[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[port139ml:01989] Re: HTTPTunnel@JUMPERZ.NET

To: port139ml@xxxxxxxxxxxxx
Subject: [port139ml:01989] Re: HTTPTunnel@JUMPERZ.NET
From: Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Date: Mon, 20 Jan 2003 08:57:02 +0900

おはようございます、Port139 伊原です。

On Mon, 20 Jan 2003 02:07:06 +0900
"Kunio Miyamoto" <wakatono@xxxxxxxxxx> wrote:

>> ＃ソフトウェアの制限ポリシー or Tripwire or samhain の出番ぢゃ。
>
>　ホストでの実行内容を管理下に置けるならばこれもありなんでしょうけど、
>企業などに導入されているクライアントを集中的に管理するにはどうでしょ
>う。

 1.ソフトウェアの制限ポリシーでテンポラリフォルダにおけるプログラム
   の実行を許可しないように設定する
 2.プロセス実行の監査を行う
 3.可能であれば完全性チェックツールを入れチェックする
 4.少なくとも3ヶ月に一度くらい実行プロセスのログを確認する

辺りならどうでしょうか？
＃3ヶ月は弁護士によっては期間が空きすぎとコメントされるかもですが。

正常なプロセス起動は除外するフィルタか何か作っておけば、許可外など
のプロセス実行ログだけ確認する感じになるかと。
＃ただ、Java とかだと VM の実行は検出しても、その先が不明かも？

ま、system32\notepad.exe と言われても、それが本当の notepad.exe か
どうかは別のお話なのですけど...

UNIX でもプロセス起動時にハッシュ値をチェックして～というのは可能
ですよね。実現するツールの名前を忘れてしまいましたが...

-- 
Port139 セミナー 次回(大阪会場)は 3月14日開催予定
Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Port139 URL: http://www.port139.co.jp/
PGP PUBLIC KEY: http://www.port139.co.jp/pgp/

References:
- [port139ml:01982] Re: HTTPTunnel@JUMPERZ.NET
  - From: Hideaki Ihara
- [port139ml:01985] Re: HTTPTunnel@JUMPERZ.NET
  - From: Kunio Miyamoto

Prev by Date: [port139ml:01988] Re: SMBrelay vs SMB 署名
Next by Date: [port139ml:01990] Re: HTTPTunnel@JUMPERZ.NET
Previous by thread: [port139ml:01985] Re: HTTPTunnel@JUMPERZ.NET
Next by thread: [port139ml:01986] Re: HTTPTunnel@JUMPERZ.NET
Index(es):
- Date
- Thread