[connect24h:2468] Re: FYI：色々

[hama <hamamoto@xxxxxxxxxxx>]

はまもとです。

> > むむ。製品でそういう機能を持ったものがありましたね。以前、紹介したような。。。
> > 透過的なファイアウォールのような形で設置して、ネットワーク上を流れる
> > ファイルをMD5でチェック。書き換えられたら、外にパケットを出さないように
> > して、あらかじめ用意した工事中のファイルを変わりに外部に公開するとい
> > うものだったと思います。
> > # 月曜日、製品名を確認しよう。
> Tripwire for Web Pages かな？
> http://www.tripwire.co.jp/product/web.html
> これは Apache のモジュールとして組み込むようですね。

ちゃいます。

　　　　　　WEBサーバ
	    |
	   謎の製品
            |
Internet---FW----イントラネット

といった構成で利用します。
IPアドレスが付与されていないので、インターネット上からそのハード
ウェア製品は発見されません。一種のキャッシュサーバにMD5(?)のチェッ
ク機能をつけたようなイメージですね。正しいコンテンツだけ、インター
ネット上に公開すると。で、コンテンツが改ざんされると、MD5(?)チェック
を行って発見し、発見後はあらかじめ用意した工事用のコンテンツを変わり
に公開するというものです。

WEBサーバ、OSのセキュリティホールはどうしても発見されるから、それは
もうあきらめて、改ざんされたコンテンツを外に出さないようにするという
コンセプトの製品ですね。

> すると、同じホスト内のコンテンツしかチェックできないのかな..
Tripwire for Web Pagesだと、そうですね。

しかも、CodeRedのようにワーム本体は、メモリに常駐して、しかもHTMLファ
イルを生成しないでAPIを乗っ取ってしまうようなタイプの新ワームが発生し
た場合、Tripwire for Webだと、改ざんページを発見できないかもしれません
ね。詳しくは分かりませんが。
メモリ常駐タイプのワームは通常のアンチウィルスソフトでも発見できないか
ら、今後、NIDSなどとの併用は必須になっていくでしょうね。

+---------------------------------------------------------------------
| はまもと
| ■常時接続の宴（インターネット常時接続ニュースサイト）
| http://cn24h.hawkeye.ac/
| ■24 時間常時接続メーリングリスト開催中
| http://cn24h.hawkeye.ac/connect24h.html
| ■セカンダリDNS互助会
| http://cn24h.hawkeye.ac/dns.html 
+----------------------------------------------------------------------


--[PR]------------------------------------------------------------------
今年も充実してます！
　Yeti自慢のワンメイク台！
　　スノボ・スキーのアグレッシブライダーが続々集合！！
　　　さ、練習、練習　→ http://www.yeti-resort.com/
東京都内からなら【ほんの90分】で行けます
------------------------------------------------------------------[PR]--
<GMO GROUP> Global Media Online  www.gmo.jp