月曜日に京SECに参加してきました。なんか忙しくて記事を書くのが遅くなってしまった・・・
OSSEC(HIDS)に種々の攻撃をして、どのようにインフラ監視をしているか見てみようというものでした。
今回やったのは整合性チェックとsshアクセスに対する防御を試しました。
HIDSは侵入検知なので基本的には通知をするのみなんですが、OSSECの場合はActiveResponseを設定することでIPS（侵入防止）の様な機能を持ちます。
前者は設定された時間毎にチェックサムを行い一致しない場合は通知するというもの。監視対象をWeb素材等にすることで意図しない改編等を検出することができます。
後者はブルートフォースなSSHログインに対してアクセス制御を行います。ただし、これはIP Spoofingを検出できず、意図しないアクセスを禁止する等のリスクがあります。これと同様の機能はSnortでやっている人が多いのかなと。
終わった後にDanさんとちょろっと話をしていたらSnort使ったことないからセッションやってよと言われました＾＾；そんなんできるほどSnort理解してないよ；；ちょっとなんか話せないか勉強してみようかな。