よくあるご質問

• IDSとしてのみ動作させることはできますか？
  サーバー側の設定で、IDSモードとIPSモードに切り替えを行っていただけます。
• ポストパラメーターにも対応していますか？
  対応可能です。
  Apacheのデフォルト設定ではポストパラメーターは取得されませんので、ログ取得できるようサーバー側で設定の変更が必要です。
• SSH鍵による認証・ログインに対応可能でしょうか？
  SSH鍵での認証・ログインはサポートしていません。
• どんなログを収集するのでしょうか。
  以下のログを収集します。
  ログの場所が異なる場合は、設定を変更する必要がありますので、お客さまサービスセンターまでお知らせください。
  

  • Linux OS
    • /var/log/messages
    • /var/log/secure
    • /var/log/maillog
    • /var/log/httpd/error_log
    • /var/log/httpd/access_log
  • Windows Server OS
    • Security.evtx
    • Application.evtx
    • System.evtx
  • WEBサーバーがIISの場合
    • exYYMMDD.log
  • WEBサーバーがApacheの場合
    • error_log access_log
• 攻撃遮断くんの監視可能なログの条件はありますか？
  デイリーでローテートしていただくか、最新のファイル名に日付を付けないようにする必要があります。
  仕様上、監視対象として認識する条件は以下となります。
  

  • 日付の入っていないログファイル名
  • 「当日」の日付が入ったもの

  例）2014年7月24日時点で最新のログファイルを監視する場合
  "access_log_20140724" ファイル名は認識できますが、
  最新のログファイル名が"access_log_20140705"となっていた場合は認識することができません。
• バックドアやルートキットの設置を防ぐことは可能でしょうか？
  攻撃遮断くんは、出力されたログを元に外部からの攻撃（不正アクセス）を防ぐ仕様のサービスです。
  そのため、外部からのルートキット・バックドア設置については防御することができます。
  ※仮に内部犯行者がルートキット・バックドアを設置した場合、これを検出することは可能ですが、内部から設置されてしまったバックドアを利用した通信があった場合、ログ上は正常なものとして表示されてしまうため、これを検出し防ぐことはできません。
• どのような方法でブロック（遮断）しているのでしょうか？
  iptabelsを使用し、IPアドレス毎に通信をドロップ（ブロック）させます。
  IPアドレスはaccess_logに記載されたIPアドレスを使用してブロックを行います。
• ホワイトリストは利用できますか？
  特定の通信元からのアクセスをホワイトリストに登録し、透過させることは可能です。
  また、IPアドレスの指定はネットワークアドレス単位でも登録可能です。
  システム側で設定変更を行いますので、該当するIPアドレスをお客さまサービスセンターまでご連絡ください。
• ブラックリストは利用できますか？
  申し訳ございませんが、特定のIPアドレスに対する恒久的な遮断対応については、お客さま環境にてご対応ください。
• 独自にiptablesのルールは追加可能ですか？
  通常通り追加いただけます。
  ただし、攻撃遮断くんにより拒否されるトラフィックが記載されている場合、攻撃の脅威が去った後にシステムで自動的にその拒否のトラフィックを削除しますので、これらのルールは手動削除しないでください。
• 独自に書き換えたiptablesは上書きされますか？
  システム側で遮断のためにiptablesを書き換える場合、既存のルールを変更することなく、処理を行います。
• ブロックされた場合、その通信元からの攻撃は恒久的に遮断されるのでしょうか？
  あくまで、その攻撃からの一時的な遮断となります。
  攻撃の脅威が去ってからおおよそ10分程度でブロックは解除されます。
• 一時的に攻撃遮断くんを停止させることはできますか？
  エージェントの停止を行うことで、サービスを停止いただけます。
  
  

