- PR -

ネットワークでのウイルス検知について(IDS?)

1
投稿者投稿内容
きのこ
ぬし
会議室デビュー日: 2004/09/01
投稿数: 256
投稿日時: 2004-09-01 06:31
すみません、はじめまして。現在、素人ユーザーのPCのセキュリティーを管理しているものです。私自身もセキュリティーにはそれほどくわしくないのですが、アンチウイルスを
それぞれに導入しているのですが、ユーザーが定期的にアップデートしないのとまたウイルスがみつかっても気づかないのか無視して連絡せずに業務を継続されてしまいます。
そこでネットワーク型IDSを1台おいてみようとおもっているのですが
はっきり、ウイルス対策になるとはかいてありません。
SNIFFERのようにネットワークのおかしなパケットを監視するとあります。
感染はMAILメッセージ(特にテンプつき)、およびWEBサイトが大半です。
以前、ある先輩が、だれかがメール経由のウイルスに感染したら
すぐ発見してそのMACアドレスで
だれがウイルスにかかったかすぐさま検知しました。
侵入検知みたいなことをいっていたのでIDSのたぐい(当時はその言葉すら知らず)
かと想像してます。
LINUXにSNORTなどをいれてMAILやWEBによるウイルス感染を
検知することはかのうなのでしょうか?
またもし可能な場合、SWICTHの区分ごとに1台おかないとだめなのでしょうか?
それともGATEWAYやFW付近に1台おくことで対応するべきなのでしょうか?
またアンチウイルスソフトで感染がみつかったらメールでIP、もしくはユーザー名などを自動的にしらせる機能ってあるのでしょうか?
すみません
ネットワークで自動的に10数台あるユーザーマシンのウイルス感染を
管理者に通知するシステムを作りたいと考えてます。
なにか良い方法あったらご教授ください
きょ〜じゅ
ベテラン
会議室デビュー日: 2003/07/31
投稿数: 66
投稿日時: 2004-09-01 08:38
IDSについてはあまり詳しくなくSNORTも使用したことはないので、それは他の方に任せるとしてそれ以外で

引用:

たけたんさんの書き込み (2004-09-01 06:31) より:
アンチウイルスを
それぞれに導入しているのですが、ユーザーが定期的にアップデートしないのとまたウイルスがみつかっても気づかないのか無視して連絡せずに業務を継続されてしまいます。

まず、ユーザ規模が不明なのですが、大規模な場合は管理ソフトが有効かも知れないです。
プロクシ等と連動して、(OS等の)規定のパッチ、(ウィルスの)定義ファイルが最新でない場合は(アップデートサイト等以外の)外部にアクセスできない様にすることが可能なものが幾つか出ています。

引用:

感染はMAILメッセージ(特にテンプつき)、およびWEBサイトが大半です。

これも製品としてMail中継及び、Webプロクシ機能を持ったウィルスチェックサーバがあります。

引用:

以前、ある先輩が、だれかがメール経由のウイルスに感染したら
すぐ発見してそのMACアドレスで
だれがウイルスにかかったかすぐさま検知しました。

これはウィルスそのものを検知したのではなく、感染後のDoS攻撃等を検知したのではないでしょうか。

引用:

ネットワークで自動的に10数台あるユーザーマシンのウイルス感染を
管理者に通知するシステムを作りたいと考えてます。
なにか良い方法あったらご教授ください

最近のウィルスは感染後に他を攻撃するものが多いので、それを検知するのはそれ程難しくないかも知れません。
内部の感染については防がなくても良いというのであれば、ファイアウォールやプロクシにIDSを仕込み、外部との通信を監視する事である程度見付けられるのではないでしょうか。
しゃべ
会議室デビュー日: 2001/08/28
投稿数: 9
お住まい・勤務地: 東京都
投稿日時: 2004-09-01 09:37
IDSの導入も大事ですが、ユーザーのウィルスへの対応が問題ではないかと思います。
いま使われているウィルス対策ソフトは
個人用を各自のPCにインストールしているのでしょうか?
ユーザー側でのアップデートや、感染時の報告に期待できないのであれば、
コーポレートエディションのウィルス対策ソフトを導入されてはどうでしょうか。
参考までにウィルスバスターのコーポレート版へのリンクです。
他のメーカーも同様にコーポレート版が用意されているはずです。大手なら。

http://www.trendmicro.com/jp/products/desktop/corp/evaluate/overview.htm


あとIDSについては@IT様に記事があったので、ついでに貼り付けておきます。

http://www.atmarkit.co.jp/fsecurity/special/19fivemin/fivemin00.html


記事にもありますが、IDSさえ導入すれば他は大丈夫・・・ということではなく、
FWなどと役割分担してセキュリティを高める方が、抜け穴が減ります。
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2004-09-01 10:23
おはようございます.

IDS で検知できるのはあくまでも「感染行動」ではないかと思います.
例えば「Virus に感染している file を get してしまった」な場合は
IDS で防げないでしょう.
この場合はきょ〜じゅ様のご指摘にあるような gateway な virus check が必要です.

