Menu
GMOクラウドのSaaS サポートサイト
ご利用サービスから選ぶ
各種お手続き
メンテナンス・障害情報
全件表示
SiteLock
torocca!
全サービス共通
お問い合わせ
GMOクラウドのSaaSサポートサイト
Home
攻撃遮断くん サポート
よくあるご質問
攻撃遮断くんのよくあるご質問
よくあるご質問
IDSとしてのみ動作させることはできますか?
サーバー側の設定で、IDSモードとIPSモードに切り替えを行っていただけます。
ポストパラメーターにも対応していますか?
対応可能です。
Apacheのデフォルト設定ではポストパラメーターは取得されませんので、ログ取得できるようサーバー側で設定の変更が必要です。
SSH鍵による認証・ログインに対応可能でしょうか?
SSH鍵での認証・ログインはサポートしていません。
どんなログを収集するのでしょうか。
以下のログを収集します。
ログの場所が異なる場合は、設定を変更する必要がありますので、お客さまサービスセンターまでお知らせください。
Linux OS
/var/log/messages
/var/log/secure
/var/log/maillog
/var/log/httpd/error_log
/var/log/httpd/access_log
Windows Server OS
Security.evtx
Application.evtx
System.evtx
WEBサーバーがIISの場合
exYYMMDD.log
WEBサーバーがApacheの場合
error_log access_log
攻撃遮断くんの監視可能なログの条件はありますか?
デイリーでローテートしていただくか、最新のファイル名に日付を付けないようにする必要があります。
仕様上、監視対象として認識する条件は以下となります。
日付の入っていないログファイル名
「当日」の日付が入ったもの
例)2014年7月24日時点で最新のログファイルを監視する場合
"access_log_20140724" ファイル名は認識できますが、
最新のログファイル名が"access_log_20140705"となっていた場合は認識することができません。
バックドアやルートキットの設置を防ぐことは可能でしょうか?
攻撃遮断くんは、出力されたログを元に外部からの攻撃(不正アクセス)を防ぐ仕様のサービスです。
そのため、外部からのルートキット・バックドア設置については防御することができます。
※仮に内部犯行者がルートキット・バックドアを設置した場合、これを検出することは可能ですが、内部から設置されてしまったバックドアを利用した通信があった場合、ログ上は正常なものとして表示されてしまうため、これを検出し防ぐことはできません。
どのような方法でブロック(遮断)しているのでしょうか?
iptabelsを使用し、IPアドレス毎に通信をドロップ(ブロック)させます。
IPアドレスはaccess_logに記載されたIPアドレスを使用してブロックを行います。
ホワイトリストは利用できますか?
特定の通信元からのアクセスをホワイトリストに登録し、透過させることは可能です。
また、IPアドレスの指定はネットワークアドレス単位でも登録可能です。
システム側で設定変更を行いますので、該当するIPアドレスを
お客さまサービスセンター
までご連絡ください。
ブラックリストは利用できますか?
申し訳ございませんが、特定のIPアドレスに対する恒久的な遮断対応については、お客さま環境にてご対応ください。
独自にiptablesのルールは追加可能ですか?
通常通り追加いただけます。
ただし、攻撃遮断くんにより拒否されるトラフィックが記載されている場合、攻撃の脅威が去った後にシステムで自動的にその拒否のトラフィックを削除しますので、これらのルールは手動削除しないでください。
独自に書き換えたiptablesは上書きされますか?
システム側で遮断のためにiptablesを書き換える場合、既存のルールを変更することなく、処理を行います。
ブロックされた場合、その通信元からの攻撃は恒久的に遮断されるのでしょうか?
あくまで、その攻撃からの一時的な遮断となります。
攻撃の脅威が去ってからおおよそ10分程度でブロックは解除されます。
一時的に攻撃遮断くんを停止させることはできますか?
エージェントの停止を行うことで、サービスを停止いただけます。
Linux OSの場合
停止方法
# /var/ossec/bin/ossec-control stop
起動方法
# /var/ossec/bin/ossec-control start
Windows Server OSの場合
停止方法
スタート > 全てのプログラム > OSSEC > Manage Agentを起動 メニューバー > Manage > Stop OSSEC
起動方法
スタート > 全てのプログラム > OSSEC > Manage Agentを起動 メニューバー > Manage > Start OSSEC
停止処理にはiptablesを元の状態へ戻すような動作は含まれません。
また、遮断中の通信元があった場合、遮断中のままとなります。 エージェントが停止中は、遮断解除の処理も行われません。
リバースプロキシを利用した運用は可能ですか?
対応可能です。
送信元をリバースプロキシが付与した拡張ヘッダで確認する場合、拡張ヘッダが挿入される位置によってはカスタマイズが必要です。
事前にログのサンプルをいただければ確認いたしますので、
お客さまサービスセンター
までご連絡ください。
検知と防御を送達確認がないUDP通信で行うにあたり問題はありませんか?
サーバーとシステム間で接続状態の監視を行っています。
そのため、通信断が発生していない限りは防御が可能です。
シグネチャはどういったものを使用していますか?
シグネチャはSnort、OSSECをベースに独自シグネチャを加えたものになります。
シグネチャのアップデートは必要でしょうか?
