IDS(Intrusion Detection System:侵入検知システム)
大きく2種類に分かれる。
NIDS(Network型IDS)
ネットワーク型なので、ネットワーク上に配置可能なもの。
どこに置くかによって目的・効果も変わるので配置場所は注意。
-
設置方法
- FWの外に置く(バリアセグメント)
- FWの中に置く
- DMZに置く(中に入る前に検知できて良い)
- 内部ネットワーク上に置く(万が一内部に入ったものに対しても検知できる)
-
検知方法
- パターンマッチング
- 事前に決められたパターンのデータかどうかをマッチングし、検知する
- アノマリ検知
- RFCなどの正しいプロトコル仕様や振る舞いなどと比較し、逸脱したものを検知する
- パターンマッチング
-
検知後
- TCP接続であれば、IDSからRSTパケットを送って通信を切断させる
- FWに異常検知した内容を伝え、FWに通信を遮断してもらう
HIDS(Host型IDS)
ホスト型なので、ホスト(主にサーバ)に配置可能なもの。
NIDSと主な機能としては変わらない部分も多いが、ホスト上で動作するので以下などに強いものは多い。
- ホスト上のリソースへのアクセス検知
- 不正なプログラムのインストール検知
- コンテンツの改ざん検知
IDSを設置する上での注意点
- HIDS/NIDSを設置する場合、DMZ・内部セグメントの棲み分けに注意する
- DMZと内部セグメントの間にはFWがあるため、内部セグメントからIDSを管理する場合には、マネジメントコンソールを使用するためにFWのポートを開けておく必要がある
- NIDSは自身が接続されたフレームを全てキャプチャするために、スイッチのミラーポートに接続する必要がある
- なので、ポートミラーリングできないスイッチではNIDSを使用できない
- NIDSが監視に使用するNICは、プロミスキャストモードに設定する必要がある
- NIDSのMACアドレス宛てでないものも取り込む必要があるため
- プロミスキャストモード
- 自分宛でないものも破棄せず取り込むモード
- NIDSが攻撃を受けないよう、監視に用いるNICには、IPアドレスを割り当てないようにする
- これに伴い、L2での監視になる
IDSの設置構成例
- DMZと内部セグメントを監視
- スイッチ接続
- TAP接続
- LB接続
- SSLアクセラレータ(SSL/TLSパケットの暗号化・複合を高速に行う機器)つきのLBを用いる
- 上記にともない、HTTPS通信も監視可能となる
IDS導入上の留意点
- 共通
- どう検知するかのポリシ策定
- 検知時の通知・対応方法
- ログ管理方法
- NIDS
- 当然だけどNWに関しての影響を考える
- 帯域・総利用量・1パケット量・NWの普段の利用状況(ピーク時の値とか)
- 暗号化パケットの対応方法
- 構成にも気をつける
- 冗長時の構成
- センサへの接続方法・センサの保護対策
- スイッチとの接続ポート、設定
- FWとの関連性
- 当然だけどNWに関しての影響を考える
- HIDS
- スペック大事
- CPU、メモリ、HDD・・・
- ソフトにも注意
- OS、ソフトの種類・バージョン
- スペック大事
IDSは完璧ではない
-
NIDS
- 誤検知、取りこぼしは実際ありうる
- アプリへの攻撃、暗号化パケットは対応できないものが多い
- 攻撃は検知できても、侵入までは検知できない
- 不正アクセスを防御できない
- 防御はIPSやWAFなどでしっかり行う必要あり
- 内部犯罪はムリ
- これはもうお手上げ
-
HIDS
- OSの限界を超えるものは無理
- 1HIDSで1ホスト
- 導入によるパフォーマンス低下などの影響が有り得る
- ウィルス対策ソフトも同じ
- 予兆検知は困難
- 振る舞い検知などができるものもあるかもしれないが・・・
- 内部犯罪はムリ
- NIDSと同じ