akkietech’s diary

セキュリティ関連メインの自分用メモ書き。twitter: @akkietech

2/2 IDSとIPSの遮断の違い(実験編)その4

関連記事
2/2 IDSとIPSの遮断の違い(準備編) - akkietech’s diary
2/2 IDSとIPSの遮断の違い(実験編)その1 - akkietech’s diary
2/2 IDSとIPSの遮断の違い(実験編)その2 - akkietech’s diary
2/2 IDSとIPSの遮断の違い(実験編)その3 - akkietech’s diary
2/2 IDSとIPSの遮断の違い(実験編)その4 - akkietech’s diary
IDSIPSの遮断の違いをラブレターで例えたら1つの物語ができた - akkietech’s diary

■実験4
それではIPSの場合、どのようなパケットの流れになるのか?

残念がらSnortでインライン構成する気力は残っていなかったので
iptablesのフィルタリングでIPSの代わりとして
パケットをドロップすることにした

多分趣旨が全然変わってしまうと思うが、ちょっとした発見はあった

iptablesには接続を拒否するアクションとして主に2つあり
DROPREJECTがある

DROPはただ単にパケットを破棄し、送信元には何も伝えない
# iptables -I INPUT -p tcp --dport 80 -j DROP

REJECTDROPのように破棄し、送信元にエラーメッセージを送る
エラーメッセージの例としてはこんな感じ
# iptables -I INPUT -p tcp --dport 80 -j REJECT --reject-with icmp-host-unreachable
# iptables -I INPUT -p tcp --dport 80 -j REJECT --reject-with tcp-rest

ちなみにデフォルトはicmp-port-unreachableらしい

そしてHTTPリクエストを送った際の
各アクション違いをパケットキャプチャを使ってしてみる

DROPの場合
kali側からSynを送り続ける
もちろんずっとACKは返ってこない

REJECTの場合
kalig側がSynを送ると、設定したRejectのメッセージが返ってきて
一発で接続は切断される

どっちがFWとして良いのかは
ケースバイケースらしい

そして肝心のIPSの代替として使ってみて
もしIPSの遮断がRSTパケットを送る設定ならば
確かに受け取り側にはパケットは届かないだろう
当たり前だが



■まとめ
IDSの遮断について5回に渡って書いてみたがなかなか長いものになった
でも曖昧な理解だったそれぞれの機能の理解はかなり深めることができた
気がする

■余談
いつもはOneNoteにメモ用として書き残しているものを
ほぼそのままここのブログに載せていた


今回は内容的に張り切って投稿用に書いてみようとした


書く内容に凝ってしまうのとついついあれもこれもと
内容が長くなってしまい

実践よりも書くことのほうに時間が費やされたことは
今となってはすこし心外だなと思う

たしかに自分が調べるときに技術系のブログを参考にして
問題が解決できたことは多々あったので、

些細な内容ではあるがこういった記事が
自分よりもっとセキュリティについてビギナーな人の
参考になればとは思う

自分の情報発信のきっかけにもなるし

ただ
書くことがメインになってしまうと本末転倒になってしまいそうなので
やっぱり今後殴り書きのメモ程度を投稿することにしようと決心した

よっぽど伝えたいことがあればきばって書くかもしれないが

さて
このIDSIPSの締めの内容として
IDSIPSの遮断方法の違いをラブレターに例えてみる

つづく
IDSIPSの遮断の違いをラブレターで例えたら1つの物語ができた - akkietech’s diary