- 締切済み
ファイアウォールの通信ログについて
NISを使用しています。 質問ですが、不正接続がないか確認するために、時々、通信ログをチェックしています。特段、不審な点はないのですが、不安に思うことがあり質問させていただきます(NIS以外にも当てはまると思います)。 1 ログの記載内容はどの程度信用できるのでしょうか? 例えば、ログを書き換える(通信先を書き換えるとか、プロセスを書き換える)ようなトロイやスパイウェア等はあるのでしょうか?(アウトバンド、インバウンドを含む)。 もし、あるとしたら、それは、そのソフト特有なのか、ログ内にある記録をコピペするようなものなのでしょうか? 2 ログに痕跡を残さないで、通信するようなトロイやスパイウェア等はあるのでしょうか? 3 もし、そのような事例があるとしたら、見破る方法はありますか? 4 ログ解析の際、気を付ける点はありますか?
- nozomi2007
- お礼率72% (52/72)
- ウィルス・マルウェア
- 回答数4
- ありがとう数1
- みんなの回答 (4)
- 専門家の回答
みんなの回答
- FMVNB50GJ
- ベストアンサー率27% (411/1520)
>>アウトバウンドも記録されていますが こちらの記憶違いのようですね。 今ノートンを使っていないので。 アウトバウンドのパケットが問題なければ良いだけですね。接続ログに記録されていることだと思いますが。 ログの信用性ですが、接続ログが記録されているはずなのに記録されていない、という現象がなければ大丈夫だと思います。通信ログの改ざんなどの目的は主に侵入時の痕跡を残さないため、というのが一般的のようですよ。
- waros99
- ベストアンサー率29% (162/544)
こんにちは。 ボクはその筋のコミュニティーの潜入調査やVirtual Machine上でAVのスキャンやPFWの検知を欺くMalwareの動作解析みたいなことをやってます。 A1: まあ、確かにログの信用性ということはありますよね。実際、AVのスキャンの方で、Malwareによってはパターンファイル中の当該シグネチャを改ざんしてすり抜けを図るものもあるようです。PFWのログの方でもあってもおかしくはないですね。ただ、ボク自身はそのようなMalwareは知らないです。やるとしても、たとえばNISならNISでNISのログ形式を事前にわかってないと駄目ですし。 まあ、どっちかというとRootKitでしょうね。APIのフック(ユーザーモードとカーネルモードがある)ならデータ形式を気にしないでいいですし。 A2: さっき言ったようにどっちかというとRootKit利用ですね。もしくは、リバース+FWB(Firewall Bypass)ですかね。というのは、普通のユーザーはログチェックなんてほとんどしてないと思いますので。 A3: RootKitなんかだと、起動中のシステム上からチェックするのは確実性に欠けるということは当然言えると思います。かと言って、RootKit Detection Toolがまったく役に立たないというわけでもないです。まあ、ボクでしたらフォレンジックにも使えるLiveCDのHelixも使うと思います。 A4: まあ、もしあなたがログの信用性は疑問ということでしたら、一般人だとLiveCDぐらいですかね。 ※参考 http://www.antirootkit.com/software/index.htm ボクはこの中のSystem Virginity Verifierというのを使ってます。RootKitのエキスパートと言っても過言ではないJoanna Rutkowskaさんが開発したツールです。CUIです。 http://www.invisiblethings.org/tools.html
- FMVNB50GJ
- ベストアンサー率27% (411/1520)
間接的なことですが、 http://www.wireshark.org/ それで通信を観察できます。 ノートンの接続ログのことだと思いますが、自分のパソコンから他のコンピューターに接続要求を出している場合、それが不正アクセスだろうと記録しません。ただ、ノートンの設定で記録するようにできますが。 サーバーではないと思いますが、クライアントパソコンは接続要求を出してサイトなどに接続します。その確立した接続をノートンが記録します。すべてのパケットを記録しません。標準で。
IEやWindowsSystem関連の通信を装うのは実際行われてます。 また、ファイアーウォールをすりけることも可能です。 実際問題として、ひとつのセキュリティソフトに頼るのは危険で、複数の常駐しないタイプ(オンラインスキャンも含む)でチェックすること、レジストリやHOSTSファイルに改変がないかチェックすることを行う必要があります。 また、Rootkitが仕掛けられた場合、OSが起動してる状態ではそのRootkitを発見するのは難しく、LiveCDなどで調べるかするしかありません。
補足
NISのログ画面を見ると、「通信」項目があり、 アウトバウンドも記録されていますが、 自分のPCからの接続要求は記録されていない、ということなのでしょうか? もし、そうだとすると、FWのログとしては大分お粗末に思えるのですが。