pubinf

しばらく書いてなかったですが、Bloggerで再開しました
パソコン練習日記

2018/02

この記事の中で
期限付き評価版だとめんどくさいから
VMware検証用のライセンス買おうかなぁ
と書いたら、

無料のESXiありますよとか
VirtualBoxは無料ですよとか

全くこちらの意にそぐわない話が(知り合いからオフラインで)何回か来たのでここに記載。

VMUGのVMwareサブスクリプション(年間サブスクリプション)が
$200ぐらいで買えたはず。
ただし日本語での対応窓口は無いはず。

https://www.vmug.com/Join/EVALExperience

本番環境としては使用不可。開発用、検証用としてだけ
(ちゃんと読んでないけどそのはず)


ちなみに買おうかなと思ってたけど結局買っていない
(最近VMware関連に縁がない)

なので、詳しくは知らない。

ただ、ググれば出てくる(英語)ので、
頑張って読んでそして買って欲しい。(そしていい感じか教えてほしい)

(そしてこちらとて英語読めないので聞きに来ないでほしい)


以下の製品が使えるはず(だってそう書いてあるから)
※もう一度書くけど本番環境として使用はダメ

VMware vCenter Server v6.x Standard
VMware vSphere® ESXi Enterprise Plus with Operations Management™ (6 CPU licenses)
VMware vCloud Suite® Standard
VMware vRealize Operations™
VMware vRealize Log Insight™
VMware vRealize Operations for Horizon®
VMware Horizon® Advanced Edition
VMware vSAN™
VMware Workstation Pro 14
VMware Fusion Pro 10
VMware NSX Enterprise Edition (6 CPU licenses)
VMware vRealize Network Insight
VMware vRealize Automation 7.3 Enterprise



これの続き

3500アタックほど検知していた。
(の書いた後にいじって変になったので構築しなおしたらSnortのルール入れるの忘れてた
だからほんとはもっと検知されていたかも)
kfsensor001


50回以上同じような攻撃をされるとDOS攻撃とみなしてLockOutする設定になっていたから
LockOutしなければもっと数が伸びてたってのはあるけど


あと、リモートデスクトップにも攻撃は来ていたけどカウント外
これはハニーポットとしてではなく普通のOSの機能として動いてListenしていたから検知されなかった。

イベントログ見ると300回ぐらい来てた。
kfsensor002



SSHなんかは255回ほど来ている。
kfsensor003

なにもデータを送ってきていないやつと
kfsensor004

SSHクライアントを名乗ってきている接続があった
kfsensor005

なにも送ってこなかったやつはSynScanなのかなと思ったけど
ここからはよくわからん

SynScanのシグネチャルールもあったけど
SynScanの検知がされていないってことはもっと優先順位の高いルールにさきにかかったかもだから
やっぱりそうなのかもしれない


FTPは思ったより攻撃されていなかった
kfsensor006


Telnetはめっちゃ多い
kfsensor007

ちゃんと認証のやりとりとか記録されてた
kfsensor008


以外と思ったのはhttpのリクエスト

80ポートへのリクエストが6件(うち1件は自分のリクエスト)
kfsensor009

81ポートも5件
kfsensor010


同じやつが来たのかと思ったけどIPが違う。
プロキシ使ってランダムなIPで来ているからなのか

よくわからん。


IoTのTelnetでよく使うポートへもやっぱりそこそこ来るっぽい
kfsensor011


MongoDBも1件だけ来てた
buildinfoを要求してきたっぽい
ていうことはやっぱMongoってわかってきているっぽい
kfsensor012



SQLServerは公開した瞬間から認証リクエストが来てた
DOS扱いでLockOutされたやつが多かった
kfsensor013


他にもUDPへのもあったけど

今度はポートミラーでSecurityOnionにパケットを流して
Kibanaでダッシュボード使ってグラフで見たり
(SQLServerと連携させたらグラフで見れるっぽいけどなんかうまくいかなかった)
Snortルールではない
ほかのIDSエンジンだと何が検知されるのかなどをやってみる





これの続き


シグネチャを見てみると36個しかルールない。
kfsensor01

しかないとは言ったものの、IDS・IPSを触ったことがないので少ないのかよくわからんが
少ない気がする。
少ないとその分検知も減るので増やしたいなと思って調べたら
Snortのルールがそのまま流用できるっぽい

さっそく取りに行ってくる
Community版だとすぐダウンロードできるっぽいのでそれをダウンロード
kfsensor02


ダウンロード後、解凍
 kfsensor03

Signatures>Import External Signatures
kfsensor04

rulesファイルを選ぶ
kfsensor05


ルールが829に増えた
importボタンを押してImport
kfsensor06




攻撃され始めてきたけどと
とりあえずまだまだほっとく
kfsensor07



続き

↑このページのトップヘ