ネットワークトラフィックの送信元を調べる方法
以前の記事で、WatchGuard Firebox でホストを自動ブロックする方法をご紹介しました。テスト目的で使用している Firebox のログを確認したところ、昨日だけで 100 個以上の IP アドレスが自動ブロックされていたことがわかりました。そのリストには、1,000 を超える、ブロックされた IP アドレスが含まれていました。また、Firebox に表示されるのは、ブロックされたホストの一部だけであるため、ブロックされたホストの実際の数は Firebox の Web UI に表示される数より多い可能性があります。
ファイアウォールログのトラフィックをさらに詳しく知りたいのであれば、ブロックされたポートで自分の会社のシステムにアクセスしようとしたネットワークやその場所を調べることができます。そのためには、世界の異なる地域ごとのネットワーク所有者に関する情報が登録されている、5 つのインターネットレジストリで、IP アドレスを検索します。どのレジストリにも、Web サイトがあり、「whois」検索ボックスが使ってこの情報を検索できます。
Afrinic | Africa | https://arin.net |
Apnic | Asia Pacific | https://apnic.net |
Arin | North America | https://arin.net |
Lacnic | Latin America | https://lacnic.net |
Ripe | Europe | https://ripe.net |
Firebox で自動ブロックされた IP アドレスを表示するには、Fireware Web UI にログインします。左側のメニューで [システムステータス]、[ブロックされたサイト] の順にクリックします。
これは、私が用意したファイアウォールでブロックされたポートに接続しようとした IP アドレスのランダムなリストです。ここから、どのような情報を入手できるのでしょうか。
169.0.121.99
検索する IP の地域がわからない場合は、https://arin.net から始めると良いでしょう。whois 検索ボックスに IP アドレスを入力し、矢印をクリックするか、Enter キーを押します。
169.0.121.99 の IP の場合、検索結果から、AFRINIC がこの IP アドレス(および、169.0.0.0 〜 169.0.255.255 の範囲の IP アドレス)を検索する正しいレジストリであることがわかります。
今度は https://afrinic.net に移動し、同じ手順を繰り返して、次に表示されている IP アドレスに関する情報を検索してみます。すると、この IP アドレスが 169.0.0.0 ~ 169.0.255.255 の範囲であり、ネットワーク名が AFRIHOST-DYNAMIC であることがわかります。
レジストリには、住所と連絡先の情報も表示されます。
これらの情報はどのように役立つのでしょうか。たとえば、ある企業が他のネットワークに接続し、トラフィックの送信を停止するよう依頼する場合を考えてみましょう。不要トラフィックを送信するすべての企業に連絡することは、インターネットに存在するこのような不正トラフィックの量を考えると、とても時間のかかる作業になるでしょう。また、ネットワークや場所を選択して不要トラフィックの送信をブロックしたり、Firebox によって保護されているネットワークの全体または一部への一部の IP アドレスからのアクセスをブロックしたりしたい場合もあるでしょう。
上記の例の inetnum: 169.0.0.0 – 169.0.255.255 という値は、このネットワークに属している IP アドレスの範囲です。最初に、この IP アドレスを、アドレス範囲の別の表記方法である CIDR に変換します。この CIDR ブロックを自分の Firebox に入力することになります。オンライン電卓を使うと、IP 範囲を CIDR 表記に簡単に変換できます。開始と終了の IP アドレスを入力して、[calculate] をクリックします。
https://www.ipaddressguide.com/cidr
これで、このネットワークの CIDR 表記が 169.0.0.0/16 であることがわかりました。Firebox で永久にブロックするサイトのリストに入力するには、左側のメニューから [ファイアウォール]、[ブロックされたサイト] の順に選択します。
画面の下の方にある [追加] ボタンをクリックします。ネットワーク IPv4(Internet Protocol version 4 を使用するネットワーク)を選択し、上記で計算した CIDR ブロックを入力します。
[OK] ボタンをクリックし、必ず、ブロックされた IP アドレスのリストの一番下にある [保存] ボタンを押してから、画面を終了します。ホストがそのネットワークとの間の接続を試行すると、Firebox によって直ちにブロックされます。この永久ルールの対象となる自動ブロックリストから、個々のホストを削除することもできます。
たとえば、アフリカと取引のない会社で、従業員がアフリカの Web サイトにアクセスしないようにする場合、どうすれば良いでしょうか。レジストリ内のアフリカに属しているすべてのアドレスを検索してブロックできます。あるいは、WatchGuard Total Security ライセンスに付属している WatchGuard Geolocation Service を使用する方法もあります。Geolocation Service では、ネットワーク管理者が地図またはリストから国を選択することで、トラフィックを許可または禁止できます。
最も重要なのは、自社環境での出来事を監視し、理解することです。正常な状態を理解していれば、疑わしい出来事を発見し、詳しく調査できます。この記事を参考にして、ネットワークルールを作成していただければ、トラフィックを適切に許可または禁止できるようになるはずです。
— Teri Radichel(@teriradichel)