[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:24923] Re: ipchains のログ機能



お疲れ様です。
碇です。

MATSUDA Yoh-ichi / 松田陽一 wrote:
> 
> どうもです。^^
> 
> 確かに、 ipchains -l でパケットのログは取れますが、碇さんは
> どのような指定で不正アクセスのログを取ってらっしゃいますか?
> 
> 例えば、私のように何も考えずに /etc/ppp/ip-up に
> 
> /sbin/ipchains -N ppp-in
> /sbin/ipchains -A input -i ppp0 -j ppp-in
> /sbin/ipchains -A ppp-in -p tcp -s 0/0 -d $PPP_LOCAL smtp -j DENY
> /sbin/ipchains -A ppp-in -p tcp -s 0/0 -d $PPP_LOCAL 137:139 -j DENY
> /sbin/ipchains -A ppp-in -p udp -s 0/0 -d $PPP_LOCAL 137:139 -j DENY
> /sbin/ipchains -A ppp-in -p tcp -s 0/0 -d $PPP_LOCAL 6000 -j DENY
> /sbin/ipchains -A ppp-in -p tcp -s 0/0 -d $PPP_LOCAL 7000 -j DENY
> /sbin/ipchains -A ppp-in -s 0/0 -d $PPP_LOCAL -l
> 
> とすると、 ppp0 に入ってくるパケット全てが記録されてしまいま
> す。
> 不正アクセスであることを特定する為に、どのような工夫をされて
> るのか、素人の私に教えて頂ければ幸いです。(__)
> --

私の場合、基本的に全面禁止、許可のあるものだけをACCEPTにしています。
そうしないと、どうしても穴が空いてしまうと思います。

ipchains -A foo -p tcp --destination-port 80 -j ACCEPT
 .
 .
ipchains -A foo -j REJECT -l

こんな感じのルール定義になっています。
社内からブーイングがくる為、後から後から許可してしまいルールが、ただ今
40近くなってしまいセキュリティポリシーの策定最中です(^^)


基本的に下記のような構成です。

		  The internet
			|
			|
		    LinuxBox(パケットフィルタのみで、DNSにも登録しません)
		        | 
			|
		       DMZ

この構成ですと、LinuxBoxは外から名前解決できません。
外に対して、サービスを提供していなければコネクションを張ってきた時点で怪しいで
す。
中からSSHだけ通せば、このホストにアクセスするホストは、中からのSSHだけです。
これですとLinuxBoxにコネクションを張ろうとするものすべてが不正アクセスの
可能性があるのです。可能性というより、不正アクセスだと私は認識しています。
LinuxBoxがただのgatewayであるならば、この認識は正しいと思います。 

別解として、snortが考えられます。snortではルールマッチが設定できますので、
あるはずの無いアクセスがあった場合ログに残ります。また、プリプロセッサで
portscanを指定できるのでnmap等のSYNパケットだけを送り付けてくるものも
感知できるそうです。

基本的に、firewallはfirewall以外の機能はつけないのが最善だと思います。
logcheckを入れている為、postfixやqmailをlocalからのsmtp接続だけ許可して、
ワームなどを送られないようにメールを受け取らないようにしています。
きっとまだまだやる事はあるのでしょうけど、それを今調べている最中です(^^)

snortは

ネットワーク侵入検知 武田 圭史/磯崎 宏 著
に詳しく書かれていました。

なにか参考になれば幸いです。

			

-- 
**************************************
    碇 永志  PCA(株) ikari@xxxxxxxxx
**************************************