Enviar búsqueda
Cargar
Ids ips
•
9 recomendaciones
•
2,481 vistas
Shigekazu Takei
Seguir
Denunciar
Compartir
Denunciar
Compartir
1 de 30
Descargar ahora
Descargar para leer sin conexión
Recomendados
4章 Linuxカーネル - 割り込み・例外 1
4章 Linuxカーネル - 割り込み・例外 1
mao999
ステートフル型のトラフィック監視ツールとDNSの監視例
ステートフル型のトラフィック監視ツールとDNSの監視例
Mizutani Masayoshi
Fast forensics(公開用)
Fast forensics(公開用)
f kasasagi
死んで覚えるDeep Security 〜 意識高いポート編
死んで覚えるDeep Security 〜 意識高いポート編
Hirokazu Yoshida
DeepSecurityでシステムを守る運用を幾つか
DeepSecurityでシステムを守る運用を幾つか
Hirokazu Yoshida
侵入防御の誤検知を減らすためのDeepSecurity運用
侵入防御の誤検知を減らすためのDeepSecurity運用
morisshi
140129 ips instruction
140129 ips instruction
Kenji Fukuta
スマートニュースの世界展開を支えるログ解析基盤
スマートニュースの世界展開を支えるログ解析基盤
Takumi Sakamoto
Recomendados
4章 Linuxカーネル - 割り込み・例外 1
4章 Linuxカーネル - 割り込み・例外 1
mao999
ステートフル型のトラフィック監視ツールとDNSの監視例
ステートフル型のトラフィック監視ツールとDNSの監視例
Mizutani Masayoshi
Fast forensics(公開用)
Fast forensics(公開用)
f kasasagi
死んで覚えるDeep Security 〜 意識高いポート編
死んで覚えるDeep Security 〜 意識高いポート編
Hirokazu Yoshida
DeepSecurityでシステムを守る運用を幾つか
DeepSecurityでシステムを守る運用を幾つか
Hirokazu Yoshida
侵入防御の誤検知を減らすためのDeepSecurity運用
侵入防御の誤検知を減らすためのDeepSecurity運用
morisshi
140129 ips instruction
140129 ips instruction
Kenji Fukuta
スマートニュースの世界展開を支えるログ解析基盤
スマートニュースの世界展開を支えるログ解析基盤
Takumi Sakamoto
業務系クラウドサービスが取り組んでいるセキュリティ対策
業務系クラウドサービスが取り組んでいるセキュリティ対策
Yusuke Tamukai
もう怖くない。実例で学ぶAwsでのサイジングと料金計算
もう怖くない。実例で学ぶAwsでのサイジングと料金計算
Takuya Tachibana
Strem処理(Spark Streaming + Kinesis)とOffline処理(Hive)の統合
Strem処理(Spark Streaming + Kinesis)とOffline処理(Hive)の統合
SmartNews, Inc.
短期間で大規模なシンクラ環境を用意した話
短期間で大規模なシンクラ環境を用意した話
淳 千葉
AWSの進化とSmartNewsの裏側
AWSの進化とSmartNewsの裏側
SmartNews, Inc.
Smartnews Product Manager Night
Smartnews Product Manager Night
SmartNews, Inc.
Scala@SmartNews AdFrontend を Scala で書いた話
Scala@SmartNews AdFrontend を Scala で書いた話
Keiji Muraishi
iOSアプリ開発者から見たMobile Hub
iOSアプリ開発者から見たMobile Hub
Jun Kato
インフラ専任エンジニアが一人もいないSmartNewsにおけるクラウド活用法
インフラ専任エンジニアが一人もいないSmartNewsにおけるクラウド活用法
SmartNews, Inc.
Building a Sustainable Data Platform on AWS
Building a Sustainable Data Platform on AWS
SmartNews, Inc.
美しいモバイルUXの理解と実践〜10の法則:アプリ企画・ユーザー体験編 先生:安藤 幸央
美しいモバイルUXの理解と実践〜10の法則:アプリ企画・ユーザー体験編 先生:安藤 幸央
schoowebcampus
AWS 初心者向けWebinar Amazon Web Services料金の見積り方法 -料金計算の考え方・見積り方法・お支払方法-
AWS 初心者向けWebinar Amazon Web Services料金の見積り方法 -料金計算の考え方・見積り方法・お支払方法-
Amazon Web Services Japan
SmartNews Ads System - AWS Summit Tokyo 2015
SmartNews Ads System - AWS Summit Tokyo 2015
SmartNews, Inc.
