情報処理安全確保支援士

IDS/IPSについて

投稿日:

今回は、IDSとIPSについてです。
IDS(Intrusion Detection System) :侵入検知システム
IPS(Intrusion Prevention System):侵入防御システム

IDSは何種類もある攻撃パターン(シグネチャ)のデータベースから、
攻撃を検知し、IPSはその攻撃を遮断します。

ネットワーク型IDS

ネットワーク型IDSは「NIDS」とも呼ばれたりしますが、
ネットワークを流れるパケットをリアルタイムに監視し、ポリシーに従い検知します。
また、検知した場合、アラートをあげ、自動的にメールなどで通知することが可能です。

検知の種類としては、「シグネチャのパターンマッチング」「アノマリ検知」
があります。

シグネチャのパターンマッチングでは以下のような通信を検知します。
・ポートスキャン
・OSやソフトウェアの脆弱性をついた攻撃
・BOF攻撃
・サーバへのコマンド発行
・パスワードクラッキング
・パケットを偽装したDoS攻撃

アノマリ検知(異常検知)では以下のような通信を検知します。
・サーバなどに向けて大量に発行されたコマンド
・プロトコルに仕様に反したパケット
・異常な数のパケット

大量にパケットを送りつけるDoS攻撃やシグネチャに反映されていない未知の攻撃(ゼロデイ攻撃)、
ウイルス感染後の異常な振る舞いなどを検知することができます。

ネットワーク型IDSはスイッチを経由するポートをミラーリングして、
トラフィックを監視します。
まずはもっとも脅威のあるインターネット側の通信を一般的には監視します。

<構成例>

IDS

ホスト型IDS

ホスト型IDSは「HIDS」とも呼ばれますが、
Webサーバ、DBサーバ、メールサーバなどにインストールして、
使用します。

NIDSは仮想・物理アプライアンスとなりますが、
HIDSはホストにインストールするタイプのソフトウェアです。

検知項目としては次のとおりです。
・ログインの成功/失敗
・特権ユーザへの昇格
・ファイルへのアクセス
・設定ファイルの変更
・ファイルの書き換え/削除
・プログラムのインストール
・プログラムの起動
・Webコンテンツの改ざん ・・・など

【NIDS・HIDS 比較表】

NIDS HIDS
ポートスキャン
BOF攻撃
DoS攻撃
サーバへのコマンド発行 ×
ログインの成功・失敗
SQLインジェクション
重要なリソースへのアクセス ×
不正なプログラムのインストール ×
不正なプログラムのインストール ×

IPS

IPSは、NIDS+攻撃を遮断する機能をもった装置と言えます。

IDSではポートを監視して検知する形ですが、
IPSでは遮断するため、一般の構成としては以下のような形となります。

IPS







-情報処理安全確保支援士
-,

執筆者:


comment

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA


このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください

関連記事

HTTP・Webアプリケーションの脆弱性

HTTP,Webアプリケーション関連の脆弱性としては、 主に以下の種類があります。

シングルサインオン(SSO)について

シングルサインオン(Single Sign-On)はSSOと略されますが、 複数の認証が必要なシステムに対して、最初に1回認証を行えば、システムが変わっても以降の認証は全て許可されて実行できるシステム …

情報セキュリティ対策の基本的な考え方

情報処理安全確保支援士(旧:情報セキュリティスペシャリスト)の内容に入っていく上で、 まずは、情報セキュリティという概念とその特徴といったことについてみていきたいと思います。

暗号化について

暗号化とは文字列に対して、なんらかの暗号アルゴリズムを用いて、 他の文字列に変換することです。 また、暗号化された文字列を元の文字列に戻すことを復号といいます。 暗号化には様々な方式や方法があります。

認証システムについて

今回は様々な認証システムについて説明していきたいと思います。 その前に、まずは認証ってどういったものなのかの確認となります。 認証はそもそも何のためにするものかというと、 人(ユーザ名)や端末(IPア …

ナナシ

ナナシ(30前後の男)



プロフィールはこちら