昨日の日記を更新してみた。
いま日経ITproの記事を読んでいてふと思ったけど、Windows2000 SP3で修正するものに、Winhlp32.exe Remote BufferOverrun(他1)もあるという雰囲気がする。ということでリリースされたら必須で当てましょねという気がする。そうそう、ここを読むと「IE、Media Player、Windows Messenger、Outlook ExpressなどへのアクセスをOSから取り除いたり」ができるとあるので、素敵な事だと思うのでした。
■ premierdownload.microsoft.comなとこからダウンロードできるとかあったりしてましたが、今日確認したところdownload.microsoft.comなところからも落とせるようです。MD5ハッシュ値もいっしょだ。でも急いでないのでアナウンスでるまで、じっと我慢の子であった。
connect24hではまもとさんも言ってますが、いろいろとsnort周辺のツールが豊富になってますねぇ。今日はsnort.orgから"SnortCenter"。前からあったけ?
snortは基本的にシステムのつくりがシンプルなのがいいところかなと最近感じています。
RealSecureはログの管理方法が複雑すぎるのが難点かなぁ。
テーブルとか無意味なの多すぎるし、でっかいログたまると手動でストアプロシージャー叩かないとログ処理できなかったりとか。
Sensorはいいんだけど、何にせよManagerがクソなわけだ(w
snortその気になればログもシグネイチャもゴニョゴニョできるもんね(笑
関係ないけど、RealSecure7 の値段は凄いね〜
ゴニョゴニョする機会があったら、どんな感じか教えてください〜
そうそう Winhlp32.exe の穴を使った資料の新作とかどを? それは流石に駄目か(^^;;;
RealSecureはSensorの負荷が大きいというのが最大の弱点かも。
今は亡きBlackIce(RealSecureに統合)はRS6.5と比べた場合は負荷は少なかったかも。
BlackIceはセンサー→マネージャー間(制御、アラートともに)が全部HTTPでのデータ通信なので、Proxyとかを簡単に通せるのが便利。制御もICMPのEcho_Requestをトリガーにして、センサー側から通信を開始するわけだし。
RealSecureは制御用のポート、データ通信用のポートが別々で管理しにくい。
NTのServerSensor系はBlackIceアーキテクチャーなのでRS7での進歩は大きいかもしれない。
問題は、SolarisのServerSensorはカーネルドライバが糞だったり。
Signatureは、RS7_FirstReleaseはRs6.5+XPU5.1よりも多い。でも、まぁどーでもいい内容だった気が。
どーでもよくないれす。
個人的に気になるのは、
> Signatureは、RS7_FirstReleaseはRs6.5+XPU5.1よりも多い。
ってとこだ。ギガビット系で特有の何かを見つけるものとかかな?
まとめた資料ほしければ後で送ります。
CentryにあったSignatureで、RealSecureになかったものが追加されている模様。
Agent for Server関係のSignatureに関してはまだ突合して比較してません。
ただ、PC Anywhereがうんちゃらーとか、適切なフィルタリングをしている状況では無関係のものが多かった。
重要度の高いものなら、RS6.5系のセンサーのXPUにも投入されるでしょう。
されねーって事は、RS7の販売戦略上「シグネイチャー増えましたよー!」といいたい為だけに入れたのかもしれない。
そんな感じ。