 |
||||||||||||||||
|
||||||||||||||||
| 前のページ 1 2 | ||||||||||||||||
|
||||||||||||||||
| iptablesの効果は?〜意外に大きい | ||||||||||||||||
|
今回、各サーバーの構築時にiptablesのルールを(一部の例外を除いては)すべてのインターフェイスに対して適用する、という形にしましたが、このようにすることで、以下のような効果が得られます。
表18:iptablesの効果 ただし、このようになっていると、XenのVMを一つ使ってハニーポットを構築するような場合に不便になります。というのも、今回構築したDomain-0と同じレベルで接続を制限されているVMでは、ハニーポットにならないケースがあるからです。 このような場合には、Domain-0で適用する各ルールに対して「-i eth0」というように、インターフェイスを指定して適用しましょう。 |
||||||||||||||||
| Xenをテーマにしたセキュリティ関連の研究例〜Xebek | ||||||||||||||||
|
Xebekとは、Sebekという、Honeynet Projectというセキュリティ関連の研究プロジェクトで開発されたツールのアーキテクチャを、Xen環境での使用に最適化したものです。本稿を書いている段階でコードは公開されていないのですが、機能がSebekと同様という以外は、ポリシーが異なることから、完全にスクラッチからかかれたものと考えてよさそうです。 Sebekが実現している機能は、以下のようなものですが、Sebekはこのやりとりをネットワークスタックに渡します。
表19:Sebekが実現している機能 Xebekは、このやりとりを、Domain-0とDomain-Uの間で相互参照可能な共有メモリ経由で実施します。Xebekそのものを発見しづらくするために、Xebekクライアントをカーネルモジュールとして実装するのではなく、カーネルパッチとして実装しているというのもありますが、Xen上で動作しているVMでhoneypotを構成している例として、興味深いものといえます。 なお、Xebek関連のプレゼンテーション資料は、以下のURLをはじめとして、何箇所かで閲覧可能です(Googleにて「Xebek」「PPT」という2つのキーワードで検索)。 |
||||||||||||||||
|
前のページ 1 2 |
||||||||||||||||
|
|
||||||||||||||||
|
|
||||||||||||||||
|
||||||||||||||||
|
|
||||||||||||||||
|
||||||||||||||||
|
|
||||||||||||||||
|
||||||||||||||||
-
-
連載