Scala(finagle)@SmartNews_English
Scala(finagle)@SmartNews_English
Shigekazu Takei
Scala@SmartNews_20150221
Scala@SmartNews_20150221
Shigekazu Takei
Startprintf_2013May18
Startprintf_2013May18
Shigekazu Takei
Pfds 9 2_2
Pfds 9 2_2
Shigekazu Takei
Pfds 5 2+6_4_2
Pfds 5 2+6_4_2
Shigekazu Takei
Stanford ml neuralnetwork
Stanford ml neuralnetwork
Shigekazu Takei
Pfds ex3 9
Pfds ex3 9
Shigekazu Takei
Más contenido relacionado
Destacado
業務系クラウドサービスが取り組んでいるセキュリティ対策
業務系クラウドサービスが取り組んでいるセキュリティ対策
Yusuke Tamukai
もう怖くない。実例で学ぶAwsでのサイジングと料金計算
もう怖くない。実例で学ぶAwsでのサイジングと料金計算
Takuya Tachibana
Strem処理(Spark Streaming + Kinesis)とOffline処理(Hive)の統合
Strem処理(Spark Streaming + Kinesis)とOffline処理(Hive)の統合
SmartNews, Inc.
短期間で大規模なシンクラ環境を用意した話
短期間で大規模なシンクラ環境を用意した話
淳 千葉
AWSの進化とSmartNewsの裏側
AWSの進化とSmartNewsの裏側
SmartNews, Inc.
Smartnews Product Manager Night
Smartnews Product Manager Night
SmartNews, Inc.
Scala@SmartNews AdFrontend を Scala で書いた話
Scala@SmartNews AdFrontend を Scala で書いた話
Keiji Muraishi
iOSアプリ開発者から見たMobile Hub
iOSアプリ開発者から見たMobile Hub
Jun Kato
インフラ専任エンジニアが一人もいないSmartNewsにおけるクラウド活用法
インフラ専任エンジニアが一人もいないSmartNewsにおけるクラウド活用法
SmartNews, Inc.
Building a Sustainable Data Platform on AWS
Building a Sustainable Data Platform on AWS
SmartNews, Inc.
美しいモバイルUXの理解と実践〜10の法則:アプリ企画・ユーザー体験編 先生:安藤 幸央
美しいモバイルUXの理解と実践〜10の法則:アプリ企画・ユーザー体験編 先生:安藤 幸央
schoowebcampus
AWS 初心者向けWebinar Amazon Web Services料金の見積り方法 -料金計算の考え方・見積り方法・お支払方法-
AWS 初心者向けWebinar Amazon Web Services料金の見積り方法 -料金計算の考え方・見積り方法・お支払方法-
Amazon Web Services Japan
SmartNews Ads System - AWS Summit Tokyo 2015
SmartNews Ads System - AWS Summit Tokyo 2015
SmartNews, Inc.
Destacado
(13)
業務系クラウドサービスが取り組んでいるセキュリティ対策
業務系クラウドサービスが取り組んでいるセキュリティ対策
もう怖くない。実例で学ぶAwsでのサイジングと料金計算
もう怖くない。実例で学ぶAwsでのサイジングと料金計算
Strem処理(Spark Streaming + Kinesis)とOffline処理(Hive)の統合
Strem処理(Spark Streaming + Kinesis)とOffline処理(Hive)の統合
短期間で大規模なシンクラ環境を用意した話
短期間で大規模なシンクラ環境を用意した話
AWSの進化とSmartNewsの裏側
AWSの進化とSmartNewsの裏側
Smartnews Product Manager Night
Smartnews Product Manager Night
Scala@SmartNews AdFrontend を Scala で書いた話
Scala@SmartNews AdFrontend を Scala で書いた話
iOSアプリ開発者から見たMobile Hub
iOSアプリ開発者から見たMobile Hub
インフラ専任エンジニアが一人もいないSmartNewsにおけるクラウド活用法
インフラ専任エンジニアが一人もいないSmartNewsにおけるクラウド活用法
Building a Sustainable Data Platform on AWS
Building a Sustainable Data Platform on AWS
美しいモバイルUXの理解と実践〜10の法則:アプリ企画・ユーザー体験編 先生:安藤 幸央
美しいモバイルUXの理解と実践〜10の法則:アプリ企画・ユーザー体験編 先生:安藤 幸央
AWS 初心者向けWebinar Amazon Web Services料金の見積り方法 -料金計算の考え方・見積り方法・お支払方法-
AWS 初心者向けWebinar Amazon Web Services料金の見積り方法 -料金計算の考え方・見積り方法・お支払方法-
SmartNews Ads System - AWS Summit Tokyo 2015
SmartNews Ads System - AWS Summit Tokyo 2015
Más de Shigekazu Takei
Scala(finagle)@SmartNews_English
Scala(finagle)@SmartNews_English
Shigekazu Takei
Scala@SmartNews_20150221
Scala@SmartNews_20150221
Shigekazu Takei
Startprintf_2013May18
Startprintf_2013May18
Shigekazu Takei
Pfds 9 2_2
Pfds 9 2_2
Shigekazu Takei
Pfds 5 2+6_4_2
Pfds 5 2+6_4_2
Shigekazu Takei
Stanford ml neuralnetwork
Stanford ml neuralnetwork
Shigekazu Takei
Pfds ex3 9
Pfds ex3 9
Shigekazu Takei
Más de Shigekazu Takei
(7)
Scala(finagle)@SmartNews_English
Scala(finagle)@SmartNews_English
Scala@SmartNews_20150221
Scala@SmartNews_20150221
Startprintf_2013May18
Startprintf_2013May18
Pfds 9 2_2
Pfds 9 2_2
Pfds 5 2+6_4_2
Pfds 5 2+6_4_2
Stanford ml neuralnetwork
Stanford ml neuralnetwork
Pfds ex3 9
Pfds ex3 9
Ids ips
1.
