自宅のNW通信を監視したい + だからネットワークタップが欲しい
最近個人でも購入可能なネットワークタップを探しています.
まだいいのが見つかっていませんが,見つかったら購入するつもりです.
(もしよさそうなもの知っているという方がいたら,教えてください!)
さて,なぜネットワークタップが欲しいのか?その理由について書きます.
それは,タイトルにもある通り自宅のNW通信を監視したいからです.
セキュリティに興味がある人だったら,多くが憧れるセキュリティアナリスト!!
サーバのログや通信パケット,深くやっているところではダウンロードしてきたマルウェアの静的・動的解析から,端末のログ・レジストリ調査まで行い,マルウェアに侵害されていないか,侵害されていたとしたらどのような動作が行われ,どのように対処したらよいかを考える非常に知的な仕事だと思っています.
しかも,セキュリティ業務の花形的なポジションでもあり,たいていのSOCは魅せるために,ものすごくきれいでハイテクなビジュアルになっています.
見学ツアーをやっているところもあり,多くの人の心を惹くだけの魅力があります.
JSOC見学ツアーの定期開催をスタートしました!
私もHPでSOCを見たりして,自分でもSOC環境を作って自宅のNW通信やサーバのログを監視分析したいなぁと思い,セキュリティ業界に飛び込んだこともありました.
一企業,それもセキュリティベンダーのように社外にビジネス展開しているところの環境を真似しようとしても,技術力も資金もありませんが,自宅のNW通信を監視して,マルウェアによって引き起こされる不審な通信がないか.
くらいは,マネすることはできます.それを実現するために必要なものが,
ネットワークタップです.
ネットワークタップをインターネットに抜けるルータの手前のスイッチに接続して,インターネットへの入出力の通信*1をキャプチャするという魂胆です.これにより,インターネットに出ていく通信のパケットを取得できるので,接続を試みたことなく,IPアドレスやドメイン名も怪しい...といった通信がないかどうかを探すことができます.
パケットの検索・分析はパケットキャプチャのソフトウェアであるWiresharkで実行してもよいのでしょうが,セキュリティに携わるものとしては,このログをElasticsearchのようなSIEMとして使われているログ検索プラットフォームに取り込んで,さながらアナリストになった雰囲気で分析してみようかなと思っています*2.
今までやりたくて,最近やり方や構成についてもブラッシュアップできてきたので,
あとは必要なものをそろえて実行するだけ!というところまで来ました.
実際にできたら再度記事にして投稿します.
今後ともよろしくお願いいたします.