が,万一感染してしまった,或いは感染済みの PC が持ち込まれた場合,
他への波及効果もあるでしょうから,通信を遮断したいこともあるでしょう.
そのための IDS なのかもしれませんが,IDS や IPS の監視対象が
「通信そのもの」であって「通信によって得られる成果物(言い方正しいかな?)」
でない以上,gateway な virus scanner と組み合わせないと死角が生じます.

で,前述の gateway を補う位置付けになるのでしょうけど,
http://www.trendmicro.com/jp/products/network-virus/nvw/evaluate/overview.htm
こんなのがあります.
突き詰めて言えば「対 virus/worm 専用 IDS」ということかと.
さらに管理 console を導入することで「予防 -> 監視 -> 感染後の対策」までできます.
製品としてはおもしろい位置付けですが,如何せん appliance なので,
保守などに不安な点があったりしますが...
芸達者
ぬし
会議室デビュー日: 2003/09/19
投稿数: 356
お住まい・勤務地: どこかに住んでます/品川区某所
投稿日時: 2004-09-01 12:13
こんにちは〜 芸達者です。

イメージ的な製品としては、下記のURLに載っているような感じかな?
http://www.symantec.com/region/jp/products/sgs_300/index.html

ウィルス対策ソフトのパターンファイル更新については、賛否両論あると
思いますが、ログインスクリプトの中に入れ込んでしまうのが楽かな?

問題なのが、ウィルス対策ソフトの常駐解除してしまう人がいますので、
停止したら何分か後に起動させるように対策をしなければなりません。
ですが、これをも停止する輩が居るのは事実なので、ネットワーク使用時の
最低原則を定める(罰則付きでね)事をお勧めします。

その他としては、「日本Snortユーザ会」というのがありますので、
メーリングリストに登録して情報を得てみては如何でしょうか。

日本Snortユーザ会:www.snort.gr.jp

だったかな〜

きのこ
ぬし
会議室デビュー日: 2004/09/01
投稿数: 256
投稿日時: 2004-09-02 01:44
みなさん、本当にいろいろ情報をありがとうございます
ぜひ実行にうつせるものはうつせます。
今日もユーザーから、PCに虫が表示されるようになって気持ち悪い。
なんとかしてとうったえられてしまいました。

少しづつ環境を向上していこうとおもいます。



金蛇精
ベテラン
会議室デビュー日: 2004/06/30
投稿数: 52
投稿日時: 2004-09-02 09:40
「McAfee ASaP」配備も管理も楽チンです。結構お勧めですよ。
http://www.mcafeeasap.ne.jp/intl/JP/content/virusscan_asap/default.asp
ウィルス対策は設備より、社内のポリシーの策定と、運用の徹底が肝要かと。
Haya
常連さん
会議室デビュー日: 2003/03/28
投稿数: 22
お住まい・勤務地: 関東
投稿日時: 2004-09-06 00:33
こんばんは。早川です。
「Snort」の文字を見つけましたので、お邪魔させて頂いた次第です(^^;

他の方がすでに有益なアドバイスをされているので、
邪魔とは思いますが。。。

引用:

私自身もセキュリティーにはそれほどくわしくないのですが、アンチウイルスを
それぞれに導入しているのですが、ユーザーが定期的にアップデートしないのとまたウイルスがみつかっても気づかないのか無視して連絡せずに業務を継続されてしまいます。
そこでネットワーク型IDSを1台おいてみようとおもっているのですが
はっきり、ウイルス対策になるとはかいてありません。
SNIFFERのようにネットワークのおかしなパケットを監視するとあります。

IDS はそもそもウイルス対策に特化したものではないので、
不可能ではないかもしれませんが、ちょっと不適切かと思います。

それを踏まえた上で・・・

引用:

感染はMAILメッセージ(特にテンプつき)、およびWEBサイトが大半です。
LINUXにSNORTなどをいれてMAILやWEBによるウイルス感染を
検知することはかのうなのでしょうか?

そのウィルス(ワーム)が送信するパケットに、
特徴(パターン)が存在すれば、使えなくもないです。

たまにオフィシャルなルールファイルに、
ウィルス(ワーム)関連のシグネチャが含まれてたりします。
# 「検出するだけ」であることにご注意を。

例えば、CodeRed V2 関連のシグネチャとして下記のようなものがあります。
http://www.snort.org/snort-db/sid.html?sid=1256

ついでに、Nimda関係のシグネチャ
http://www.snort.org/cgi-bin/sigs-search.cgi?sid=Nimda

他にもtypot trojan関係のシグネチャもあります。
http://www.snort.org/snort-db/sid.html?sid=2182

では。

P.S.
もし、Snortについて情報交換をしたいなら、
日本Snortユーザ会への参加をおすすめします(他の方がすでに紹介されてますが・・・)。
http://www.snort.gr.jp
1

スキルアップ/キャリアアップ(JOB@IT)