IDS / IPS
S.Takei (@shtaag) 2012年4月10日火曜日
2.
IDS/IPSの役割
• 不正ネットワークアクセスに対して • 監視 • 警告 • 防御 2012年4月10日火曜日
3.
FW + IDS
+ IPS • FireWall • フィルタリング • Intrusion Detection System • 監視・警告 • Intrusion Prevention System • 防御 2012年4月10日火曜日
4.
FWと何が違う?
• FWはパケットを弾く • IDSは、見てるだけ • IPSは防御アクションを取る • FWはパケット単体を監視 • IDS/IPSはそれに加え、ネットワークの統計 情報なども収集 2012年4月10日火曜日
5.
典型的な例
router FW IDPS Internal Servers switch DB console インライン型ネットワークベースIDPS 2012年4月10日火曜日
6.
IDSのタイプ
• 検出方法 • シグネチャベース • アノマリベース • 設置場所 • ネットワーク型 • インライン型 • 受動型 • NBA(Network Behavior Analysis)型 • ホスト型 2012年4月10日火曜日
7.
監視 2012年4月10日火曜日
8.
監視
• 何を? • どうやって? 2012年4月10日火曜日
9.
監視対象
• パケット情報 • ネットワークフロー統計情報 • システムログ等 2012年4月10日火曜日
10.
FWだけで十分でしょ?
• FW • パケットヘッダ情報見てフィルタリング • それだけでは防御できない • 例えば、BOF攻撃 • HTTPヘッダは適正 • ∴ リクエストの形式は正しい • HTTPボディに大量のデータ 2012年4月10日火曜日
11.
FWだけでは無理
ヘッダは適正 だが、中身はBOF 通過:HTTPリクエスト かつ 適正なホスト 2012年4月10日火曜日
12.
FWだけでは無理
IDS 中身はBOFだ!! ↓ 通過:HTTPリクエスト Alert Log発行 かつ 適正なホスト 2012年4月10日火曜日
13.
統計情報
• 例えばポートスキャン • 攻撃の予兆 • 統計情報により、ポートスキャン実行元が特定できる • 実際にはスプーフィングされてる場合がほとんど • ポートスキャン自体も多彩 • TCPパケットフラグビット;IPフラグメントID; デコイ 2012年4月10日火曜日
14.
IDSの検出タイプ
• シグネチャ型 • 不正なパケットタイプをブラックリスト化 • リストに一致した場合検出 • アノマリ型 • 適正なネットワーク統計情報を記述 • 適正な範囲から外れた場合に検出 2012年4月10日火曜日
15.
例)シグネチャ型
SELECT Protocol[TCP] AND Port[21] WHERE Contains[“Guest”] TCPのPort21番へのリクエストで Guestという文字列を含む物を不正とみなす 2012年4月10日火曜日
16.
例)シグネチャ型
SELECT Application[HTTP] WHERE Contains[../..] アプリケーション・プロトコルがHTTPで 中身に../..を含むリクエストを不正とみなす 2012年4月10日火曜日
17.
例)アノマリベース
GETリクエスト時のボディに 含まれる文字列は、 一般的にxxx文字以下のはず これ以上の文字列を含むリクエストは BOF攻撃の可能性がある 2012年4月10日火曜日
18.
例)アノマリベース
単位時間におけるパケット数は 一般的にxxx パケット/秒 これ以上のリクエストを受けたとき DoS攻撃の可能性あり 2012年4月10日火曜日
19.
