ファイアウォールデータ
20年以上(2000/12~)運用のノーブル・システム収集のアクセス拒否すべき攻撃元IPを販売
※総務省番号発行の届出電気通信事業者。自社サーバーにてパブリッククラウドを運営。2023/6の有名製造業のセキュリティコンサル会社から意見を求めれる等、多重通信のシステム・ハードウェア・ソフトウェアに造詣が深い。
抜群の費用対効果
・ファイアウオール1台100,000円/年(別) 侵入検知システムは数十万~数百万円
・ノーブル・システムのサーバー利用なら提携損保会社のサイバーセキュリティ保険が大幅割引(要問合せ)
・毎月更新あり1年間ダウンロード回数無制限
・届出電気通信事業者のパブリッククラウドで1か月運用して問題がなかったリストを次月公開
・BSD系のfirewall用のリストだが、Linux用も添付(Linuxは記述も煩雑で処理が遅く非推奨)
・spamメール対策のspamassassin の追加用定義ファイル付
ファイアウォールリストの利点
不正侵入検知・防御システム(IDS・IPS)は誤検出防止のため通知まで数時間、管理者に許可を得て停止まで4時間~半日程度。
検知されるほど制御が可能になれば、最新報道では被害発生まで5分以内、簡単でも修復に数週間かかるファイルディレクトリの隠匿だけなら数秒。また、最近は暗号化せず内容を公開する脅迫なので時間が短い。
年額何百万の費用を掛けている大企業が防げない理由はここにあります。
攻撃元IPリストが販売されていないのはなぜ?
攻撃側も禁止されると道具がなくなるため、数万のIPアドレスをプールし、自動で変更しながら攻撃。
ファイアウォール対策で中に入れないので問題ないのだが、著名な攻撃者は数万の在庫IPがあり10年程収集しないと有効な防御リストにならない。
データ収集について
ノーブル・システムは2000年12月よりのサーバー運用で、45,000を超える攻撃元IPを収集。次項目のようなDNS設定を検索して攻撃IPかの詳細判定まで行っている。また、国内の同業の電気通信事業者管理IPが攻撃に利用されている場合、連絡し改善を求めている。改善された場合は対象から外すメンテナンスを行っている。
正確なスパムメールの把握
例えば、何者かがgmalで迷惑メールを送付してきたのか、gmailを詐称して迷惑メールを送付して来たのか区別するのは必要があります。通常区別しないため禁止していません。
ノーブル・システムでは、無料公開の正規メール送信IP検索を使って、正規メールが利用する全IPアドレスを把握しており、他社と違い詐称IPだけを正確にブロックします。
高速物理サーバを一台丸々データ通信+ファイアウォール+ゲートウェイとして全能力を通信に使用、外部通信以上の処理速度を確保して全パケットをモニタリング。
通常速度の物理サーバを16分割したクラウドサーバーの数10倍の処理速度。
暗号化処理も攻撃側の処理が多く防御側が楽な楕円暗号化ecdsaを使い30倍高速化。
静的ルーティングでアドレス詐称防止、高速処理化。
DDoS攻撃対応
目的に応じた最適なファイアウォールを選択することが重要です。
freeBSD(BSD系)OS推奨理由/unixのiptables用データ付
FreeBSD のファイアウォールである ipfw には、以下のような簡単設定や高速実行に関する優れた点があります。
ネットワーク処理用に開発されたOS
・OSのカーネル内のプログラムのため高速
1. シンプルな設定と柔軟なルール記述
ipfwは設定が非常にシンプルで直感的です。たとえば、1行で特定のIPアドレスやポート範囲に対してルールを追加できる点は、Linuxのiptablesやnftablesと比べても明確です。ipfwのルール記述は読みやすく、特に特定のIPアドレスやポートレンジに対するフィルタリングを簡単に行えるため、設定時の手間が少なくなります。たとえば、ipfwのルールでポート番号のリストを{}でまとめて指定することで、複数のポートを簡潔に管理できます。- 例:
これは非常にコンパクトで読みやすいルールです。
