IDS
IDSとは、侵入検知システムのことで、ネットワークやホストへの侵入の予兆を検出し、管理者に通報するためのシステムです。
- ネットワーク型IDS(NIDS):ネットワークに設置する
- ホスト型IDS(HIDS):ホスト(機材)にインストールする
HIDSはNIDSと異なり、CPUやメモリの利用状態、プロセスが出力したログレコードの内容、システムの呼び出しなどができます。
NIDSの設置には、ポートミラーリング機能を使って、L2SWでミラーポートに接続する必要があります。
ポートミラーリング機能とは、L2SWの他ポートに通信している内容を転送する機能です。
通常、宛先MACアドレスを見てどのポートに送るか判断しますが、ポートミラーリング機能を使うことで、NIDSにも送れます。
また、NIDSのNICをプロミスキャスモードで運用することで、全ての通信を受け取れます。
不正アクセスの検出
- シグネチャ方式:パターンによる検出
- アノマリ方式:振る舞いがいつもと異なることで検出
シグネチャ方式では、ハニーポットなどで収集したパターンで検出します。
IPS
IPSとは、侵入防止システムのことで、ネットワークやホストへの侵入の予兆を検出し、不正アクセスを行えないように通信を遮断するシステムです。
- ネットワーク型IPS(NIPS):ネットワークに設置する
- ホスト型IPS(HIPS):ホスト(機材)にインストールする
検出方式はシグネチャ型とアノマリ型の2種類です。
遮断する方法
- パケットを破棄する(Drop)
- TCP通信の場合、コネクションの強制切断(RST)
正常な通信が遮断されると、正常なサービス利用ができず、フォールスポジティブが発生してしまいます。
IDSとFWでIPSの役割を果たす
NIDSで検知したら、FWのフィルタリングルールを変更することで、攻撃を遮断することも可能です。
しかし、この方法だと検出から遮断までに時間差があるため、この間に攻撃が成功してしまう場合があります。
そのため、1パケットで成功してしまう攻撃やFWに遮断の設定を行う間に成功してしまう攻撃に対しては、有効ではありません。
NIDSやNIPSが過負荷状態になる
NIDSが過負荷になる場合、検査待ちパケットが溜まっていくのでフォールスネガティブが発生します。
NIPSが過負荷になる場合、NIPSを通過する速度が落ちるので、スループットが下がります。
