• 締切済み

ファイアウォールログの監視・監査の方法について

インターネット経由で、ある1カ所の拠点向けにWebサービスを提供しているシステムの運用をしているものです。 ファイアウォールを設置しておりますが、IDS・IPSは導入しておりません。 このシステムでは、1拠点にしかサービスを提供していないので、その拠点からのアクセス以外は全てファイアウォールでドロップしております。 上司から、ファイアウォールのログの監視の運用を確立するように指示がありました。 下記の案を考えてみたのですが、どんな物を検知・集計するのが有効なのか、世間一般にはどんな方法があるのかを知りません。どなたかお知恵をください。 ・一定時間内に同一ソースからのアクセスを大量にドロップしたものをリアルタイムに検知する。 ・定期的(週1回など)同一ソースからのアクセスの集計する。

みんなの回答

  • e3tatsu
  • ベストアンサー率51% (78/151)
回答No.1

セキュリティを売り物にした企業でなければ、ドロップされた通信ログよりもアクセプトされた通信ログの方が重要です。 一般的にドロップされた通信ログは攻撃が試行された国別統計を出すくらいしか活用用途はありません。 逆にアクセプトされた通信ログは、不正アクセスが発覚した際の調査に役立ちます。 ログはリアルタイムでsyslogサーバに保管します。 さらに必要があればログ解析ツールを導入します。

  1. カテゴリ
  2. [技術者向] コンピューター
  3. ITシステム運用・管理
  4. ネットワーク

関連するQ&A

  • ブログランキングのシステム元ってどこ?何なんですか?

    人気ブログランキングなどに見られる、登録サイトから当ページへのアクセスをリアルタイムで集計し、ランキングを表示するシステムというのを自分でも使いたいのですが、システム元のサイトが分かる方がいらっしゃったら、教えて下さい。自分が中核のサイトとなって、他ブログと相互リンクをしたいという意味です。ソースを見ても、どういうしくみなのか分かりませんでした。

  • ブログランキングのシステム元ってどこ?何なんですか?

    人気ブログランキングなどに見られる、登録サイトから当ページへのアクセスをリアルタイムで集計し、ランキングを表示するシステムというのを自分でも使いたいのですが、システム元のサイトが分かる方がいらっしゃったら、教えて下さい。自分が中核のサイトとなって、他ブログと相互リンクをしたいという意味です。ソースを見ても、どういうしくみなのか分かりませんでした。

  • 2拠点でのデータの共有

    離れた2拠点で、Excell、Access等のデータを共有したいと考えています。(2拠点どちらからも閲覧や更新をしたいと考えています) また、どちらかのPCを使用していない場合も想定していますので、「どちらかのPCにアクセスする」という方法ではない方法を探しています。 そうすると、多分「どこかのサーバのスペースを借りる」という答になると思うのですが、私の望むような環境を提供してくれるサービスをご存知の方、お教え下さい。 よろしくお願いします。

  • 株価データの取り込みについて

    システム的な話ですが、 なぜ株価は1000銘柄をリアルタイムに取り込むことが できないのですか? リアルタイムに情報配信されているツールが証券会社から サービスで提供されていますが、 やはり画面上で株価が動くだけなんですよね。 なぜですか?APIが解放されていないから?

