Home > Tech > IDS/IPS

IDS/IPS

January 14th, 2009

皆様、こんにちは。

chilipeです。
社内ネットワークに限らず様々なネットワーク上でのセキュリティに利用される物としてファイアーウォールはご存知の方も多いと思います。

しかし、IDSやIPSとなるとなかなか導入する機会も無く知らない事も多々あると思います。

ですが、今後、高レベルなセキュリティを必要とする場合必ず必要になってくると思いますので勉強しておいて損は無いでしょう!?

と言うことで、今回はIDS/IPSについて少し纏めてみようかと思います。

◆先ずは、ファイアーウォールとIDS/IPSの違い。◆

ファイアーウォールは【ネットワーク層とトランスポート層】をチェックし、管理者定義の「アクセスルール」によって許可された通信だけを通過させ、許可されていない通信を遮断します。

許可するパケットの送信元IP、宛先IP、ポート番号等で定義を行ない、パケットのIPヘッダやTCP/UDPヘッダをチェックし許可されていない通信を遮断することで、ネットワークの保護を行っています。

IDS/IPSは、【ネットワーク層からアプリケーション層】までパケット全体のチェックを行い、攻撃や不正アクセスと思われる不審な通信を検知、場合によっては遮断します。

IDS/IPSによる検知は、攻撃の特徴や兆候に関する情報を登録したデータベースによって行われます。管理者は、そのデータベースから監視項目を選択し、検知時の応答動作を定義する事が必要です。

「IDS」はネットワーク上でやり取りされるすべてのパケットをチェックします。そして、攻撃を検知すると、管理者あてに電子メールなどによる通知を行う他、ロギングや証拠保全のためにパケットデータを採取したり、ファイアウォールのアクセスルールを書き換えたりします。

「IDS」はあくまでも不正アクセスや攻撃を検知して管理者に通知することを目的としている為防御自体は行いません。不正アクセスや攻撃を遮断するには、
管理者が何らかの対策を講じるか、他のセキュリティ機器との連携が必要になります。

「IPS」は、不正アクセスや攻撃などの兆候を示す通信を検知すると、管理者へ通知すると共に、通信の遮断やパケットの破棄といった防御動作をリアルタイムで実行します。

◆IDS/IPSを簡単に纏めると下記の様な感じですかね。◆

IDSは「Intrusion Detection System(侵入検知システム)」
IDSの目的は主に、「侵入行為を検知して、検知結果を管理者に通知すること」

IPSは「Intrusion Prevention System(侵入防御システム)」
IPSの目的は「侵入を検知して、自動的にその侵入行為から防御すること」

IDSとIPSの違いは他にも幾つかあります。

例えば、設置位置が異なります。具体的にはIDSはミラーリング機能を実装したスイッチを利用して指定したポートに流れるパケットをコピーして出力する「ミラーポート」として設定し、そのミラーポートにIDS装置の監視用インタフェースを接続してキャプチャする方法です。

もちろん、パケットをコピーしているだけなので、もともとのパケットは通常通り転送されます。このため、パケットが不正であるとIDSが検知した場合でも、そのパケットを遮断することはできません。

上記に対して、IPSでは、IPS装置をネットワークに挿入します。

これを「インライン接続」と呼んだりします。IPS装置はブリッジと同じように動作するのでネットワーク構成への影響はありません。
しかし、ブリッジとは異なり、パケットを詳細に分析して検知処理を行う必要があるため転送処理だけでなく、検知処理も含めたスループットが高くないと、
ネットワークの性能がダウンしてしまうという問題点があります。

◆ここからは、仕組み的なものです。◆

IDS/IPSでは、「シグネチャ」「ポリシー」「イベント/アラート」「ログ/レポート」
といった情報を活用し、不正アクセスや攻撃に対する検知をはじめ、管理者への通知や攻撃の遮断などを行います。

先ず、「シグネチャ」とは、攻撃や不正アクセスの特徴を定義したデータの事を言います。
IDS/IPSでは、シグネチャと送受信されるトラフィックを比較することで、脅威を検知することができます。

次に、「ポリシー」とは不正アクセスや攻撃が検知された時のIDS/IPSの応答動作を定義したルールです。

3つ目が「イベント」です。イベントには大きく2種類あります。1つが「システムイベント」である。
これはIDS/IPSのコンピュータシステムとしてのイベントで、他の様々なコンピュータシステムと同様に、システムエラーや動作状況、タスクの結果等を通知するために生成されます。

もう1つは、ポリシーで定められた攻撃を検知したときに生成される「検知イベント」です。
イベントが発生すると、その応答動作の一つとして「アラート」がマネージャに送信されます。
検知イベントに基づくアラートでは、「攻撃の種類」「攻撃元のIPアドレスと攻撃対象のIPアドレス」
「攻撃元のポートと攻撃対象のポート」「攻撃の重大度や種類」などが含まれる。

そして4つ目、アラートを記録したものが「ログ」である。蓄積されたログは攻撃の分析に用いられます。

一方、「レポート」は、ログを人が理解しやすい形式に表示したもの。
攻撃の重大度やその影響度、攻撃元や攻撃対象のIP、イベントの発生時刻、イベントの傾向など、攻撃時のアラート情報の概要が表示されます。
そのほかにセンサソフトウェアやシグネチャのバージョン、センサの稼働状態、ポリシーの設定情報なども表示できます。

◆IDS/IPSを構成する3つのコンポーネント◆

IDS/IPSを構成するシステムコンポーネントには、「マネージャ」「センサ」「管理コンソール」があります。

「マネージャ」は3つの役割を担います。
1つは、後述するセンサの構成情報や設定情報、ポリシーの管理です。
それらの情報は、コンソールを介して「マネージャ」からしか参照したり設定したりできないように設計されています。

2つ目の役割は、「センサ」からのアラートを受信し、ログとしてデータベースに保存を行います。
攻撃の重大度に応じて電子メールで管理者にアラートを送信することや、SNMPやSyslogなどを使った外部機器との連携もマネージャの役割になります。

3つ目の役割は、シグネチャをベンダーのサイトからダウンロードし、センサに適用します。
最近のIDS/IPS製品は、1台のマネージャで複数のセンサを管理できるようになっており、ネットワーク上に複数のセンサが設置されていても、それらのポリシーとログを一元的に管理したり、シグネチャを一括配信したりすることが可能だ。

「センサ」は、ポリシーをマネージャから受け取り、その内容に基づいてトラフィックを検査するためにネットワークに配置される。一般に、センサのトラフィック監視用ポートにIPアドレスは付与されない。また、マネージャとの通信には、別途用意されている通信用ポートを用いる。

「管理コンソール」は、ネットワークを介してマネージャにアクセスし、マネージャとセンサを管理するためのインタフェースをユーザーに提供します。
システム状態の監視、システムの設定、レポートの作成など、一通りの管理操作ができるようになっています。

コンソールには、webブラウザを用いるものと、専用ソフトを用いてマネージャにアクセスするものがあります。

一応今回はここまでです。

必要そうな項目を洗い出して纏めてみましたが、やっぱり実際に触ってみないとなんとも・・・

その他導入に必要なものには、IDS/IPS装置、管理用の端末なんかが必要になりますので

結構な金額になりますね・・・

次回は(実際に触ったよぉ~)って報告ができればいいなぁと思います。

それではではこの辺でまた今度~。

Comments are closed.
Theme by NeoEase. Valid XHTML 1.1 and CSS 3.