新規記事投稿 フォロー記事投稿 記事のキャンセル
From: take-win <take-win@interlink.or.jp>
Subject: ご助言ありがとうございます。
Date: 1999/01/06 00:38:32
Reference: internet/00149

1月3日に、竹田伸幸さんは書きました。


>そうではなく、前に書きましたが『きちんとログを取る』ことが重要です。
>きちんと取っていないログを見てもログに記録されていなければ、意味が
>ありません。
>
>ログはしつこいくらいとってください。syslog.confで記録するレベルを
>変えたり、デーモンの設定を変えてもっとログを出すようにするとかです。
>記録されているログから特定のパターンを見つけるのは難しいことではあり
>ません。当たり前ですがログファイルに取れていないログは後から見ること
>はできません。とにかく取れるだけとっておく。
>#もちろん、ディスクスペースは考慮しないといけません。

なるほど、
幸い、規模が小さいから、ディスクスペースは少しはあります。


>>竹田さんですか?
>>3文字の・・・確か最初が「s」だったようなドメイン
>>(ただし、サーバー名は3種類ぐらいあった)
>>のところがなんだか変なアクセスをしていた、
>>いわゆるホームページ以外の所を見ていたような・・・?
>
>ホームページ以外のところという意味が分からないんですが、カット&ペースト
>に失敗して変なURLになってしまっただけではないのですか。

なぁんだそうだったのか。



>インターネットに繋ぐ場合、まずその前に、最低限、何を通して、何を通さ
>ないのかを決めておくことです。
>そういったセキュリティポリシーをしっかりしてから繋いでこそ意味があり
>ます。
>
>あと、ホスト単体の設定をしてもそれは、そのホスト自身を守るだけであって
>ネットワークを守るのとは異なります。
>ネットワークを守るのであれば、例えば、ルータでフィルタリングをするだけ
>でもその効果はかなりあります。

というわけで、ルーターのフィルタを設定しました。
今まで、telnetやftpがそのまま通り、
何でも見放題だったのですが、
DNS,web,mailサーバー以外は通らないはずです。
(本に書いてあることが正しければ)


>フィルタリングでログも取るようにしていればポリシーに反したアクセスは
>記録されている筈です。

残念ながら、MN128SOHO−SL10はその記録がない?




>qpopperなどは、2.5より古いと root権限を盗めるという大きな問題もあります。

ん!!



>よくあるパターンとして、取り敢えずこれくらいだけ書きます。
>
>  ・予期していない無権限使用ができるサービスが存在する。
>    電子メール不正中継なんかもこのパターン
>    例) 外部からのアクセスを考慮してしないポートを空けている。
>         外部からの DNSのゾーン転送を許可している。
>         →実は大きな問題。デフォルトでは許可されている。禁止にする
>           のは簡単ですが以外と知られていない。

電子メールの不正中継はsmtpdをインストールしたから大丈夫?
(設定が悪かったのか?
クライアントから外部に出るメールもはじくようになってしまった。)
DNSのゾーン転送を禁止するってどうするのですか?
そもそも「DNSのゾーン転送」っていうのがわからない。



>インターネットが実験網のような閉じたネットワークではなく広く世界に
>開かれている以上、わからないうちは繋がないというのも一つの防御方法
>です。繋ぐにしても、わかるところに頼む。わからないうちは閉じたネット
>ワークで運用してノウハウがたまってからインターネットに繋ぐなどでも
>決して遅くはありません。

繋いでみて、そう思い始めました。
でも、いったん繋ぐとやめられませんねぇ。


>商用ベースに移行したインターネットでは、とにかく先に繋いでノウハウを
>つけようなんてのでは、先に攻撃を受けてトラブルに巻き込まれるのが現実
>です。(実験できる環境がないのも問題ですが)

intigerの場合、実験ですし、サーバーの中何にもありませんし、・・・。
ただ、中継地にされて、他人様に迷惑になってはいけない、
とは思っています。


>
># IW98でも『無免許で車を運転しているような状態』で表現されていました。
># もちろん、インターネットには免許などはなく初心者でも使えるのですが、

○○小学校「自転車運転免許書」ぐらいは持っておくべきだったと思ってます。
すみません。


># 技術が伴わないうちは、『免許がないならタクシーに乗ればよい(技術を
># 持つ人に頼む』ように(技術を)持っていない人が取れる自衛策はあるはず
># だということでした。

なんせ補助金プラスポケットマネーでやってるものですから
タクシー代がなくって・・・(それならば、開くなって!)




>もちろん、FreeBSDでも同じことです。インストール本などを読んで設定した
>だけの状態の問題なんかは少し前に ML でも話題になりました。

ん、それって私と同じ状態ではありませんか?



>で、ログに話を戻しますが、うちのルータでは、以下のようなログを残してます。

::::::::略:::::

>例えば、何回も失敗していれば、パスワードアタックされているかもと予測はつきます。

習うより慣れろ、ですかね?
精出して色々見てみます。
わざと失敗してみるなんて言う技もあるんでしたね。