IDS(Intrusion Detection System)
日本語で訳すと「侵入検知」という風になるのでしょうか?
ネットワーク上を流れるパケットをスニファー(盗聴といったら少しイメージが悪いかもしれない)して、パケットをシグネチャ(パタン)と照合して、不正なパケットかどうかを見つけることを目的として導入します。
通常、ネットワーク監視型とホスト監視型と2種類に大別されます。ネットワーク監視型はRealSecure(ISS社)を代表とするネットワーク上を流れるパケットをシグネチャと照合して攻撃を見つけるものです。通常ネットワーク上にセンサとなるマシンを一台置き、それにネットワーク上を流れるパケットを収集し、そのパタンを予め設定された辞書(シグネチャリスト)と照合し、条件が合うと警告を記録します。
ホスト監視型は1台のサーバに対し、出入りするパケットについて監視するものやファイルなどの物理的な更新などを自動チェックするものなど様々あります。侵入検知よりも障害検知ツールのイメージが強いです。侵入検知として見るならば、リアルタイムにモニタリングが可能なNYC SoftwareのシェアウェアであるNeoMonitorが手頃で扱い易いかと思います(あくまでも個人的意見です)。SYN、ACK、FINなど通信の状況がリアルタイムに見られるのがその理由です。
侵入検知システムではいろいろなセキュリティを扱っているサイトで取り挙げられているSnortが結構使い易いです。ルールの定義によってかなり細かい追求も出来ますし、フリーでソースが配布されている点が良い点です。
(http://www.snort.org/にて入手可能。UNIX、FreeBSD、Solaris、WindowsなどのOSごとの対応プログラムがある。UNIXなどは導入が簡単です。Windows版はちょっと知識がないと動かせないかもしれません。)
何故かWindowsNTのOS上ではIDSCenterというGUIのコンソールを使用すると、デフォルトのルールファイルを適用時に起動時にハングしてしまうという事象が起こってます。ある方法を使用すると簡単に回避できます。NECのサーバだけかもしれませんが・・・。
もっと細かい情報についてはこちらまでご連絡下さい。なるべく返答しますが、時間がなくて返答できない場合がある点ご了承下さい。
m(_ _)m
戻る