関連記事
2/2 IDSとIPSの遮断の違い(準備編) - akkietech’s diary
2/2 IDSとIPSの遮断の違い(実験編)その1 - akkietech’s diary
2/2 IDSとIPSの遮断の違い(実験編)その2 - akkietech’s diary
2/2 IDSとIPSの遮断の違い(実験編)その3 - akkietech’s diary
2/2 IDSとIPSの遮断の違い(実験編)その4 - akkietech’s diary
IDSIPSの遮断の違いをラブレターで例えたら1つの物語ができた - akkietech’s diary
■実験4
それではIPSの場合、どのようなパケットの流れになるのか?
残念がらSnortでインライン構成する気力は残っていなかったので
iptablesのフィルタリングでIPSの代わりとして
パケットをドロップすることにした
多分趣旨が全然変わってしまうと思うが、ちょっとした発見はあった
iptablesには接続を拒否するアクションとして主に2つあり
DROPとREJECTがある
DROPはただ単にパケットを破棄し、送信元には何も伝えない
# iptables -I INPUT -p tcp --dport 80 -j DROP
REJECTは DROPのように破棄し、送信元にエラーメッセージを送る
エラーメッセージの例としてはこんな感じ
# iptables -I INPUT -p tcp --dport 80 -j REJECT --reject-with icmp-host-unreachable
# iptables -I INPUT -p tcp --dport 80 -j REJECT --reject-with tcp-rest
ちなみにデフォルトはicmp-port-unreachableらしい
そしてHTTPリクエストを送った際の
各アクション違いをパケットキャプチャを使ってしてみる
DROPの場合
kali側からSynを送り続ける
もちろんずっとACKは返ってこない
REJECTの場合
kalig側がSynを送ると、設定したRejectのメッセージが返ってきて
一発で接続は切断される
どっちがFWとして良いのかは
ケースバイケースらしい
そして肝心のIPSの代替として使ってみて
もしIPSの遮断がRSTパケットを送る設定ならば
確かに受け取り側にはパケットは届かないだろう
当たり前だが
■まとめ
IDSの遮断について5回に渡って書いてみたがなかなか長いものになった
でも曖昧な理解だったそれぞれの機能の理解はかなり深めることができた
気がする
■余談
いつもはOneNoteにメモ用として書き残しているものを
ほぼそのままここのブログに載せていた
が
今回は内容的に張り切って投稿用に書いてみようとした
が
書く内容に凝ってしまうのとついついあれもこれもと
内容が長くなってしまい
実践よりも書くことのほうに時間が費やされたことは
今となってはすこし心外だなと思う
たしかに自分が調べるときに技術系のブログを参考にして
問題が解決できたことは多々あったので、
些細な内容ではあるがこういった記事が
自分よりもっとセキュリティについてビギナーな人の
参考になればとは思う
自分の情報発信のきっかけにもなるし
ただ
書くことがメインになってしまうと本末転倒になってしまいそうなので
やっぱり今後殴り書きのメモ程度を投稿することにしようと決心した
よっぽど伝えたいことがあればきばって書くかもしれないが
さて
このIDSIPSの締めの内容として
IDSIPSの遮断方法の違いをラブレターに例えてみる