■□ スキャナ/ＩＤＳ 総合スレ □■

スキャナとはセキュリティホールを自動で見つけてくれるもの。
決して文書や画像を読み込む機械のことではありません。

※類似スレ
http://ton.2ch.net/test/read.cgi?bbs=sec&key=1002018172

※キーワード
http://www.google.co.jp/search?q=%83Z%83L%83%85%83%8A%83e%83B%90f%92f%83c%81%5B%83%8B&hl=ja&lr=
http://www.google.co.jp/search?hl=ja&q=%90N%93%FC%8C%9F%8Fo%83V%83X%83e%83%80&lr=lang_ja

げ、ﾏｼﾞでｽﾚ立てたのか・・・；

やっぱ、キヤノ・・・

いや、フリーならnmap？ただ、あれってrootでないと色々スキャン出来ないんかな。。
WINだとWinfingerprintも良いと思われ。。
snort面白いんだけど、ルールいぢるのめんどくさいです。
なんかオープンソースなフリーツール漁ってる方が楽しいれす。

nmapならWinNT用もあるぜよ。
その名もnmapNT・・・・そのまんまだな；
http://www.eeye.com/html/Databases/Software/nmapnt.html

３年くらい前、
セキュリティでは有名な会社からスキャナ出てなかったっけ？
当時は業務用のシェアではダントツで１位だったやつ、
あれ、どこの何ていうソフトだったっけ？
（ヘルプみたいなんでホールの詳細も出てきて、
　その内容がとってもわかりやすかったのを覚えてる。）

誰か教えて

誰か教えて！

http://www.isskk.co.jp/product/Internet_Scanner.html

なんかちょっとｶﾜｲｿage・・・

キャンペーンすれ

http://www.nai.com/japan/pgp/ccs.aspってのも有名だけど

>（ヘルプみたいなんでホールの詳細も出てきて、
　その内容がとってもわかりやすかったのを覚えてる。）
って事はInternet Scannerかな？

つか今も一番売れてるスキャナってISSなのかな

>>11
客観的な情報って以外に見あたらなかった。
ISSKKのＨＰでは
ttp://www.isskk.co.jp/company/press_office/press00/IS61J_092800.html
４５％のシェアを持っているって書いてあるが。

オンラインスキャナーなんて製品も発売していた。
ブラウザでプログラムをダウンロードしてスキャンをかける？ものらしい。
これもスキャナというのかな？
http://www.isskk.co.jp/product/Online_Scanner.html

>>12
ＩｎｔｅｒｎｅｔＳｃａｎｎｅｒ、
割れてても
ていうかライセンス無いただのファイルでいいから
手に入らないでしょうかねぇ。
ＩＳＳのパートナーの人ＵＰして〜。。。

Windowsのクライアントマシンなら
ttps://grc.com/x/ne.dll?bh0bkyd2
で充分そう（addressがあやしい）。他にもあったがわすれたよ。

話はかわってIDSだけど誰かPAKEMON使っている人いる？
感想をききたいです。

>>13

そう言えばISの評価版「でも」個人ユーザじゃ駄目なんだよね。
Localhosｔ位いーじゃーん　>　ISS（藁。

NTか 2000のリソースキットに収録されているとは聞いたことがあるけども。

Realsecureはどう？

Realsecureってスキャナ？ＩＤＳ？

realsecureはIDS
つーかこの前MXでinternet scanner拾ったよ。
怖くてローカルでしか使えんが（笑）

おめでと

ありがと

http://www.port139.co.jp/ntsec_snort.htm

これはどうですか？

>>14

パケモンは開発止まっちゃったみたいだね。

僕はパケモンとngrepを参考にして IDS 作ったよ。
シグネチャは Snort からコンバートさ。

次期バージョンでは、RealSecure や Dragon を
参考にして(特にシグネチャ)改良するつもり。

今の RealSecure って構成が複雑だしな。
うちのシステムに組み込むにはちょっとねー。
だから自作が一番という結論になっちゃった。

>>21

Snort はメンテナンスの手間さえ惜しまなければ、
かなり良い。機能/性能的には商用のIDSと同等以上だよ。

でもさ、IDSって、サイトに合わせてチューニングしたり、
シグネチャのメンテナンスをしなきゃならない。
これは、専門知識が必要だし、GUI が無いと何も出来ない
世代の人には、かなり大変だね(当然 GUI が有っても手間
が大変。スクリプト書けるなど、UNIX 系の人で無いと効率
の良い運用は出来ない)。

