[connect24h:3736] Re: ファイアウォールのログ

[Yutaka Kokubu <bun@xxxxxxxxxx>]

国分です。

> >定期的にログ統計ソフトを使って統計を取ってみて、
> >
> >  拒否したアクセス： ○件
> >
> >と出たところで、「拒否してるんだからいいじゃん」以上の結論にたどり着けません。
>   どんなルールで、いつ、何件引っかかったかを記録するんじゃないの、普通。

それを見ることで、どのようなことが分かるのでしょうか。
ファイアウォールが設定したルール通りにフィルタリング
してくれているか、という確認ですか？


> >また、例えば
> >
> >  Web へのアクセス： △件
> >
> >と出されても、「ファイアウォールってアクセスカウンタ？」と思います。
> ># ファイアウォールのログ見るよりも HTTPD のログ見る方が早いし
>   何もサービスとは、80(http)だけじゃないでしょ。どうせ多いのは137-139,111
> へのアタックですし。

# 私の所へは、Nimdaのおかげで 80/TCP が一番多いです
ここで言いたかったのは、許可した通信ログの統計の意味についてでした。
私としては、ファイアウォールのログから統計を取るくらいなら、
各サービスのログ(/var/log/maillog とか /var/log/httpd/access.logとか）から
統計をとったほうが、正確に細かい統計も取れてうれしいです。


> >不正アクセスがあった場合にその証拠として使う、ってのはありだと思います。
> >そのためには許可したログを含め全てのログを記録する必要があると思いますが、
> >「拒否したログだけ記録する。だってディスク容量が...」と言う人が多いです。
>   容量もさることながら、速度的に不可能でしょう。WAN側だけでなく、LAN
> 側となると100MbpsやGbpsになります。あるいはlocalhostなんてCPU/memory
> 速度で通信するわけです。127.0.0.0/8 passなんてルールを記録したり、
> あるいはログをLAN越しに記録してたら、そのログのNFSやsyslogトラフィック
> のログを記録する…なんてことになって、際限無く通信量が増えてしまい、
> 記録不可能でしょう。

おっしゃる通りです。「全て」は言いすぎたかも知れません。
現実的には、WAN 側からの通信全てとかですかね。
不正アクセスの証拠にしようとすれば、拒否したログだけでは不十分で、
許可したログも必要だよね？って話です。


> >と独りで考えてると、さっぱりわからなくなってきて、
> >セキュリティ的に理想を追求し出すときりがないんで、
> >落し所を探る意味で、個人的な常時接続環境を持った方々の
> >実例を聞いてみたいと思いました。
>   とりあえず、denyするものはlog取ってます。firewallはFreeBSD
> に付いてくるipfwを使っています。

私が一番知りたかった、「で、そのログは何に使ってるの？」という所を
教えて頂けなかったようで。

私は、お金もないし時間もないので、
不正アクセスの証拠には中途半端な deny だけのログは取りたくないですし、
定期的な統計レポート見ても、いまいちそこから何を読み取ればいいのかが
わかりません。

--
// Yutaka Kokubu <bun@xxxxxxxxxx>

--[PR]------------------------------------------------------------------
使ってみたら意外と便利！ FreeMLのMyPage
さあ使ってみよう→ http://www.freeml.com/ctrl/html/UserRegForm
------------------------------------------------------------------[PR]--
<GMO GROUP> Global Media Online  www.gmo.jp