パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

日本Snortユーザーズグループ設立準備中」記事へのコメント

  • 今現在、個人でIDSを使っている人って、どれぐらいいるんでしょう?
    個人だとTripwareには手がでないし、正直私には難しいし。ちょっと気になります。

    # 希望をいえばSnortそのものよりIDScenterの開発と日本語化に注力してもらいたいなぁ。
    # IDScenterの1.1、RC4から先に進んでないから、あんまり期待してないけど。
    • by Anonymous Coward on 2003年11月01日 0時40分 (#424942)
      Snortはあくまでエンジン部分だけなので、インターフェースが整っていないのが辛いですね。
      よく雑誌の記事では解析インターフェースとしてACID [cmu.edu]が取り上げられてますけど、実際使いやすいかというと「う~ん」って感じですね(とか言いつつ私が記事書いたときもACID紹介しましたが)。
      管理インターフェースだと、SnortCenter [pandora.be]がいいかなぁと思います。1.0RC-1で開発が止まっちゃてるみたいだけど...。

      使ったこと無いけど、個人で使うならPure Secure [demarc.com]とかsguil [sourceforge.net]が面白そう。
      あと、インストールが大変そうだけどOSSIM [ossim.net]とか。
      親コメント
      • by awacs (11086) on 2003年11月01日 2時37分 (#424984) 日記
        #あれー、投稿ミスったかな(汗

        オープンソースの弱点かもしれないですね>使い勝手
        #すべてがそうとは言いませんが。
        某SFCが開発しつつあるポストプロセッサはなかなか
        よさげでした。まだ、世に公開されていませんが。
        #と、ここでプレッシャーをかけてみるテスト(笑)

        ともあれ、そういった部分にも手を伸ばせればいいな、と
        思ったりはしています。思うだけかもしれませんが。:-)
        親コメント
      • by tomoa (17875) on 2003年11月01日 17時20分 (#425202)
        管理インターフェースだと、SnortCenter [pandora.be]がいいかなぁと思います。1.0RC-1で開発が止まっちゃてるみたいだけど...。
        って、去年で止まっちゃってるんですね。とほほ。
        IDSenter [engagesecurity.com]もそうですが、正直、IDS関連って、かなり失速してしまっている感じがします。
        だからこのストーリーをみたとき、「え、いまさらIDSなの?」と思ってしまいました。

        あんまり盛り上がらないのも、IDSの利用者が少ないからなんだろうな・・・。
        っていうか、このストーリー、私とawacsさんとACしか書き込んでないじゃん。
        親コメント
        • by tomoa (17875) on 2003年11月01日 17時22分 (#425204)
          ×IDSenter
          ○IDScenter
           でした。失礼しました。
          親コメント
        • by awacs (11086) on 2003年11月01日 23時08分 (#425328) 日記
          >あんまり盛り上がらないのも、IDSの利用者が少ないからなんだろうな・・・。
          使いこなせないとメリットのないツールですからね・・・。
          そして使いこなすにはやたらネットワーク知識が必要だったりするし。
          ログ読むのも一苦労、何が起こっているかを想像するだけの技量も必要、と
          いう所も大きいのではないかと。
          #で、使いこなせる人は、ログ読むのに苦労していない罠(爆

          いまさらIDSとも言えますが、今までだれも手を出さなかった、と言うのが
          本当のところなんじゃないかと思います。
          #ホントは1年前にも作ろうか、って話は出ましたし、それ以上前にもそんな
          #方向になったのですが、snort.orgにOKもらえるか不明だった、と言う事
          #もあり、立ち消えたんですよね・・・

