[connect24h:3572] Re: インドとNetVCR

[hama <hamamoto@xxxxxxxxxxx>]

はまもとです。

> こんばんは。高橋と申します。
ども。御世話になっております。 

> Anormaly検出を利用してプロアクティブに検出してくれる（らしい）製品ですと，
> ActiveScout ( http://www.forescout.com/whatwedo.html )
> FloodGuard ( http://www.reactivenetworks.com/products/products.htm )

ネットワーク型のIDSで、シグネチャベースのIDSは、処理速度的にそのままでは
Gbitの帯域に対応できないので、プロトコルで振り分けて既存のシグネチャベー
スのIDSを使うか、NetVCRのようにとにかく全て保存するか、リアルタイムで統計
的な検出を行うか、だと思います。他にネットワークベースで検知のアプローチっ
てあるのかなぁ。。。後は、ホストベースIDSや、Tripwireのようなファイル改竄
検知型IDSくらいですかね。
今後のIDSの方向性が定まっていないと思うのですが、アメリカでは実際に製品が
出つつあるようですね。

> というものもあるようです。北米の展示会で見かけました。ですが日本には
> まだ未上陸です。しかもどちらかといえば，ターゲットは大規模ネットワー
> クですね...。

データセンター、一定規模以上の企業バックボーン用でしょうか。

> とりあえずパケットを取り込むための機器ですと
> http://www.laser5.co.jp/solution/pbh/index.html
> というのもあるようです。Ethrealが同梱されているそうですが，再送は
> ...できるんだろうか？

パケットブラックホールの開発者の方とはAD2001だったかでお会いしたのですが、
北米上陸を視野に入れているとおっしゃられていました。やはりこの手の大規模
ネットワークを監視すると言うのは、日本だとまだまだで、アメリカのほうが市
場が大きいだからでしょうか。。。

On Tue, 02 Apr 2002 01:20:51 +0900
tadashi nagao <tadashi@xxxxxxxxx> wrote:

> 関連してなんですけど、これらの仕組みは、
> ネットワーク設定ミスに迅速に対応できるのでしょうか？
> 
> 不正ARPが発生して、ネットワークがくるくるぱーになっていたらすぐに
> どれが悪いかつきとめるとか、簡単にできるといいと思うのですが、
> どうなのでしょうか？

それはIDSの検知機能等ではなくてNAIのほうのSnifferの障害検知Expert機能
のほうの分野ではないでしょうか。。


+---------------------------------------------------------------------
| はまもと
| ■常時接続の宴（インターネット常時接続ニュースサイト）
| http://cn24h.hawkeye.ac/
| ■24 時間常時接続メーリングリスト開催中
| http://cn24h.hawkeye.ac/connect24h.html
| ■セカンダリDNS互助会
| http://cn24h.hawkeye.ac/dns.html 
+----------------------------------------------------------------------


--[PR]------------------------------------------------------------------
使ってみたら意外と便利！ FreeMLのMyPage
さあ使ってみよう→ http://www.freeml.com/ctrl/html/UserRegForm
------------------------------------------------------------------[PR]--
<GMO GROUP> Global Media Online  www.gmo.jp