今回は、IDSとIPSについてです。
IDS(Intrusion Detection System) :侵入検知システム
IPS(Intrusion Prevention System):侵入防御システム
IDSは何種類もある攻撃パターン(シグネチャ)のデータベースから、
攻撃を検知し、IPSはその攻撃を遮断します。
Contents
ネットワーク型IDS
ネットワーク型IDSは「NIDS」とも呼ばれたりしますが、
ネットワークを流れるパケットをリアルタイムに監視し、ポリシーに従い検知します。
また、検知した場合、アラートをあげ、自動的にメールなどで通知することが可能です。
検知の種類としては、「シグネチャのパターンマッチング」と「アノマリ検知」
があります。
シグネチャのパターンマッチングでは以下のような通信を検知します。
・ポートスキャン
・OSやソフトウェアの脆弱性をついた攻撃
・BOF攻撃
・サーバへのコマンド発行
・パスワードクラッキング
・パケットを偽装したDoS攻撃
アノマリ検知(異常検知)では以下のような通信を検知します。
・サーバなどに向けて大量に発行されたコマンド
・プロトコルに仕様に反したパケット
・異常な数のパケット
大量にパケットを送りつけるDoS攻撃やシグネチャに反映されていない未知の攻撃(ゼロデイ攻撃)、
ウイルス感染後の異常な振る舞いなどを検知することができます。
ネットワーク型IDSはスイッチを経由するポートをミラーリングして、
トラフィックを監視します。
まずはもっとも脅威のあるインターネット側の通信を一般的には監視します。
<構成例>
ホスト型IDS
ホスト型IDSは「HIDS」とも呼ばれますが、
Webサーバ、DBサーバ、メールサーバなどにインストールして、
使用します。
NIDSは仮想・物理アプライアンスとなりますが、
HIDSはホストにインストールするタイプのソフトウェアです。
検知項目としては次のとおりです。
・ログインの成功/失敗
・特権ユーザへの昇格
・ファイルへのアクセス
・設定ファイルの変更
・ファイルの書き換え/削除
・プログラムのインストール
・プログラムの起動
・Webコンテンツの改ざん ・・・など
【NIDS・HIDS 比較表】
| NIDS | HIDS | |
| ポートスキャン | ◯ | ◯ |
| BOF攻撃 | ◯ | ◯ |
| DoS攻撃 | ◯ | △ |
| サーバへのコマンド発行 | ◯ | × |
| ログインの成功・失敗 | △ | ◯ |
| SQLインジェクション | △ | △ |
| 重要なリソースへのアクセス | × | ◯ |
| 不正なプログラムのインストール | × | ◯ |
| 不正なプログラムのインストール | × | ◯ |
IPS
IPSは、NIDS+攻撃を遮断する機能をもった装置と言えます。
IDSではポートを監視して検知する形ですが、
IPSでは遮断するため、一般の構成としては以下のような形となります。
コメント