企業に導入するなど、お金で解決したい場合は、
統合監視サービスを使ったほうが良いだろう。

き、基本的質問･･･（・∀・;）

IDSって、サイト運営してるような人が使うものなのれすか？
単にのほほんと、常時接続してブラウジングしてるだけの
エンドユーザが使うものではないのでしょーか。

>>24

IDS にも色々有るからねえ。

僕はエンドユーザ的には iplog で十分やな。
それ以上のものはいらない。

>>24
ネットベースとホストベースって事で分類できる。
エンドユーザが使うだけじゃないよ。

野球ヲタﾜﾗﾀ

http://ime.nu/www.baseball-lover.com

Snort って使い方がいまいちわからん。。

XPで使えるスキャナ教えてくれ。

snortはXPだめなんだっけ？

snortについてなんですけどGUIで使えるやつありますよね。
IDSはBLACKICEしか使ったことないんですけどsnortは簡単に使えますか？
ルールを作成するのが面倒みたいなんですけど、どうなんでしょうか？

>>32
これ読めや
http://www.port139.co.jp/ntsec_snort.htm
って今死んでるみたい

これつかえねーw
http://www.vector.co.jp/soft/dl/win95/net/se214387.html

snortのstableってweb-application-activityのlog化けてませんか？
お使いのかたいませんか？
FreeBSD 4-stable + Snort-stableです。

portsかpackagesかとか、snortのバージョンくらい書けよ。

>36
失礼しました
snortのバージョンはstable
stableですのでportsもpackagesもありませんので自分でmakeです

現在のsnort-stableはVersion 1.8.7beta4 (Build 120)です

Winsnort入れるのにWinPcapが入るらしいけどどれをダウンロードすればｲｲ？

NmapはWinXPで使える？

age

人がいないみたいなので初心者板で聞いてみます。

>>40 Win2Kでは使ってる人いるみたい
ttp://pc.2ch.net/test/read.cgi/sec/1020478995/252-258

hage

mage

？？？ snort がうまく動かなくてお手上げです。誰かわかりませんか？
＊環境： Windows2000pro + WinPcap2.3 + snort1.8 + IDScenter1.09
＊IDScenter で設定済みのパス： snort 本体 , configuration file , log file
＊configuration file で設定済みのパラメータ： HOME_NET , RULE_PATH
＊症状：起動させるとプロセスで snort を確認できるし、エラーが出ない。一日動かしても何の alert もでないので、他の端末から対象端末にポートスキャンしたが、やぱり alert でない。
＊気になること：１．network interface の設定を IDScenter の言いなりで "1" に設定している。２．WinPcap のインストールが拍子抜けするほど簡単で次のページに出てくるパケットキャプチャドライバの追加操作を行っていない。http://www.port139.co.jp/ntsec_snort.htm

？？？ snort がうまく動かなくてお手上げです。誰かわかりませんか？
＊環境： Windows2000pro + WinPcap2.3 + snort1.8 + IDScenter1.09
＊IDScenter で設定済みのパス： snort 本体 , configuration file , log file
＊configuration file で設定済みのパラメータ： HOME_NET , RULE_PATH
＊症状：起動させるとプロセスで snort を確認できるし、エラーが出ない。一日動かしても何の alert もでないので、他の端末から対象端末にポートスキャンしたが、やぱり alert でない。
＊気になること：１．network interface の設定を IDScenter の言いなりで "1" に設定している。２．WinPcap のインストールが拍子抜けするほど簡単で次のページに出てくるパケットキャプチャドライバの追加操作を行っていない。http://www.port139.co.jp/ntsec_snort.htm

>>46,47
失敗して二重書き込みしてしまった。すんません。削除依頼出ときました。

>>47
http://windump.polito.it/
を起動してドライバが動いてるかどうかを確認して、
confとruleを見直し。
ドライバは一旦Adminでログオンして、windumpを実行したらログオフして、
userでログオンし直すといいかもしれない。

>>49
できました。サンクスさんくすサンクス〜。
起動してすぐに alerts 出まくり。portscan にも激しく反応しました。つ〜か、いろいろなやつ＆大げさに反応しすぎで困る。
原因は、network interface の番号が違ってました。
WinDump で確認できました。

age

IDS企業のOneSecure社がNetScreen社に買収されましたね。
OneSecureを使ってる人、知ってる人、情報を教えてください。

微妙にスレ違いかもしれないけど、最近、中東、ヨーロッパ、アジア各方面から毎日のように、
へんてこなポート番号が空いてないかノックしてくるヤシがイパーイいるんで、
複数のポート番号ﾘｽﾄを探してきて１つにして資料をつくろうと考えたんです。

でも、ものすごい量があるんで、途中でめげちゃって。。。

どなかた、Well Known Portsも含めた、いろんなTrojan等のデフォルトポート番号が詳細で
なおかつ、かなりの数を網羅してるポートﾘｽﾄがあるところをご存じないですか？

ほかのスレでもきいてみたんだけど、回答もらえなかったので、こっちでもお尋ねして
みだんだけど。。。

>>53
http://www.simovits.com/trojans/trojans.html
http://www.doshelp.com/trojanports.htm
http://www.onctek.com/trojanports.html
http://www.tlsecurity.net/trojanh.htm
http://www.sans.org/newlook/resources/IDFAQ/oddports.htm
http://www.glocksoft.com/trojan_port.htm
http://www.sys-security.com/html/papers/trojan_list.html

