[BLOG][Network][Security] アクセス経路の変更をした+UTMのレポートを覗いてみた

アクセス受付回線を変更

WWW.BLUECORE.NETおよびMastodon/Pleromaのアクセス受付回線を変更しました。ざっくりと解説すると以下のような感じです。

Webサーバ経路変更の概要

上画像にて述べてる通り、ちょっとした興味があってGoogle Adsenseを動かしてみたいと思ったのと、もう一つはWeb周りの構成がここ最近になってだいぶ変わり、気づけば1台のReverse Proxyで集約動作することができるようになったのも、一つの要因かなと思っています。

Reverse Proxyで集約したことにより、Web周りの必要IPアドレスが1つでほぼ済むようになってきました。また、フロントにNginxが立つことで処理能力としてもかなり向上が図れそうだということ、併せてNginxアクセスログをElasticsearchへかけるようになっており、ログ監視・監査系の機能性も向上してきて、その分別の用途にリソースを回せるようにしたいという意図もあります。

やった内容

やった内容に関してはそれほど詳しくは書かないんですが、以下のような感じで行いました。

  1. Interlink側ルーターにて、DNAT設定を追加
  2. UTM9にてポリシールートを構成(SNS-APサーバのデフォルト経路をInterlinkへ強制)
  3. Route53側でWWWおよびSocial用AレコードをInterlink側グローバルIPへ変更(TTL=300)
  4. 外部からアクセスを実施し、切り替わりを確認
  5. UTM9側で設定していた、Homenoc Global側アクセスに必要だったNAT設定を解除

ダウンタイムはおよそ30minぐらいで、思った以上にすんなり・・・いかなかったですが、どうにかこうにか切り替え自体はできた感じです。

Sophos UTM9のレポートから

現状のアクセスなんですが、やっぱりMastodonのトラフィックが大半を占めていて、9/8における一日のトラフィック量のうち、SSL通信に該当するものが

  • 送信量:1,576.2MB
  • 受信量:575.4MB

となっていることがわかりました。現在、Mastodon最新バージョンで対応している機能の一つ、リレー機能を使用してるため、トラフィック流入・転送共に結構な量になっているようです。

ここ最近はIPSも若干反応していて、以下のような脆弱性を突く攻撃がチラチラ来てるようです。

  • SERVER-WEBAPP D-Link DSL-2750B routers login.cgi command injection attempt
  • SERVER-APACHE Apache Struts remote code execution attempt

DSL-2570Bというのは、D-Link社製のADSL無線ルーター兼モデムのようで、やっぱりファーム更新をサボったりしてるようなルーターを狙った攻撃って多いんだなぁと感じています。

そして、Apache Strutsを狙った攻撃もちらほら出回ってますね。ここ最近その脆弱性を突く攻撃が増えてるらしい話はどっかで聞いた気がします。

自宅サーバもしくはVPS、あるいはクラウドで自らのWebサーバを公開したりしている人たちはくれぐれもセキュリティにはご注意ください(私も気をつけんと・・)

タイトルとURLをコピーしました