[情報SEC]第28回 侵入検知システム(IDS)(2)

第28回　侵入検知システム(IDS)(2)

IDSの構成例
HIDSはホストに入れるソフトなのでこの際無視します。
検知が必要なサーバにコストを勘案して導入しときます。

ネットワーク構成は次の三種類がここ(翔泳社の本)には書いてあります。
１．スイッチ接続
　　スイッチのミラーポートに接続する方法。
　　ミラーポートとは、他のポートにだけ流れるはずのパケットをミラー(コピー)して
　　流すものです。
　　主にパケットキャプチャに使います。
　　IDS(NIDS)もパケットキャプチャの一種。
　　ここに接続してパケットをのぞき見する。

２．TAP接続
　　昔はバカスイッチ(L1スイッチのこと。インテリジェントスイッチの対語。)
　　に接続すれば、パケットキャプチャできたですが、いまでは末端まで
　　L2スイッチ(これもインテリジェントでないものはバカスイッチ。)となっとる。
　　なので、パケットのぞき見を生業にしているものには非常にやりにくい世の中になってしもた。
　　で、IDSやスニファーを接続するための機器が生まれた。
　　ここ二年ばかりで出たものでしょう。
　　水神がネットワーク屋やめてから出てきたもののようです。(要するに初めて知った。)
　　それが、TAP。たぶん「たっぷ」と読むのでしょう。
　　ちょうど電源タップと同じイメージなので。
　　何者かはこちら(PDFです)をご覧下さい。ピンと来るでしょう。
　　来ない人はネットワークを勉強してからまた戻ってきてください。
　　セキュリティやるには、ネットワークとサーバ(unix)の知識が必須です。
　　要するにこれバカスイッチ(L1版)ですな。
　　いつの間にか名前が変わって復活しているらしい。
　　バカスイッチなので、当然IPもないしネットワーク的にはその存在は見えない。
　　時代がおもしろいもん作ったの。

３．LB接続
　　何か急に略語が増えたの。
　　LBはロードバランサーのつもりらしい。
　　で、ここで書いてあるのは、SSLアクセラレータつきのLB。
　　...もうわけわからん。
　　まあ、要するに、Webサーバ(SSLを使っているやつ)向けのものらしい。
　　なんか意図がようわからんので、ここではやめとく。
　　SSLつまりHTTPS通信の監視までできる。ということだけ書いときます。

IDS導入上の留意点
いろいろ書いてあるけど、所詮はパケットキャプチャであるということ。
これさえ理解していればいろんな問題が見えてきます。

二つだけ書いとくと、
パケットの取りこぼし。100Mbpsのパケットをを20本とろうとすると、
2Gbpsの処理能力が必要となる。(瞬間風速的に。)

当然、パケットの取りこぼしが起きる可能性もあるわけだ。
パケットキャプチャでは、一つのパケットだけで何かが分かることはまずない。
複数のパケットを調べて、それ(攻撃)らしいと判断する。

一つでも取りこぼせば的確な判断ができなくなるのは、想像に難くない。
もう一つ。暗号化されたパケットは監視できない。
当たり前ですが、見過ごされがち。

なんでも監視できると盲目的に信用するのは危険。
あとどうでもいいけどこの本の209ページの図が文字化けしとるの。
なんか意図があるかと悩んでみたが、結論としてはただの文字化け。

目の裏にきた

こんばんは。
水神です。
今日はラン栽培セット買ってきました。

ぽこぽこかごにつっこんでたら四千五百円とられた。
んー、まあそんなもんか。
いよいよ明日はランを鉢に移す日です。今日はさぼりました。

ゲームのしすぎで目が痛いです。
目の裏っかわが筋肉疲労。
ひどい状態だ。

すっかり道端も花畑。
気づけばもう三月も終わり。
はやいの。桜もちらほら咲いとる。

自己嫌悪

訳もなく
疑うことを
自己嫌悪
信じられない
自分が悪く

あ、いや、それは感じたことであり、
真実はどうかはともかく、自分を責める必要はない。
必要なのは、行動です。悶々と妄想していても落ちていくだけ。

法律違反容認

法律違反容認

PSEマーク問題。
結局、法律違反を容認するということで、中古品の販売を許すことになった。
...無理矢理だ。

PSEマークがないものも中古であれば販売できるようになった。
ただし、買った人がPSEマーク認証を受けることが前提。
認証を受けるまではレンタル扱いとなる。

ただし、一定期間(勝手に決めてよい)のレンタル後は無償譲渡も可。
...なんやねん。
ややこしい。法律の方がおかしいとちゃうか？

と思わずにはいられない。
しかしこの件、法律を作った(承認した)張本人である国会議員の発言がさっぱりない。
永田議員の話なんてどうでもいいから、この件でなんかしゃべってくれんかの。

役人だけが悪いとはおもえんぞ。この件は。
そんな法律作った政治家にも責任がある。
しかし、この間いってたビンテージものリストってのは、消えるんかの。

もう事実上意味ないし。
まあ、10年くらい経てば一般家電はPSEマークついたものだけになるだろうし、
そのころになって、ようやくビンテージものリストが生きてくるかの。

けど、いいのかの。
法律を勝手にそんな風に解釈して。
法律の解釈・運用次第で如何様(イカサマではない)にでもなるってことだ。

役人の権限ってすげーの。
国会議員の立場ないの。
って、声すらきこえてこんし。やるきないんかの。

[情報SEC]第27回 侵入検知システム(IDS)

第27回　侵入検知システム(IDS)

このペースで行くと試験日までに終わりそうにないので、ちょっと急ぎます。
侵入検知システム(IDS)はファイアウォールと比べれば比較的新しい技術。
IDSはネットワークやホスト(サーバ)をリアルタイムで監視するシステム。

システム(ネットワーク含む)への侵入や攻撃を検知して、担当者へ連絡するのが基本機能。
仕組みはアンチウイルスソフトと同じだ。
パターン(通信内容など)を調べて、攻撃と見なせば、反応する。

当然、見間違いもある。(はず。)
オオカミ少年状態になる可能性もある。
どこまで厳しくやるかにもよるので、ポリシー(例によって経営上)次第。

IDSは主にネットワークを監視するものとホストを監視するものがある。
ネットワークを監視するものは、言うまでもなくパケットを見る。
見る場所は通常ファイアウォールのある位置がもっとも効率的。

なので、ファイアウォール一体型なんてのが出てくる。(重くないのか？)
あとは、DMZ。一番攻撃を受けやすいので。
内部ネットワークに設置する場合は、主に身内の犯罪を防止するのが目的となる。

ちゃんとファイアウォールが設定・設置されていれば内部にまで入られることはまずない。
ちゃんと設定されていれば。だけど。
チェック方法はさっきも言ったとおり、パターン定義をもとに検査することになる。

異常検知
定義されたパターンにないものでも、同じコマンド(通信)が異常に多いとか、
異常なパケット形式のものがある場合危険と判断するとか、そういうもの。

もちろん、オオカミ少年になる可能性もある。
担当者は異常検知メールに慣れないように。
慣れるとメールを開きすらしなくなります。

次にホストを監視するもの。
これは、まさにアンチウイルスソフト。
ホストにインストールして内部で監視します。

やることもまさにアンチウイルスソフト。
一応サーバっぽく、ファイルの無断書き換えや勝手なプログラムの起動なんかもチェックしてくれます。
が、これ、ちょっと厳しいアンチウイルスソフトだな。

明日に続きます。
眠いので。
というのと、ちとぼく自身もちゃんと勉強したいので。IDSは。