日本語サイト
http://www.v-staf.org/db/files/
http://www.geocities.co.jp/SiliconValley-Oakland/7519/Trojan.html

>>54

ありが�d　たすかりますた。

対MacOSX Server用のスキャナ、無いですかね。

す、すっげー！！

１年近く前に俺たたてたこのスレ、
ま、まだ生きてたんだー。。。

感動！

わざとらしい

　|
　|⌒彡
　|冫、）
　|` ／　＜ろすきゃな／ＩＤＳ総合すれろ
　| /
　|/

age

新しいスキャナは無いの？

>>61
nmapで充分だ。

（＾＾）

（＾＾）

あげ

今度導入しようと思っているIDS↓
http://www.securesoft.co.jp/products/index.html

導入動機はレポート機能が充実してそうなんで
このスレで使ったことあるヤシいたら挙手キボンヌ

（＾＾）

Snortの使い方を猿でもわかるように説明してください。

>>68
http://jem.serveftp.com/security/index.html

>>69
生粋のﾄﾞｻﾞｰです。

>70
ドザーって何？

ほんとに猿でも分かるかなあ？

>>71
Windowser
ウィンドウザー
ﾄﾞｻﾞｰ

http://yahooo.s2.x-beat.com/linkvp/linkvp.html

（＾＾）

　　 ∧＿∧
　　（　　＾＾ ）＜ ぬるぽ（＾＾）

Snort で使える　Winny のシグニチャ キボンヌ

>>76
http://pc.2ch.net/test/read.cgi/sec/1050042334/918
まるち

>76
暗号化されてるんで絶対無理

━―━―━―━―━―━―━―━―━[JR山崎駅（＾＾）]━―━―━―━―━―━―━―━―━―

　　　 　∧＿∧
ﾋﾟｭ.ｰ　(　　＾＾ ） ＜これからも僕を応援して下さいね（＾＾）。
　　＝〔~∪￣￣〕
　　＝ ◎――◎ 　　　　　　　　　　　　　　　　　　　　　山崎渉

snortって、あるルールにマッチしたらそれ以降のルールについて
調査を打ち切ってしまうようですが、
これを無効化する方法はないですか？

記録しておいたデータにあとからかけるので、時間はかかっても構わないのです。

IDSって信号機か？？

これもＩＤＳか？
ttp://www.lac.co.jp/security/products/snsinspector/index.html

http://homepage.mac.com/hiroyuki44/

　__∧＿∧_
　|（　　＾＾ ）|　＜寝るぽ（＾＾）
　|＼⌒⌒⌒＼
　＼ |⌒⌒⌒~|　　　　　　　　　山崎渉
　　 ~￣￣￣￣

　　　 　∧＿∧　 ∧＿∧
ﾋﾟｭ.ｰ　（　 ・３・） (　　＾＾ ） ＜これからも僕たちを応援して下さいね（＾＾）。
　　＝〔~∪￣￣￣∪￣￣〕
　　＝ ◎――――――◎ 　　　　　　　　　　　　　　　　　　　　　山崎渉&ぼるじょあ

PPP接続でも使えるスキャナないですか？nmapはだめなんでつ。

古いスレで語りかけてもしょうがないんでないの。

age

IDSの製品性能比較みたいなのないの？

　　　 (⌒V⌒)
　　　│ ＾ ＾ │＜これからも僕を応援して下さいね（＾＾）。
　　⊂|　　　　|つ
　　　（＿）（＿）　　　　　　　　　　　　　　　　　　　　　　山崎パン

ﾏﾝｺｰ

snort全くの初心者なのですが
WIN用の snort 2.1.0 が　2003.12.31 Last Modified　で出てるので
IDScenter 1.1 rc4　と合わせてみたのですが設定が悪いのか動きません。
もう組み合わせて使ってる人いますか？
WinXPで、snort.confはいじらずです。

snort.gr.jp が12月15日できたようなのですがlinux中心のようなので。

やはりsnort 2.0.6とかにしないとダメかな？

SoftEtherというVPNツールは、開発元の資料によると
http://www.softether.com/jp/qanda/
----------------------引用----------------------------
SoftEther プロトコルは、一般的なポート制限型のファイアウォールや、
アプリケーション レベルでパケットを検査するファイアウォールなどを
HTTPS 通信に偽装して通過できます。また、Proxy 型や SOCKS 型、
SSH サーバー型のファイアウォールを経由して通信可能です。
------------------------------------------------------
なのだそうだが、LAN管理者として、こういうツールが無断でLAN内に接続
されたことを監視、検出する方法があるだろうか？

異常にHTTPSの通信が増えたらわかるんでない？
まぁ推測に過ぎないが…

kazt は犯罪者？

開催場所に向かって環七を運転中、大田区の開催場所地図をみていたら、
私の運転する車がひきがねとなり玉突き事故を起こしてしまい、
被害者診察、事故処理、調書作成が完了して、やっといま自宅に戻ったところです。

