個人レベルでのルータのアクセスログの必要性

現在、ルータを使ってネットに接続しています。
このルータに対する外部からのアクセスのログを全部残すようにしているのですが、個人で何のサービスも提供していない場合、ログを残す必要はあるのでしょうか？
というのは、アクセスログというのは外部からの接続を拒否した際に残されるという認識を持っているのですが、拒否したものを知る必要はあるのか？ということです。
通過したものを残すなら意味はあると思うのですが…
TearDropのようなものは知る必要がある気がしますが、実際、個人レベルでログを残す必要性の有無が知りたいです。もしかして実際にログを残している人というのは少ないのでしょうか？

No.6 ベストアンサー 回答者： bship 回答日時： 2003/10/30 23:27

> 他のポートから侵入され、PCの137番ポートにアクセス

ということは直接はできません。しかし内部ネットワークに複数ホストがあるとして、それを経由することによって可能です。
１．ポートを全て閉じるということはサービスを提供を行うのであれば不可能。よって不正アクセスの可能性は０にはならない。
２．いわゆるクライアント型の使用のみであればイングレスパケットを全て遮断してしまえば侵入はまず無理。
３．ポートを開けざるを得なくても正しい設定且つ運用によってほとんどの不正アクセスは防止できる。
４．ログ取得し分析することはいいことであるがそれは事後のこと
５．IDS(侵入検知システム）によってログ監視は自動化できます。またIDSレベルまで導入しなくてもログ系ツールは沢山あります。UNIX系であれば swatch がお勧め。検索すればすぐヒットします。
ただし、セキュリティは程度問題ですので、あれもこれもと考え出すと切りがありません。が、それはそれで面白がれる余裕があると楽しいもんです。

この回答へのお礼

何度も回答いただき、ありがとうございます。
なんとなく、「個人レベルでできること」と「必要の無いこと」というあたりが見えてきた気がします。

> セキュリティは程度問題ですので、あれもこれもと考え出すと切りがありません。

確かにそうですね。
本当にありがとうございました。

お礼日時：2003/10/31 12:29

No.5 回答者： holy_wind 回答日時： 2003/10/30 13:48

補足です(^^;

> ちなみに、#1にあるように、「通過されてしまったものは侵入されてしまったもの」というのは誤りです。

これは、ローカルネットワークへの侵入という意味で書いたものです。言葉足らずですみません。


ログの解析とかも何かツールのようなものがあると聞いた事があるような気がします。
でも、完全な自動化というのはやはり難しいでしょうから、最終的には目視になるんでしょうね。

No.4 回答者： bship 回答日時： 2003/10/30 01:14

ログとは解析できてなんぼのものです。

採ればいいってものでもなく、とってなきゃダメ
ってものでもないのです。
ログそのものは過去のものなので解釈には注意が必要です。防止には役立ちません。（予防のソース源とすることはできる）
これは個人でも法人でも同じこと。
通過したログを残すのもそれはそれで意味のあることですし、ブロックしたログも意味のあることです。
ログというものをどう考えるかに因ります。
ちなみに、#1にあるように、「通過されてしまったものは侵入されてしまったもの」というのは誤りです。
ルータの通過とホストへの侵入は別のものです。

この回答への補足

> ルータの通過とホストへの侵入は別のもの

に関してですが、ルータで137番ポートを閉じていても、他のポートから侵入され、PCの137番ポートにアクセスするということは可能なのでしょうか？

補足日時：2003/10/30 11:52

この回答へのお礼

> 防止には役立ちません。

確かにそうですね。解析して、対応してこそ意味があるんですね。

> ルータの通過とホストへの侵入は別のもの

なるほど…PC側でもきちんと対応しておけば良さそうですね。
ログの解析、良い方法など探してみたいと思います。

お礼日時：2003/10/30 11:51

No.3 回答者： holy_wind 回答日時： 2003/10/29 21:32

> 個人レベルで運用しており、ほとんどのポートを閉じている以上、侵入を試みられても失敗するのではないのかと思っているわけです。

個人レベルだと逆にルータなどをデフォルトの設定（デフォルトのファームウェア）で使用している人とか居るのではと思います。（企業でもありそうだけどｗ）
その場合は、ルータのメーカーとかを知ることが出来るコマンドが確かあったはずなので、周知のセキュリティホールを突くことが出来ると思います。メーカーがわからなくても個人が使うルータは限定されると思うので、適当につっついても当たってしまうのかも。
あとは、ネットワークゲームで遊ぶためにポートを開けてしまっている人とかも多いと思うので、ポートスキャンをされて発見されれば、突っつかれるかもしれません。

