ベテランSEが辞められて1週間。
早速訳のわからない問い合わせあり。
【問い合わせ】
・前日からYYシステムに断続的にアクセス出来なくなる。
・DNS・LDAP辺りで不正アクセス?の可能性あり。
・不要なポートをブロックして欲しい
【調査】
そもそもYYシステムなんて初めて聞いたんですが('Д')
・YYシステム周りの環境調査、構成図確認、YYサーバー特定
・YYサーバログイン、イベントログチェック。現状サービスは生きている(使用可能)
・IISアクセスログチェック。不正アクセスっぽいログは無し。
・DNSイベントログに1日2回、2~3時間ほどで数千件単位のソケット開けないエラーログ有
・過去2日間、Zabbixのトラフィック監視でネットワーク性能、サーバー性能に異常は無し。
・インターネット⇔YYサーバ間のL3FW(fortigate)チェック。セッション数が常に数千件を維持。
イベントログ上からは確かにDNS回りが怪しい。
このシステムのユーザ規模が分からないので何とも言えないが、セッション数が常に数千件というのも気になる。
【対応】
・FWでDMZ→YYサーバ向けtcp/udp 53,389通信をDeny
⇒ 後に外からTest-NetConnection コマンドでPort scanしてみると、ガバガバだったことが判明。
調べてみるとFWソフトウェアスイッチ間のポリシーはデフォで[implicit]なんだそうな(-_-)
確かにCLIで見てみるとその設定になってる。。。
・Windows Defenderでtcp/udp 53,389をDeny・・予定
⇒そもそもDMZのWebサーバになんでAD建ってんの?って話。
もう少し要調査