今回はWebにおける事業継続計画(BCP)について、弊社の見解(かなり個人的見解)を語ります。
重要なのがバックアップとリストア。
これが迅速にでき、かつ数か所にあるデータの同期がリアルタイムに近づけることが理想です。
しかし、設置してある場所が物理的に遠くなればなるほど、データを送るにしても遅延が発生します。
そのためには回線を太くするしかありません。
もしくは同時に別の場所にあるデータを書くという手もあります。
どちらにしても、優先順位を決めなければいけなくなります。
実行する優先順位もそうですが、コストと時間の関係が一番重要です。
2011年7月11日月曜日
2011年7月5日火曜日
悪質ツールに気を付けましょう。
http://www.yomiuri.co.jp/net/security/goshinjyutsu/20110701-OYT8T00483.htm
悪質ツールが出回っています。
みなさん、気を付けましょう!
悪質ツールが出回っています。
みなさん、気を付けましょう!
2011年6月29日水曜日
脆弱性の発見と対策(日々の運用)
http://internet.watch.impress.
なので、監視サーバーが必要になります。
脆弱性監視サーバーはソフトウェアのライセンスが10万ぐらいと
同じことを以前も書いてます。
http://niriakot.blogspot.com/2011/03/blog-post_31.html
なので、監視サーバーが必要になります。
脆弱性監視サーバーはソフトウェアのライセンスが10万ぐらいと
同じことを以前も書いてます。
http://niriakot.blogspot.com/2011/03/blog-post_31.html
2011年6月8日水曜日
顧客向けリモート運用端末について
ほぼOpenSUSEの11.4へのバージョンアップが完了しましたが、その際に実際使っていた運用端末を今回は御紹介致します。
しかしながら、ハードのご紹介ではなく、リモート運用のための構成の紹介です。
なので、弊社とご契約頂く場合は、以下のような運用端末をご準備頂きたいので、よろしくお願いいたします。
この構成であれば、
万が一リモートからのインターネット回線が切れた場合でも継続して、操作運用が可能なことと、
VPN経由することで暗号化されていること、
グローバルIPアドレスは一つしか使用しないこと
などがメリットとして挙げられると思います。
なので、海外からでも操作運用可能です。
ゆくゆくは弊社の運用センターは世界各地に置きたいと思っています。
それでは、早速、簡単な図でご説明していきます。
しかしながら、ハードのご紹介ではなく、リモート運用のための構成の紹介です。
なので、弊社とご契約頂く場合は、以下のような運用端末をご準備頂きたいので、よろしくお願いいたします。
この構成であれば、
万が一リモートからのインターネット回線が切れた場合でも継続して、操作運用が可能なことと、
VPN経由することで暗号化されていること、
グローバルIPアドレスは一つしか使用しないこと
などがメリットとして挙げられると思います。
なので、海外からでも操作運用可能です。
ゆくゆくは弊社の運用センターは世界各地に置きたいと思っています。
それでは、早速、簡単な図でご説明していきます。
2011年5月23日月曜日
不正アクセスとログ分析
今日は不正アクセスとログ分析について。
ほぼ毎日、下記のような不正アクセスが公開サーバーを持つとずうっと続くことになります。
sshd[11111]: Invalid user root from x.x.x.x
sshd[11112]: User root from x.x.x.x not allowed because not listed in AllowUsers
pop3[1111]: badlogin:[x.x.x.x] plaintext root SASL(-13): authentication failure: checkpass failed
imap[11959]: badlogin: [x.x.x.x] plaintext root SASL(-13): authentication failure: checkpass failed
ほぼ毎日、下記のような不正アクセスが公開サーバーを持つとずうっと続くことになります。
sshd[11111]: Invalid user root from x.x.x.x
sshd[11112]: User root from x.x.x.x not allowed because not listed in AllowUsers
