IDS(Intrusion Detection System,侵入検知装置)とは?
通信のふるまいを見てサーバーに対するDos(サービス妨害)攻撃や侵入攻撃を検知したり、防御したりする機器。
最近は、ファイアウォールやUTM(Unifed Threat Management)の中の機能の一つとして含まれている。
単体で導入することは少なくなってきた。
IDSはどうやって検知するのか?
IDSは、通信のふるまいから侵入を検知する機能です。
IDSは怪しい通信の振る舞いや攻撃パターンをシグネチャという形で保持している。
指定した時刻で更新されるか手動で更新されます。
IDSはサーバに対する通信を受け取ると、シグネチャと照合し、不正通信として認識すると、管理者にアラートをあげます。
アラートを受け取った管理者は、サーバーのアクセスログを見たり、ファイアウォールのフィルタを変更したりして対応する。
IPSで侵入を防御
IPSは、IDSのパワーアップバージョンでサーバーに対する不正通信をシグネチャで検知すると、即座に遮断します。
即座に遮断することで管理者の手間が省けることができる。
しかし最近の攻撃手法や侵入方法が巧妙になっているので、不正通信かそうでないかを機械的に判断することが難しくなってきました。
とりあえずの処置
とりあえずIDSで検知だけを行い、サーバーの状態を確認してから、IPSで止めることが多い。
IDS/IPSは運用管理がポイント。
環境に合わせて、設定をしっかりカスタマイズすることが大事。
出典