新規記事投稿

フォロー記事投稿

記事のキャンセル

1月6日に、take-winさんは書きました。

＞というわけで、ルーターのフィルタを設定しました。
＞今まで、ｔｅｌｎｅｔやｆｔｐがそのまま通り、
＞何でも見放題だったのですが、
＞ＤＮＳ，ｗｅｂ，ｍａｉｌサーバー以外は通らないはずです。
＞（本に書いてあることが正しければ）

本にどう書いているかわかりませんが、メールを使う時は、
ident プロトコル(TCP 113) を通すようにしておかないと
うまく以下ないことが多くあります。

＞＞フィルタリングでログも取るようにしていればポリシーに反したアクセスは
＞＞記録されている筈です。
＞
＞残念ながら、ＭＮ１２８ＳＯＨＯ−ＳＬ１０はその記録がない？

持っていませんが MN128SOHO-SL10 にも SYSLOG 機能があります。

ただし、フィルタの設定を確認した方がよいでしょう。
MN128SOHO-SL10がどうなっているかわかりませんが、ルータによっては
フィルタに引っかかった時、ログに出すか出さないかを明示する必要が
あるものがあります。Cisco なんかは、log とかって書いているもの
だけログに出してくれます。これはマニュアルを見ましょう。

なお、MN128SOHO-SL10 では、SYSLOG の設定は、WWWでの設定でいうと
詳細設定→IP応用設定にあるようです。
仮にレベルを INFO と NOTICE、ファシリティを 1 で設定した場合、
FreeBSD は以下のように設定します。

１．ログ更新の設定を行なう /etc/newsyslog.conf に以下の行を加える。

  /var/log/router.log                     600  3     100  *     Z

２．ログファイルを作成する。
  （syslogd は、ファイルが存在しない場合、自動的にファイルを作る
  ことはしません。）

  touch /var/log/router.log

３．syslogd の設定ファイル /etc/syslog.conf に以下を加えます。

   ファシリティ USER (1) で、レベル INFO *以上*のログを
   /var/log/router.log に書き込むように設定します。
   スペースでなく、タブで区切って下さい。

   user.info              /var/log/router.log

   ファシリティ USER がなぜ 1 なのかは、Cのヘッダファイル
   /usr/include/sys/syslog.h を読めばわかると思います。

４．syslogd を再起動します。

   kill -HUP `cat /var/run/syslog.pid`

で多分、何らかのログが記録されるようになるでしょう。

＞＞qpopperなどは、2.5より古いと root権限を盗めるという大きな問題もあります。
＞
＞ん！！

See JPCERT/CC.

＞ＤＮＳのゾーン転送を禁止するってどうするのですか？
＞そもそも「ＤＮＳのゾーン転送」っていうのがわからない。

プライマリDNSサーバからセカンダリDNSサーバへのゾーンの転送とかです。
デフォルトでは、転送要求をどこからでも受け付けるようになっています。

＃ このようなサイトに、nslookup のコマンドの一つの ls を使うと...

『自分のネットワーク＋外部セカンダリDNSサーバ＋ループバックアドレス』
に制限をかけた方が安全です。

210.232.116.128/29 でセカンダリDNSがns-tk022.ocn.ad.jp(203.139.160.104)
ならば、bind 4.9.7 の場合、/etc/namedb/named.boot に以下の行を加えて、
named を再起動しましょう。

xfrnets 210.232.116.128&255.255.255.248 203.139.160.104&255.255.255.255 127.0.0.1&255.255.255.255

許可のないゾーン転送があると、ログにこんな感じで残ります。

Jan  5 23:01:46 *.ses.co.jp named[9106]: unapproved AXFR from [*.*.*.*].2583 for "ses.co.jp" (acl)

＞わざと失敗してみるなんて言う技もあるんでしたね。

設定しても検出できるかどうか実際にアタックをかけて試さないと
本当に正しく設定できているかわかりませんね。:)