この記事はアピリッツの技術ブログ「DoRuby」から移行した記事です。情報が古い可能性がありますのでご注意ください。
今回、不正アクセスの検知について、ご紹介します。
不正アクセスの検知方法は、いろいろありますが、ネットワーク型の検知ソフトのため、他のサーバに対するパケットに対しても検知するので、各サーバに検知ソフトを導入しなくても良いからです。
不正アクセス検知方法
~snort+Oinkmaster+SnortSnarf+swatch~・snort:ネットワーク型の不正アクセス検知ソフト。パケットに対して、不正なパケットをログ(もしくはDB)に保存する
・Oinkmaster:snortのシグネチャ(ルールファイル)を更新(cronで設定することで自動更新します)
・SnortSnarf:snortで検知した不正アクセスに対して、ブラウザで閲覧
・swatch:不正なパケットをログより、必要なログに対して、メールやビープ音で通報
デメリット
・導入しているサーバに接続しているL2switchがミラーポートの機能がないとネットワーク型になりません。
(L2switchのメーカによっては、ミラーポート機能があっても、ミラーポートを設定したポートに対して、
アクセスができないことがあるので要注意!)
・ SnortSnarfをcronで稼動する際は、メモリをかなり使用するため、注意してください。
(目安 メモリ1GB:1時間に1回、メモリ512GB:1日に1回)
