[connect24h:3751] Re: ファイアウォールのログ

[kaz@xxxxxxxxxxxx (NAKAMURA Kazushi)]

中村和志＠神戸です。

In article <20020411.101757.85417835.bun@xxxxxxxxxx>
bun@xxxxxxxxxx writes:
>おっしゃる通りです。「全て」は言いすぎたかも知れません。
>現実的には、WAN 側からの通信全てとかですかね。
  denyしたログだけでは不十分と言う人がそんなこと言ってたら…。
passしたログを取るよりも、LAN側のトラヒィックでもdenyしたものの
ログを取る方が先です。アタックは外から来るとは限りません。内側
からも来る可能性が有ります。「内向き、外向き、両方やらねばfirewall
の意味が無い。」と篠ピー、ことバジェロ大王に教わりました。JAIST
の場合、内側に怪しい奴が多かったのかも知れないけど。そうでなくても

># 私の所へは、Nimdaのおかげで 80/TCP が一番多いです
  とおっしゃてるように、内部に侵入されて暴れているホストが
いるかも知れません。そういうホストがいるかいないかは、

>今のところは、定期的にトラフィック・不正アクセスの統計情報を見る、
>という用途に使われている方ばかりのようですね。
  これらのログを見ていれば、気付きますよね。

>不正アクセスの証拠には中途半端な deny だけのログは取りたくないですし、

>不正アクセスの証拠にしようとすれば、拒否したログだけでは不十分で、
>許可したログも必要だよね？って話です。
  有った方が嬉しいだろうとは思いますが、必要とは思いません。上で
述べたようにLAN側も監視しなければならないので、その許可ログも取る
というのはできないものねだりです。sprayの撃ち合いでもして遊んだら
それだけで破綻するでしょう。
  もちろんpassしたものも、パケット数とオクテット数、最後にマッチ
した時の時刻はFreeBSDのipfwの場合、知ることが出来ますが。
  容量もやっぱり問題です。侵入に気付いて、いつ侵入されたか過去に
遡って調べようとした時に、ログがexpireされていたのでは意味が無い
ですが、巨大なログをそういつまでも保管している訳にもいきません。
実際に運用してみると分かりますが、こっちの方が問題です。うちは
とりあえずexpireを半年にしてrotateしてますが、皆さんのところは
どうしてますか？

  IP firewallは、まずこれ以上無くガチガチに閉めた、デフォルト
deny logで、ルーティング、ネーミング、タイミングだけしか開けて
ない状態で始めて、サービスを追加してはログを見て引っかかった
パケットの内、通しても良いものを順次追加していくのが良いのでは
ないでしょうか。
-- 
中村和志＠神戸		<mailto:kaz@xxxxxxxxxxxx>
NAKAMURA Kazushi@KOBE	<http://kobe1995.net/>
- Break the hate chain. No more kill!

--[PR]------------------------------------------------------------------
使ってみたら意外と便利！ FreeMLのMyPage
さあ使ってみよう→ http://www.freeml.com/ctrl/html/UserRegForm
------------------------------------------------------------------[PR]--
<GMO GROUP> Global Media Online  www.gmo.jp