セキュリティ(4) 05A2013 大川内 斉 今回の内容 IDS(侵入検知システム)を導入し、具体的 にどのように不正アクセスを検知しているか の検証を行った IDS(侵入検知システム) コンピュータやネットワークに対する不正行為 を検出し、通知するためのシステム ネットワーク型IDS(NIDS) ネットワークを流れるパケットを監視する ホスト型IDS(HIDS) 内部ユーザの不正行為、ファイルの改ざん を監視する パケット ヘッダ+ペイロード+トレーラで構成 ・ヘッダ 送信元・送信先のIPアドレス、ポート番号など ・ペイロード データ本体 ・トレーラ 誤り検出情報 IDS(NIDS)の役割 ファイアウォールでは、検知できない不正な パケットをIDSで検知する ハッカー 一般ユーザ IDS 正規のアクセス要求パケット と不正なパケットを見分けられない可能性がある 侵入検知方法 シグネチャ型(不正検出) あらかじめ登録しておいたルール・パターンと 一致したパケットを不正攻撃と判断 アノマリ型(異常検出) 通常時の通信とは異なるやりとり(トラフィック 量の増加など)を不正攻撃と判断 snort snort ネットワーク型IDSで、ルール・パターンに基 づいて検知する、シグネチャ型を採用 不正パケットを検知したときの出力方法として テキスト形式、データベースへの格納などさ まざまな形式で出力できる snortの検証 ping パケットが接続先まで届いているか確認 青・・・ルールファイルで定義されている攻撃の概要 緑・・・攻撃のタイプ 赤・・・攻撃の危険度のレベル ルールの構造ー1 ルールヘッダ+ルールオプションで構成 ルールヘッダ IPアドレスやポート番号、ルールと一致したパケットに 対して何を行うかという設定を行う 例 alert icmp any any -> 100.1.1.1 any IPアドレス 100.1.1.1に対してのicmp(ping)に 対してアラートを出し、パケットを記録する ルールの構造2 ルールオプション より詳細な検知対象パケットの指定 例 (msg:”ICMP PING”; itype:8;・・・;priority:3;) alert icmp any any -> 100.1.1.1 any (msg:”ICMP PING”; itype:8;・・・;priority:3;) IPアドレス 100.1.1.1に対してのicmp(ping)に対して アラートを出力、危険度のレベル3、メッセージ “ICMP PING”として、パケットを記録する 今後の予定 検知したときに管理者に通知 検知したときにファイアウォールなどと連携 参考資料 サイト ・Wikipedia http://ja.wikipedia.org/wiki/ ・IT用語辞典e-Words http://e-words.jp/ ・http://safe-linux.homeip.net/index.html
© Copyright 2024 ExpyDoc
