情報セキュリティスペシャリスト 情報処理安全確保支援士

IDS/IPSについて

投稿日:

今回は、IDSとIPSについてです。
IDS(Intrusion Detection System) :侵入検知システム
IPS(Intrusion Prevention System):侵入防御システム

IDSは何種類もある攻撃パターン(シグネチャ)のデータベースから、
攻撃を検知し、IPSはその攻撃を遮断します。

ネットワーク型IDS

ネットワーク型IDSは「NIDS」とも呼ばれたりしますが、
ネットワークを流れるパケットをリアルタイムに監視し、ポリシーに従い検知します。
また、検知した場合、アラートをあげ、自動的にメールなどで通知することが可能です。

検知の種類としては、「シグネチャのパターンマッチング」「アノマリ検知」
があります。

シグネチャのパターンマッチングでは以下のような通信を検知します。
・ポートスキャン
・OSやソフトウェアの脆弱性をついた攻撃
・BOF攻撃
・サーバへのコマンド発行
・パスワードクラッキング
・パケットを偽装したDoS攻撃

アノマリ検知(異常検知)では以下のような通信を検知します。
・サーバなどに向けて大量に発行されたコマンド
・プロトコルに仕様に反したパケット
・異常な数のパケット

大量にパケットを送りつけるDoS攻撃やシグネチャに反映されていない未知の攻撃(ゼロデイ攻撃)、
ウイルス感染後の異常な振る舞いなどを検知することができます。

ネットワーク型IDSはスイッチを経由するポートをミラーリングして、
トラフィックを監視します。
まずはもっとも脅威のあるインターネット側の通信を一般的には監視します。

<構成例>

IDS

ホスト型IDS

ホスト型IDSは「HIDS」とも呼ばれますが、
Webサーバ、DBサーバ、メールサーバなどにインストールして、
使用します。

NIDSは仮想・物理アプライアンスとなりますが、
HIDSはホストにインストールするタイプのソフトウェアです。

検知項目としては次のとおりです。
・ログインの成功/失敗
・特権ユーザへの昇格
・ファイルへのアクセス
・設定ファイルの変更
・ファイルの書き換え/削除
・プログラムのインストール
・プログラムの起動
・Webコンテンツの改ざん ・・・など

【NIDS・HIDS 比較表】

NIDS HIDS
ポートスキャン
BOF攻撃
DoS攻撃
サーバへのコマンド発行 ×
ログインの成功・失敗
SQLインジェクション
重要なリソースへのアクセス ×
不正なプログラムのインストール ×
不正なプログラムのインストール ×

IPS

IPSは、NIDS+攻撃を遮断する機能をもった装置と言えます。

IDSではポートを監視して検知する形ですが、
IPSでは遮断するため、一般の構成としては以下のような形となります。

IPS







-情報セキュリティスペシャリスト, 情報処理安全確保支援士
-,

執筆者:


comment

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

関連記事

WAF(Webアプリケーションファイアウォール)について

今回は、WAF(Webアプリケーションファイアウォール)についてです。 WAFとはその名の通り、Webアプリケーションに対する攻撃を防御するための製品です。

情報セキュリティにおける脅威の種類について

今回は、ネットワークやシステムの情報セキュリティを脅かす脅威について、 どういった攻撃手法があるのかについてです。  

DNSの仕組みと脆弱性について

今回は、DNSの脆弱性についてとなりますが、 そもそもDNSの仕組みについてから説明していきます。  

情報セキュリティマネジメントについて

情報セキュリティマネジメントとは「適切な情報セキュリティポリシーに基づいて、情報資産の機密性、完全性、可用性をバランスよく維持または改善すること」です。 これを会社として十分に確保するために、ISMS …

ファイアウォールについて

ファイアウォールとはレイア4のTCP/IPの層でアクセス制御を行う装置です。 ただし、最近のファイアウォール製品は、その機能以上にIDS/IPS,アンチウイルス、アンチスパム、Webフィルタリングとい …

Sponsored Link