. ■参考(2012年8月10日金曜日) Tポイントツールバーを導入するとSSL通信の履歴までもが盗聴可能になる http://blog.tokumaru.org/2012/08/t-point-toolbar-is-harmful.html ■Tポイントツールバーのブロック色々。 若干やりすぎ感は否めませんがw。。。 閲覧履歴が平文で(HTTPSではなくHTTPで)送信は困りますね。 他に、「ns.opt.ne.jp」や「www.opt.ne.jp」がありましたが 下位クライアントにはそれも見せません。 ほとんどの広告はクライアントPCからは見えないようにしているので私の環境では問題なしです。 調べ物はさらに上位のサーバからjs無効でやりますし。。。 ■Squeeze/LennyのsquidGuardでブロック Webで「log.opt.ne.jp」関連をブロック Debian Lenny にsquidGuardを導入 http://d.hatena.ne.jp/labunix/20120311/ # tail -1 /var/lib/squidguard/db/personal/domains log.opt.ne.jp # tail -1 /var/lib/squidguard/db/personal/urls log.opt.ne.jp/ ■Windows版Squidのブラックリストでブロック 「.opt.ne.jp」でのGoogle検索からリンク先にジャンプできないほど厳しい設定です。 上記が上位プロキシです。なので、上位にはテストや無線LANアクセス以外のログは出ないはずw。 私の無線LANのセキュリティはややこしすぎるので割愛。 何もかもイントラにさえも直接は通りませんが一応更に下位のプロキシからのログが出るはず。 > grep opt etc\black* etc\blacklist:.opt.ne.jp etc\blacklist_regex:.opt.ne.jp > grep blacklist etc\squid.conf acl blacklist dstdomain "c:\squid\etc\blacklist" acl blacklist_regex url_regex "c:\squid\etc\blacklist_regex" http_access deny blacklist http_access deny blacklist_regex > sbin\squid.exe -n Squid -k check > sbin\squid.exe -n Squid -k reconfigure > net stop Squid;net start Squid ■Lenny/Squeezeのiptablesでブロック pingすら発信させません。(ICMP自体は上位でも制限しますが。。。) $ sudo iptables -A INPUT -s 14.128.18.212/32 -j LOG --log-prefix "iptables T-point" --log-level 7 $ sudo iptables -A INPUT -s 14.128.18.212/32 -j DROP $ sudo iptables -A OUTPUT -d 14.128.18.212/32 -j LOG --log-prefix "iptables T-point" --log-level 7 $ sudo iptables -A OUTPUT -d 14.128.18.212/32 -j DROP # grep "T\-point" /var/log/syslog | tail -1 | \ sed s/".*iptables"/"iptables"/g | sed s/"LEN=.*DF "// | sed s/"CODE=.*"//g iptables T-pointIN= OUT=eth0 SRC=192.168.72.188 DST=14.128.18.212 PROTO=ICMP TYPE=8 ■snortの「local.rules」で検知 アクセスから約10分でアラートメールです。 ソースIPから即座に削除を依頼できます。(私の環境なので、依頼先も私ですが。。。) $ grep -v "^#" /etc/snort/rules/local.rules alert tcp $HOME_NET any -> 14.128.18.212 any (msg:"T-Point ToolBar Client Access"; sid:10000001; rev:1;) alert tcp 14.128.18.212 any -> $HOME_NET any (msg:"T-Point ToolBar Request Access"; sid:10000002; rev:1;) $ sudo snort -S HOME_NET=192.168.72.188 -T -c /etc/snort/rules/local.rules 2>&1 | tail -2 Snort successfully loaded all rules and checked all rule chains! Snort exiting $ sudo /etc/init.d/snort restart ■10分ごとの監視/アラートメール $ telnet 14.128.18.212 443 $ telnet 14.128.18.212 80 Subject: snort 10 min ago report Aug 11 16:47:00 [1:10000001:1] T-Point ToolBar Client Access {TCP} 192.168.72.188:49874 -> 14.128.18.212:443 Aug 11 16:47:00 [1:10000001:1] T-Point ToolBar Client Access {TCP} 192.168.72.188:49874 -> 14.128.18.212:80 ■日単位のauthlogサマリーメール(統計) $ wget https://raw.github.com/labunix/snort_log/master/snort_summary.sh $ chmod +x snort_summary.sh $ sudo ./snort_summary.sh # grep -A 3 "^Action Stats" /var/log/snort/snort_summary_20120811.log Action Stats: ALERTS: 2046 LOGGED: 2065 PASSED: 0 ■日単位のmysqlのテーブルサマリーメール。 $ wget https://raw.github.com/labunix/snort_log/master/snort_mysql.sh $ snort_mysql.sh $ sudo ./snort_mysql.sh mysql_user:snort Input Password: Retype Password: Subject: snort mysql summary sig_id sig_name sig_class_id sig_priority sig_rev sig_sid sig_gid 11 T-Point ToolBar Client Access 0 NULL 1 10000001 1 12 T-Point ToolBar Request Access 0 NULL 1 10000002 1
