォール
  • DPI(Deep Packet Inspection)
  • 変更監視
  • セキュリティログ監視
※不正プログラム対策(ウィルス対策)もありますが、
今回紹介する"Deep Security Agent"では対応していません。


ファイアウォール

ファイアウォールは、プロトコル、ポート、トラフィック方向の組み合わせで設定でき、
さまざまな攻撃準備や DoS 攻撃から保護することができます。


DPI(Deep Packet Inspection)

EC2上で発信および受信されるネットワークトラフィックの実際のコンテンツを分析し、
下記の保護が可能となります。

・侵入検知/侵入防御システム (IDS/IPS)
脆弱性に対する既知および不明な攻撃から保護
・Web アプリケーション保護
クロスサイトスクリプティングおよび SQLインジェクションなどの脆弱性を保護
・アプリケーション制御
企業内環境で制限する必要のある既知のアプリケーショントラフィックを検出

変更監視

特定の領域 (特定ファイルやレジストリ値など) でシステムに変更がないかを監視します。


セキュリティログ監視

システムログ内の特定タイプのイベントを監視し、たとえば一定時間内に
認証失敗イベントが特定回数発生した場合にアラートを発令することができます。


ということで、早速、下記で作成した"CentOS 6.0"にインストールしてみました。
SUZ-LAB謹製 CentOS AMI (6.0.0 32bit ap-northeast-1)

といっても、下記にRPMが用意されているので、
Linux版 Deep Security Agent 7.5 SP2
次のように簡単にインストールすることができます。

# rpm -Uvh http://www.trendmicro.com/ftp/products/deepsecurity/Agent-RedHat_EL6_i686-7.5.0-5531.i686.rpm
Retrieving http://www.trendmicro.com/ftp/products/deepsecurity/Agent-RedHat_EL6_i686-7.5.0-5531.i686.rpm
Preparing...                ########################################### [100%]
   1:ds_agent               ########################################### [100%]
Loaded dsa_filter module version 2.6.32-71.el6.i686 [  OK  ]
Starting ds_agent: [  OK  ]

インストールが無事成功すると、下記のように、"Deep Security Agent"(ds_agent )が
動作していることも確認できます。

# netstat -ltpn
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address               Foreign Address             State       PID/Program name   
tcp        0      0 0.0.0.0:4118                0.0.0.0:*                   LISTEN      1085/ds_agent       
tcp        0      0 0.0.0.0:22                  0.0.0.0:*                   LISTEN      769/sshd            
tcp        0      0 127.0.0.1:25                0.0.0.0:*                   LISTEN      847/master          
tcp        0      0 :::22                       :::*                        LISTEN      769/sshd

次は、このEC2を"Deep Security Manager"に登録します。
--------
http://www.suz-lab.com

0 コメント: