今夜ルーターをチェックするとき、セキュリティログを確認しました。何千ものブロックされたtcpトラフィックを見ました。これらがセキュリティイベントと見なされるのはなぜですか?ログには、さまざまなIPからのさまざまなポートでのブロックされた多くのTCP着信要求が表示されます。以下に1つの例を示します。
ログは、通常のインターネットサーフィンを介して、このような数千のブロックされたTCPイベントでいっぱいになりますか?それとも、ルーターのファイアウォールがその仕事をしていて、私が開始していないTCPトラフィックを受信するたびにログに記録するということですか?
(補足として、UPnPがオンで、Wifi Protected Setupもデフォルトでオンだったので、オフにしました)
このログについて心配する必要はありません。インターネットに接続されているものは、ランダムスキャン、ボット、セキュリティ研究者から、毎日何度も接続試行を受けます。
WAN=アクセスを拒否するようにルーターを構成するだけで、ほとんどの攻撃から保護されます。また、ルーターは通常、定義されたしきい値を超えたときにログをローテーションするため、ストレージはログでいっぱいになりません。
ルーター、ポリシー、ルール、ログなどの構成を再検討する必要があるようです。ログにそのタイプのエントリが多数ある場合は、理由、ポートスキャン、IPルール、またはルーターの設定ミスが原因です。一方、アウトバウンドインターフェース(インターネットに接続されているインターフェース)には不良/異常なトラフィックが多いため、eth0デバイスで事前にフィルタリングすることをお勧めします。