port139勉強会に参加
とりあえずケーキは☆半くらいかな
チーズケーキ+ホイップクリームとチョコレート2つ食べたが
全体に甘すぎと感じた。
内容
1. 『ネットワーク監視による侵入検知』
講師 渡辺@犬のみっきー 様(20分〜30分)
わたなべかつひろ
http://www.hawkeye.ac/micky/
資料http://www.port139.co.jp/cakeoff.htm
本名を
不正アクセス調査ガイドはそろそろ改訂しなきゃいけないけど
時間がない
snort本の方が忙しい
snortユーザ会代表
本来不正アクセス監視はネットワーク監視の一部
インシデントに遭遇したら
二時被害の拡大を防ぐ
不正アクセスの証拠を押さえる
不正アクセスの原因を知る
インシデントの発見直後なら復旧できる可能性が高い
ids,fw等
どのように発見されるか
外部からの通報
HP改ざん
あなたのマシンから不正アクセスをうけている
データが漏れている
内部
IDSによるつうち
計算機の通知
ディスクが
偶然見つけた
ウィルスチェッカをかけてみたらトロイ発見
NIDS
200万,保守10%,担当者一人張り付き
ありがちなネットワーク管理者
ここのコンピュータまで管理権限が及ばない
予算に恵まれていない
管理者の人的リソースが少ない
予算にめぐまれていない
NIDS
大量のプロトコルアノマリ(壊れたパケットや
プロトコルにしたがっていないパケット)
管理
どのプロトコルが一番使われているか
エラーパケットは?
単にトラフィック流量を監視するだけで
OpenViewとか
ICMPをトンネルに使う人もいる
システム監視
CPU,DISK,設定ファイル
SWACH>設定ファイル
パケット、ログ、ステータスには個性がある
通常の個性と違うのがわかると発見
>アノマリ・ディテクション(異常検知)
システム化自動化されすぎてあまりされてないのでは?
グラフ化(ビジュアライゼーション)することで
あとは人間に任せる
スキルのない管理者のために
>ナレッジベース
ベイチャンネットワーク?
大規模な場合はN次的に管理
ネットワーク
セグメント
機能
SNMPの見直し
>MRTG,SNMPWARK,SNMPGET,RRDTOOL+フロントエンド(CACTI)
エンタープライズMIB,RMONあたりちゃんと実装してる?
新機種にマネージメントソフトが対応しなければならない
WINは通常の状態は無効かされていたりする
>WWW.SNMPLINK.ORG
www.mrtg.jp
Windows上でMRTGを実行することが可能
CACTI
ICMP ECHO レイテンシ
トラフィック流量
syslogの行数だけ監視したら?
プロトコルアノマリ数
プロトコルのステートメント長(バッファオーバーフロー)
snortを使って
シグネチャの最適化によりアラートを減らすより
グラフ化して平常時として記録する
些末なアラートでも意味はある
>これはスニファーだと思え
>サービスアベイラビリティの監視にも成る
特定の文字列のデータグラム
特定のフラグ構成のデータグラム
特定の長さのデータグラム
どの条件にもマッチしないデータグラム
その他
Monyolog
IPLOG
Ntop
ShowTraffic
将来的には
分散ネットワーク監視
とにかくなんでもグラフ化して人が見る!
質疑応答
自分が監視しているネットワーク監視の情報を外に出すのは
はばかられる
定点観測システムを作りたい
KNOPPIXで1CD SNORTが動くようになったのでテスト者募集
にいぎさんにほしいというともらえる
YAHOOやOCN,電力系から不正なパケットがくることが多い
今日は結婚記念日でした 犬@ミッキー
5/22
MSサザンタワーの会議室がただで借りられる
MVPはgoogleでどれだけひっかかるかがポイントになる>米MSでの審査のため
暗号か通信の法的側面
メールとほとんど同じ
採用時等にうちはメール/ネットワーク監視をしますよ と言えばOK
2.自己紹介(参加者)
3.ディスカッション&ケーキ
NetAgent
Winnyの検知とブロック
10/24 ACCSでWinnyの
キャプチャして暗号を解析しよう
ノード情報
IP:PORT(グローバル:NAT(元IP))
回線速度:自己申告
クラスタキーワード
共有ファイル名
ぶら下がっているノード
300位クラスタをみたが、合法なファイルでクラスタ組んでる人はいなかった
99%位違法でーたしかないのではないか
見えるのはIPアドレスとクラスタキーワードだけ
警察から要望が合ったら売る
30万ノード*980円くらい
