[stalk:01446] Re: source と dest が逆に検知されるsignature

[犬のみっきー <micky@xxxxxxxxxx>]

------------------------- infoseek ML Sponsor --------------------------
■■金利シミュレーション■■━━≪オリックスＶＩＰローンカード≫━━
【オリックスVIP】⇒⇒【金利8.7％／借入額300万円】⇒⇒【年利】261,000円
【某　  社】⇒⇒【金利15.0%／借入額300万円】⇒⇒【年利】450,000円
【金 利 差】⇒⇒【約200,000円】⇒【20万円あれば海外旅行だって行ける!】
　　http://bishop.va-cats.com/cgi-bin/vts/va0/ID=0019311104685
------------------------------------------------------------------------


ども．犬のみっきーです．

最近いろいろと忙しいもんですから反応遅れがちです．放置してすいま
せん．はい．

さて，吉本さん
> つまり、signatureの定義上のsourceは、必ずしも攻撃元とイコール
> にはならないと思うのですが、同じ事象でお困りのかたはいらっしゃいますか？
> やはり、個々のsignatureごとにfirewall連動の適用を検討するのが
> 一般的なのでしょうか？

Snortの場合 ATTACK RESPONSES 系のアラートがこれにあたりますかね．
FireWallと連携させるなら，誤検知のリスクが無視できないかぎりは，シ
グネチャ個別にブロックポリシを作った方が安全じゃないかなと思います
．あとは連動機能がシグネチャのグルーピング機能を持ってるとかならで
きそうですね．NIDS次第だと思います．

ボクはSnortくらいしか知らないので，あまり詳しくないのですが，Fire
WallとIDSを連携させたり，最近流行りのIDPってかなーり危なっかしそ
うで怖いんですよね．だって誤検知でガンガンフィルタされちゃったら
，いっくらなんでもマズいだろうしなぁ．もしも始めから其を狙ったDos
攻撃だった場合はどうなっちゃうんだろ．

ま，これは蛇足ですな．


>----- みっきーのネットワーク研究所 ------------<
>  http://www.hawkeye.ac/micky                  <
>  所長：犬のみっきー <micky@xxxxxxxxxx>        <
>  pgp : http://www.hawkeye.ac/micky/micky.pub  <
>-----------------------------------------------<

--
- このメイリングリストに関する質問・問い合せ等は
- <security-talk@xxxxxxxxxx>までお知らせください
--
------------------------------------------------------------------------
　　　　　　　　　使い方　電話とメール　だけじゃないッ！
　 http://k-tai.www.infoseek.co.jp/Ktai?pg=k-tai_index.html&svx=971122