[port139ml:01985] Re: HTTPTunnel@JUMPERZ.NET

["Kunio Miyamoto" <wakatono@xxxxxxxxxx>]

　みやもとです。

> ところでみなさん、トンネルの検出ってどうしてますか？
> 上記のだと Blowfish で暗号化できるので、ネットワーク型の IDS なりで
> 検出するの難しいですよね？
> ＃直接パケットみて暗号化されてるから怪しい、と踏むべき？
> ＃＃IPsec 使ってると、GW から先とかでやんないとですが...

　正直、難しいと思います。
　いくつか考えられる案はありますが、結局いたちごっこになりそうで。

＃私も（HTTPTunnelではないですが）暗号化IPトンネルを長いこと愛用し
＃てます。
＃理由は、不用意にパケットを覗き見られてもその中で何をやってるかは
＃わからない（推し量ることも出来ない）からなんですが。

> プロセスが実行されるホストで、そのプロセス実行を不審として検出でき
> れば十分かなと個人的には考えてますがどなんでしょ？
> ＃ソフトウェアの制限ポリシー or Tripwire or samhain の出番ぢゃ。

　ホストでの実行内容を管理下に置けるならばこれもありなんでしょうけど、
企業などに導入されているクライアントを集中的に管理するにはどうでしょ
う。

　確かに監視対象にあるホスト上で不必要に動いてるものについては、
プロセス監視とかTripwireでぶっちぎることができるとは思いますが…

---
宮本 久仁男 ( Kunio Miyamoto )
E-mail: wakatono@xxxxxxxxxx
WebDAV Resources JP:  http://webdav.todo.gr.jp/