[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[connect24h:0994] Re: hogwashってどうよ?
- To: connect24h@xxxxxxxxxx
- Subject: [connect24h:0994] Re: hogwashってどうよ?
- From: "H.Kawaguchi" <kawa@xxxxxxxxxxxxxxxxxxxxxxx>
- Date: Wed, 14 Nov 2001 14:31:19 +0900
かわぐちです。
On Wed, 14 Nov 2001 13:20:57 +0900
Shikap <shikap@xxxxxxxxxxxx> wrote:
> しかPです。
> #食事しながらこういうの書くのって消化に悪そうですねぇ(^^;
仕事しながらじゃないだけ良いかも(^^;
> > かわぐちです。
> > なんか召喚された気がしたのででてきました(^^;
>
> まいど。(^^)
> #この手のネタ、嫌いじゃないでしょ?>kawaさん
ええええええ(嫌よ嫌よも好きのうち(^^;;)
> > > えと、ちょっとマイナーネタで申し訳ないんですけど、
> > > hogwashと言う、FW+NIDSなprojectをなにげに見つけました。
>
> > これははじめて知りましたねえ。なんかウリになるようなのって
> > ないんでしょうか(^^; 結構みかけるような。
>
> やはり中身はsnort1.7+flexrespみたいなものでした。
> ただ、IPサポートをオフにして構築したカーネル上で動作させることで、
> FW直攻撃で■■終了■■、なんてことを避けられるみたいですね。
> 一般的なPCで、100M環境もOK、みたいな記述もありました。
> この辺りはちょっとそそりますねぇ。(^^)
>
> まぁ、この類のプロジェクトが多種動いているのは、どれも決め手に
> 欠けるって事なんでしょうねぇ。
使ったこと無いんですけど、こういうのって結構ありますよねえ。
ipchains と連動しているやつもあったような。Firewall-1 とかも。
> そもそもパターンマッチとIPレベルのフィルタを比較した場合、IPレベル
> のものはセッションハイジャックなんかの攻撃を防御するのに苦労する場合
> もありますが、パターンマッチならばある程度効果があるかと。
> #こういった部分は内側ホストで防御すべきかもしれないんだけど・・・
>
> そのかわり、パターンにマッチしないのは通してしまいますし、安全な通信
> なのにパターンにマッチしちゃうと通信遮断されてしまうという弊害もある
> ので、どちらが優れている、という判別はなかなか難しいかと。
IPレベルのフィルタで無駄なのを落してから、パターンマッチをかけた
方が効率も良いとか。フィルタで落されたもののパターンマッチもそれ
はそれで必要かもと思ってみたり。NIDS と HIDS の関係みたく併用が
望ましいんでしょうねえ。
> まぁ、パターンマッチは、結局IPアドレスやポートをマッチさせればいい
> ので、IPベースのフィルタも含む、と言う設定が可能ですね。
> #ただしftp-dataをうまく制御するのは間違いなく大変だけど。
> #ipchainsやiptablesは専用のアルゴリズムで回避しますが、パターンマッチ
> #の場合、これらの機能を作らなくてはならないですからねぇ。
> #このあたりはどうなっているんだろう?>hogwash
>
> と言ったわけで、最近はsnort+flexrespやhogwashのような、「反応するNIDS」に
> 目がいっています。
僕は ipchains と連動して欲しいと思ってみたり。アラートのうっとおしい
やつのルールをさくっと作って欲しいなあとか。
> #ベストはカーネル組み込みのIDSなんて方向に行くんだろうけど、IDSはその
> #運用によってゴミプロセスにもなり得るだけに、カーネル組み込みまで進化す
> #るためにはまだまだハードルが高いように思っています。
カーネル組み込みにしちゃうとIDSからごっそりって落ちたりすると問題
だったりしませんかね。でもパターンマッチングのみの機能を実装するな
ら以外にも組み込みでも行けるかもと勝手に思ってます(^^;
> > Prelude の方は snort のルールセットが読み込めるみたいですけど、
> > 僕は失敗しました(TT) もっとドキュメント読まないと。
>
> ルールセットが新しすぎてうまくいかない、って事はないですか?
> #責任は持てません。使ったことないし。
一応 snort-1.7 附属の奴を試したんですけどねえ。HOME_NET とかの変数が
セットされていないのでエラーがでてるみたいで。調査中っす〜。
ただ、prelude_report というレポート機能が別で動いていて、他のマシンで
prelude を動かして prelude_report にログを送れるのが良いかなと思って
試してみてます。
> > ということで、しかΡさん、期待しています(^_^)
>
> あぅ。NIC2枚差しマシンを調達せねば・・・・(--;;;
> #そうなのよ。NIC2枚差しが基本みたいなんですよねぇ。
> ##むかし、それがネックになってastaro linux導入を断念したなぁ。
VMWare とかが楽で良いんじゃないでしょうか?
☆ ★ ☆ ★ ☆ ★ ☆ ★ ☆ ★ ☆ ★ ☆ ★ ☆ ★ ☆ ★ ☆ ★ ☆ ★ ☆
川口 洋 岡山大学 知能情報処理工学研究室
kawa@xxxxxxxxxxxxxxxxxxxxxxx
http://inu.momo.it.okayama-u.ac.jp/ ぢつは日記系サイトなんです?
そろそろ kernel もあげようかな。
--[PR]------------------------------------------------------------------
【FreeMLからのお知らせ】
ユーザー登録すると、MyPageっていうとっても便利なページが使えるように
なります。
例えば、MLの過去ログが見られたり、アドレス変更も簡単に行えます。
http://www.freeml.com/reg_member1.php
------------------------------------------------------------------[PR]--