このブログを検索

ラベル wireshark の投稿を表示しています。 すべての投稿を表示
ラベル wireshark の投稿を表示しています。 すべての投稿を表示

2011年11月8日火曜日

プロキシーとウイルスチェックとストリーミングの問題

プロキシーを使用していると必ずぶち当たる問題が今回の件である。
ストリーミングが表示されないというものである。
大抵、プロキシーとウイルスチェックとストリーミングサイトが重なると、下記のようなエラーが出る。


ネットワークエラーが発生したので、ファイルが再生できません。
というエラーを吐き出す。

なにもオープンソースだけではない。
BluecoatとSymantecやMcafeeでICAPでウイルスチェックをした場合も、同様のエラーになる。
squid3+clamav+squidclamav+c-icapでも同じエラーが出る。

ちなみに検証サイトは放送大学である。
Microsoft準拠のストリーミングを流しております。
これは放送大学のサーバーの作り方が悪いわけでなく、個人的にはICAPの仕様が、いまだ熟成されていないことによると考えています。
なんていうことはない、ICAPチェックさせなければ、問題なく再生できるのだから。
なお、海外のサイトでよくあるのですが、flashも似たような問題があって、大抵はポート変換ができないコンテンツ配信サーバーが多いので、ファイアーウォールでポートを空けてあげるしかない。
(これはまた別の機会に。)

ただ、今回の結論に導くために、wiresharkを使用し、パケットキャプチャーをするわけであるが、パケットキャプチャーのログには、authenticationエラーなどと表示されたりするのだ。
※認証の仕組みを入れている場合
だから、ログをそのまま信じてはいけないのである。

仮説と検証を繰り返し、導かれた結論がICAPを外せである。
すべてを外すと問題があるので、
ここのサイトの、このストリーミングのICAPをしない、
というような設定が、今のところ、一番いいのではないかと思う。
どうせ、企業であるならば、マルチでウイルスチェックをしているはずですので、
今回のケースでは、クライアントソフトでチェックをしたほうがいいのである。
弊社はそうしました。
(パフォーマンス的にも問題がないので。)

さて、情報システム部の方で、人手が足りない場合、ぜひ、弊社にお声をかけてください。
wiresharkを持って行って、ネットワーク上の問題を解決するお手伝いを致します。
ご用命は、
webmaster@niriakot.jp
まで。

2011年4月5日火曜日

不正アクセスリスト

昨日の不正アクセスリストです。
sshで執拗にアクセスしてきます。
恐らく乗っ取られたPCがすぐそばにあって、IP spoofingで偽装し、手当たり次第、アクセスしに来ているようです。
なお、SIPはこの頃不正アクセスがないですが、出てきましたら、リストアップします。


184.107.177.250  カナダ
184.154.62.246   アメリカ
203.114.116.165  タイ
218.15.136.38   中国
218.24.10.92    中国
218.240.128.203  中国
218.241.155.13   中国
218.85.135.112   中国
60.30.32.26     中国
87.247.65.7     リトアニア
203.113.137.188  ベトナム
211.142.225.30   中国
218.15.136.38   中国
91.148.134.59   ブルガリア
※アクセスしてきた順番なので、並びバラバラです。

弊社は毎日、特定の条件に基づいて、アクセスしてきたIPアドレスを吐き出すように設定しており、目視で最終確認をしております。(暇人と思うなかれ、これ重要ですぞ。1週間単位でもいいですけど。)
やはり、最後は人力による検査が必要です。

まとまってきたら、どこかにリストを作成し公開したいと思います。
いつアクセスしたかなどの情報を公開することで、事前にIPアドレスを拒否したり、防御策が打てると思いますから。
ちなみに上記はうちとの取引はまったくないので、すべて、ファイアーウォールでドロップしてます。
(ファイアーウォールも自家製です。結構簡単に作れます。ちなみにいつものopenSUSEです。)

とりあえずサーバーや機器は、最新のパッチ当てておけば問題ないですが、気になる人は調査してみてください。
wiresharkなどで、全パケットを拾って、安全なやつから記録を破棄し、残ったものだけ保存するなどしておけば、一日のデータ量も少なくなると思います。
一度お試しください。
また、先日書き込みしたnessusもお勧めです。

明日から気が向いたら、追記していきます。

ではでは、また。

2011年2月10日木曜日

パケットキャプチャー

パケットキャプチャーでネットワーク機器間のデータの流れを読み取り、問題解決しております。何か問題がある企業個人の方、ご相談ください。