2009年9月27日

[debian-users:53065] Re: 侵入検知システム「Snort」について

mejikoです。水原さん、渥美さん、返信ありがとうございます。両者のやりとり
はとても参考になりました。本当は両者ともに返信がしたかったのですが、途中
のメールから二通返信するわけにも行かず、返事をまとめて返信することにしま
した。お許しください。

水原さんへ([debian-users:53060] Re: 侵入検知システム「Snort」について侵

入検知システム「Snort」についてへの返信)

> ありません。
>
> Promiscuous モードというのは、要するに受信したパケットを、自分の MAC
> アドレスでフィルタリングするかどうかと言うことなので、送信するパケット
> にはまったく影響を与えません。
>
> ちゅうか、悪意の第三者にスニファリングされたとしたら、どんなセキュリ
> ティ
> 手段を講じていたとしても、その時点でアウトじゃないですか?
>
> なんと言いますか、どんなツールを使ったとしても、セキュリティというのは
> ユーザや管理者の意識以上には上がりませんから、下手にツールに凝るより
> も、
> セキュリティに関する知識を深める方が先決だと思いますけど。


実はプロミスキャスモード自体について、少し誤解をmejikoはしていたようで
「プロミスキャスモード=危険」と思っていました。しかしもし質問であったよ
うな事態になった場合、無条件でアウト(ネット切断して、バックアップして
とっとと再インストール)ですよね。(第三者からスニファリングされている=
不正に侵入して仕掛けた、ということですから。
きっと後からそのログを見るために、バックドアとか如何わしいものが仕掛けて
あるのだ思います)

なるほど、プロミスキャスモードで影響されるのは「受信のみ」ですか。

では、プロミスキャスモードで動いているスニファーが仕掛けられたパソコン本
体から、LAN及び外部へメールを「送信」したときに、パスワードなどがバレて
しまうのでしょうか? これってFTP通信やログインが必要なウェブサービスに
も当てはまりますよね?

そんでもって、通常モードでこのような操作を行った場合、なぜスニファリング
しただけではパスワードなどがばれないのでしょうか? よく言われる「スニ
ファリングでの通信盗聴」は、多くが「プロミスキャスモード」ですよね。

snortの-pオプション有効時(ノンプロミスキャス)でも、自分から相手先へ通
信した時のアラートは残っていました。ログはテキスト形式とtcpdump形式(バ
イナリ形式)で出力・保存されているので、もしウェブサービスやFTPのログイ
ン時やメールの送受信時にアラートがでて「tcpdump」形式でそのログを出力す
ると、パスワードなどがそこに残るものなのでしょうか。

#この形式のファイルはetherealの後継、「wireなんとか」(名前がよく分かり
ません。しらべてみます)というソフトで見れるとか。

本当にすいません。後学のため、できればお教えくだされば幸いです。グーグル
で深夜まで調べましたが、よく分かりませんでした。無知な私をお許しくださ
い。


まだまだセキュリティーの知識(+ネットワークの知識)が足りないですね……。
おっしゃるとおりです。改めて勉強し直します。

渥美さんへ([debian-users:53061] Re: 侵入検知システム「Snort」についてへ
の返信)

> ありや,無しや,の話なら有りです.今までにsnortのキャプチャリングのセ
> キュリティホールを突いた攻撃手法がいくつか公開されています.現在のバー
> ジョンは,知られている範囲ですべてfixされていると思いますが,今後もセ
> キュリティーホールが見つからないという保証はありません.
>
> 1.ストーリーとしては,snortに適当な攻撃データを吸わせる.
> 2.snortがそのpayloadを解析中にバッファオーバフローなどを起こしてプロ
>   セスがペイロード上のプログラムに支配される.
> 3.2のプロセスが攻撃者の指示待ちをしたり,攻撃者に乗っ取ったことを通知
> することで,攻撃者の意のままに動くスニファーとなる.

これっていわゆる「エクスプロイト」(脆弱性)ですよね? 確かに脆弱性を一
突きされれば、このような事態になってもおかしくないと思います。snortのセ
キュリティホールはあまり聞いたことがないので、結構興味をもちました。脆弱
性ですから、プロミスキャスでも関係ないですよね。

> 私はsnortについてはパッケージ版ではなく,オリジナルからbuildすることを
> お勧めします.

確かにmejikoも最新版を使いたいと思いますが、今後Debianがアップグレードし
たりしたときに影響するか心配です。ルールも別途ライセンスを収得して持って
こないといけないのですよね? 前までは付属していたとか。(今はどうなのか
分かりませんが)

Stableの場合「セキュリティーアップデート」(というより、旧バージョンにセ
キュリティパッチを含んだもの)はしっかり提供されるので、当面はこの方向で
いこうかと思っていますが、まずいですかね?(特に旧バージョン向けのルール
が提供されていないとなると……)

もし旧バージョンの本体はDebianのセキュリティアップデートで対応するにして
も、ルールだけの更新って難しいものなのでしょうか(コミュニティルールも本
家では配布していないし、現状サードパーティルールしか見たことがない……)

投稿者 xml-rpc : 2009年9月27日 13:01
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/88918
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。