5.6 侵入検知システム(IDS)
5.6.1 概要
IDSはIntrusion Detection Systemの略称で、不正侵入検知システムとも呼ばれます。
インターネットに公開するサービスでは、それに対する通信はファイアウォールでは接続許可の扱いとなるため、正常な通信と異常な通信は区別なくアクセスされることになります。
そこで、IDSを設置することで、通信を監視します。
また、もし異常があれば管理者へ通知することで、異常な通信をブロックするなどの対処をするきっかけ(トリガー)となります。
5.6.2. 種類と主な機能
1.
ネットワーク型侵入検知システム(NIDS)
|
設置場所 |
·
バリアセグメントに接続 ·
DMZに接続 ·
内部セグメントに接続 |
|
検知の仕組み |
·
シグネチャとのパターンマッチング ·
異常検知(アノマリ検知) |
|
イベント検知後のアクション |
·
通知・記録 ·
プログラム実行・停止 ·
ファイルやレジストリの復元(HIDSのみ) ·
セッション切断・接続制限機能 |
2.
ホスト型侵入検知システム(HIDS)
|
主な検知項目 |
ログイン成功/失敗 特権ユーザへの昇格 システム管理者用プログラムの起動 特定ファイルへのアクセス 設定ファイルの変更 プログラムのインストール システムディレクトリに存在するファイルの書き換え/削除 Webコンテンツの改ざん |
「不正検出」は事前に登録されているシグネチャという検出ルールとマッチングすることで不正なアクセスを検出する方法です。
「異常検出」はトラフィックや使用したコマンドを確認することで通常とは異なる振る舞いをした場合に異常と判断し、検出します。
ü
大量に発行されたコマンド
ü
プロトコル仕様に反したデータの流れ
ü
プロトコル支障に従っていないヘッダ情報を持つパケット
ü
異常な数の応答パケットなど
5.6.3 構成例
·
DMZと内部セグメントの監視
·
スイッチ接続(冗長化されたネットワーク環境)
·
TAP接続(TAPを利用した冗長化されたネットワーク環境)
·
LB接続(SSLアクセレータ付きLB)
5.6.4
導入上の留意点
5.6.5
機能上の限界および運用上の課題
1.
NIDS
◦
誤検知への対応
▪
フォールスポジティブ:不正ではない事象を不正として検知すること
▪
フォールスネガティブ:本来検知すべき事象を見逃してしまうこと。
◦
NIDSの処理能力不足によるパケットの取りこぼし
◦
アプリケーションに対する攻撃を検知できない
◦
暗号化されたパケットは解析できない(一部の高性能機種を除く)
◦
攻撃は検知できても侵入は検知できない
◦
不正アクセスを防御できない
◦
正当な権限者による内部犯罪の検知は困難
◦
ITの発展に合わせた機能拡張が必要
2.
HIDS
◦
あくまでOSの基本的な機能がベース
◦
1つのHIDSで監視できるのは1台のホストのみ
◦
導入によって監視対象ホストの性能や可用性に悪影響を及ぼす可能性がある
◦
攻撃の予兆を検知することは困難
◦
正当な権限者による内部犯罪の検知は困難
◦
ホスト環境でのリアルタイム検知の必要性は低い
5.6.6
拡張的な機能
·
独自シグネチャの登録機能
·
脆弱性検知による検知品質の向上
·
セッション情報の保存・分析による検知品質の向上
·
マルチインタフェースモニタリング機能
·
SSL/TLSによって暗号化されたパケットの複合
·
ハイパフォーマンス、ハイアベイラビリティ、マルチプロトコル対応など
