[connect24h:2469] Re: FYI：色々

[syun <syun@xxxxxxx>]

> 　　　　　　WEBサーバ
> 	    |
> 	   謎の製品
>             |
> Internet---FW----イントラネット
> 
> といった構成で利用します。
> IPアドレスが付与されていないので、インターネット上からそのハード
> ウェア製品は発見されません。一種のキャッシュサーバにMD5(?)のチェッ
> ク機能をつけたようなイメージですね。正しいコンテンツだけ、インター
> ネット上に公開すると。で、コンテンツが改ざんされると、MD5(?)チェック
> を行って発見し、発見後はあらかじめ用意した工事用のコンテンツを変わり
> に公開するというものです。
> 
> WEBサーバ、OSのセキュリティホールはどうしても発見されるから、それは
> もうあきらめて、改ざんされたコンテンツを外に出さないようにするという
> コンセプトの製品ですね。
> 
> > すると、同じホスト内のコンテンツしかチェックできないのかな..
> Tripwire for Web Pagesだと、そうですね。
> 
> しかも、CodeRedのようにワーム本体は、メモリに常駐して、しかもHTMLファ
> イルを生成しないでAPIを乗っ取ってしまうようなタイプの新ワームが発生し
> た場合、Tripwire for Webだと、改ざんページを発見できないかもしれません
> ね。詳しくは分かりませんが。
 
Tripwire for Web が、サーバのファイル監視のみを行う製品であれば、
原理的に発見できないはずです。

なお「どうせ改ざんされるのは、トップページだろ」という発想でよければ、

(これは、ファイルの改ざんだけを指すのではなく、誰かが TOPページを
WEBブラウザでアクセスした結果、改ざんされたように見える場合全てのこと)

リモートのホストから、定期的に TOPページをダウンロードして改ざんされて
いるかどうかを検査すれば良いです(全ページダウンロードしたって良いけど、
それなりに負荷もかかりますから)。こういうプログラムは、ネットワーク
プログラミング初心者でも3時間位で作成できます。

サーバの手前に Linux で作ったブリッジをいれて、流れるパケットを
リアルタイムで検査するなんてことも可能です。同じ仕組みで IDS のような
ものも作成可能です(こういうIDSではメンテナンスが大変なので、
個人で使うとか、大学の研究室で使用する以外は、専用のアプライアンスサーバ
の方が良いでしょうけど)。

> メモリ常駐タイプのワームは通常のアンチウィルスソフトでも発見できないか
> ら、今後、NIDSなどとの併用は必須になっていくでしょうね。

--[PR]------------------------------------------------------------------
 ◆◇◆ FreeMLリニューアル!! PCでも携帯でも、どこでもMyPage◆◇◆
    FreeMLとifreeMLを『同一メールアドレス』でご利用の方は、
       １つのMyPageから確認できる様になりました。
新システムについては→ http://www.freeml.com/help/renewal.html
------------------------------------------------------------------[PR]--
<GMO GROUP> Global Media Online  www.gmo.jp