/sbin/ipfw -q add 1000 deny log all from 104.148.65.3/24{3-13,21,28,30,35-37,41-44,47,54,56} to any
※nftables は、カーネル API を使用し iptables で起きていたパフォーマンス問題を解決したといわれているが、ipfwの設定は10秒ほどで終了し機能し始めるが、おなじアドレスを禁止すると
2. 高速なルール適用
ipfwはカーネル内で直接動作し、FreeBSDのシステムとの統合が強固なため、ルール適用が非常に高速です。これは、ipfwが設計段階からFreeBSDに最適化されていることに由来しています。- 特に
ipfwのクイックルール (-qオプション) を使うことで、不要な出力を抑えながらルールを効率的に適用することができます。これにより、ルール追加や削除の際にパフォーマンスへの影響が少なくなります。
3. デフォルトで軽量な実装
- FreeBSD の
ipfwはカーネルモジュールとして組み込まれており、軽量でシステムリソースの消費が少なく、ハイパフォーマンスな処理が可能です。 - 他のファイアウォール(例えば
iptablesやnftables)は追加のユーザースペースプログラムと連携して動作するため、システムリソースの使用が増加しがちですが、ipfwは直接カーネルで処理を行うため、オーバーヘッドが最小限に抑えられています。
4. 動的なルールの適用
ipfwでは、動的なルールやステートフルなフィルタリングが簡単にサポートされています。これにより、通信の状態を監視しながら、効率的にルールを適用できます。- 特に
ipfwでは、ステートフルな接続追跡や動的なフロー管理が一体化しており、高速なパケット処理が実現できます。
5. 優れた拡張性とモジュール性
ipfwは高度なフィルタリング、トラフィック制御、トラフィックシェーピングなどの機能も提供しており、これらが簡単に設定できます。Dummynetという強力なトラフィックシェーピング機能と統合されているため、QoS (Quality of Service) 管理や帯域制御が容易です。
まとめ
FreeBSD の ipfw は、次の点で特に優れています:
- シンプルで読みやすい設定方法
- カーネル内で直接動作することで高速なルール適用
- システムリソースの消費が少ない軽量な設計
- ステートフルな動的ルールのサポート
- 拡張性とトラフィック制御機能
これらの理由から、特にパフォーマンス重視のサーバー環境や高スループットが要求されるネットワーク環境では、ipfw が優れた選択肢となります。
ネットワーク技術について
セキュリティや多重通信関連ECU、ISO化された通信技術の発明者が在籍。IPアドレスのアービトレーションによる優先順位まで考慮した内部LAN構成で高速化。
DDoSで負荷を増やして、スタック・オーバーフロー、禁止処理オーバーフロー、特権ID昇格、データベース読み出しなどの攻撃まで把握できる高速サーバでモニタし攻撃IPを把握。
※本当のDDoS攻撃は通貨取引所、防衛施設、インフラ等の限られたところが対象。中小企業乗っ取るための道具としてDDoSを行っていることを把握していない人が多い。
最新管理
国内の他の電気通信事業者のIPから攻撃を受けた場合は通知し改善した場合は、リストより外している。
日本ではランサムウェアに対して支払いを行わない企業が増えているため、暗号化せず中身を抜き取り公開するぞと脅すノーランサムウェアが増えている。
ノーランサムウェアの場合は、支払いを行う企業が多くなるのも現実である。
メリット
運営実績が長く(2000/12~)データが豊富
他の電気通信事業者に連絡し改善されたIPは回復
初段で処理でき処理負荷が低減できる
対策費用が安く、費用対効果は抜群。
実際に運用して問題がなかったデータを毎月公開
初段で処理でき処理負荷が低減できる
パッケージ内容
freeBSDなどのBSD系OSのfirewallデータ
吾輩は猫である。名前はまだない。どこで生れたか頓と見当がつかぬ。何でも薄暗いじめじめした所でニャーニャー泣いていた事だけは記憶している。
新着記事
