侵入検知/防止システム
- 侵入検知システム(IDS)
- ネットワーク監視型(NIDS)
- ホスト監視型(HIDS)
- 侵入防止システム(IPS)
がある。
NIDS (Network Intrusion Detective System)
ネットワークを監視する侵入検知装置。NICのプロミスキャスモード(無条件受信モード)を利用して、接続しているネットワークセグメントのすべてのトラフィックをインターセプトし監視する。
機能
- コネクション切断:検知した攻撃を無効化する機能
- 攻撃の検知
留意点
弱点
- 暗号化
- 暗号化されたパケットは監視できない。
- 内部からの攻撃の検知
- 正式なアカウントを持つユーザーによる内部からの攻撃は検知は難しい。
HIDS (Host base Intrusion Detective System)
ホストに導入する侵入検知装置。ネットワークカードのパッケットをインターセプトし監視する。そのほか、OSコマンドやIO処理も監視できる。
機能
※NIDSと同じことができるはず。
- コネクション切断
- 攻撃の検知
- パターンマッチ
- アノマリ検知
- ステートフルインスペクション
- OSコマンド実行の検知
- ファイルアクセス、改ざんの検知
- ファイルを監視し、更新を検知する。
留意点
弱点
- 暗号化
- 暗号化されたパケットは監視できない。
- 内部からの攻撃の検知
- 正式なアカウントを持つユーザーによる内部からの攻撃は検知は難しい。
IPS (Intrusion Protection System)
防御機能を付加したIDS。通信経路にインラインで接続し、検知した攻撃パケットを排除するなどして、システムを防御する。
機能
※NIDSと同じことができるはず。
- 攻撃パケットの破棄
- 検知した攻撃パケットをサーバーに送らない。
- NIDSのコネクション切断では、最初のSYNパケットはサーバーに届いてしまうが、それも防ぐことができる。
- 攻撃の検知
- パターンマッチ
- アノマリ検知
- ステートフルインスペクション
留意点
- スループット
- インラインで接続するため、IPSの性能がそのままットワークの性能に直結する。
- 障害発生時のリスク
- IPSの停止=ネットワークの停止となる。
- 障害発生時に無条件でパケットを透過する機能を持つモノもある。(フェールオープン)
弱点
- 暗号化
- 暗号化されたパケットは監視できない。
- 内部からの攻撃の検知
- これも正式なアカウントを持つユーザーによる内部からの攻撃は検知は難しい。