- VLAN (IEEE802.1Q Tag VLAN)によるmulti-segment化による集合型firewall。Netscreenのでかい奴のことだろう、きっと。内部的にTag VLANを使っているとは知りませんでした。
- 相関分析(correlation)
- 複数のLogの関連性からincientを予測する方法。
第六章 IDS(前半だけ)
第六章まで終わらせたですが、意外と面白いこと書いてあるので、ちゃんと読むことにしよう。
- ASIC: Application Specific Integrated Circuit
- HIDS (Host-based IDS)
- ユーザ操作検査
- ファイル改竄検査
- 疑似レスポンス機能
- 不正操作へのレスポンス機能
- ハニーポット
- 攻撃統計調査
- 攻撃者行動調査
- 悪意あるプログラムの収集
- Tripwire
- 監視対象ディレクトリ・ファイルのhashを保存
- 検査時にdiffを取って、変化を判定する。
- Realtime処理ではない。
- NIDS
- プロミスキャスモード NICを受信専用にする
- ステルスモード NICにIPアドレスを割り当てない
- リピータハブを使う
- スイッチングハブ + SPAN(monitor) portを使う
- Tap 上り下りそれぞれを独立したNICで対処する
- IDSバランサー どのレイヤーでバランシングするかだよなあ..