セキュリティー上必須であるファイアウォールでは、外部から許可しているネットワークサービス以外のアクセスを防ぎます。ですが、その許可しているサービスに対して不正コードが紛れていても、正常だとして許可してしまいます。そのためパケット中に脆弱性を利用したコードが含まれていると、簡単に不正侵入を許してしまいます。そこで、IDS、不正侵入検知装置を導入することで、ファイアウォールが許可した通信サービスを再度チェックして、攻撃、不正侵入の試みかどうかを判断して疑わしい時に警告を発する装置です。
警備会社のホームセキュリティーは効果があると思いますか?侵入を... - Yahoo!知恵袋
IDSには2種類あり、1つ目のネットワーク型IDSは、企業ネットワークのDMZに配置されて、攻撃パターンをデータベースやRFC規格から判断します。2つ目のホスト型IDSは、サーバごとに導入して、サーバ自身のネットワークインターフェースを見張り、出入りするパケットを先ほどのIDSと同様の方法で解析します。場合によってはシステムを操作できるコマンドやアカウントを一時的に使用不能にしてしまう動作もします。どちらもネットワークやCPUなどに負荷がかかりやすいので運用には工夫が必要です。
それぞれの欠点は、ネットワーク型IDSの場合、膨大なネットワーク通信量から探るシグネチャベースのマッチングの量、非常に多いセッションを制御するため、CPU負荷が重くなり、結果パケットの取りこぼしや誤検知をすることがあります。そのため、監視ルールの作成に気をつけないといけません。また、ホスト型IDSだと、ホスト単体の中で発生するOSのイベントを策定するルール次第で、逐一横取りしてIDSに負荷がかかり過ぎ、通常の運用に悪影響を及ぼしてしまいます。
IDSは疑わしいアクセスを検知するだけなので、ネットワーク管理者がその検知した内容を熟知して制御しないといけません。そこでIDSをサポートできる侵入防止システム、IPSです。IPSを導入することで、不正アクセスなどの有害なトラフィックを発見して通知と、プラスリアルタイムでそのパケットを破棄、アクセスを切断して即座に侵入を防げます。大規模なネットワークを所持している大企業に特に効果があることから、徐々にこのIPSの導入が広まっています。
侵入検知して守るセキュリティー
July 15, 2016
