【ネットワーク】検出器、センサー
どうも。最近クチャラーが苦手な私です。
今回はかなり長い記事になりそうですが、お付き合いください。
唐突ですが、記事修正を行いました。↓↓↓
合わせて読みたい!
概要
ネットワーク上での、検出とセンサー(監視)。
情報を監視するためのメソッドです。
様々な方法で情報を収集解析して、
セキュリティを高めようという取り組みです。
センサー&検出器 Introduction
センサーとは、セキュリティ監視や診断用途のデータを
収集するデバイスの総称とします。
その一種として、ネットワープタップがあり、ファイアウォールのログなども利用することができるそうです。
そして、センサーには分類があります。
ネットワーク型センサー
ホスト型センサー
要するに、ネットワークを監視することに長けているか、
はたまた、コンピュータを監視することに長けているかの違いです。
で、これを実装するに当たっての配置を考えていきます。
一応図を作りましたが、わかりづらいです(断言)
この様な配置となっております。
まず、種類を分けていきます。
1. インターネット出口のルーターのインターフェースを監視。
2.ルータースイッチと接続するインターフェース監視。
3.ルーターとA(PC)を接続するインターフェース監視。(A=ルーター右側)
4.Aを監視する。
5.スイッチ、ハブの間のインターフェース監視。
6.B(PC)のサーバー上でのHTTPログデータを収集する。(B=ハブの片方)
7.ハブを通過する全TCPパケット収集。
こんな感じになります。
では、それぞれ説明していきます。
1:内部ネットワークと、外部を流れるパケットのみ分かる。
2:下にあるコンピュータとAまたはインターネットの間のパケットが分かる。
3:AのPCが送受信するパケットのみ分かる。
4:BのPCが送受信するパケットのみ分かる。
5:スイッチを通過する全パケット収集が可能である。
6:5のセンサーが収集できるデータの1部のみ収集できる。
7:これは、BとC(ハブのもう片方)とAを除くPC間すべてのパケット取得ができる。
恐らく、非常にわかりづらいと思いますが、あなたの明晰な頭脳を信じます。
要するに、様々な所にセンサーを配置し、ログを収集したり監視したり
することによって、セキュリティを向上するぜ!という話なのです。
これから分かる通り、1箇所にセンサーを配置しても網羅的には把握できません。
ですので、随所に散りばめておくのです。
ですが、これら「網羅的配置」では重複したデータを取得してしまいます。
なので、これらのバランスを考えて配置をするべきです。
データの種類:センサー型ごと取得可能データ
センサーの種別で、取得できるデータがあります。(言わずもがな)
ネットワーク型:パケットを記録したり、診断を行う。
ホスト型:サービスを提供するサーバー内のログインログアウトなどの監視。
サービス型:HTTPやSMTPなどのプロセス監視。
以上の様になります。
具体的に、攻撃などを踏まえて図に落とし説明します。
左のPCから、 A B C と名付ける。
インターネットからハブをD、FTP、HTTP周りをEとする。
AはHTTPサーバー且つ、FTPサーバーです。
Bは秘匿のHTTPサーバー。
Cはワークステーションです。
因みに、443PORTがHTTPSで、80がHTTPです。
詰まるところ、セキュリティを考えた際、
異なる型のものを組み合わせることによって、詳細にデータを取得します。
それぞれの特性を活かして、セキュリティを高めるということです。
もう少し書きたいところですが、やることがあるし眠いのでこれで。
誰かの役に立つことを願って、それでは。