通常、ファイアウォールのログは以下の図のように表示されています。この例はCheckPoint社のFireWall-1のログです。
まず、「Source」の項目を見ます。ここで、通信の方向を確かめることができます。ファイアウォールのログに残されている通信が内部から外部への通信なのか、外部から内部への通信なのか、その方向によって後の対処方法は違ってきます。注意すべき点として、ファイアウォールの設定で「Source」アドレスの偽造防止機能(通常アンチスプーフィング機能と呼ばれます)は必ず有効にしておいてください。アンチスプーフィング機能を無効にしてしまうと、ログを見たときに内部通信か外部通信かの区別がしにくくなるだけではなく、場合によってはファイアウォールを通過して内部にアクセスされてしまう危険性があります。
「Source」欄が外部のアドレスで、「Action」欄にDropまたはRejectと表示されているログに着目してみます。これは、ファイアウォールのルールで許可されていない通信が外部から内部に試みられたことを示しています。つまり、企業のセキュリティポリシーに合致しない不正なアクセスの可能性が考えられます。さらに、1カ月間の外部からの不正アクセスを集計すると、以下のような結果が得られました。
不正アクセスアドレス | 回数 | ドメイン名 |
---|---|---|
192.150.***.*** | 1530 | *** Systems Inc.(米) |
210.196.***.*** | 856 | *** Net(米) |
219.144.***.*** | 745 | *** Inc(中国) |
218.148.***.*** | 568 | ***NET(韓国) |
210.224.***.*** | 525 | ***.***.ne.jp(日本) |
61.138.***.*** | 512 | ***-***-com(中国) |
61.150.***.*** | 480 | ***NET(中国) |
61.243.***.*** | 455 | ***COM (中国) |
192.150.***.*** | 438 | ********Inc.(米) |
61.81.***.*** | 388 | ****net(韓国) |
この結果を基に不正アクセス対策を施していくことになります。しかしながら、DropもしくはRejectされた通信が必ずしも不正アクセスであるとは限りません。Webアクセスを途中でキャンセルした場合や、しばらく通信をしないで放置しておいたような場合には往々にしてDropやRejectのログが出力されます。不正アクセスを見極めるための第一歩はこういった不正アクセスではないログ(フォールスポジティブ)を排除することです。不正アクセスログの一般的な特徴を挙げると以下のようになります。
これらの条件に1つでも当てはまるものがあれば、次にそのソースアドレスを持つログでアクセプトされたものがないかどうかを個別のログで調べます。アクセプトされているログがあれば、あて先アドレスおよびあて先ポート(サービス)に該当するマシンのログを調べ、不正アクセスの痕跡がないかどうかを確認します。もしも不正アクセスの痕跡があるようであれば、ファイアウォールのルールにおいて該当のソースアドレスからの通信はすべてDropするように設定した後、該当マシンのクリーンインストールやほかのマシンに影響がないかの調査などを行っていきます。
Copyright © ITmedia, Inc. All Rights Reserved.