clscan

CLSCANとは? : ルータログやフィルタログから得られるインシデント情報を解析するために作られたツールです。主に小規模なサイトや個人サイトで利用されています。
バックトラック: http://www.clscan.org

重要なお知らせ

[2005Nov22] オープンソースのツールCLSCANと研究プロジェクトWCLSCANとを完全に分離して管理することにしました。

[2005Aug26] WCLSCANの最新情報はこちらに移動しました。 www.wclscan.org

インターネット上のインシデント情報を解析

CLSCANはNTT-ME MN8300W、BA800Pro、YAMAHA RTシリーズといったSOHOルータのログやTCPWRAPPER、IP_Filter、iptablesといった色々な種類のフィルタが出力するログを解析するために作られた汎用のツールです。主に小規模なサイトや個人サイトで利用されているシステムです。初公開日は1999年10月29日なので、あしかけ6年近くになります。出力はテキストモード、HTMLモード( サンプル )をサポートしています。また簡単な統計情報( サンプル )を作成するstatform.plも含まれています。

Perlが動作しているUNIXライクな環境(Linux、各種BSD、 Solaris、HP/UX、 AIX、MacOS X、その他)であれば利用できます。サポートはしていませんが、Microsoft WindowsファミリーでもPerlをインストールしsyslogd相当のソフトウェアを動かせばCLSCANは使えます。

CLSCANはライセンスとして GNU General Public License 2 を採用しているフリーソフトウェアです。

最近の情報

[2005Nov21] clscan-02_19_RC1版をリリースしました。ダウンロードは sourceforge.jp からできます。

[2005Nov22] CLSCANをWCLSCANと完全に分離して管理することにしました。

[2005Aug26] WCLSCANの最新情報はこちらに移動しました。 www.wclscan.org

CLSCANリリース情報

[2005Nov11] clscan-02_19_RC1.tar.gzをリリースします。ドメイン名の逆引きが遅く非常に時間がかかるのに対応するため機能を加えました。dncacheはバッチ式であらかじめドメイン名のキャッシュデータベースを作る機能です。clscanを実行する時は、既にキャッシュしてあったデータベースを参照するのは速くなるはずです。この機能はプロトタイプ段階です。こちらのサイトでは1年ぐらい問題なく動いていましたが、他のサイトで同様に動くかはわかりません。 ( 検証用GPG署名 )

[2004Jun01] clscan-02_18_RC1版は、clscan.plとstatform.plにあったバグを修正し、 statform.plにオプションを加えました。できたばかりなので、RC1扱いにします。安定していることが確認できれば02_18_1版とします。 ( 検証用GPG署名 )

[2004Mar17] clscan-02_17_01版を公開します。マイナーな修正です。clscan-02_17版に新しく加わったmn8300w.{conf|pl}行コードを変更したのと、ワーニングのエントリーにあったスペルミスを修正しました。 ( 検証用GPG署名 ) ( 検証用GPG公開鍵 )

CLSCANについての情報

アラートってなに？

アラートクラスとは攻撃意図を持っている可能性が高いポートへのアクセスです。ワーニングクラスは攻撃意図が不明、あるいは脅威となるリスクが低いポートへのアクセスです。アラートクラスとワーニングクラスに分類されるアクセスに対する説明をファイル whatisthis.html に納めています(2003/Nov/13 Updated)。同じものは配付パッケージの/docに収められています。

利用するサイトのセキュリティポリシーにより、アラートとするものやワーニングとするものは異なります。 必要に応じて変更してください。コンフィグで記述するチェックのクラス記述の雛型( サンプル ) を用意しました。参考としてお使いください。

現在サポートしているもの

ブロードバンドルータ	NTT-ME MN8300W (新サポート) / NTT-ME BA8000Pro / I.O DATA NP-BBRシリーズ (NP-BBRE, BP-BBRS) / YAMAHA RTシリーズ (RTA54i)
SOHO でよく使われるルータ	MN128シリーズ / CISCO1003 / CISCO2500 / YAMAHA RTシリーズ / NetVehicle / NEC COMSTARZ
UNIXシステムで使われるフィルタ	TCP_WRAPPER / IP Filter / iptables (組込みLinuxで作られたルータを含む)

ブロードバンドルータ

最近のブロードバンドルータでもsyslogをサポートするものが色々出てきました。2003年4月現在で筆者が調べたり情報を寄せて頂いたものをリストアップしてみます。この表は各社の代表的なブロードバンドルータをリストアップしています。この機種以外にもsyslogをサポートしているものもありますので、詳しくは各社のWebサイトに当たってください。

もしこれらの未サポートのブロードバンドルータでsyslogを取られている方がいらっしゃいましたら、ぜひともHack Hint のセクションを参照してclscanのパーサーを書いてみてください。

※ 中身がLinuxやFreeBSD/NetBSDであるようなルータはiptablesやip_filter のパーサーを使えば利用できます。

* 1 I.O DATA NP-BBREをサポートしているので、NP-BBRSでも利用できると思います。

* 2 YAMAHA RTファミリとして設定することで利用できると思います。

* 3 NTT-ME MN8300Wをサポートしているので、MN8000ファミリ、MN7000ファミリーは利用できるかも知れません。

この他にもsyslogをサポートしているブロードバンドルータの情報を求めています。 syslogをサポートしている機種名を clscanYYYY @ h2np .net (ex: YYYY=2005) までメールを頂ければ幸いです。

現在の活動状況

メインの環境をclscan.sourceforge.jpへ移動し、今後はCVS管理を使って多人数で開発していく予定です。

その他

過去の発表など

[注意] WCLSCAN関連の発表／論文記録はwww.wclscan.orgへ移動しました。

* 2001年9月27日の Linux Conference 2001 で「セキュリティインシデントの現状とネットワーク環境におけるセキュリティ保全」というテーマで講演した際に、ルータのログから見たインシデントの発生の分析を行ないました。この中でもCLSCANの紹介、WCLSCANの提唱をしました。 300Kほどのパワーポイントのプレゼンテーションファイル(約300KB) です。さらに PDF化したファイル (約600KB)を用意しました。

Hack Hints for CLSCAN

要はパケットフィルタリングでrejectされたデータの一覧を作っているだけですから、すぐに拡張できます。ハックヒントのページを参照ください。

情報交換用メーリングリスト

clscan ユーザが情報交換を行うためのメーリングリストを用意しました。まずは登録するためのガイドを取得し、参考にして下さい。[2000Mar01より開始]

I.O DATA NP-BBRS (*1)	OMRON MRI104FH	YAMAHA RTA54i (*2)
ICOM SR-11FB	マイクロリサーチ NetGenesis	CENTURY SYSTSMS XR-300
Center COM AR230E	PCI BRL-04FA	NTT-ME BA8000Pro MN8000, MN7000 (*3)

CLSCAN Common Log Scanner