[connect24h:3746] Re: ファイアウォールのログ

[Yutaka Kokubu <bun@xxxxxxxxxx>]

国分です。

> Soniwall自身への攻撃は、Sonicwallが落ちない限り見ないでしょうね。(あんまり見
> ても意味ないし)
SonicWALL ですが、別サーバに syslog や SMTP でログを送っていないと
見れなくなってしまいますよね。
それはそれで仕方無いとしても、本体内部に保存してあるログと
別サーバへ飛ばしたログの内容に差があるのには困りました。
正確には覚えてなくて申し訳ないのですが、
Web インタフェースだけで見られる内容があったように記憶しています。
# ソースポート番号だったっけ？


> SonicwallのLog Analyzerが使えるなと思うのは、内部PCからインターネットへ抜ける
> トラフィックの時間ごと，日付ごとの統計情報をみることが出来るところにあります。

外部へのトラフィックの全体的な統計という話であれば、
私なら SNMP Agent が動いているものを使い MRTG なんかで監視できますが、

> どの端末が、どの時間、どれくらいファイルを転送したとか、WEBを参照したとか、
> どのようなURLを見てたとか、内側のPCから許可されていないセッションを張ろうとし
> たとか、という情報がとれます。
> 
> これによって、業務中や夜中に変な画像を大量に落としてきている輩の行為を抑止で
> きますし、トロイの木馬が入ってしまって、大量のトラフィックを吐いていたら端末
> を特定できます。コンテンツフィルタ(URL数は貧弱ですが)をいれていれば、変なサイ
> トを見に行っているアラートも取れます。

という情報を必要とするならば、ログ機能のしっかりした、
アプリケーションゲートウェイ型ファイアウォール を入れるという選択になりますね。

会社資産で運用しているような場合には必要でしょうけれども、
私が個人使っている限りは、不要だと思っています。
逆に、コンテンツフィルタされると困ることも多々ありますし。

コンテンツフィルタもどうなんでしょう？
ゲートウェイ型のウイルスチェックサーバを入れていても、
ウイルスを送り込む方法が多々あるように、
どこまでフィルタリングができるのかな？といまいち信用していません。

# そこまで考えてる知能犯は相手にしない、というのも解答かな


> それから統計情報ですから、２４時間見ている必要はありません。週１程度で全体の
> 傾向を見ればよいと思いますよ。（問題が発生していなければ）

個人ならともかく、企業の場合は、

侵害 → 信用の失墜・顧客情報の流出・Webページの改ざん

なんておまけがもれなくついてくるので、
それなりの監視体制が必要に思うのですが、
そこまで[やってる|できる]企業も少ないなぁ、と思う今日この頃です。

--
// Yutaka Kokubu <bun@xxxxxxxxxx>

--[PR]------------------------------------------------------------------
使ってみたら意外と便利！ FreeMLのMyPage
さあ使ってみよう→ http://www.freeml.com/ctrl/html/UserRegForm
------------------------------------------------------------------[PR]--
<GMO GROUP> Global Media Online  www.gmo.jp