セキュリティインシデントの 現状とネットワーク環境にお けるセキュリティ保全 すずきひろのぶ 注)このPPTはLinux Conference 2001で講演し [email protected] た内容の前半です。 2001 Sep 27 Linux Conference 2001 1 内容 • セキュリティインシデントの現状分析 – – – – ネットワーク構成 過去12ヶ月の分析から CLSCANの紹介 WCLSCANの提案 • ネットワーク環境におけるセキュリティ保全 2001 Sep 27 Linux Conference 2001 2 ファイアウォールのログ • インターネットとDMZを区切るルータによる IPフィルタリングのログ • IPフィルタリングは最小のコストで最大の防 御ができる • ネットワーク空間を分割する役割を果たす 2001 Sep 27 Linux Conference 2001 3 ネットワーク構成 Linux Based Network Internet Web,DNS,Mail,etc Router Logging Server Filtered Log Internal Router Internal network DMZ 2001 Sep 27 Linux Conference 2001 4 過去12ヶ月の記録 • 2000.10.9~2001.9.23 • リジェクトされた接続 – 210.145.219.248/29 – 68ポート(TCPのみ) – 35106エントリ(TCPのみ) 2001 Sep 27 Linux Conference 2001 5 過去12ヶ月 注)TCPのみ 18000 16000 14000 12000 10000 8000 6000 4000 2000 0 Oct00 2001 Sep 27 Nov00 Dec00 Jan01 Feb01 Mar01 Apr01 Linux Conference 2001 May01 Jun01 Jul01 Aug01 Sep01 6 トップ10 16000 14000 ftp domain httpd sunrpc auth netbios lpd socks squid webcache 12000 10000 8000 6000 4000 2000 0 Oct- Nov- Dec- Jan- Feb- Mar00 00 00 01 01 01 2001 Sep 27 Apr- May- Jun01 01 01 Linux Conference 2001 Jul01 Aug- Sep01 01 7 Httpdを除いたグラフ 10000 1400 1200 ftp ftp domain domain sunrpc sunrpc auth auth netbios netbios lpd lpd socks socks squid squid webcache webcache 1000 1000 800 100 600 400 10 200 10 Oct- NovNov- DecDec- JanJan- FebFeb- MarMar- AprApr- MayMay- JunJun- Jul-01 Jul-01 AugAug- SepSepOct00 00 00 01 01 01 01 01 01 01 01 00 00 00 01 01 01 01 01 01 01 01 2001 Sep 27 Linux Conference 2001 8 tp d au ne su th tb nrp ios c -s sn ft so p do cks we ma bc in ac he lpd sq ui sm d tp po p te 3 lin lne ux t co n ht f tp Ba s ck 80 Do 00 o M r-G S C h N WB ee et T se Bu wo s rm ht トップ20 100000 10000 1000 100 10 1 2001 Sep 27 Linux Conference 2001 9 01 2001 Sep 27 Linux Conference 2001 Sep-01 Sep-01 Aug-01 Aug-01 Jul-01 Jul-01 Jun-01 Jun-01 May-01 May-01 Apr-01 Apr-01 Mar-01 Mar-01 Feb-01 Feb-01 Jan-01 Jan-01 Dec-00 Dec-00 Nov-00 Nov-00 Oct-00 Oct-00 Port 80 100000 16000 14000 10000 12000 10000 1000 8000 100 6000 4000 10 2000 10 CLSCAN • Common Log SCAN – 既にsyslogに記録される数々のセキュリティ情報は存 在しているが人間が簡単に読める形ではない – セキュリティログをプリティプリント • HTML, Text – 簡単な統計情報 – 各種SOHO向けルータ、TCPWAPPER、IP filterなどのロ グに対応 – http://h2np.net/clscan 2001 Sep 27 Linux Conference 2001 11 http://h2np.net/clscan 2001 Sep 27 Linux Conference 2001 12 WCLSCAN : 広域CLSCAN構想 Database Pre-processing by clscan library Secure Message Statistics Processing 2001 Sep 27 Linux Conference 2001 13
© Copyright 2024 ExpyDoc