＞勘違いしているかもしれないのですが、ポートをふさぐ設定にしていても、何度かトライしているうちに開いてしまうなんてことはないですよね？

バグがなければ無いと思います。

＞もし侵入されていたとしたら、どんなことが行われたかなどを知る方法はあるのでしょうか？
＞たとえば、現在、内部から外部へのアクセスのログも残しているのですが、ルータに侵入して踏み台として利用した場合、この外部へのアクセスのログには記録されるのでしょうか？

巧妙な人に侵入されれば、ログとかをとっていたとしても改ざんされてしまうと思うので、あまり意味を持たないと思います。
侵入前の状態とディスクのコンペアかけるにしても、他の処理で書き換わってしまっている部分もあると思うし。
でも、侵入検出するものがあるって聞いた事はあるような気がします。ＷＥＢで検索すれば出てくるのではないでしょうか。

頼りない返答でごめんなさい・・・汗

この回答へのお礼

何度もありがとうございます。
最近のルータはデフォルト設定でもセキュリティに関してはかなり厳しくなってますね。ただ、ファームウェアのバージョンアップは必要だと感じます。

侵入検知…一応Linuxも使えるのでTripwireなどは存じていますが、ルータレベルだと難しいんでしょうね…
#4の方の回答の通り、多分ルータの通過だけではどこまでできるのか分かりませんし。
やはりログを取るだけでなく、分析が必要とのことですね。
ありがとうございました。

お礼日時：2003/10/30 11:47

No.2 回答者： holy_wind 回答日時： 2003/10/28 12:35

追記です。

個人レベルの場合は、どこかのサイトへのアタックの踏み台にされることのが多いのかな。
侵入された後の具体的な被害については一般的に言われていること程度のことしかわかりません。

この回答への補足

もし侵入されていたとしたら、どんなことが行われたかなどを知る方法はあるのでしょうか？
たとえば、現在、内部から外部へのアクセスのログも残しているのですが、ルータに侵入して踏み台として利用した場合、この外部へのアクセスのログには記録されるのでしょうか？
一応FW関係の本も読みましたが、どんなことができて、どこまでログに残るのかなどが具体的に分からないもので…(本に載せたら問題ですよね)

補足日時：2003/10/28 18:59

No.1 回答者： holy_wind 回答日時： 2003/10/28 11:59

ルータを通過したログをとっていたのでは、もはや手遅れです。

そもそもなぜルータが拒否のログを残しているかというと、ルータ外部から内部への不正アクセスを未然に防ぐことのあります。

同じＩＰアドレスから何度もアクセスがあり、それを拒否しているというログがあれば、このホストから侵入を試みていることが分かります。その段階で対策を行えば、不正侵入を防ぐことが出来るかもしれません。
逆に通過したログをあったということは、もはや侵入されてしまったことを表しており、個人情報や機密情報を盗まれてしまった可能性が高いことになります。こうなってしまっては、もはや対策をとっても手遅れです。

したがって、「侵入を未然に防ぐ」ために拒否したログをとることが重要になります。

ネットワークやＦＷ関係の本を読めばこのあたりの話はいくつも載っていると思いますよ。

この回答への補足

回答ありがとうございます。
確かに通過したログを取っていては手遅れだということは分かります。
ただ、個人レベルで運用しており、ほとんどのポートを閉じている以上、侵入を試みられても失敗するのではないのかと思っているわけです。
企業レベルで開放しているポートなどがあればログの必要性はあると思います。
勘違いしているかもしれないのですが、ポートをふさぐ設定にしていても、何度かトライしているうちに開いてしまうなんてことはないですよね？

補足日時：2003/10/28 18:48