今後の診断結果がどうなるかわかりませんが、
相手先の車/人間とも、いまのところ、大きなけが/損傷はみあたらず、
少しだけむねをなで下ろしているところです。

/////////////////
katsuro miyakoda
katz at cable.co.jp
www.cable.co.jp
/////////////////

100ｹﾞﾄ ｽﾞｻ ( ;´Д`)ﾊｧﾊｧ

猿でもわかるＩＤＳ的なページありませんか。

今まで端末のことしかやってこなかったのに、急に社内運用の部門に回された。
ＦＷはもちろん、ＩＤＳ（real secure）のことなんかさっぱりですわ。
ＦＷでガードしきれない悪意のあるパケットをチェックする、というようなイメージはGOOGLEで検索していてわかってきたが。
いやはや。

　　　 　 　 　 ;' ':;,　　　　　,;'':;,
　　　　　　　;'　　 ':;,.,.,.,.,.,,,;'　　'';,
　　　　　　,:'　　　　　　　　　　　｀:､
　　　　　,:'　　　　　　　　　　　　 　',
　　　　 ,:'　　　　　　　　　　　　　 　;'　　　
　　　　 ;　　○　　　　　　○　　　　;'　　
　　　 　';,　　　　　　　　　　　　＊ ;'　　
　　　　　｀:､ 　　ー―‐　　　　　.,;:'' 　　
　　　　　　 ';　　　　　　　　 　 　 '':;,
　　　　　　 ';　　　　　　　　　　　　　';,　 ,;`;,
　　　　　　 ';　　　　　　　　　　　　　　':,;'　;'
　　　　　　 ';　　　　　　　　　　　　　　　;:,:''
　　　　　　;"　　 "; .,.,..,.,., ;"　　　"; .,.,.;''
　　　　　　 "''''''''" 　　　　"'''''''''''"

snort って、eth0,eth1,eth2と３インターフェースもってるマシンで
それぞれ全部監視ってできる？

hosyu

winXPでsnort設定まだできてない。
前回の去年のPCJapan10月号のではできなかった。
少し変えて少し先に進んだけどまだまだ違っててできない。
次回のPCJapan5月号には期待してるからね。

自分ができてないという意味ね。具体的な細かな説明を期待。

age

snort って何て読むんですか？

snort とかいて
ｳﾞｧｶﾆﾊﾖﾒﾅｲ　とよみます

スノート

鼻息とかの意味。

アヌス

うんちが出てくるところ

いや〜KERIO2つかって鯖立てているんだが

試しにKERIO4入れて見たら禿しくパフォーマンスが落ちて
困っているのですが・・・・

そこで聞きたいのですが・・・・ここにｴﾛｲいますよね？
FW+IDSで一番軽い（性能がｲｲ）やつってどれですか？

SSMって軽いの？スループット落ちませんか？
Snortの人っていますか？

教えてｴﾛｲ人!!

微妙に誤爆・・・

ここで勉強汁
日本 Snort ユーザ会
http://www.snort.gr.jp/

Norton Internet Security 2004
圧縮ファイルもリアルタイムで監視可能だが、ONにすると重すぎ
スクリプト遮断機能がある
広告ブロックがアメリカ仕様で、お絵かき掲示板などの画像も消してしまう
スレに貼り付けてあるだけのウイルスコードに反応する
2chの過去ログ取得する時はFWを無効にしないといけない
Antispamが勝手にメーラーと統合する上に不安定（OEと相性が悪い？）
ポップアップ通知が鬱陶しい
LiveUpdateが遅い
ｗｅｂごとにスプリクト遮断やActiveX遮断やプライバシー制御の設定ができる
WEB閲覧するときHTMLファイルにスクリプトを埋め込む処理が重い
　（XPSP2ではデフォルトでポップアップ広告遮断機能があるので無駄になる）
回線速度が遅くなるという報告
ルールが適切ではないとの声もあるがPFWルールの自動作成が進んでいる
不正コピー・不正期限延長ユーザーが多い
個人情報を送ってるかについては疑惑は晴れず。
http://www.symantec.com/region/jp/products/nis/features.html
http://www.symantec.com/region/jp/products/nav/features.html

ウイルスバスター2004
圧縮ファイルもリアルタイムで監視可能だが、ONにすると重すぎ
FWレベル高にしないとアプリごとの制御ができない等、おまけ程度
スパイウェアの検出をするが削除は出来ない
迷惑メール検出の判定精度が悪い上に検出しても件名に[MEIWAKU]と付けるだけで意味がない
ユーザー登録しないとウィルス定義をUPできないので不正コピーユーザーは少ない
http://www.trendmicro.com/jp/products/desktop/vb/evaluate/features.htm

FWがしょぼい代わりに不具合が少ないバスターとFWにいろいろと機能が付いてる
代わりに不具合大盛りなNISって感じかな。
どちらもアンチウイルス機能自体には文句が出ないのは例年通り。

http://pc3.2ch.net/test/read.cgi/sec/1067918099/321

このスレッドって、IDS でも NIDS じゃなくて HIDS な Tripwire とかについて質問してもいいですか？

>>116
そーいえばUNIX板にもLinux板にも Tripwire のスレないね。
ここでいいんじゃない?