pop3[1111]: badlogin:[x.x.x.x] plaintext root SASL(-13): authentication failure: checkpass failed
imap[11959]: badlogin: [x.x.x.x] plaintext root SASL(-13): authentication failure: checkpass failed
2011年5月11日水曜日
HDDのホワイトニング -HDD完全消去-
今回紹介するのは、OpenSUSEのライブCDを使用したディスク・ホワイトニングの方法です。
下記のURLからライブCDのISOをダウンロードして来て、ディスクを作成し、そのDVDからブートするだけです。
ちなみにHPのRAIDカードやAdaptecのRAIDカードのドライバーも入っており、わざわざサーバーを分解してHDDを取り出す必要もなく、HDD完全消去できるので、リース切れやパーツ処分する際には重宝すると思います。
ただし、すべてのサーバー機で試しているわけではないので、事前にgoogle先生などでOpenSUSEのバージョンとディスクコントローラーに何がのっていて、対応しているか調べてから下記の手順を実行してみてください。
マイナーなコントローラーじゃなければ、ほとんどシュレッド可能だと思います。
ICHやMarvellチップも可能でした。
http://software.opensuse.org/114/ja
下記のURLからライブCDのISOをダウンロードして来て、ディスクを作成し、そのDVDからブートするだけです。
ちなみにHPのRAIDカードやAdaptecのRAIDカードのドライバーも入っており、わざわざサーバーを分解してHDDを取り出す必要もなく、HDD完全消去できるので、リース切れやパーツ処分する際には重宝すると思います。
ただし、すべてのサーバー機で試しているわけではないので、事前にgoogle先生などでOpenSUSEのバージョンとディスクコントローラーに何がのっていて、対応しているか調べてから下記の手順を実行してみてください。
マイナーなコントローラーじゃなければ、ほとんどシュレッド可能だと思います。
ICHやMarvellチップも可能でした。
http://software.opensuse.org/114/ja
2011年4月18日月曜日
OpenSUSE 11.4 シスログサーバー構築
久々の記事ですが、
今回はシスログサーバーと送信元の設定のお話。
OpenSUSE11.4(前の11.台もそう)のデフォルトはrsyslogなので、rsyslog.confをちょこっと編集して、syslogを再起動すればOKです。
とても簡単。
これで、管理するサーバーが多い場合、ログを一つにまとめられるので、不正アクセス元のIPアドレスなどを抽出する作業が楽になります。
が、ログの量が膨大になるので、遅いストレージを使用していると検索したりするのに時間がかかります。
この設計は
ネットワークの書き込み通信量(全台数)<HDD書き込みスピード
でいいと思います。
改ざんなどのセキュリティを上げるためのシスログサーバーですので、グローバルアドレスは必要ありません。
今回はシスログサーバーと送信元の設定のお話。
OpenSUSE11.4(前の11.台もそう)のデフォルトはrsyslogなので、rsyslog.confをちょこっと編集して、syslogを再起動すればOKです。
とても簡単。
これで、管理するサーバーが多い場合、ログを一つにまとめられるので、不正アクセス元のIPアドレスなどを抽出する作業が楽になります。
が、ログの量が膨大になるので、遅いストレージを使用していると検索したりするのに時間がかかります。
この設計は
ネットワークの書き込み通信量(全台数)<HDD書き込みスピード
でいいと思います。
改ざんなどのセキュリティを上げるためのシスログサーバーですので、グローバルアドレスは必要ありません。
2011年4月5日火曜日
不正アクセスリスト
昨日の不正アクセスリストです。
sshで執拗にアクセスしてきます。
恐らく乗っ取られたPCがすぐそばにあって、IP spoofingで偽装し、手当たり次第、アクセスしに来ているようです。
なお、SIPはこの頃不正アクセスがないですが、出てきましたら、リストアップします。
184.107.177.250 カナダ
184.154.62.246 アメリカ
203.114.116.165 タイ
218.15.136.38 中国
218.24.10.92 中国
218.240.128.203 中国
218.241.155.13 中国
218.85.135.112 中国
60.30.32.26 中国
87.247.65.7 リトアニア
203.113.137.188 ベトナム
