不正ログイン監視(セキュリティ)

通常運用時はポートフィルターの設定でポートを閉じる方法をお奨めしますが、システムの都合上SSHやWEB-UIなどのポートを開けて運用する時に使って下さい。

セキュリティ拡張機能のインストール

本製品出荷時では、セキュリティ拡張機能はインストールされておりません。
WEB-UIのメンテナンス⇒機能拡張タブからセキュリティパッケージのインストールを行って下さい。

set1

WEB-UIのメンテナンス⇒機能拡張タブの機能拡張ペインにてパッケージを選択することができます。

set2

インストール機能のリストからセキュリティを選択します。
その後、インストールの実行ボタンを押し、インストールを行って下さい。

なお、インストール完了後には反映を行うため、本体再起動が必要となります。
メンテナンス⇒停止・再起動タブからOpenBlocksの再起動を行って下さい。

セキュリティ使用設定について

セキュリティ機能のインストールが完了している場合、サービスWEB-UIの拡張⇒セキュリティタブにセキュリティの設定項目が表示されます。
使用設定を使用するに設定し、適用するセキュリティ機能を使用するにし保存することで対象のセキュリティ機能が適用されます。

なお、本機能は起点の初回不正攻撃から、一定時間の間に指定不正攻撃回数(初回含む)分の不正攻撃があった場合、対象IPアドレスの対象サービスへのアクセスを拒否します。

set3set4set5
  • セキュリティ
項目説明
使用設定セキュリティ機能の使用設定を行います。セキュリティ機能を使用する場合には、使用するを 選択して下さい。
ログレベル出力するログレベルを以下から選択します。なお、基本的にはINFOから変更す必要はありません。
  • INFO
  • CRITICAL
  • ERROR
  • WARNING
  • NOTICE
  • DEBUG
除外ネットワークアドレスセキュリティ機能から除外するネットワークアドレスを指定します。なお、複数指定する場合には、 空白にて追加して下さい。
ex.) 192.168.254.0のネットワークを追加する場合
"127.0.0.1/8 192.168.254.0/24"
不正対象間隔[sec]対象IPアドレスから対象サービスへの不正攻撃が開始された際に、同様の不正攻撃としてグループ 化する時間を指定します。
拒否時間[sec]対象IPアドレスから対象サービスへのアクセスを拒否する時間を指定します。
不正攻撃回数不正対象間隔内に不正攻撃が一定回数来た場合、アクセス拒否と判定する際の回数を指定します。
SSH使用設定SSHのログイン失敗及びDDoS攻撃によるセキュリティ機能の使用設定を行います。
使用する場合には、使用するを選択して下さい。
WEB UI DDoS使用設定WEB UI使用ポートでのHTTP/HTTPSアクセスにおける、403/404アクセス攻撃によるセキュリティ機能の使用設定を行います。
使用する場合には、使用するを選択して下さい。

各使用設定を使用するに保存した場合、セキュリティ機能が有効となります。

不正攻撃のアクセス拒否解除

セキュリティ機能を有効とした場合、拡張⇒セキュリティタブのページ下部に有効となっているセキュリティ一覧が表示されます。
また、アクセス拒否となっているIPアドレス/対象サービスの組み合わせが表示されます。

アクセス拒否が存在しない場合SSHにアクセス拒否が存在する場合
set6set7

不正攻撃等が無く、正常に稼働している場合には左図のようにアクセス拒否となっているIPアドレスは表示されません。
不正攻撃が行われ、アクセス拒否となっているIPアドレスが存在する場合、左図のようにIPアドレス及びアクセス許可ボタンが表示されます。

なお、アクセス許可ボタンは対象IPアドレスから対象サービスへの再アクセスを許容するようにします。
問題のないユーザーがログイン失敗等による再アクセスを行わせたい場合にご使用下さい。

機能拡張等について

本機能はfail2banデーモンを使用しています。お客様ご自身でセキュリティ機能を拡張したい場合には以下のページをご確認下さい。
なお、拡張によるファイル編集及び追加・削除についてはお客様責任となりますのでご注意下さい。

https://www.fail2ban.org/wiki/index.php

WEB-UIの拡張タブ内の保存ボタンイベントにて、以下のファイルは再生成されます。

/etc/fail2ban/fail2ban.conf
/etc/fail2ban/jail.local

拡張の際にこれらのファイルについて上書きされたくない場合には、以下のファイルを用意して下さい。

上書禁止ロック用ファイル
/var/webui/config/fail2ban.userlock

また、既存の/etc/fail2ban/配下のファイルを編集した場合、元に戻すことはできません。
もとに戻したい場合には、ファクトリーリセット及び再インストールを実施して下さい。