【アクセス技術.003】IDS/IPS ほか
佐藤@IT雑貨屋です。
アクセス制御にはファイアウォール以外にもIDS/IPSがあります。
◆IDS
IDS(Intrusion Detection System:侵入検知システム)は、ネットワークやホストをリアルタイムに監視し、侵入や攻撃など不正なアクセスを検知したら管理者に通知するシステムです。
ファイアウォールは、単独のパケットをチェックして不正なアクセスかどうかを判断しますが、DoS攻撃などの正常なパケットの大量攻撃には対処できません。その点、IDSや後述するIPSでは、単位時間あたりのパケットの量や、特定の攻撃パターンなど、様々なタイプの攻撃をチェックする事ができます。
このIDSには、以下の種類があります。
①NIDS(ネットワーク型IDS)
ネットワークに接続されてネットワーク全般を監視するIDSです。メリットとしてはネットワーク全体を監視できて、ホストに負荷がかからない事ですが、デメリットとしては、暗号化されたパケットやファイルの改竄など、検知できない攻撃があります。
②HIDS(ホスト型IDS)
ホストにインストールし、特定のホストを監視するIDSです。メリットとしては、ファイルの改竄などきめ細やかな監視が出来て、暗号化ファイルも復号して検査が出来る事ですが、デメリットとしてはホスト導入にコストがかかり、負荷もかけてしまいます。
ファイアウォールとの違いは、ファイアウォールでは、IPヘッダやTCPヘッダなどの限られた情報しかチェックできないのに対して、IDSでは検知する内容を自由に設定する事が出来ます。
不正なアクセスパターンを集めたシグネチャを登録しておき、それと照合することで不正アクセスを検出できますし、正常パターンを登録しておき、それ以外を異常と見なすアノマリ検出も可能です。
◆IPS
IDSでは侵入を検知するだけで防御は出来ません。防御も行えるシステムとして用意されたのがIPS(Intrusion Prevention System:侵入防御システム)です。
IDSと比較して安全性は高まりますが、一旦パケットを確認してから転送するので、処理が遅くなるという欠点があります。そのため、通信経路上に配置してパケットを確認して転送するインラインモードだけでなく、NIDSと同様に監視しておき、不正を発見した時に通信を遮断するプロミスキャストモードを利用できます。
アクセス制御ではこれらの他にも、以下の対策があります。
◆マルウェア対策
マルウェア対策には、PCやサーバなどのホスト上でチェックするものと、ネットワーク上でマルウェア感染をチェックするものがあります。ホスト上だけの対策ではなく、検疫ネットワークやプロキシサーバ、ファイアウォールの利用など、ネットワーク上での対策も重要です。
◆迷惑メール対策
迷惑メール対策にも、PCなどのホスト上のチェックするものと、ネットワークの中継サーバ(メールサーバ、メール中継サーバ、プロキシサーバなど)でチェックするものがあります。どちらか一方だけでなく両方で対策を行う事が重要です。
◆プロキシサーバでの対策
プロキシサーバは様々な通信を中継します。特に、標準型攻撃などで攻撃者が内部情報を窃取するときには、プロキシサーバを経由する事が多くあります。そのため、プロキシサーバではアクセス制御や認証を行い、不正な通信を中継しないようにします。またプロキシサーバの認証ログを監視、分析し、不正アクセスの兆候を検知します。
◆VLANでの対策
VLANを用いると、ブロードキャストドメインを分割することで、違うブロードキャスト通信を遮断できます。PCごとにVLANを別にして、PC同士がブロードキャストで接続できない様にする事で、ブロードキャストドメイン全体を探索するマルウェアの不要な感染を防ぐ事が出来る様になります。
◆UTM
UTM(Unifued Threat Managemant:統合脅威管理)は、不正アクセスやウィルスなどの脅威からネットワークを全体的に保護するための管理手法です。実際には、ファイアウォールやIPS、マルウェア対策ソフトウェアや迷惑メールフィルタなど、セキュリティに必要な機能を1台にまとめた機器を指す事が一般的です。
UTMを1台導入すれば、とりあえず一通りのセキュリティ対策が出来るというメリットはありますが、完全に全ての脅威を防御できるわけではありません。またウィルス対策やIPSなどは定期的に更新する必要があるので、適切に管理を続けなければ、求める効果が得られません。