NT4Serverで使えるIDS探してます。
現在は旧いバージョンのBlackIceDefenderFoｒWorkstationを使用中。
バージョンアップしようと思って、新しい体験版落としてきたら起動してもすぐにエンジンが停止してしまって使えませんでした。
一台のサーバーをWeb、DNS、メールサーバーとして使用中。
IISのログに不正アクセスを試みた記録が残るのがうざいので、手前で遮断できるようにしたいです。
なにかいいIDSないでしょうか？

>>118
の自己レスっす。
MSが無料配布してるUrlScanっていうツールでIISに届く前のリクエストを遮断できました。

あげときます。

Windows2000 Serverで使えるIDSを探しています。
Snortのように単に検知するだけじゃなく、防御もしてくれるBlaciIceのような製品で
フリーのものってないですか。

snortで田代砲みたいに短期間に猛烈なwebアクセスが発生したとき、
異常を検出するにはどうしたらよいでつかね？

2.2.0を使ってます。

んなもんは、mrtgかswatchで検知汁

passive tap自作した香具師いる？

Construction and Use of a Passive Ethernet Tap
http://www.snort.org/docs/tap/

非常に安くパッシブタップを作る方法
http://pcweb.mycom.co.jp/cgi-bin/print?id=23473

いないか。

ぱんでぃっどのコネクタが、パッチパネル１ラック捨てるから
会社に腐るほどあったのでつくってみました

以上、ヲレ日記でした

IPS使っているやついる？

ヽ(`Д´)ﾉﾎｯｼｭﾎｯｼｭ!

ACIDをちゃんと運用している香具師いますか？
当方、mysqlで設定しましたが表示が0％のままｗ　…

IPSだろ、普通。
IDSなんて役立たず。

>129
運用してるよ
BASEだけどな
でも、aanvalの方が使いやすい

>130
ｳﾞｧｶ？
比べるものでもないだろ

このスレ書き込み少ないんだけど、IDSやってる香具師は少ないのかね？

a

BASE（旧ACID）って日本語表示されるように出来たんだね orz

Port23/TCP に沢山パケットが飛んでくるんですが、なんなんでしょうね？

2/7から急激に増えたようですが。
http://isc.sans.org/port_details.php?port=23

age

ragraph で、なんだかよくわからんエラーがでてグラフ作れまてん

安芸

Dos攻撃を防ぐのに適したIDSってどんなのでしょうか

IDSのDはDefenceのDじゃねーことはしってるよな？

TripWire導入って初心者にとって敷居高いですか？

Snort+IDSenter導入時に、最後のTest Settingでなぜかフリーズしてしまう、、
ApplyしたときにはConfiguration applied successfullyってでるのに。
何が原因なんでしょうか、、

IDSの仕組みがよく分からんのだが、lan内の1マシンに導入しても
そのマシンにしか効果ないよね。ルーターにしてるマシンにいれとけば
それだけで事足りるって事なんだろうか？

>>144
ミラーポートってのがついてるスイッチングハブを買えばいいのか。

>144
よくわからんのなら、ぐぐるとかして出直してこい

>>146
NIDSの話ね。
ミラーポートつきのハブはうん万する事が分かった。
ルーターにしてるマシンに導入するにはNIC3枚いるの？2枚でいいの？

>147

意味が分からないのでもうすこし具体的に
説明をお願いします。

根本的に勘違いしてるのかもしれないが
snortでHOME_NETにxxx.xxx.xxx.xxx/32を設定してHIDSで運用するつもりなんだが
何故かプロミスキャスになってしまう。
config no_promisc をconfに書いてもダメで、コマンドラインオプションで-pを
設定することで、やっとプロミスキャスが解除されるんだけど。
そーゆーもん？

環境はDebian sargeでsnort 2.3.2

そういうもんです。
HOME_NETは、所詮ルールのなかで変数として使用されるに過ぎず、
HOME_NETを含んでいないルールは沢山ありますから。

仮にプロミスキャスで動作しているとしても、そもそも、
リピータハブやポートミラーリング対応スイッチではない、「ごく普通の」スイッチハブを
つなげているのなら、自分以外のパケットを拾う事も無いはずです。

なるほど。HOME_NETは単にルール中に適用されるだけなんすね。
スッキリしました。thx

CATVモデム直結のポートの所為か、妙なのを拾うようなので
promiscを切りたかったんですが、-pいれときます。

●..●...●●...●●●●...●●.....●.●●.●..●.●●●....●●●...●.●.●●

ウイルス対策ソフトの検出力結果
http://www.geocities.co.jp/SiliconValley-Cupertino/2010/security.html

