パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

データセンタ内のARP spoofing攻撃で通信改ざんが発生、対策の定石は?」記事へのコメント

  • by 65535 (25198) on 2008年06月05日 15時55分 (#1357168)
    サーバーのあるセグメントに、ネットワーク型のIDS入れとけば
    ARPスプーフィングの兆候を検出できます。(すべての製品でできるかは知らないけど)
    なので、ARPスプーフィングを試みられた段階で対処することは可能と思います。

    今回の件では、そういう製品を使ってなかったってことでしょう。
    良くてもインターネットとの出入り口付近にIPS入れただけってな感じでしょうか。

    全セグメントの監視やるとコストに跳ね返るから
    安価なサービス提供とは相容れないでしょうけど。
    • by Anonymous Coward
      とある製品のARPスプーフィングを検知するシグネチャは誤検知が多すぎて使い物にならなかった。
      低階層の攻撃をネットワーク型IDSで対応するのは経験上あまりよろしくないように思います。
    • by Anonymous Coward
      おりしもこんな話題が
      http://itpro.nikkeibp.co.jp/article/COLUMN/20080402/297763/ [nikkeibp.co.jp]

      外部からのセキュリティ攻撃に対する防御レベルを調べるため,データセンター3社が検証実験を行った。疑似攻撃によって見つかったセキュリティ脆弱性はわずかだった。しかし,現場の運用スタッフは異変に何も気付かなかった。
    • by Anonymous Coward
      ARP Spoofを検知するのではなく、ARPテーブルが変化
      (IPとMACの対応が変化)したことを検知するNIDSなら知っています。
      当然、誤検知がヒドい・・・
      (ARP Spoofだけを検知するのはどういうロジックなんだろう)

ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家

処理中...