シグネチャのアップデートは、システム運用ベンダーで行いますので、お客さま側での作業は一切不要です。
シグネチャのアップデート頻度はどの程度の間隔で行われていますか?
Snortのシグネチャについて日次で更新確認をしています。
サーバーで公開しているWEBのドメインを変更できますか?
攻撃遮断くんの動作に影響はございませんので、変更いただいて問題ありません。
サーバのホスト名を変更したいのですが、設定変更は必要ですか?
攻撃遮断くんの動作に影響はございませんので、変更いただいて問題ありません。
監視対象のサーバーのIPアドレスを変更したいのですが、どうすればよいでしょうか?
グローバルIPアドレスの変更をご希望の場合は、一度解約を行ってから新規にお申込みください。
不正なエンコーディングはどう判別するのでしょうか?
クロスサイトスクリプティングなどの目的で、"%20" などのエンコードされた文字を使用された場合、シグネチャから該当する文字列を攻撃と合致させて検出することが可能です。
攻撃が検出されたようですが、何をすれば良いのでしょうか?
攻撃が検出された時点でブロック(遮断)を行っていますので、ご対応いただく必要はありません。
検出メールが配信されますので、メールをご確認ください。
攻撃検出後、情報流出の有無は確認できますか?
申し訳ございません、本製品では情報流出の有無までを確認することはできません。
サーバーを再起動した場合、後に必要な作業はありますか?
サーバーメンテナンスなどにより、電源のオフ/オンなどを行われた場合、 起動後にエージェントの開始を行っていただく必要があります。
Linux OSの場合
# /var/ossec/bin/ossec-control start
Windows Server OSの場合
スタートメニューより起動してください。
スタート > 全てのプログラム > OSSEC > Manage Agentを起動 メニューバー > Manage > Start OSSEC
サーバー側でエージェントのアップデートが必要となることはありますか?
サーバー側のOSや各種ファームウェアをアップデートされた場合でも、エージェントのアップデートなどは不要です。
検出メールを止めたいのですが、どうすればよいでしょうか?
ご依頼いただければ、検出のメール送信を停止させていただきます。
お客さまサービスセンター
までご連絡ください。
解約手続きは、いつまでにおこなう必要がありますか。
「攻撃遮断くん」の解約手続きは、解約希望日の30日前までのお手続きが必要です。 解約申し込みをおこなうと、解約日は翌月30日(2月は27日)となりますので、必ず解約希望日の30日前までにお手続きください。
GMOクラウドのSaaS サポートサイト
各種お手続き
メンテナンス・障害情報
お問い合わせ
ご利用サービスから選ぶ
SiteLock
SiteLock おまかせ定期診断
torocca!
ActSecure
攻撃遮断くん
GMOクラウドのSaaS
ISMS(情報セキュリティマネジメントシステム)の国際規格を2006年11月に取得しました。
プライバシーポリシー
(C) GMO GlobalSign Holdings K.K.
クラウド
パブリッククラウド ALTUS
コスト削減に最適なBasicと、高セキュリティ環境のIsolateをご用意
シリーズ比較
Basicシリーズ
仕様
/
料金
Isolateシリーズ
仕様
/
料金
導入事例
お問い合わせ
GMOクラウド Private
自由に選べる回線とハウジング連携可能なプライベートクラウド
ハイブリッドクラウド
クラウドと物理サーバーの組み合わせでコスト・セキュリティを最適化
VPS
クラウド VPS
国内屈指の快適なパフォーマンス。
コストパフォーマンスの高いVPS。
TOP
お申し込み(14日間無料)
特長
料金
機能
運用支援サービス
お問い合わせ
ラピッドサイト
IPアドレスが最大20個まで追加可能なビジネス向けVPS
レンタルサーバー
レンタルサーバー WADAX
万全のセキュリティと365日無料サポートを兼ね備えたWordPress特化型レンタルサーバー
あんしんWPサーバー
プラン料金・機能
お申し込み
サポート・お問い合わせ
レンタルサーバー iCLUSTA+
無料の独自SSL付きの共用サーバーです。稼働率100%(2017年実績)と安定性に優れ、ビジネス利用に選ばれています。
特長
料金
機能
ドメイン名
お申し込み
お見積もり
資料請求
専用サーバー
専用サーバー WADAX
専用サーバー
ハウジング
マネージド
CloudCREW
AWS、Google Cloud の導入支援から
設計・構築、監視・運用のサポートを行います。
AWS
AWS請求代行
マネージドクラウド for AWS
AWSマネージドパック
Google Cloud
Google Cloud 請求代行
マネージドクラウド for Google Cloud
お問い合わせ
資料請求
サポート
導入事例
ノウハウ
パートナープログラム
SaaS
GMOクラウドのSaaS
Webに関わる人の「業務効率化・コスト削減」ができるクラウドサービスを集めたSaaSポータルサイトです。
SiteLock
Webセキュリティ
torocca!
遠隔バックアップ
ActSecure
クラウドメールセキュリティ
攻撃遮断くん
クラウド型IPS-WAF
パートナー制度
パートナー制度
OEM
取次制度
CloudCREW
パートナープログラム
WADAX代理店プログラム
役立つサービス
ドメイン
GMOグローバルサイン・HD
企業サイト・IR
ナレッジブログ