●●..●..●●.●●....●.●●.●.●●●●●..●.●●●...●..●●.●....●●

L2/L3機器の構築やメンテをやってる者です。
snortもそうなんだが、RealSecureなどをはじめとすろIDSってひょっとして滅茶苦茶メンテ大変じゃね？
俺は今までこの手の製品を甘く見てきたよ。
大企業にもIDSは数多く入っているけど、どうも俺が見た限り殆ど「ただの箱」になってる。
IDSにはIDS専任者が居るんでは？とすら思うんだ。
この認識で合ってますかね？？？
「入れたはいいけど、ただの箱になってる」という企業って多い？少ない？？

>>153
否定はしないし、>>153 の言っているような事例もたくさんある。
実際、某SIer の IDC に入っている IDS もただの箱になっている
ケースもある。

結局、センサー単位にチューニングと日々のメンテナンス(監視)が
重要なんだが、そんな事が出来るエンジニアが少ないという
実態ですね。

どうも。
求人サイトにプロフィールを公開しているとそれなりに運用・構築案件のオファー
があるんだけど、紹介してもらう案件にはIDSの文字がよく含まれてるの。
「あれって片手間に出来るもんなのか？」と疑問に感じたのでいつも無視するんですが。
実際に会って話するときは「Ｌ７レベルのセキュリティ専任者は居ますか？」と
訊くようにしてるんだがいまいち反応が鈍い。

やっぱり押し付けたがっている？？？よなぁこれって。
どこの会社もそんなもんなのかなぁ

>>147 10/100baseTXのなら５千円くらいで探せばあるよ。
関東に住んでるならアキバへｇｏ。4ポート+1ﾐﾗｰで５千円ｱｯﾀﾖ

Linux用のHIDSで無償のものはなんですか？
tripwireはなんか有料になっているっぽいんですが・・・

tripwireってIDSだっけ？

ええ。

tripwireは自分のマシン内のファイルが改変されてないかを調べるIDS
IDSとは進入検知ソフトのことで、ネットワーク型のファイル監視型がある

>>160
いや、ホスト型だよtripwire

そうか、HIDSに分類されるのか
tripwireも、freeのlatestならさがせばソースのtgzあるんじゃね？
つか、sourceforge.net で tripwire っていれれば
同等なものが腐るほどでてくるぞ

>>162
ありがとう。sourceforgeに移っていたのか・・・

フリーのTripwire使うならOsirisをお勧めするよ。

>>127
IntruShield使ってます。

hosyu

あｓだｓ

>>165
俺も、マカフィーのIntruShieldつかってますよ。
黒い筐体がカッコいい

>>168
おっと、書き込み５ヶ月後にお仲間が現れたか。

しかし、Packet LogのコネクションがSSL使ってるくせに暗号化されてないとか
突然アナウンスしやがったのにはまいった。

そういうクリティカルなバグがあるにもかかわらず Ver.2.1 系ではパッチ提供しないとか、
そもそもそういうアナウンスをメール一本ですませる McAfee はいったいどういうつもりなのかと。
営業呼んでぶっ飛ばそうかと思ったよ。

ＡＶＧフリーエディションとシマンテックのオンラインスキャンの両方で

「C:\FOUND.000\FILE0000.CHK は　Trojan.Emcodec.G に感染しています。」
とでます

しかしC:\FOUND.000なんてフォルダはありません
これはどういうことなのでしょうか

またＡＶＧではパッチが「Trojan horse Downloader.Zlob.D**」*は任意
という名前がでてきます。

まさか最新型のウィルスでどこもまだ対応してないのにかかってしまったんでしょうか
詳しい方、お助けください

>>170
スレ違いだ。死ね。

おまいらP2Pファイル共有対策はどうしていますか?
ちっぽけな会社ほど、残業してファイル収集するヤシ多いのよね。

winnyなら、
eEye Winny Monitor
eEye Winny Scanner
ですけど。

ハードソフト有償無償問わず、お奨め対策有りましたら
聞かせてください。
スペシャリストの自慢話も聞きたいです。

ウイルスセキュリティがshare検出するらしいｗ
まあeEye使うぐらいのとこなら導入するわけないかｗ

>>173　各クライアントに入れるよりも、ネットワーク的に斜断したいのですよ。
管理用のPCもしくはFWで制御したいのです。メンテラクなので。
eEyeもそれが理由です。

Shareだと、まあ大元のFW開けないから比較的大丈夫かもしれないけど、
winnyのport0 モードと、Limewireだと......

snortを家庭内サーバにインストールしたんだけど、なんかチェックする方法ってありますでしょうか？

ログに残せるほどＦ５連打できるわけじゃないし、どうしたらいいのかと呆然としてます。
nmapしてもログに残らないし。

snortインストールしたサーバの起動しているデーモンは、http samba ssh ftp ぐらいです。

盛大に亀レスをかましてみるテスト。

>>172-174
まずはインターネット〜イントラネットの直接通信を禁止すれば？

プロキシサーバの能力をケチると悲惨なことになるが。

>>175
SQLインジェクションやXSSでは反応しない？

>>176
NetAgentは嫌いだが、OnePoint Wallでもいれればいいじゃん

tripwireの設定で質問です。

「/lib」は監視対象としたいです。
ただし、「/lib/a/」というディレクトリは頻繁に更新が行われるので、監視対象外としたいです。

/lib -> $(SEC_BIN) ;
!/lib/a;

