読者です 読者をやめる 読者になる 読者になる

まめ畑

ゆるゆると書いていきます

朝から対応

朝からサーバの対応で眠いです。。。

昨日は日経NETWORKを読んで、テクニカルネットワークの午後問の雰囲気と
午前問の計算などすぐに解答出来そうな問題の勉強をしようとしましたが
結局別の用事にて出来ないという事態に。
情報処理技術者試験まで後20日をきりました。
そろそろ仕上げないといけない時期です。

で、朝から対応していた事とはSWATCHを導入していました。
これは不正アクセスを監視して作成したルールにヒットしたアクセスがあった場合に
自動的にFireWallの設定を変更してアクセスを禁止させるというものです。
その際にサーバ管理者へもWhois情報をメールするようにしています。

もちろん今までも不正アクセス対策はやってきました。
ルータでのアクセスコントロールとサーバ自体のアクセス制御。
サーバ自体の制御に関してはサーバへのアクセス全体とデーモン・コンテンツ毎の
規制を実施しています。

それに追加・補助という形で今回導入したのです。
理由は簡単、sshを使った不正アクセスが増加傾向にあるからです。
ログを定期的に監視して、4週間分の各ログをアーカイブにしてあるのですが
ドメインを変更してからは落ち着いていたアクセスが最近増えてきました。
でも、前のドメインよりははるかに少ないですが。
国ごとにアクセス規制をかけているのですが、最近は少数ながらもこちらで
制限をしていない国からのアクセスが目立ちます。
日本からのアクセスのみを受け付けるようにも出来るのですが、そのためには
iptablesのシェルを書き換えないといけないので、突発的にきた不正アクセス
関して自動的に書き換えるようにしました。
あまりにも多いようだと国内のみアクセス可能にしますが、海外からのアクセスも
あるのでひとえに禁止には出来ないのが現状です。

今回は導入初めということで4種類のブロックルールを定義しています。
詳細はかけませんが、正規ユーザからのアクセスへのご認識対策もしてあります。

いまや、ルータのアクセス制限や簡単なサーバサイドの規制じゃ簡単に破られそうです。
ゾンビにされた後では遅いので早めの対策が必要です。

以下にSWATCHのサイトのアドレスを掲載します。
SWATCHiptablesの書き換えを行うものというよりは、特定のメッセージを定義した
ルールに基づいて設定したアクションを実行するものです。


SWATCH