[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[connect24h:3732] Re: ファイアウォールのログ

To: connect24h@xxxxxxxxxx
Subject: [connect24h:3732] Re: ファイアウォールのログ
From: kaz@xxxxxxxxxxxx (NAKAMURA Kazushi)
Date: Thu, 11 Apr 2002 06:05:42 +0900 (JST)

中村和志＠神戸です。

In article <20020411.020847.74755885.bun@xxxxxxxxxx>
bun@xxxxxxxxxx writes:
>定期的にログ統計ソフトを使って統計を取ってみて、
>
>  拒否したアクセス： ○件
>
>と出たところで、「拒否してるんだからいいじゃん」以上の結論にたどり着けません。
  どんなルールで、いつ、何件引っかかったかを記録するんじゃないの、普通。

>また、例えば
>
>  Web へのアクセス： △件
>
>と出されても、「ファイアウォールってアクセスカウンタ？」と思います。
># ファイアウォールのログ見るよりも HTTPD のログ見る方が早いし
  何もサービスとは、80(http)だけじゃないでしょ。どうせ多いのは137-139,111
へのアタックですし。
＃当然firewallは、必要なものだけ通して、デフォルトは拒否という
＃ルールセットが前提です。

>不正アクセスがあった場合にその証拠として使う、ってのはありだと思います。
>そのためには許可したログを含め全てのログを記録する必要があると思いますが、
>「拒否したログだけ記録する。だってディスク容量が...」と言う人が多いです。
  容量もさることながら、速度的に不可能でしょう。WAN側だけでなく、LAN
側となると100MbpsやGbpsになります。あるいはlocalhostなんてCPU/memory
速度で通信するわけです。127.0.0.0/8 passなんてルールを記録したり、
あるいはログをLAN越しに記録してたら、そのログのNFSやsyslogトラフィック
のログを記録する…なんてことになって、際限無く通信量が増えてしまい、
記録不可能でしょう。

>と独りで考えてると、さっぱりわからなくなってきて、
>セキュリティ的に理想を追求し出すときりがないんで、
>落し所を探る意味で、個人的な常時接続環境を持った方々の
>実例を聞いてみたいと思いました。
  とりあえず、denyするものはlog取ってます。firewallはFreeBSD
に付いてくるipfwを使っています。
-- 
中村和志＠神戸		<mailto:kaz@xxxxxxxxxxxx>
NAKAMURA Kazushi@KOBE	<http://kobe1995.net/>
- Break the hate chain. No more kill!

--[PR]------------------------------------------------------------------
使ってみたら意外と便利！ FreeMLのMyPage
さあ使ってみよう→ http://www.freeml.com/ctrl/html/UserRegForm
------------------------------------------------------------------[PR]--
<GMO GROUP> Global Media Online  www.gmo.jp

Follow-Ups:
- [connect24h:3736] Re: ファイアウォールのログ
  - From: Yutaka Kokubu

References:
- [connect24h:3728] ファイアウォールのログ
  - From: Yutaka Kokubu

Prev by Date: [connect24h:3731] Re: PCルータ
Next by Date: [connect24h:3733] Re: PCルータ
Previous by thread: [connect24h:3728] ファイアウォールのログ
Next by thread: [connect24h:3736] Re: ファイアウォールのログ
Index(es):
- Date
- Thread