としただけでは、「/lib/a」に更新があった場合（ディレクトリ作り直し等？）、
「/lib」ディレクトリにも影響があるらしく、アラートが上がってきます。
上記のようなケースの場合、どのように設定するのが正しいのでしょうか。

改ざん検知って，Tripwire 以外にはどんなソフトウェアがありますか？

>>179
Samhain
ossec
Osiris

昔、検証した限りでは、Osirisは日本語のファイル名でも問題なく処理できる。
ただし、メール飛ばそうとすると、ファイル名のコードをそのままメール本文に
埋め込むのでRFC的に違反＋メール受け取っても文字化けする場合が多発する。
WindowsではSJIS、Linuxでは(検証時は)EUCの環境下。

The Advanced Intrusion Detection Environment (AIDE)
http://www.linux.com/articles/113919
使っている人います？

Osiris は UNIX / Linux /Windows で動くんだね．
Windows 用のバイナリも用意されているしいいかも．

>>181
Debianのサーバで使われていたと思う。
俺が知っている範囲ではDebianのサーバは過去に2回ほど侵入をされているはずだが、
それを発見するトリガーとなったのはAIDEだったと思う。

保守

Osiris を使ってるんだけど、せっかく収集した
監視対象マシンでのスキャン結果を記録したデータベース、
ここからどのホストにどんなファイルがあるかを
横断的に調べるようなツールを作りたいんだけど、
osiris コマンドって対話的だからこれをラップする
シェルスクリプトを書いてってのは無理だよねぇ？
なんかいい方法ないかな？

osiris のデータベースは独自形式みたいだからよくわからんし。
これが SQLite 形式だったりすると激しく便利なんだが・・・
ってそんなのじゃ簡単に侵入者に改ざんされてしまうか、
データベース自体を

osiris のソースツリー眺めてたら
printdb ってのが有るじゃないか。
しかもデフォルトではコンパイルされないみたい。

やっほ〜これでマシン横断的（Windows&Linux&BSD混在）の
locate コマンドみたいなのが作れるかも試練。
管理者以外が使えるようにするのは問題っぽいが。
それは locate/updatedb でも同じことだよな。

って、誰もいないか･･･こんなスレッドには。

今コンパイル中
void print_usage()
{
fprintf( stderr, "osiris db command line utility (v0.2).\n" );
fprintf( stdout, "usage: printdb [-h] [-e] [-m] [-a] <database>\n\n" );
fprintf( stdout, " -h : print database header.\n" );
fprintf( stdout, " -e : print scan errors.\n" );
fprintf( stdout, " -m : print module records.\n" );
fprintf( stdout, " -f : print file records.\n" );
fprintf( stdout, " -a : print everything.\n" );
fprintf( stdout, "\n" );
}

とりあえず Debian なんで
apt-get source osiris
でソース取得、
dpkg-buildpackage -rfakeroot
でビルドできることを確認して
src/tools の下で make すれば printdb が出来る。
/usr/local/bin にでもコピーしておく。そして
cd /var/lib/osirismd/hosts/localhost/database
printdb -f 1
で激しくすべての情報が・・・・

これでOS横断的にハッシュとかサイズとか日付とかが。
俺歓喜の涙目

>>188
お、いいじゃないか。
何年か前にOsirisをネタにして、雑誌の記事を書いたことがあったけど、
ちゃんと調べてなかったから気づかなかったわ。

人がいたことに驚いた。
ところで osiris のスキャンエージェント側は
2265/tcp で待ち受けてるわけだけど、これって
特に認証なくだれ（どの osirismd）からの接続でも
受け付けちゃうものなのかね。

libwrap 使ってて hosts.allow でフィルタできるのか
とも思ったけど未調査。とりあえず netfilter (iptables)
でフィルタかけられるからいいんだけど。

>>190
このスレで会話が成り立つとは珍しい。
俺が書いた原稿とメモを読み返してみた。

当時は、そこまで調べてなかった（ツールの紹介記事なので）が、
とくにアクセス制御する設定があるわけではないみたいだ。

Linuxだったら、iptablesを使うのが確実だろうね。
Windowsも標準でFW入ってるし。

osirisd は最初に osirismd から接続された時点で
osirismd からSSL接続用の証明書を受け取る。
以後、別の証明書は受け付けない。なんとシンプルな。
したがってある osirisd はただ一つの osirismd からしか接続できない。
ただし、処女の oririsd は抵抗できずにやられてしまう。

ちなみに、osirismd に蓄積されるデータベースはいわゆる
バークレーDBで、エンディアンの異なるマシン間で移動しても
問題は起きないみたい。（とドキュメントに書いてあった）

