Security Tips
 

パケットフィルタログの有効活用

りょうわ あきら
2004/3/24

 ワームなどの活動が定常化した現在、ルータファイアウォールのパケットフィルタログはこうした活動の結果で溢れ返っている。これらのログはもはやネットワーク管理者が個別に確認できるものではないが、統計処理をしてグラフ化などしておくと、定在化した状況からの変動を見ることで異常状況の発生を確認できるなどのメリットはあるだろう。

 こうした統計処理を無償で実施してくれるサイトがDShield.orgだ。DShield.orgでは、世界中のサイトからルータやファイアウォールの拒否ログを収集し、これを統計処理して公開している。Internet Storm Centerの統計情報は、このDShield.orgに寄せられた世界各地のデータから生成されている。DShield.orgは全データから生成した統計データだけでなく、簡単なものではあるが、データ送信者に対してメールとWebページにより送信者サイトの統計情報を提供してくれる。以下にレポートのサンプルを紹介する。

Do not reply. Feedback to info@dshield.org welcome.
To unsubscribe: http://www.dshield.org/login.php

Day: 2003-12-27
Userid: ********

For 2003-12-27 you submitted 6981 packets from 2781 sources hitting
 7 targets.

Port Summary
  ============

Port|Packets|Sources|Targets| Service   | Name
----+-------+-------+-------+------------+-------------
80  | 2647  | 1507  | 7     | www        | World Wide Web HTTP
135 | 3553  | 1107  | 7     | epmap      | DCE endpoint resolution
139 | 428   | 70    | 7     | netbios-ssn| NETBIOS Session Service

--- 中略 ---

Port Scanners
=============

source         |Ports Scanned|Host Name
---------------+-------------+-----------
210.166.***.***|4            |***.*****.**.**
219.127.***.***|3            |

--- 中略 ---

Source Summary
==============

source      |hostname|packets|targets|all pkts|all trgs|first seen
------------+--------+-------+-------+--------+--------+-----------
61.194.*.***|        | 55    | 5     | 72     | 3      | 11-30-2003
61.194.**.**|        | 43    | 3     | 1850   | 66     | 11-30-2003

--- 中略 ---

Fightback Summary
=================

IP Address | Date/Time sent | Reply | Sent To
-----------+----------------+-------+-------------------------
to unsubscribe from this report, please change your preferences 
at http://www.dshield.org/login.php . Do not reply to this report

===== ******** ===== *****@*********.net =====
DShield.orgからのメールによる日次レポート

図1 ユーザー別レポートサイトにおけるソースアドレス分類グラフ

図2 ユーザー別レポートサイトにおけるログ一覧表示画像拡大

 また各種ルータ、ファイアウォールに対応したログ送信アプリケーションも用意されており、これらを用いるとメールで容易にログを送信することができる。

 さらに各種ルータ、ファイアウォールに対応したCVTWINやFrameworkクライアントといったログ送信用アプリケーションも用意されおり、これらを用いるとメールによりログを送信することができる。スケジューラを使用すれば、ログ送信を自動化することも可能である。

図3 DShield Universal CVTWIN Clientの設定画面(画像拡大

 Windowsであればタスクスケジューラ、UNIX系OSであればcronなどのスケジューラを使用することで、これらのクライアントを使用したログ送信を自動化することも可能である。Windowsのタスクスケジューラを使用した自動送信設定についてはUsing the Task Scheduler to run CVTWIN automaticallyとして、UNIX系OSの場合のcronによる自動送信設定についてはLinux and UNIX "Framework" Clientsとしてそれぞれ解説されているので、これらを参照するとよい。

 使用中のルータやファイアウォールに対応した送信アプリケーションが見当たらない場合には、自分で簡単なスクリプトを作成することもできる。DShieldが使用している共通ログフォーマットは非常に単純なテキスト形式なので、公開されている情報を基にすれば、自動変換・送信スクリプトはPerlなどを使って簡単に自作することができるだろう。

Security Tips Index



Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Security & Trust 記事ランキング

本日 月間