          まぁ、そういった、ある種の「壁」を下げたいってのはありますね。

          >っていうか、このストーリー、私とawacsさんとACしか書き込んでないじゃん。
          (滝汗)
          ま、私は広報担当ということで(嘘
          親コメント
          • by tomoa (17875) on 2003年11月02日 1時20分 (#425384)
            使いこなせないとメリットのないツールですからね・・・。
            そうなんですか? 私は、使いこなせないとデメリットが出てくるツールだから利用者が少ないのだろうと思っていました。
            たとえば、パーソナルファイアウォール製品がここまで普及した要因には、セキュリティインシデントがいかなるものかという啓蒙活動が進んだということだけでなく、このデメリットを極力少なくしたからだと思うんです。IDSにはそれがないからなおのこと普及しない、と私は思っていました。
            # 私なんてシグネチャの設定であきらめました。
            また、そこまで神経質にならなければならないシステムがどれだけあるかといえば、神経質になるべきシステムはあっても、神経質になろうとしないシステムがほとんど、という気がします。
            いまでも、各プロトコルの詳細と常はわからないけど、でもシステムは安全にしなきゃならない、という段階で苦労している人が多いのに、IDSってのは早すぎると思うんですよ。
            つまり、MRTGでトラフィック量を調べる、tcpdumpでパケットを解析する、このあたりがまだ不十分な段階では、IDSには早すぎるということです。
            こうしたことから、
            今までだれも手を出さなかった
            のではなく、"今までだれも手を出せなかった"のだろうと思っていました。
            また、個人利用者目当てのIDSのアプローチの仕方としては、パーソナルファイアウォールに取り入れていくという形がベストだろうと私は考えています。というか、Snortの場合、それ以外生き残る道はないんじゃないか、と思えてなりません。
            このため、デビュー時期を誤ったIDSをいまさら、そのままのカタチで再デビューさせようとするなんて、という感想を持ったんです。
            それに、IDSを実装したけりゃ、Snortのようなsignature recognitionタイプのものを導入するより、(高価ではあるけれど)Tripwireのような変更検出タイプのものを導入した方がおそらく少ないコストですませられるでしょう。備えていなければならない知識量が違うからです。

            ちなみに、個人利用者はいるのか気になったのは、コミュニティの力を借りる場合、個人利用者がいなければ難しいと思うからです。

            私自身、IDSには興味を持っていますが、残念ながら利用には至っていません。
            # 私には英語という壁は分厚くて高いので

            BBSを備えていただければ、ユーザという形で参加したいですね。
            親コメント
            • by awacs (11086) on 2003年11月03日 12時14分 (#425967) 日記
              >私は、使いこなせないとデメリットが出てくるツールだから利用者が少ないのだろうと思っていました。
              デメリットって「インストールが面倒で、動いてもアラートを見るのが面倒」くらいじゃ
              ないかと思うんですが。(もっともそれがデメリットなんですけどね)
              とは言え、PFWも似たようなものであることは事実ですよね。うっとおしいアラートを、
              実は設定次第で本当に必要なアラートのみあげるよう、調整できる事を知らずに放置して
              いる人は多いんじゃないでしょうか。
              シグネチャの調整も同じようなものですから、面倒なら全部使えばよい訳で(暴言?)
              また、HIDSとNIDSは、単に必要とされる知識エリアが異なるだけだと思います。
              NIDSはプロトコルの理解が必要なのに対し、HIDSは、どのファイル(ディレクトリ)
              がクリティカルかをきちんと理解した上で設定しないと意味がなかったりします。
              とりわけ、侵入者がどういったところにバックドア用ファイルをおくか、理解していな
              いとなんの意味もない場合もあります。そう言う観点では、NIDSの敷居が低いと思ったり。
              私にとってはTripwireの方が難しいですね(事実、インストール断念した事もあるし。苦笑)。

              あ、PFW的なsnort派生ツールもあります。なんだったっけ(滝汗)
              そういったものも含めて世に広めたいと思っています。

              >このため、デビュー時期を誤ったIDSをいまさら、そのままのカタチで再デビューさせようとするなんて、という感想を持ったんです。
              あいたたた。これは反論の余地なしです(苦笑)。精進いたしますm(__)m
              #やっぱりもっと前にMLくらいはたちあげるべきだったか(滝汗)

              >ちなみに、個人利用者はいるのか気になったのは、コミュニティの力を借りる場合、個人利用者がいなければ難しいと思うからです。
              つーか、私は個人利用者なんですけど・・・(汗

              >BBSを備えていただければ、ユーザという形で参加したいですね。
              MLじゃだめですか?(汗) #提案してみようかな、BBS・・・・
              snortのユーザ会が正式に発足したら、あらためて参加を募る事になりますが、その時
              は是非参加してみてくださいましm(__)m
              親コメント

アレゲは一日にしてならず -- アレゲ見習い

処理中...