IPS(Intrusion Prevention System:侵入防御システム)
IDSの上位版のような形として使われることも多い。
従来のNIDSをインライン接続することで、NIDSの検知およびより強力な防御を備えている。
IPSの接続方法
- プロミスキャストモード
- 通信自体は垂れ流し(NIDSと同等)
- インラインモード
- NWの間に入って、一旦通信をキャッチする
- その分防御できるけど、NWへの影響はでかい
主な機能
- 検知
- 遮断
- 方向問わずのポリシー設定
- IN、OUT問わずに設定可能
- VLANでの仮想IPS
- IPS1台でカバーできるよっていう
構成例
- DMZに配置
- NIDSと同様の設置。
- インラインで接続できるので防御機能は高いが、全部チェックすると影響も大きい
- 各拠点間の接続ポイントに設置
- WANとLANの間にIPSをインラインで接続
- 双方向で防御できるが、拠点ごとに必要なので高価にはなる
- 特定システムへの経路上でIPSを利用
- 重要なシステムに関してはレベルを高くしたい時とか
- 1台で防御したいけど全部のNWを見てると負荷が高いから、せめてそのセグメントだけでも・・とか
IPSならIDSの問題を解決できるの?
- そんなことはなく、IDSと同じような問題は起こり得る
- 誤検知、アプリケーションの脆弱性をついた攻撃、暗号化パケット
- 防御機能と可用性のバランスが大事
- 守ってばっかじゃ点は取れないが、点を取りに行けばカウンターで点を取られることもある
設置における考慮事項
- NW量
- 既に分かってるならいいが、不明であれば測定するか、機器スペックだけで導入するか
- スペックだけの場合、実量との乖離があると影響が大きいのでそこは要注意
- 既に測定済みの場合でも、ピーク時とオフ時で全然値が違うだろうから要注意
- 例えば月末月初やイベントごとで動画配信がある場合(今だとビデオ会議も)
- ツールを変えた途端ものすごい量に跳ね上がることもあるので、ソフトウェアにも要注意
- 性能、構成
- 十分な処理能力を有したものを使おう
- けど、オーバースペックは勿体ない(1人で1,000人規模の超高級品を使うとか)
- 冗長化、負荷分散、設備、障害対策を考えよう
- 結局、機器なので故障などにより動かないこともある
- 電源などの障害もあり得る
- SNMPでの監視なども余裕があれば
- 十分な処理能力を有したものを使おう
結局どんなんがいいのさ
実務のことも考えると、IDSだIPSだと、結局どれ使えばいいんじゃっていうのがある。
一概にコレ、ということにもいかないので、機能・価格・性能・相性など色々あると思うが、
代表的な所でピックアップされているのはこちらですかね。
-
【IDS・IPS】おすすめ製品15選!無料・有料を徹底比較
- Mcfee、Symantec、Fortigate、L2Blockerなどなど・・・