[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[port139ml:01982] Re: HTTPTunnel@JUMPERZ.NET

To: port139ml@xxxxxxxxxxxxx
Subject: [port139ml:01982] Re: HTTPTunnel@JUMPERZ.NET
From: Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Date: Mon, 20 Jan 2003 00:36:45 +0900

Port139 伊原です。

On Mon, 20 Jan 2003 00:29:44 +0900
Hideaki Ihara <hideaki@xxxxxxxxxxxxx> wrote:

>HTTPTunnel@xxxxxxxxxxx
>http://www.jumperz.net/index.php?i=2&a=0&b=0

ところでみなさん、トンネルの検出ってどうしてますか？
上記のだと Blowfish で暗号化できるので、ネットワーク型の IDS なりで
検出するの難しいですよね？
＃直接パケットみて暗号化されてるから怪しい、と踏むべき？
＃＃IPsec 使ってると、GW から先とかでやんないとですが...

プロセスが実行されるホストで、そのプロセス実行を不審として検出でき
れば十分かなと個人的には考えてますがどなんでしょ？
＃ソフトウェアの制限ポリシー or Tripwire or samhain の出番ぢゃ。

この辺り Honeypot の監視でも問題になるところだと思いますが。

-- 
Port139 セミナー 次回(大阪会場)は 3月14日開催予定
Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Port139 URL: http://www.port139.co.jp/
PGP PUBLIC KEY: http://www.port139.co.jp/pgp/

Follow-Ups:
- [port139ml:01985] Re: HTTPTunnel@JUMPERZ.NET
  - From: Kunio Miyamoto
- [port139ml:01986] Re: HTTPTunnel@JUMPERZ.NET
  - From: Kanatoko

References:
- [port139ml:01981] HTTPTunnel@JUMPERZ.NET
  - From: Hideaki Ihara

Prev by Date: [port139ml:01981] HTTPTunnel@JUMPERZ.NET
Next by Date: [port139ml:01983] Re: SMBrelay vs SMB 署名
Previous by thread: [port139ml:01981] HTTPTunnel@JUMPERZ.NET
Next by thread: [port139ml:01985] Re: HTTPTunnel@JUMPERZ.NET
Index(es):
- Date
- Thread