セキュリティ(5) 05A2013 大川内 斉
と不正なパケットを見分けられない可能性がある 前回の内容 IDS(侵入検知システム)を導入し、具体的にどのように不正アクセスを検知しているかの検証を行った ハッカー IDS 一般ユーザ 正規のアクセス要求パケット と不正なパケットを見分けられない可能性がある 近年では、ファイアウォールとIDS一体化のセキュリティソフトも多い
今回の内容 前回、導入したIDS(snort)にメール通知機能を追加し、実際にツールを用い、危険な通信と検知したことをメールで通知できるかの検証を行った
ポート番号 IPアドレスはコンピュータの識別に利用 ポート番号はサービスの識別に利用 パケット FTP(21) SMTP(25) HTTP(80) IPアドレス・ポート番号など
ポートスキャン ポート(通信の入り口)に順番にパケットを送り、入り口となりうる脆弱なポートがないかどうか調べる行為 ネットワーク管理者が侵入可能なポート、セキュリティホールのあるポートが開いていないか、自分の管理するシステムの確認のために行うこともあるが、不正利用者が侵入の前段階として行うことが多い
危険な通信と判断するには snortが出力するPriority(影響のレベル)に基づいて判断する 初期設定(デフォルト)では、1~4の4段階があるが、今回は「1」又は「2」の場合にのみ通知する(値が小さいほど深刻度が高い) ポートスキャンを行った結果
今後の予定 通信を遮断する機能
参考資料 サイト ・IT用語辞典e-Words http://e-words.jp/ 書籍 ・技林/アクセス解CGI http://tech.bayashi.net/ 書籍 ・マスタリングTCP/IP 入門編 竹下 隆史/共著