211.142.225.30 中国
218.15.136.38 中国
91.148.134.59 ブルガリア
※アクセスしてきた順番なので、並びバラバラです。
弊社は毎日、特定の条件に基づいて、アクセスしてきたIPアドレスを吐き出すように設定しており、目視で最終確認をしております。(暇人と思うなかれ、これ重要ですぞ。1週間単位でもいいですけど。)
やはり、最後は人力による検査が必要です。
まとまってきたら、どこかにリストを作成し公開したいと思います。
いつアクセスしたかなどの情報を公開することで、事前にIPアドレスを拒否したり、防御策が打てると思いますから。
ちなみに上記はうちとの取引はまったくないので、すべて、ファイアーウォールでドロップしてます。
(ファイアーウォールも自家製です。結構簡単に作れます。ちなみにいつものopenSUSEです。)
とりあえずサーバーや機器は、最新のパッチ当てておけば問題ないですが、気になる人は調査してみてください。
wiresharkなどで、全パケットを拾って、安全なやつから記録を破棄し、残ったものだけ保存するなどしておけば、一日のデータ量も少なくなると思います。
一度お試しください。
また、先日書き込みしたnessusもお勧めです。
明日から気が向いたら、追記していきます。
ではでは、また。
sshで執拗にアクセスしてきます。
恐らく乗っ取られたPCがすぐそばにあって、IP spoofingで偽装し、手当たり次第、アクセスしに来ているようです。
なお、SIPはこの頃不正アクセスがないですが、出てきましたら、リストアップします。
184.107.177.250 カナダ
184.154.62.246 アメリカ
203.114.116.165 タイ
218.15.136.38 中国
218.24.10.92 中国
218.240.128.203 中国
218.241.155.13 中国
218.85.135.112 中国
60.30.32.26 中国
87.247.65.7 リトアニア
203.113.137.188 ベトナム
211.142.225.30 中国
218.15.136.38 中国
91.148.134.59 ブルガリア
※アクセスしてきた順番なので、並びバラバラです。
弊社は毎日、特定の条件に基づいて、アクセスしてきたIPアドレスを吐き出すように設定しており、目視で最終確認をしております。(暇人と思うなかれ、これ重要ですぞ。1週間単位でもいいですけど。)
やはり、最後は人力による検査が必要です。
まとまってきたら、どこかにリストを作成し公開したいと思います。
いつアクセスしたかなどの情報を公開することで、事前にIPアドレスを拒否したり、防御策が打てると思いますから。
ちなみに上記はうちとの取引はまったくないので、すべて、ファイアーウォールでドロップしてます。
(ファイアーウォールも自家製です。結構簡単に作れます。ちなみにいつものopenSUSEです。)
とりあえずサーバーや機器は、最新のパッチ当てておけば問題ないですが、気になる人は調査してみてください。
wiresharkなどで、全パケットを拾って、安全なやつから記録を破棄し、残ったものだけ保存するなどしておけば、一日のデータ量も少なくなると思います。
一度お試しください。
また、先日書き込みしたnessusもお勧めです。
明日から気が向いたら、追記していきます。
ではでは、また。
2011年3月31日木曜日
狙われていると感じたら・・・脆弱性検査
どんだけ自社管理のサーバーに対して、セキュリティチェックをしているでしょうか?
セキュリティや安全対策はしすぎるということがありません。
やられてからでは遅いのです。
日々諸外国から、国内から、グローバルIPアドレスを付けたサーバーは狙われるのです。
常に、日々、いや秒進分歩、対策を講じなければいけません。
しかしながら、人員や時間を確保するのはとても大変なことです。
そこで、弊社のサービス、脆弱性検査。
ライセンス費用と弊社の構築費用5万円からで、日々検査できます。(ハードウェアとOSは別途必要、ESXiサーバーをお持ちならその上に構築致します。)
今は円高なので、↓メーカーから直接購入したほうが安いです。
http://tenable.com/products/nessus
1年のサブスクリプションで1,200ドルです。
2年は2,400ドル、3年3,600ドルです。
元々英語の製品ですが、
運用も弊社に任せてもらえれば、契約にもよりますが、
1週間単位、もしくは1月単位で日本語レポートにて、ご報告致します。
(1週間単位レポート・5万円/月から、1月単位レポート・3万円から/月)
脆弱性のデータベースは常に更新されているので、安心です。
