TWSNMPの信用スコア計算ルール

TWSNMPのサーバーレポート、通信フローレポートの信用スコアを計算するための通信に関するルールについて説明します。ルールは、ファイヤーフォールに設定するルールに似ていますが、実際にファイヤーウォールに設定するわけではないので通信をブロックすることはありません。あくまで怪しい通信を検知するのが目的です。検知した通信の情報をファイヤーフォールやサーバーの設定に反映させることでネットワークの安全性を改善できると思っています。

ルール追加ダイアログ

サーバーレポートの記事でも説明しましたがおさらいです。

種別：
ルールの種類を指定します。後で説明します。
サーバー：
サーバーのIPアドレスです。
サーバー名：
サーバーの名前です。（ルールには使いません。）
サービス：
ルールに使用するサービスです。
サーバー位置：
ルールに使用するサーバーの位置情報です。国コードだけ利用します。
＜Cancel＞ボタン：
何もしないでダイアログを閉じます。
＜Save＞ボタン：
ルールを追加します。

ルールの種別は、

です。このルールの種別について詳しく説明します。

サーバー限定サービス

特定のサービスは、登録したサーバーだけ許可するルールです。登録したサバー以外にアクセスした場合に減点します。例えば、DHCPサーバーは、普通、ネットワークに１台しか稼働していないはずです。他にDHCPサーバーが稼働しているのは怪しいということを探すルールです。

禁止サービス

特定のサービス（プロトコル）を禁止するルールです。例えば、TELNETやHTTPという暗号化されていない通信を探すためのルールです。

禁止サーバー

特定のサーバーへのアクセスを禁止するルールです。例えば、GoogleのDNSサーバーを使っているクライアントを探すためのルールです。

禁止サーバー＆サービス

特定のサーバー上の特定のサービスへのアクセスを禁止するルールです。

禁止サーバー位置

特定の国コードにあるサーバーへのアクセスを禁止するルールです。例えば、ロシアにあるサーバーとの通信を探すルールです。

禁止サーバー位置＆サービス

特定の国コードにあるサーバーへの特定のサービスへのアクセスを禁止するルールです。

登録済みルールの確認

レポートWIndowのルール設定TABをクリックすると登録されたルールを確認することができます。

フィルター：
入力した文字列が含まれるルールだけリストに表示します。
＜削除＞ボタン：
選択したルールを削除します。
＜閉じる＞ボタン：
レポートWindowを閉じます。

リストの内容は、

種類：
許可か禁止のどちらかになります。
サーバー：
ルールに設定されたサーバーのIPアドレスです。設定されていない場合は、＊と表示されます。
サーバー名：
ルールに設定されたサーバーのIPアドレスに対応したサーバーの名前です。人間が確認するために表示しているだけでルールには関係ありません。
位置：
ルールに設定されたサーバーの国コードです。設定されていない場合は、＊と表示されます。
サービス：
ルールに設定されたサービスです。設定されていない場合は、＊と表示されます。
ID:
ルールを管理するためのIDです。

ルールの削除

リスト上のルールを選択して＜削除＞ボタンをクリックすると、

の確認メッセージが表示されます。＜OK＞をクリックすれば、ルールを削除できます。

信用スコア計算ルールに関して思うこと

この方法を考えて作った時も、今マニュアルを書いている時も、ちょっと、この方法でよいのかかなり悩んでいます。悩みは

現状のルールは６種類です。組み合わせを考えれば、他の種類もあります。それらは必要ないのか？
実運用する時にルールはどのくらい必要か？
ルールの数が増えたら、レポート作成処理の負荷が高くならないか？
もっと、簡単に設定できる方法があるのかもしれない？
もしかするとAIとかで判断することができるかもしれない？

などなど、これから考える楽しみは沢山あります。