[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[connect24h:00158] Re: セキュリティツール紹介
- To: connect24h@xxxxxxxxxxxxx
- Subject: [connect24h:00158] Re: セキュリティツール紹介
- From: hama <hamamoto@xxxxxxxxxxx>
- Date: Mon, 19 Jun 2000 10:43:08 +0900
はまもとです。
On Mon, 19 Jun 2000 09:32:17 +0900
YoshiHaru Ohkawara <yosh@xxxxxxxxxxxxxxx> wrote:
>
> おーかわらです
>
> On Sun, 18 Jun 2000 16:51:02 +0900
> hamamoto <hamamoto@xxxxxxxxxxx> wrote:
>
> > はまもとです。
>
> > 私が評価した中では、東陽テクニカのBlackICEはIPのみで信頼します。
>
> 私は現在こいつを評価中です。
> 考え方としてはスニファの延長にあるものなのですが、よくできています
そうなんですよ。今、製品版を使っていますが、体験では見れない受けた攻
撃のログが面白いですよ。自宅のマシンにPOP3サーバへの攻撃をなぜか受け
たのですが、Subjectのところにあきらかにバッファーオーバーフローを狙っ
たとおもわれる。subject: aaaa〜数百〜aaa/自粛/という記述があって、へー、
こうやるんだ、といった感じです。
> ただ、新種の攻撃種類や方法のUpdateがどの程度の速度で対応している
> のかがちょっと不明なのが気になりますが、実際に攻撃を受けた際に
この点は、検討課題だそうです。
後々、コンピュータウィルスのLiveUPdateのような機能でアタックシグネチャ
を増やす予定のようです。現在は、アップデートプログラムを治部でダウンロー
ドしてきて、上書きアップデートの形でアップデートするようです。日本語化
してアナウンスするので、どうしても更新は遅れがちのようです。
ただ、現在のアタックシグネチャの数としては800程度あるはずなので、下手な
IDSがはだしで逃げ出すほどですから、これらだけでも当面は十分と言う話もあ
ります。
それから、一回買ったあとの次年度からのアップデートは3500円くらいで、
マイナーバージョンアップは、この費用の中で行えるそうです。
> その攻撃手法がWebで解説されているのはうれしいですね。
ここがこの製品の強みであり、弱みですね。下手に公開しているから、ユーザ
サポートが本当に大変みたいです。一般の技術的なことに無頓着なお客さんじゃ、
あれを見てもさっぱりわかりませんからね。だから、儲からない製品だそうで
す。
個人的には現在ダウンロード販売のみですが、パッケージ化して、迷彩服の
ねーちゃんにその箱を持たせて売れば、絶対売れる製品だと思うんですけどねぇ。
サポート費用とサポートする技術要員の育成費用がバカにならないので、そこ
まで踏み込めていないようです。
# インターロップでの聞き取り調査より。
> この製品にはステルス機能もつけることができて、BlackICE用セグメント
> を作成することで、IDSを装備していることが外から見えなくするという
> ことも可能なようです
ステルス機能?防御のところで防御レベルを最高にした状態でしょうか?
それともINIファイルに何か記述するのでしょうか?
> > (注)IDS:Intrusion Detection System:侵入検知システム。
> > Firewallよりも積極的にネットワーク越しの攻撃を検知することを
> > 目的に作られたシステム。
> これについて数ヶ月前のInteropマガジンに特集されていましたね(^^
> IDSを実際に導入する場合はその運用法が非常に重要になりますね。
そうですね。侵入検知システムとしては「誤検知」という避けて通れない問題
がありますから。
> この辺の話はMLの趣旨から外れるので止めます(^^
外れません。がんがんにいっちゃってください。;-)
# 私は個人レベルでも侵入検知システムは必要だと思っています。
# 個人レベルでできるネットワークセキュリティの話題も、当然範疇です。
> フリーのIDSがいくつかあったと思います
私が知っている範囲だと
■snort
http://www.snort.org/
GPLで開発されているIDS。つい最近、独自ドメインを取得。一押し!
■NFR
http://www.nfr.com/
市販もされている。n-codeと呼ばれる簡易言語でアタックシグネチャを簡単に
記述できるのが特徴。フリー版だとアタックシグネチャの数が少なすぎて使い
ものにならない。自分でn-codeで書くか、アメリカ海軍が公開しているn-code
をダウンロードして組み込む必要がある。
あたりでしょうか。広義の意味では、こんなのもありますね。
■Tripwire
http://www.tripwire.com/
ファイルの差分をデータベース化して、前回チェックした状態と違うとアラー
トを出す。現在は有料の製品だが、昔のバージョンなら無料で使える。有料なら
はWindows版もある。正しく設定されたこの製品を欺くことは事実上不可能。
お勧め。
NFRはタダで使える分はアタックシグネチャの数が少ないので、個人で使うには
snortの方がお勧めです.いずれもLinuxで動作するものです。少し落ち着いたら、
これらにも手を出して自宅の環境に取り入れようと思っています。そうしたら、
レポートで報告したいと思います。
> 資料が行方不明(机がすごいこと)になってますので
> 発見次第、またメールします(^_^
よろしくお願いします。(_ _)
+---------------------------------------------------------------------
| はまもと
| ■常時接続の宴(インターネット常時接続ニュースサイト)
| http://www.hicat.ne.jp/home/hamamoto/
| ■24 時間常時接続メーリングリスト開催中
| http://www.hicat.ne.jp/home/hamamoto/ml/connect24h.html
+----------------------------------------------------------------------