実際のところ
• シグネチャ • 管理が大変 • 設定しておけば正しく動く • アノマリ • 未知の攻撃に強い • ”正常”をどこに取るかが難しい • 統計情報を用いる場合、検出が遅れる • シグネチャ+アノマリを組み合わせ 2012年4月10日火曜日
20.
実際のところ
• いかに誤検知を防ぐか • 誤検知は本当の攻撃を隠してしまう • チューニング不可欠 • 最近のは自動的にチューニングしてく れるらしい 2012年4月10日火曜日
21.
IDSの設置場所
• FWの外(ネットワーク型) • すべてのパケットを監視 • アラート多すぎで情報埋もれる • DMZなど(ネットワーク型) • FWを抜けてきた潜在的に攻撃となるリクエストを監視 • 対象サーバー(ホスト型) • ホストに対する潜在的攻撃を検出 • ホスト毎にきめ細かい対応可能 2012年4月10日火曜日
22.
防御 2012年4月10日火曜日
23.
防御
• IDSだけでは防御しない • アラートを出し、FWのACLを書き換 えてもらう • IPSは能動的に防御を行う 2012年4月10日火曜日
24.
防御方法
• セッションの遮断 • パケットの廃棄 • 帯域使用量の制限 • 悪意あるコンテンツの改変 • インラインFWを起動、他のネットワーク機 器の設定改変 2012年4月10日火曜日
25.
セッションの遮断
• セッションスナイピング • (※すでに時代遅れだが) • セッションの両エンドポイントに TCP (RST)パケットを送る • 検出、分析、送付に手間取り対応遅れる 2012年4月10日火曜日
26.
IPSの設置場所
• 受動型で設置 • パケットのコピーを監視 • パケットドロップを直接実行できない • システム全体の統計情報を扱いたい時に • インライン型で設置 • パケット、セッションをドロップできる • 各ラインでの防御を担当 2012年4月10日火曜日
27.
IDS/IPSの課題
• 検出率 • いたちごっこ、、、 • 自動シグネチャ作成、統計情報の利用 • パフォーマンス • パケット内容をすべて見る、、 • シグネチャはどんどん増える、、 2012年4月10日火曜日
28.
パフォーマンス
• IDPSの設置場所 • FWの外では受動型で大まかな統計情報 を把握 • FWの内側ではインラインで確実に制御 • ロードバランサで負荷分散 2012年4月10日火曜日
29.
IDSを回避するには
• 弾幕 • 本当の攻撃を紛らわせる • TCPスプーフィング等で送信元偽装 • パケット断片化 • TCPパケットが分割されていると、IDSはそれを組み立て る必要がある。 • 組み立ては負荷となるため、組み立てをOFFにしている ところもある 2012年4月10日火曜日
30.
参考文献
IDS/IPSに関するNISTの指針 ◦ ”侵入検知および侵入防止システム(IDPS)に関するガイド" by NIST http://bit.ly/HhUKAB • IDS ◦ 不正侵入対策最前線(前編) http://bit.ly/Ikdigb ◦ Linuxで使える侵入検知システム(IDS) http://bit.ly/HsZDYS ◦ @IT:Snortでつくる不正侵入検知システム 第1回 http://bit.ly/Hhceho • IPS ◦ 前編 従来型IPSの課題と解決策 − @IT http://bit.ly/Ipfcjj ◦ IPSの実装方法と防御技術とは http://bit.ly/Ipi93a ◦ 侵入防御システム(IPS:Intrusion Prevention System) - テクノロジー解説 - Cisco Systems http://bit.ly/IpiAL8 ◦ Cisco IPSソリューション - 侵入検知/侵入防御システム - Cisco Systems http://bit.ly/Ipip2o ◦ DDoS攻撃の軽減対策 - Cisco Traffic Anomaly Detectors - Cisco Systems http://bit.ly/Ia1kpq • IDSの回避 ◦ エンタープライズ:セキュリティ How-To - 第6回:IDSからの検知回避は可能か http://bit.ly/Ia2hOI ◦ エンタープライズ:セキュリティ How-To - 第5回 Snortへの攻撃とその対策 http://bit.ly/I3Qu8Z ◦ @IT:攻撃者側から見た入前の事前調査(下見) - Page1 http://bit.ly/HnWPuU ◦ 攻撃はポートスキャンから始まる(下) - ITpro Security:ITpro http://nkbp.jp/HsYfFC ◦ ファイアウォール/IDS の回避とスプーフィング http://bit.ly/Hu0ohP 2012年4月10日火曜日
Descargar ahora