Gateway(プライベートアドレス環境)
[管理情報]
YAMAHA NVR500
3.11 後の停電対応で導入したルータ。(2011年8月現在のメインルータ)
IPアドレス
- 内向き
- 192.168.208.129 (旧whiteと同じ)
- (192.168.18.20 テスト用セカンダリIPアドレス)
- 外向き
- 130.153.208.155 (旧whiteと同じ)
管理方法
192.168.208.129 にWebアクセスする。
- BASIC認証
- ユーザ名: なし(空白)
- パスワード: 共通管理パスワード
LAN側に対するサーバ機能
DHCP
- 範囲: 192.168.200.10 - 192.168.200.250
- マスク: 255.255.0.0
DNS
- 上流情報
- プライマリ: 130.153.64.130 (uecisb)
- セカンダリ: 8.8.8.8 (google)
NTP
- 上流: ntp-west.cc.uec.ac.jp
WAN側に対するサーバ機能
VPN(セットアップ中)
- MS-CHAP v2
- hpclab
whiteで動作しているファイアウォール
このページはwhiteの/root/README.txtを元に作成されました.最新情報に関してはそちらを参照して下さい.
whiteではiptablesによるファイアウォールが動作しています.以下では,そのファイアウォールのフィルタリングルールを定義するスクリプトについて説明します.
外部へのSSH接続,スパイウェアの接続を制限するルールを定義するスクリプト
経緯
このスクリプトは2006.01に発生したwhite,sageのクラッキングに伴う外部へのSSHブルートフォース攻撃(付属資料1)を受け,作成されました.
その後,2006.07に発生したスパイウェアgator事件(付属資料2)を受け,拡張されています.
経緯の詳細については付属資料をご覧下さい.
機能
- 許可されていない外部サーバへのSSH接続(TCP22番ポートへの接続)を検出,ロギングし,破棄する.
- スパイウェアgator関連サーバへの接続を検出,ロギングし,破棄する.
ファイル構成
ファイル名 | 詳細 |
---|---|
fw.sh | 本体スクリプト |
fw_ddns.sh | 補助スクリプト for ダイナミックDNS |
fw_ddns_ip/ | ダイナミックDNS用前回IP保存用ディレクトリ |
使用方法
- iptables-save > old.tbl
- fw.sh,fw_ddns.shに例外の定義をする
- ./fw.sh
- 失敗した場合,iptables-restore < old.tbl,2.に戻る
- iptables-save > new.tbl
- diff -u old.tbl new.tbl
- 確認
- 失敗した場合,iptables-restore < old.tbl,2.に戻る
付属資料
1
From: "Kenji KISE" <kis@is.uec.ac.jp> To: <all@yuba.is.uec.ac.jp> Subject: white 及び sage への攻撃に関して Date: Tue, 10 Jan 2006 18:15:04 +0900 > 皆様: > > 吉瀬です. > > 講座の計算機 sage (ウェブサーバ)と,white (ファイアウォール) > が攻撃され,これらの計算機を踏み台にして外部の計算機を攻撃し > ているという事態が発生しました. > > このため,sage (ウェブサーバ)を停止して,原因を調査しています. > ウェブの更新を含む講座のサーバへのアクセスはできません. > 今後の対応についても検討中です. > > 一方, > white (ファイアウォール)を停止すると,講座の内部から外部へ > のアクセスができなくなります. > このため,white は動作させていますが機能を制限しています. > 具体的には,SSH の制限をおこなっています. > 基本的に,講座の内部から,外部への SSH 接続はできません. > 例外として,white から bluecore へは SSH 可能となっています. > > 質問や要望などは,私を含む計算機管理者にご相談ください. > > ================================================== > Kenji KISE <kis@is.uec.ac.jp> Keep it simple! > Graduate School of Information Systems, > The University of Electro-Communications
2
From: "Hideaki Tsuchiya" <hideaki@cc.uec.ac.jp> To: <is-admin@is.uec.ac.jp>; <kato@is.uec.ac.jp> Sent: Wednesday, July 12, 2006 1:39 PM Subject: [is-admin:04005] 130.153.208.155にてスパイウェアが動作していませんでしょうか > 130.153.208/22 管理者様、IS 加藤先生、 > > 土屋@情基です。お世話になっております。 > > このメールはhttp://www.cc.uec.ac.jp/IPaddr/IPaddress.htmlに記載された > > ネットワーク管理者と全学情報ネットワーク委員会委員の送信されています。 > > もし送信先に誤りがある場合はメールにて情報の修正をお願いします。 > > 対外接続部のIDSが white.yuba.is.uec.ac.jp [130.153.208.155] からスパ > > イウェアと思われるソフトウェアから学外へパケットが送信されていることを > > 検出しました。スパイウェアはgatorと思われます。 > > これらはウェブサイトやメールによってインストールされたり、ソフトウェ > > アを利用する条件としてインストールされたりするものです。動作はいろいろ > > ありますが、定期的に広告ポップアップを開くものから、定期的にウェブアク > > セスのログを送信するものもあります。 > > 個人情報漏洩につながりますので、削除されることをお勧めします。センター > > としてはアドウェア入りのシステムを利用することはあまりお勧めしません。 > > > 調査と対処をよろしくお願いします。 > -------------------------------------------------- > Name: white.yuba.is.uec.ac.jp > Address: 130.153.208.155 > > ==================== > Spyware_Gator_Detected 2006-07-01 10:16:57 130.153.208.155 > 64.152.73.204 80 > Spyware_Gator_Detected 2006-07-02 10:16:56 130.153.208.155 > 64.152.73.204 80 > Spyware_Gator_Detected 2006-07-03 10:16:55 130.153.208.155 > 64.152.73.204 80 > Spyware_Gator_Detected 2006-07-04 10:16:54 130.153.208.155 > 64.152.73.204 80 > Spyware_Gator_Detected 2006-07-05 10:16:53 130.153.208.155 > 64.152.73.204 80 > Spyware_Gator_Detected 2006-07-06 10:16:52 130.153.208.155 > 64.152.73.204 80 > Spyware_Gator_Detected 2006-07-07 10:16:51 130.153.208.155 > 64.152.73.204 80 > Spyware_Gator_Detected 2006-07-08 10:16:50 130.153.208.155 > 64.152.73.204 80 > Spyware_Gator_Detected 2006-07-09 10:16:49 130.153.208.155 > 64.152.73.204 80 > Spyware_Gator_Detected 2006-07-10 10:16:48 130.153.208.155 > 64.152.73.204 80 > Spyware_Gator_Detected 2006-07-11 10:16:46 130.153.208.155 > 64.152.73.204 80 > -------------------------------------------------- > -------- > GPG Fingerprint: 3AAA 2AE8 E1CA CFAB 678D ABE2 3D87 FC47 120B 7462 > 電気通信大学 総合情報処理センター 土屋 英亮 > hideaki@cc.uec.ac.jp
ファイル
最新ファイルはwhiteの/root/にあります.
最終更新時間:2012年04月07日 17時05分31秒