未知のウィルスの通信も検知し、情報流出防ぐ装置 24
ストーリー by kazekiri
中身だけ興味 部門より
中身だけ興味 部門より
Anonymous Coward曰く、"日経朝刊に 富士通、社内LANから情報流出防ぐ装置を開発という記事。 IPCOMというネットワーク機器の記事のようだが、この記事で取り上げている IPCOM Lでは富士通研究所が開発したウイルス特有の通信パターンから 感染したコンピューターを検知する技術を採用し、 外部に接続できないようにして未知のウイルスにも対応するということ のようだ。WinnyなどのP2Pアプリケーションのアクセスもブロックする ようだ。 製品のリリースを読んでも 「ワーム検知には、富士通独自のワーム振る舞い検知機能を搭載。 ワームの感染活動時に見られる特徴的な通信を捕らえ、 ワームを検知しますので、未知のワームも検知可能です。」としか 書いてないが、中身を見てみたいものだ。"
ワーム振る舞い検知 (スコア:5, 参考になる)
TCPポートスキャン、UDPポートスキャン、ホストスキャンなどの種別を最短で10ミリ秒間隔でチェックして検出するんだとか。
ただ、
ブラウザ起動時に複数ページを読み込んだりした場合。
FTPとかtelnet使っててサービスの動作するホストを端末が探索するような場合。
ネットワーク管理装置から端末検索などを行なった場合。
IPマスカレードを行なっている機器からのアクセスの場合。
多数のリンクからなるWebにアクセスが頻発した場合。
なんかだと誤検出することがあるらしいです。
このへんはコマンドを打つことで閾値や検出対象から外すことで対応はできるそうですけど。
なんだかちょっと調べてみると思ったより低機能なきがしてがっかりです。
# がっかりしたのでAC
Re:ワーム振る舞い検知 (スコア:0)
結局、業務遂行に支障がない程度に緩くしつつ、そこが穴にならない
ような落しどころを見つけていくという作業が必要なのでしょうね。
この富士通のシステムは端末の外に存在させておくもののようですが、
端末の外側で見張ってて、聞こえてくるパケットから端末の中を推測
するのってなんだか、脳波で脳を調べるのに似てますね。
精神に問題を抱えてしまった場合は、脳波なんか見るより、自分とし
っかり向き合って見つめなおしたほうが良いことが多いわけで・・・・・・
自分の使っている端末が、外部
Re:ワーム振る舞い検知 (スコア:0)
「Norton Internet Security」とか、
管理ツールってよくなったの? (スコア:3, 興味深い)
でも、すごく使い難くて、 大体の用途ごとわかれてて、あっちもこっちも設定する必要がある。
しかも、Javaで作られているの2種類の管理ツールを利用するためには、機器付属の専用JREを2種類(J2RE SE1.4.1とJ2RE SE1.4.2)をインストールする必要がある。もちろん、Windows専用です。
なお、NAT環境からのこれらの管理ツールで設定できません。
このへんは、改善されたの?
Re:管理ツールってよくなったの? (スコア:3, 参考になる)
まったく改善されてません。
なので、導入した後に気付くとむしょーに腹が立ちます。
自分とF通に。
IPCOM S(Re:管理ツールってよくなったの?) (スコア:1, 興味深い)
IPCOM S1000やS1200はPFUのアプライアンス部隊が開発してる [fujitsu.com]ようですが、
もう少しアレゲっぽくしてもらえませんかね。
# 開発している連中は/.Jとかよく読んでそうな気はする。
すでに時代遅れでは? (スコア:3, すばらしい洞察)
最近のマルウェアは従来の愉快犯的なものから, 明確な目的を持って行動するタイプに変わってきています. 例えばこんな記事 [itmedia.co.jp]もあるようです.
とすれば, マルウェア側では動作パターンとしては当然, 検出されにくい通常業務パターンを装うでしょう. 従って, 今後の防御システムの方向性は
じゃあないと, あんまり効果は期待できないと思います. まあやらないよりはましでしょうけど.
ワーム検知 (スコア:2, おもしろおかしい)
実は独自にワームをつk(ry
Re:ワーム検知 (スコア:1)
他社の製品を使用した場合の結果については保証できませんのでご注意下さい。
Re:ワーム検知 (スコア:0)
Re:ワーム検知 (スコア:0)
んー・・・ (スコア:1)
タレコミの記事では
>あらかじめ登録されていないパソコンがLANに接続された場合は自動的に検知し、回線を遮断。
とありますが、これ単体だけじゃどうしようもなくて配下のSWに設定が必要でしょう。
少し誇大記事かなぁと思うです。
Re:んー・・・ (スコア:0)
残念ながらIPCOM LはWeb認証のみ [fujitsu.com]で802.1X認証はないようです。
半年遅かった!? (スコア:1, 参考になる)
WormScout (スコア:1)
--kwbt
「ワームの感染活動時に見られる特徴的な通信」って何? (スコア:0)
普通の通信を装いながら活動するワームだったら、検知できないとか・・・
Re:「ワームの感染活動時に見られる特徴的な通信」って何? (スコア:4, 参考になる)
ワームに特徴付けられる挙動の例としては、
→そのポートがdefaultとなっているアプリケーションの脆弱性をついたワームが広がっている
→メールで感染するワームが広がっている
Re:「ワームの感染活動時に見られる特徴的な通信」って何? (スコア:0)
まぁ何かのオーバーフローを狙っている通信とか、SQL INJECTIONを狙っている通信とかを検出してブロックするんじゃ無いかね。
Re:「ワームの感染活動時に見られる特徴的な通信」って何? (スコア:0)
ってことはたとえば「500件のアクセス」みたいなトリガがあったとしたら、
それまでに感染しちゃったり活動されちゃった分はどうしようもないんでしょうか。
完全に素人考えですが…
Re:「ワームの感染活動時に見られる特徴的な通信」って何? (スコア:1, おもしろおかしい)
「にゃは」とか?
Re:「ワームの感染活動時に見られる特徴的な通信」って何? (スコア:0)
~ちょっとアレゲなエースが通る~
Re:「ワームの感染活動時に見られる特徴的な通信」って何? (スコア:0)
Re:「ワームの感染活動時に見られる特徴的な通信」って何? (スコア:0)