2014年05月18日(日) - 19:10 | カテゴリ:
Network
現在のns-lab内部の各セグメント間ルータはCisco1812を使っているのだが、
Webブラウザから同時に10サイト位アクセスすると、
CBACが働き過ぎて応答不能状態になったりしている現状(´・ω・`)
まぁ、ソフトウェア処理なので重くなるのは仕方ないと妥協。
だがここで思ったのは、
『ネトゲやっている時にルータ過負荷で応答不能になったらどうなるのよ』という点。
と言っても自分は、普段ネトゲを全くやらないのでどこまでトラフィック流れているとか、
セッションがどうなっているとかは未知数だった。
という事で、ネトゲ枠(?)として唯一自分がプレイしているACVDを2時間位プレイして、
トラフィックとかCisco 1812のCPU負荷を計測してみた。
値はあくまで参考程度という事で―――
今回の構成(略図)は下記参照
本当はトポロジアイコン使うべきなんだろうけど、面倒なので仕方ないね(´・ω:;.:…
[PS3] -> [Cisco2950T] -> [Cisco1812J] -> [Gateway] -> [WAN] -> [ACVDサーバ]
※1812で、RIPv2とCBACを動かしている状態。他の特別なルーティングとかは無し
ローカルでやっていてもトラフィック計測する意味が無いので、
『傭兵登録->出撃』をひたすら2時間繰り返して計測。
値の取得は、LANに構築してあるzabbixからCiscoのSNMP(MIBで)を1分毎に取得する方法で行ってみた。
その結果のグラフが↓
実際に傭兵登録しだしたのが21:05あたり。で、初マッチが21:10あたり。
トラフィックグラフの縦軸スケールは最新値で最適化をしちょるので参考程度で。
やはり、セッションを張りだしてから(マッチング待機した直後)のCPU負荷がちょい上がっていた。
トラフィックの方も同じく、待機しだしてからが多めな印象。
しかし、ネットワークで出撃している最中のトラフィック量はそれ程多くなかった。
個人的には、1MByte/s程度は行っているのかと思っていたのだが、
瞬間的に30KByte/sを飛ばした後は、20KByte/sのデータをずっと飛ばしている感じだった。
ま~、20KByte/sで飛ばしていても積もれば山となるわけですが。
今回はMIBで、しかも1分毎の取得なのでリアルタイムという観点では正確性に欠けるのだが、
大体の値がわかったので個人的に満足。
…次やる時は、もっと上位のルータ+レギュレーションをちゃんと決めて計測したい所。
« 続きを隠す
2014年05月05日(月) - 22:21 | カテゴリ:
Network
先日、A氏から『nowskyさんのブログスゲー』という事実とは真逆の感想を戴いてしまったので、
“スゲー”にちょっとでも近づく為に真面目な記事を―――
…A氏よ。こんなエ○ゲブログを凄いと思っちゃアカンぜよ。でも、お言葉ありがとうございます。
………
4月第二週目あたりから、SSHブルートフォースアタック(以下SSHアタック)が頻繁に来るようになった。
以前からそれ用の対策として、既存のスクリプトと自作スクリプトでの防衛は行っていた。
まぁ、『SSHのポートを開けるなよ!!』というのは至極ごもっともなのだが、
如何せんコチトラ外からSSHに接続出来る事が必要な環境な為開けてあったりする。
と言っても、GlobalSrcIPとかプロバイダの制限はしちょるが(´・ω・`)
で、先の通りSSHアタックされるとされた側にはバッチリログが残るという。
そのログにはアタックしてきたGlobalIPとアタックに使用したユーザー名が載っていたり。
という事で、今回はそのSSHアタック時に記録されたユーザー名を過去2年分公開しようと思う。
―――これで、世のサーバセキュリティが少しでも上がってくれれば良い淡い期待を胸に。
何故公開に至ったかと言うと、
1). A氏の感想からチョットでも真面目な事を書きたかった
2). “最悪なパスワード”は有名だけど“最悪なユーザー名”はあまりランクアップされない
3). これしか書く事なかった(´・ω:;.:…
という事から。
※ このページをソースにして、機械式SSHアタックされても困るので伏せ字&画像多用
本題の、二桁以上の回数をSSHアタックされた同一ユーザー名リスト
よくSSHアタックされるユーザー名はr○○tが断トツに多かった。
次に多いのは○racle。多分、データベースのデフォルトユーザー名を突く為にやっているのだろう。
次にaとかtestとか簡単な物。これも、一時的に作成したテストユーザーを突く為かと。
他にはa○minとかnagi○sとかg○tとか、どれもこれもデフォルトユーザー名を突こうとしている。
特にa○minは、ルータとかスイッチとかアプライアンスとかでデフォルト使用されているユーザー名だったり。
“鯖落とすなら、ついでにNWも”という魂胆なのかもしれないが、
昔から”危ない”と言われていたユーザー名を片っ端からクローリングしているのには驚いた。
後は、Linuxのデフォルトで入っているであろうユーザー名とか、
有名処のソフトウェア名をそのままとか、エトセトラ…
それらを踏まえつつも、傾向としてわかったのは
“一度でもアタックに失敗したGlobalIPからは二度とSSHアタックが来なかった”という事。
当たり前っちゃ当たり前だが、だからこそGlobalIP単独での遮断は難しいという現状。
まぁ~、外からSSHで自鯖にログインするのは日本の限られたGlobalIPからだろうし、
鯖管理者各々が把握している筈。
なので、現実にはそれらのアクセス制限をかけつつ、
ユーザー名・パスワードを複雑化しておく事が有効なのだろう。
ともあれ、今回のログ調査でわかったのは”サーバユーザ名に簡単な物は使うな!”という、
基本でありながら疎かにしがちな事だった。
………
ちなみに、SSHアタックで仕掛けてきたユーザー名の2年分ログ(csv)はコチラ
これを元に、自宅サーバのセキュリティ対策に役立てて頂ければ幸いです。
« 続きを隠す
2014年04月11日(金) - 23:13 | カテゴリ:
Network
以前の記事だと、AlliedTelesisのGS908Mを主軸に組んでいたのだが、
この度勉強とか実験をよりスムーズに行う為にCisco1812を常用する必要が出てきたので、
LANの組み直しをやってみた。
自鯖周りを支える為に稼働しているのは、GS908MとCisco1812とDGS-3100の三台(+実験用2950)。
他にもFWとか無線LANのセグメント用に動いているルータやL2SWもあるのだが今回は割愛。
今まではDMZ領域(鯖)とLANの2セグメント運用になっていたのだが、
今回の入れ替えでセグメントを見直して、LANでもサブネットを細かく切ったりしてみた。
その為、各サブネット間のルーティングを1812で受け、srcIP-dstIPベースでのACLを組んでみたり。
自宅ラック的な置き方だと、ポートある面を前方に持ってくるのだが、
今回はLANルーティングの要として使うので、アクセスランプの方を前面に設置。
もし、実験でLANとテスト環境を接続する必要が出た時は、
下段に設置している2950へVLAN切るなりすればいいかと楽観視♪~(´ε` )
その結果、絶賛稼働中な物が4台+αという状況に(´・ω・`)
本当ならもっと簡素化させる事も可能なのだが、敢えてルーティングさせて機材増やすのも乙な物で。
そして、この構成にしてから無駄なブロードキャストとかは減少したので、
少しは効果を体感出来て良かった。
« 続きを隠す