  • 拠点間通信の構築に関して

    現在、拠点間通信に関して調べており、アドバイスを頂ければと思います。 質問の内容的に、ネットワークセキュリティでは無く、運用・管理もしくは、その他かと思いましたが、拠点間通信に関して、ネットワークセキュリティで質問が多いので質問しました。 拠点間通信と言うと、専用線サービスをイメージするのですが、専用線サービスは高額な為、現実的にVPNサービスになると思い調べております。 基本情報 現在各拠点のISPは、OCNを利用して、回線はBフレッツを利用しています。行いたいことは、拠点Aに設置したアプリケーションサーバを、拠点Bでの利用です。現在利用するプロトコル、帯域等は必要条件は不明です。 拠点は現在2拠点ですが、将来増えることを視野に入れています。 上記の条件利用出来そうな、VPNサービスとして。 1,NTT 提供「フレッツVPN」 2,OCN 提供「OCNビジネスパックVPN IPsecVPNタイプ」 3,NTTコミュニケーションズ提供「Group-VPN」 4,NTTコミュニケーションズ提供「Group-Ether」 等を考えています。 運用・初期設定等に関しては、初期設定を完了後運用し、問題が発生したらサービス提供側へ相談出来る体制にしたいと思っています。社内スキルは、基本的なネットワーク知識と問題の切り分けが出来る程度のスキルだと理解してください。 選択基準 1,運用コストは出来るだけ安価にしたい、SIベンダー等のサポートはなるべく受けたくない。(初期設定は除く)。 2,初期(ルータの設定等)費用は見込んでいる 3,セキュリティは出来るだけ確保したい。 4,インターネットも同時に利用したい。 5,帯域の保証は現時点は気にしていない。 6,24時間運用はしない。 自分が理解出来たこと 「フレッツVPN」 ルータ等は自分で用意し初期設定は自分で行う。もしくは業者へ依頼 フレッツ網を利用するので、インターネット網利用のVPNより安全。 インターネットの同時利用も問題無い。 「OCNビジネスパックVPN IPsecVPNタイプ」 インターネット網を利用するVPNサービスな為、セキュリティが少し不安。パック商品の為、初期設定から監視まで全てOCNに任せることが出来るので安心。ただし、固定IPの契約が必要、思ったほど安価にならない。インターネットの同時利用も問題無い。 「Group-VPN」 Plusを契約すれば、バックアップ回線を利用出来る。 NTT提供のクローズ網を利用するので、セキュリティ面で安心、パック商品名為、初期設定から監視まで全てNTTコミュニケーションズに任せることが出来るので安心。「OCNビジネスパックVPN IPsecVPNタイプ」と比べて余り価格差が余り無い。利用出来るプロトコルがIPだけ。オプション契約で、インターネットの同時利用も問題無い。 「Group-Ether」 プロトコルフリーが売り、NTT提供のクローズ網を利用するので、セキュリティ面で安心。拠点間通信まではNTTコミュニケーションズに任せることが出来るので安心。 インターネットを利用するには、別途回線ISPの契約が必要、価格が高価、自由度が高いが設定運用管理にスキルを要する。 にここまでサービスは不要だと思っている。 上記の理解に間違いは無いでしょうか。 自分としては「フレッツVPN」が良いと思っています。希望する拠点間通信を実現するには、どのVPNサービスを適切かアドバイスを頂きたいと思います。他にもっと適切なサービスが有ればご紹介願いたい。 他に、バッファロー等で販売している、リモートアクセス可の有線ルータ及び、ダイナミックDNSサービス等は眼中に入れていません。業務の環境では不安要素が多いと思っています。

  • システムファイルなど変更を検知するセキュリィ

    アンチウィルスソフトやFW製品は数多あるのですが、ファイルの変更、特に重要なファイルやシステムファイルの変更がされた時に検知して知らせるセキュリティサービスがあると聞きました。そのようなサービスを提供している会社をご存じの方いましたら、教えていただきたいです。

  • ソケットを使ったTCP通信

    はじめまして. 最近ネットワークの勉強を始めた学生です. ソケットを使ったTCP通信について質問させてください. クライアント側はsocket(), connect()でコネクションを確立した後に何回か連続してsend(), recv()を行いたいのに,サーバ側がファイアウォールや侵入検知システムを使って途中で通信を終了するようにしてしまっている場合,クライアント側は再びコネクションを確立させなければ全てのsend()を行うことはできないのでしょうか? よろしくお願いします.

  • 標準のファイアーウォールでアプリケーションのネット接続をブロックする方法

     Mac OS X 10.5のシステム環境設定/セキュリティにあるファイアーウォールで、「特定のサービスおよびアプリケーションにアクセスを設定」を有効にし、かつ接続拒否リストにアプリケーションを追加した状態でも、SafariやFireFoxを始めとしたネットワーク接続型アプリケーションが普通にインターネットにアクセスできてしまいます。  ファイアーウォール以外に必要な設定があるのでしたらその方法をお教えください。

    • ベストアンサー
    • Mac
  • 集計について

    Webのアクセスについて集計をしたいと考えているのですが、 どんなものが使いやすいでしょうか? (IPアドレス別、Webページ閲覧回数、グラフ表示など) 企業が提供しているものやオープンソースでもかまいませんので ご存知の方、アドバイスをお願いします。

  • 仕事で使用している3つの顧客管理表(xlsファイル)をDB(Acces

    仕事で使用している3つの顧客管理表(xlsファイル)をDB(Access)に統合し運用する案があります。 DB化は問題ないのですが、運用管理についてある問題をかかえています。 ・3つの離れた拠点で1つのDBを共有しなければいけない ・ファイルサーバーがどの拠点にも存在しない ・全てワークグループ環境で存在している という状態です。 どこかの拠点にサーバーを立てることができないため 月々かけられる管理費が数千円までなので ASPを利用する方が現実的だと思うのですが、 何か他に良い案またはDBを共有できるASPサービスを ご存知であれば教えて頂けないでしょうか。

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する