読者です 読者をやめる 読者になる 読者になる
無料で使えるシステムトレードフレームワーク「Jiji」 をリリースしました!

・OANDA Trade APIを利用した、オープンソースのシステムトレードフレームワークです。
・自分だけの取引アルゴリズムで、誰でも、いますぐ、かんたんに、自動取引を開始できます。

侵入検知/防止システム

  • 侵入検知システム(IDS)
    • ネットワーク監視型(NIDS)
    • ホスト監視型(HIDS)
  • 侵入防止システム(IPS)

がある。

NIDS (Network Intrusion Detective System)

ネットワークを監視する侵入検知装置。NICのプロミスキャスモード(無条件受信モード)を利用して、接続しているネットワークセグメントのすべてのトラフィックインターセプトし監視する。

機能
  • コネクション切断:検知した攻撃を無効化する機能
    • TCPコネクションの切断
      • 攻撃用TCPコネクションが確立された場合、RSTを送り返し切断する。
      • ×コネクションを確立しないTCPハーフスキャンなどには効果がない。
      • ×最初のSYNパケットで攻撃が成立するモノ(SYN Floodなど)は防御できない
    • UDPコネクションの切断
      • ICMP Unreachableを送り返す。
      • ×送信元が偽装される場合が多くあまり意味はない。
    • FW連携
      • FWと連携しACLを一時的に変更する。
  • 攻撃の検知
    • パターンマッチ
    • アノマリ検知
      • 異常なパケット、異常なリクエストを検知し、攻撃と見なす。
      • ○未知の攻撃を検知できる可能性がある。
    • ステートフルインスペクション
      • 前後のパケットの状態を考慮する。
留意点
  • ネットワークトラフィック
    • パケットが多いと取りこぼしや追従が追いつかなくなる。
  • 接続先
    • とりあえずFWの内側&&攻撃を受けそうな場所(DMZ)に置く。
  • NIC
    • ミラーポートに接続し、プロミスキャスモードにする。
弱点
  • 暗号化
    • 暗号化されたパケットは監視できない。
  • 内部からの攻撃の検知
    • 正式なアカウントを持つユーザーによる内部からの攻撃は検知は難しい。

HIDS (Host base Intrusion Detective System)

ホストに導入する侵入検知装置。ネットワークカードのパッケットをインターセプトし監視する。そのほか、OSコマンドやIO処理も監視できる。

機能

※NIDSと同じことができるはず。

  • コネクション切断
  • 攻撃の検知
    • パターンマッチ
    • アノマリ検知
    • ステートフルインスペクション
  • OSコマンド実行の検知
  • ファイルアクセス、改ざんの検知
    • ファイルを監視し、更新を検知する。
留意点
  • ネットワークトラフィック
    • パケットが多いと取りこぼしや追従が追いつかなくなる。
    • ホストに届くモノのみなのでNIDSよりはまし。
  • 導入コストがマシン数に比例
    • マシンの数だけ導入が必要であるため、分散構成等の場合導入が面倒
  • マシン性能
    • サービスを提供するホストに導入するので、処理量によっては本来のサービスのスループットが低下してしまう懸念がある。
弱点
  • 暗号化
    • 暗号化されたパケットは監視できない。
  • 内部からの攻撃の検知
    • 正式なアカウントを持つユーザーによる内部からの攻撃は検知は難しい。

IPS (Intrusion Protection System)

防御機能を付加したIDS。通信経路にインラインで接続し、検知した攻撃パケットを排除するなどして、システムを防御する。

機能

※NIDSと同じことができるはず。

  • 攻撃パケットの破棄
    • 検知した攻撃パケットをサーバーに送らない。
    • NIDSのコネクション切断では、最初のSYNパケットはサーバーに届いてしまうが、それも防ぐことができる。
  • 攻撃の検知
    • パターンマッチ
    • アノマリ検知
    • ステートフルインスペクション

留意点

  • スループット
    • インラインで接続するため、IPSの性能がそのままットワークの性能に直結する。
  • 障害発生時のリスク
    • IPSの停止=ネットワークの停止となる。
    • 障害発生時に無条件でパケットを透過する機能を持つモノもある。(フェールオープン)

弱点

  • 暗号化
    • 暗号化されたパケットは監視できない。
  • 内部からの攻撃の検知
    • これも正式なアカウントを持つユーザーによる内部からの攻撃は検知は難しい。