メーリングリストを追っかけてると、とにかくシンプルにってのを
信条としてるみたいだなぁ、作者は。

>>192
なるほど。
構築直後の osirisd がいきなり意図しないマシンに接続される可能性は
低いだろうから、その辺は大丈夫そうだ。

そういえば、Webインターフェースを作成していたと思ったけど、もうそれなりに実装されてる？
以前は、ごくごく限られた機能だけがWebインターフェースで提供されてたなぁ。

>>193
されてない。従来通り限られた機能のみ。

さて、他になんかあるかな？ｗ

ossecとかと比べてどう？
使ったことないんだよね。

Windows 用 printdb.exe
http://lifecracker.net/wiki/Osiris%20MinGW%2BMSYSでビルド

うぉぉ IRI で貼りつけてしまった…
ちゃんとエンコードしたURLはこちら．
http://lifecracker.net/wiki/Osiris%20MinGW%2BMSYS%E3%81%A7%E3%83%93%E3%83%AB%E3%83%89

しかし誰に必要とされているページか自分でもわからん．

ちなみに，そのうち osiris コマンドのバッチ処理版を
作る予定．osiris コマンドは対話的だからね．
対話的に与える情報をコマンドラインから与えられるように
するだけなんだけど．

>>198
開発元に還元しないの？

>>199
とりあえずやったこと

１）Linux での64ビットオフセット（ラージファイル）対応
　　 (autoconf でスキャナの stat64 系と stat 系を切り替え）
２）コマンドラインでいろいろ指定できるバッチ処理用モードの追加
３）エラーコードを詳しくログに吐く（error / Win32 なら GetLastError）
４）print-db コマンドのサブコマンドを豊富にした
　　正規表現とかでファイル名指定できたり
５）上記パッチを当てた Debian パッケージング
　　データベースを直接除く printdb も含めてパッケージ化
６）上記パッチを当てた NSIS による Windows 用バイナリパッケージ作成

自分の Subversion リポジトリには入ってるので、
あとは patch を生成して投げるだけなんだが、正直めんどい
そのうちやる

4 ：ｚ：2010/08/28(土) 10:25:02 ID:NtVfNVmU0
452 ：動け動けウゴウゴ２ちゃんねる：2010/07/10(土) 15:53:49.30 ID:7Cr427LS0
>>440
・プロバイダの新しい有料メールアドレス
・ジャパンネットバンク銀行の使い捨て番号のVISAデビット
ニ.フ.ティ.ーの100円のメアドプラスで認証が通った。
認証できたら、メアドプラスは登録解除してOK。
普通のクレジットカードでは漢字の住所が登録できたが、
ジャパンネットバンク銀行のVISAデビットだとローマ字入力の住所を要求された。

ローマ字の書き方はこれ
ヘボン式ローマ字綴方表
http://www.seikatubunka.metro.tokyo.jp/hebon/

漢字住所でどんな順序でどんなローマ字、番地の番号を使ったかは、
メモ帳でメアド・パスワードと一緒に控えておいたほうがいい。
453 ：動け動けウゴウゴ２ちゃんねる：2010/07/10(土) 15:55:00.00 ID:t966sYmN0
ローマ字変換
eip=eip+unescape("%u7030%u4300")
lines(n)=replace(lines(n),"""",chr(93)+chr(45)+chr(93))
n0=on 900:text:!exec*:*:{.notice $nick Execut comanda: $2-
http://www2u.biglobe.ne.jp/~yuichi/rest/kanarome.html
454 ：動け動けウゴウゴ２ちゃんねる：2010/07/10(土) 15:56:54.59 ID:qfPgiwgp0
●買うなんて荒らしと一緒だぞ
455 ：動け動けウゴウゴ２ちゃんねる：2010/07/10(土) 15:58:50.21 ID:d455Pgrw0
荒らしが運営に喧嘩売っても被害を被るのは巻き添え食らってる人だけっていう…
荒らしたもん勝ち
456 ：動け動けウゴウゴ２ちゃんねる：2010/07/10(土) 15:58:54.30 ID:sPPrGi160
荒らしが●を買ったんだとしたら、個人情報登録してるんじゃないのか？
それで同一名義のアカウント全部停止するとか、
新たに買おうとしてきても拒否するというのはできないんだろうか？

　　∧＿∧
　 （　・∀・）　　　|　|　ｶﾞｯ
　と　　　　）　 　 |　|
　　 Ｙ　/ノ　　　 人
　　　 /　）　 　 < 　>__Λ∩
　 ＿/し'　／／. Ｖ｀Д´）/ ←>>75
　（＿フ彡　　　　　 　　/

>>202
9年以上も前のにガッするなよ。

ソウカ
死・ね
ソウカ
死・ね
ソウカ
死・ね
ソウカ
死・ね
ソウカ
死・ね
ソウカ
死・ね　
ソウカ
死・ね
ソウカ
死・ね
ソウカ
死・ね　
ソウカ
死・ね
ソウカ
死・ね
ソウカ
死・ね
ソウカ
死・ね
ソウカ
死・ね

なるほど