Security
Tips |
|
|
|
パケットフィルタログの有効活用
りょうわ あきら
2004/3/24
|
ワームなどの活動が定常化した現在、ルータやファイアウォールのパケットフィルタログはこうした活動の結果で溢れ返っている。これらのログはもはやネットワーク管理者が個別に確認できるものではないが、統計処理をしてグラフ化などしておくと、定在化した状況からの変動を見ることで異常状況の発生を確認できるなどのメリットはあるだろう。
こうした統計処理を無償で実施してくれるサイトがDShield.orgだ。DShield.orgでは、世界中のサイトからルータやファイアウォールの拒否ログを収集し、これを統計処理して公開している。Internet
Storm Centerの統計情報は、このDShield.orgに寄せられた世界各地のデータから生成されている。DShield.orgは全データから生成した統計データだけでなく、簡単なものではあるが、データ送信者に対してメールとWebページにより送信者サイトの統計情報を提供してくれる。以下にレポートのサンプルを紹介する。
Do not reply. Feedback to info@dshield.org welcome.
To unsubscribe: http://www.dshield.org/login.php
Day: 2003-12-27
Userid: ********
For 2003-12-27 you submitted 6981 packets from 2781 sources hitting
7 targets.
Port Summary
============
Port|Packets|Sources|Targets| Service | Name
----+-------+-------+-------+------------+-------------
80 | 2647 | 1507 | 7 | www | World Wide Web HTTP
135 | 3553 | 1107 | 7 | epmap | DCE endpoint resolution
139 | 428 | 70 | 7 | netbios-ssn| NETBIOS Session Service
--- 中略 ---
Port Scanners
=============
source |Ports Scanned|Host Name
---------------+-------------+-----------
210.166.***.***|4 |***.*****.**.**
219.127.***.***|3 |
--- 中略 ---
Source Summary
==============
source |hostname|packets|targets|all pkts|all trgs|first seen
------------+--------+-------+-------+--------+--------+-----------
61.194.*.***| | 55 | 5 | 72 | 3 | 11-30-2003
61.194.**.**| | 43 | 3 | 1850 | 66 | 11-30-2003
--- 中略 ---
Fightback Summary
=================
IP Address | Date/Time sent | Reply | Sent To
-----------+----------------+-------+-------------------------
to unsubscribe from this report, please change your preferences
at http://www.dshield.org/login.php . Do not reply to this report
===== ******** ===== *****@*********.net =====
|
|
DShield.orgからのメールによる日次レポート |
|
図1 ユーザー別レポートサイトにおけるソースアドレス分類グラフ |
|
図2 ユーザー別レポートサイトにおけるログ一覧表示(画像拡大) |
また各種ルータ、ファイアウォールに対応したログ送信アプリケーションも用意されており、これらを用いるとメールで容易にログを送信することができる。
さらに各種ルータ、ファイアウォールに対応したCVTWINやFrameworkクライアントといったログ送信用アプリケーションも用意されおり、これらを用いるとメールによりログを送信することができる。スケジューラを使用すれば、ログ送信を自動化することも可能である。
|
図3 DShield Universal
CVTWIN Clientの設定画面(画像拡大) |
Windowsであればタスクスケジューラ、UNIX系OSであればcronなどのスケジューラを使用することで、これらのクライアントを使用したログ送信を自動化することも可能である。Windowsのタスクスケジューラを使用した自動送信設定についてはUsing
the Task Scheduler to run CVTWIN automaticallyとして、UNIX系OSの場合のcronによる自動送信設定についてはLinux
and UNIX "Framework" Clientsとしてそれぞれ解説されているので、これらを参照するとよい。
使用中のルータやファイアウォールに対応した送信アプリケーションが見当たらない場合には、自分で簡単なスクリプトを作成することもできる。DShieldが使用している共通ログフォーマットは非常に単純なテキスト形式なので、公開されている情報を基にすれば、自動変換・送信スクリプトはPerlなどを使って簡単に自作することができるだろう。
Security&Trust フォーラム 新着記事
Security & Trust 記事ランキング
本日
月間