バッファオーバーフロー

セキュリティ(6)
05A2013
大川内 斉
前回の内容

IDS(侵入検知システム)にメール機能の追加
今回の内容

ファイアウォールと連携
・危険な通信のパケットを破棄を行う

snortのログのグラフ化
・ログを管理するための統計ツールを作成した
統計ツール実行画面
フィルタ名(攻撃の概要)
グラフ化
具体的な手順
snortが出力する項目のPriority(攻撃のレベル)
が高いときだけで判断すると、正常な通信と危険な通信
の区別がつかないためフィルタ名(攻撃の概要)を表して
いる項目と合わせてチェックする
Priority
フィルタ名
iptables

Linuxに実装されているパケットフィルタリング機能、または
操作をするコマンドで
設定したルールとパケットが一致すれば、そのルールに設定
した処理を行う
コマンドの例
iptables –t filter –I INPUT -p tcp –s 123.123.123.123
--dport 80 –j DROP
→ IPアドレスが 123.123.123.123 でポート番号80/tcp
(http)を利用して入ろうとしているパケットを破棄する
というルールを追加する
実験
FTPサーバに対して、ログインを試みたときに規定回数
(3回)を超えてログインに失敗したクライアントは以降
(再起動するまで)アクセスできないようにした
ログイン失敗時にsnortが出力するログ
問題点



規定回数を超えると、FTPサービスだけでなく、他のサ
ービスも受けられなくなる
→ FTPサービスのみ利用できないようにする
重複したIPアドレスを持つクライアントもアクセスできな
いようになる
→ 有効な解決策見つかっていない
3回だと偶然、間違った可能性もある
→ 規定回数を増やす
今後の予定


個々の検知に対応する処理の追加
統計ツールの改良
参考資料

サイト
・ Wikipedia
http://ja.wikipedia.org/wiki/
・@IT –アットマーク・アイティ
http://www.atmarkit.co.jp/
・JavaDrive
http://www.javadrive.jp/
・Knave Web講座
http://www.site-cooler.com/