自動で毎日検査もできます。
ちなみにクライアントも検査できます。
社内サーバー(windows、linux、unix)も、もちろんチェックできます。
なので、一社に一台ぜひ、構築し、、日々安全を確認いたしましょう。
起きてからでは遅いのです。
ぜひ、弊社にご相談を。
webmaster@niriakot.jp
ご相談は無料です。
ではでは、また。
セキュリティや安全対策はしすぎるということがありません。
やられてからでは遅いのです。
日々諸外国から、国内から、グローバルIPアドレスを付けたサーバーは狙われるのです。
常に、日々、いや秒進分歩、対策を講じなければいけません。
しかしながら、人員や時間を確保するのはとても大変なことです。
そこで、弊社のサービス、脆弱性検査。
ライセンス費用と弊社の構築費用5万円からで、日々検査できます。(ハードウェアとOSは別途必要、ESXiサーバーをお持ちならその上に構築致します。)
今は円高なので、↓メーカーから直接購入したほうが安いです。
http://tenable.com/products/nessus
1年のサブスクリプションで1,200ドルです。
2年は2,400ドル、3年3,600ドルです。
元々英語の製品ですが、
運用も弊社に任せてもらえれば、契約にもよりますが、
1週間単位、もしくは1月単位で日本語レポートにて、ご報告致します。
(1週間単位レポート・5万円/月から、1月単位レポート・3万円から/月)
脆弱性のデータベースは常に更新されているので、安心です。
自動で毎日検査もできます。
ちなみにクライアントも検査できます。
社内サーバー(windows、linux、unix)も、もちろんチェックできます。
なので、一社に一台ぜひ、構築し、、日々安全を確認いたしましょう。
起きてからでは遅いのです。
ぜひ、弊社にご相談を。
webmaster@niriakot.jp
ご相談は無料です。
ではでは、また。
2011年3月30日水曜日
クラウドはプライベートクラウドこそ導入効果が高い。
プライベートクラウド・・・実はバーチャルオフィスやリモート管理のことである。
パブリッククラウドはいわゆるSaaSやPaaSなどの外部サーバー利用を差している場合が多い。
もっと乱暴な言い方をすると
プライベート・・・各種プロトコルが使用可能。
パブリック・・・httpsがメインで、あとはぼちぼち。
というイメージです。
弊社は構築や運用、管理などを生業にしているわけなので、声を大にして言いたい。
プライベートクラウドが一番である。
メリットは、
自社で好きなように構築運用できるから、使い勝手がいい。
デメリットは、
コストが見えない。
運用が大変そう。
なので、設計する人の力量にかかっています。
パブリッククラウドはいわゆるSaaSやPaaSなどの外部サーバー利用を差している場合が多い。
もっと乱暴な言い方をすると
プライベート・・・各種プロトコルが使用可能。
パブリック・・・httpsがメインで、あとはぼちぼち。
というイメージです。
弊社は構築や運用、管理などを生業にしているわけなので、声を大にして言いたい。
プライベートクラウドが一番である。
メリットは、
自社で好きなように構築運用できるから、使い勝手がいい。
デメリットは、
コストが見えない。
運用が大変そう。
なので、設計する人の力量にかかっています。
バーチャルオフィスとリモート管理の提案
いろんな定義や用件があると思いますが、弊社が考えるのは、
バーチャルオフィス・・・オフィスと同様のデスクワークができること。
リモート管理・・・オフィス外から、電源を入れたり切ったり、再起動したり、制御できること。
と考える。
これを導入することで
①通勤費の節約
②電気代、電話代の節約
③いつでも社員をこき使える
④すべてログが残るので、だれがいつどこにアクセスして、ファイルをどうしたか、管理可能
(ライトマネジメントも必要)
⑤時間の節約
⑥データを物理的外部に保存しなくていい
などメリットがあり、
セキュリティ上のデメリットはほぼ解決できると思います。
さて、必要なのは、
バーチャルオフィス・・・オフィスと同様のデスクワークができること。
リモート管理・・・オフィス外から、電源を入れたり切ったり、再起動したり、制御できること。
と考える。
これを導入することで
①通勤費の節約
②電気代、電話代の節約
③いつでも社員をこき使える
④すべてログが残るので、だれがいつどこにアクセスして、ファイルをどうしたか、管理可能
(ライトマネジメントも必要)
⑤時間の節約
⑥データを物理的外部に保存しなくていい
などメリットがあり、
セキュリティ上のデメリットはほぼ解決できると思います。
さて、必要なのは、
登録:
投稿 (Atom)