倶楽部 へいちゃん 2

アクセスカウンタ

zoom RSS 皆さんはどうですか?

<<   作成日時 : 2013/05/12 21:20   >>

なるほど(納得、参考になった、ヘー) ブログ気持玉 1 / トラックバック 0 / コメント 0

こんばんは。

このところ頻繁に「IDS攻撃」をブロックしましたと、セキュリティソフトからメッセージがでる。

そこでIDS攻撃って何だろうとググッてみた。


現在のセキュリティ事情(NEC情報システムズより)

『IDS』 。聞きなれない方が多いかも知れませんが、 『ファイアウォール』 という言葉はご存知の方が多いでしょう。また、既に導入済である、というサイトが大半ではないでしょうか。

ファイアウォールは決して万能機器ではありません。

極端に言えば、ファイアウォールとは、設定内容に基づき、通信を通過させるか通信を破棄するか、だけを行います。

例を挙げて説明してみましょう。皆様のサイトにおいて、Webサーバを立ち上げ、The Internet上に公開するとします。この場合、ファイアウォールにおいては、Webサーバへの通信(HTTPリクエスト)は通過させるよう設定を行う必要があります。

このように設定されたファイアウォールは、WebサーバへのHTTPリクエスト以外の通信を破棄し、HTTPリクエストのみを通過させます。これがファイアウォールの機能です。

しかし、これは別の見方をすれば、HTTPリクエストであればどのようなものであってもファイアウォールを通過することが出来ると言えます。

ファイアウォールは、それが正常な通信であるか、攻撃による通信であるか、を判断することが出来ないのです。これが先に万能機器ではないとした理由です。

したがってWebサーバ自体にセキュリティホールが発見され、その対処が遅れれば、Webサーバは直接攻撃を受けることになります。

サイト内部へ既にワームやウィルスに感染したノートPC等を持ち込み、内部から感染が広がるというケースも少なくありません。

この様なケースの場合にも、やはりファイアウォールでは防ぎ切れない場合が多い、というのが実情でしょう。

IDSとは Intrusion Detection System の略であり、一般的には「侵入検知システム」となります。

ファイアウォールが通信における、送信元、宛先、リクエストするサービスの種別、程度までの情報しか検査していないのに対して、IDS では、そのリクエストの内容までを見て、それが正常な通信であるか、攻撃であるかの判定を行います。

攻撃と呼ばれる通信は、必ず攻撃を行う為の情報を含んでいます。

画像


IDSでは、通信パケット毎に、この攻撃パターンのデータベース(一般にSignatureとよばれています。)との比較を行い、攻撃通信であるか、通常通信であるかの判定を行います。

上記の様な機能(パケット中の攻撃パターン検査)を行う為、IDSで全てのパケットを検査する、つまりファイアウォールの置き換えとしての導入は、機器に対する負荷が高いため、不向きといえます。

IDSをファイアウォールと組合せ、ファイアウォールで大半の攻撃をしぼった上で、なお、ファイアウォールを通過する通信に対して、IDSによる検査を行うことで、より攻撃に対するセキュリティレベルを高める。といった導入形態が一般的です。

誤検知(正常な通信を攻撃通信と判断してしまう)が多いというのも一般的な IDSにおける短所と言われています。

誤検知を削減し、正確な攻撃検知を行う為には継続的なチューニングを行う必要があります。

わかったような解らないような・・・もう少し勉強しなくては。。

テーマ

注目テーマ 一覧


月別リンク

ブログ気持玉

クリックして気持ちを伝えよう!
ログインしてクリックすれば、自分のブログへのリンクが付きます。
→ログインへ
気持玉数 : 1
なるほど(納得、参考になった、ヘー)

トラックバック(0件)

タイトル (本文) ブログ名/日時

トラックバック用URL help


自分のブログにトラックバック記事作成(会員用) help

タイトル
本 文

コメント(0件)

内 容 ニックネーム/日時

コメントする help

ニックネーム
URL(任意)
本 文
皆さんはどうですか? 倶楽部 へいちゃん 2/BIGLOBEウェブリブログ
文字サイズ:       閉じる