问个隐私拦截的问题！

keyoushi

wjcharles 发表于 2011-10-23 20:43
恩，hips当然没问题，但也要看操作者水平
我刚才指的是nis的ips组件，以0access为例（最近找不到tdss样本 ...

这个详细了，NIS应该就是IPS和墙的联动实现对数据包的过滤。但按照LZ的说法，拦截出站包含个人隐私的邮件这个恐怕很难，反正我是没想明白怎么过滤。话说这个应该需要用户手动在IDS这个层面手动部署规则。

wjcharles

keyoushi 发表于 2011-10-23 20:51
这个详细了，NIS应该就是IPS和墙的联动实现对数据包的过滤。但按照LZ的说法，拦截出站包含个人隐私的邮件 ...

针对隐私内容的话肯定没有办法过滤，可能正如你说的与防火墙联动，从数据包的结构、连接状态等其他方面定义入侵特征，甚至调用程序的本地行为信息（sonar记录里曾见过某样本触发IDS特征的），但没有具体样本这些都是猜测。。。

dopod2009

很难实现，没有匹配的DIY规则。除非你使用HIPS

keyoushi

wjcharles 发表于 2011-10-23 21:03
针对隐私内容的话肯定没有办法过滤，可能正如你说的与防火墙联动，从数据包的结构、连接状态等其他方面定 ...

嗯，所以我个人还是认为要回到主防上讨论这个问题，假如这个应用rootkit的木马穿了主防，后果还是很严重的，因为安软很难判定它后面的动作是否危险，或者即使后面的某些动作被识别出来并且拦截，但由于木马本身没有被清除，那么它利用正常的邮件通讯端口发送了一份包含账号密码的电子邮件......这个很难搞~

wjcharles

keyoushi 发表于 2011-10-23 21:41
嗯，所以我个人还是认为要回到主防上讨论这个问题，假如这个应用rootkit的木马穿了主防，后果还是很严重的 ...

嗯，穿了主防只能是亡羊补牢了，ips什么的只能减少点损失。。。

火球

多谢解答

小林制药

目前貌似没有，于是我封了机器和网关上的邮件端口

arthurm

加个hips确实好，推荐用comodo很不错的软件，不过不太容易上手。