  • Linux OSの場合
    • 停止方法
      # /var/ossec/bin/ossec-control stop
    • 起動方法
      # /var/ossec/bin/ossec-control start
  • Windows Server OSの場合
    • 停止方法
      スタート ＞ 全てのプログラム ＞ OSSEC ＞ Manage Agentを起動 メニューバー ＞ Manage ＞ Stop OSSEC
    • 起動方法
      スタート ＞ 全てのプログラム ＞ OSSEC ＞ Manage Agentを起動 メニューバー ＞ Manage ＞ Start OSSEC

  
  停止処理にはiptablesを元の状態へ戻すような動作は含まれません。
  また、遮断中の通信元があった場合、遮断中のままとなります。 エージェントが停止中は、遮断解除の処理も行われません。
• リバースプロキシを利用した運用は可能ですか？
  対応可能です。
  送信元をリバースプロキシが付与した拡張ヘッダで確認する場合、拡張ヘッダが挿入される位置によってはカスタマイズが必要です。
  事前にログのサンプルをいただければ確認いたしますので、お客さまサービスセンターまでご連絡ください。
• 検知と防御を送達確認がないUDP通信で行うにあたり問題はありませんか？
  サーバーとシステム間で接続状態の監視を行っています。
  そのため、通信断が発生していない限りは防御が可能です。
• シグネチャはどういったものを使用していますか？
  シグネチャはSnort、OSSECをベースに独自シグネチャを加えたものになります。
• シグネチャのアップデートは必要でしょうか？
  シグネチャのアップデートは、システム運用ベンダーで行いますので、お客さま側での作業は一切不要です。
• シグネチャのアップデート頻度はどの程度の間隔で行われていますか？
  Snortのシグネチャについて日次で更新確認をしています。
• サーバーで公開しているWEBのドメインを変更できますか？
  攻撃遮断くんの動作に影響はございませんので、変更いただいて問題ありません。
• サーバのホスト名を変更したいのですが、設定変更は必要ですか？
  攻撃遮断くんの動作に影響はございませんので、変更いただいて問題ありません。
• 監視対象のサーバーのIPアドレスを変更したいのですが、どうすればよいでしょうか？
  グローバルIPアドレスの変更をご希望の場合は、一度解約を行ってから新規にお申込みください。
• 不正なエンコーディングはどう判別するのでしょうか？
  クロスサイトスクリプティングなどの目的で、"%20" などのエンコードされた文字を使用された場合、シグネチャから該当する文字列を攻撃と合致させて検出することが可能です。
• 攻撃が検出されたようですが、何をすれば良いのでしょうか？
  攻撃が検出された時点でブロック（遮断）を行っていますので、ご対応いただく必要はありません。
  検出メールが配信されますので、メールをご確認ください。
• 攻撃検出後、情報流出の有無は確認できますか？
  申し訳ございません、本製品では情報流出の有無までを確認することはできません。
• サーバーを再起動した場合、後に必要な作業はありますか？
  サーバーメンテナンスなどにより、電源のオフ/オンなどを行われた場合、 起動後にエージェントの開始を行っていただく必要があります。
  

  • Linux OSの場合
    # /var/ossec/bin/ossec-control start
  • Windows Server OSの場合
    スタートメニューより起動してください。
    スタート ＞ 全てのプログラム ＞ OSSEC ＞ Manage Agentを起動 メニューバー ＞ Manage ＞ Start OSSEC
• サーバー側でエージェントのアップデートが必要となることはありますか？
  サーバー側のOSや各種ファームウェアをアップデートされた場合でも、エージェントのアップデートなどは不要です。
• 検出メールを止めたいのですが、どうすればよいでしょうか？
  ご依頼いただければ、検出のメール送信を停止させていただきます。
  お客さまサービスセンターまでご連絡ください。
• 解約手続きは、いつまでにおこなう必要がありますか。
  「攻撃遮断くん」の解約手続きは、解約希望日の30日前までのお手続きが必要です。 解約申し込みをおこなうと、解約日は翌月30日（2月は27日）となりますので、必ず解約希望日の30日前までにお手続きください。