IPS(不正侵入防御システム)を知る[前編]

IPSの実装方法と防御技術とは

小倉 秀敏(おぐら ひでとし)
インターネット セキュリティ システムズ株式会社
営業企画部 テクニカルソリューション課マネージャ
(エグゼクティブ・セキュリティ・エンジニア)
2005/3/16

 IPSの実装方法

 IPSはIDSとは異なり、いわゆるネットワークへインラインで実装する。図1と図2を見ていただきたい。

図1 IDSの実装

図2 IPSの実装

 IPSはネットワークにインラインで実装されるため、その課題は検知や防御だけではなくなってしまう。つまり、ネットワークに与える影響という点が非常に重要になってきたのだ。攻撃防御だけではなく、「攻撃ではない通信に与える影響をどれだけ小さくできるか」という点である。

 例えば、処理可能な通信帯域、IPSを通過するパケットの遅延などを挙げることができる。防御するべき攻撃が存在しない場合と攻撃防御を実施している場合で、それぞれの数値をきちんと確認することが必要である。

●IPSの実装場所

 IPSでは、設置する場所の幅が広がった。IDSは、インターネット接続点に設置されることがほとんどだ。しかしIPSでは、LANの内部や広域閉域網への接続点に配置されることが多くなってきた。これはワームの脅威が広がってきたことと無関係ではない。これについては、後編で詳しく説明したい。

 IPSの防御技術

 IPSの防御手法にはさまざまなものがある。しかし実際はこれほど単純ではない。下記の表を見れば分かるように、攻撃通信の種類に合わせて適切な防御手法を選択する必要がある。利用者側の立場から見れば、これはIPSの利用を難しくする。そのため「単にすべての攻撃パケットをドロップするだけでよいのではないか」と思われがちだ。

防御形式 防御対象
パケットドロップ ICMP、UDPなどのセッションレス通信
セッションドロップ TCP
コネクションリセット TCP(実際にはセッションドロップと組み合わせて利用)
IPSの防御機能

 しかしその手法だけでは、IPSがネットワーク・パフォーマンスに悪影響を与えてしまう危険性が高くなるばかりか、正しく攻撃を排除することができなくなる。

●正しく攻撃を排除できない

 TCP系の攻撃では、攻撃情報が1つのパケットだけではなく、複数のパケットにわたって存在することがほとんどだ。2024文字のバッファオーバーフローを狙った「詰め物」が含まれた攻撃を考えてみよう。対象はHTTPでも何でもよい。当然この攻撃は最低でも2つのパケットから構成されることになる。フラグメントされた場合、もっと多数のパケットになるだろう。

 1つ目のパケットで攻撃として検知できた場合、2つ目のパケットは無視してもよいのだろうか。また2つ目のパケットで初めて攻撃として認知できる場合はどうだろうか。1つ目のパケットはそのまま通してもよいものなのだろうか。そのような場合、エンド・ツー・エンドでは、通信エラーとして見なされるのではないだろうか。これをセッション単位で扱うことにすれば、該当セッションに連なるすべてのパケットをドロップでき、複雑さは生まれない。

●パフォーマンスへの悪影響

 攻撃として判断したパケットをすべて排除する場合、防御の挙動回数自体が増加するため、IPSへの負荷が増大する。負荷が増大することで、IPSが正常パケットを転送する際の処理時間が悪影響を受ける可能性がある。このような問題が発生した場合、パケットレイテンシと呼ばれるパケットの転送遅延が発生する。パケット転送遅延が生じると、ネットワーク全体のパフォーマンスが劣化することになる。ネットワーク・パフォーマンスを高いレベルで維持しようとした場合、これは許されないことになる。

 これらの問題を解決するため、プロトコルの特性に合わせた防御手法が必要になる。IPSによっては、さらにファイアウォール機能などを組み込み、ワームなどの連続した攻撃をさらに効率よく防御できるような仕組みを併せ持つものも存在する。

2/3


Index
IPSの実装方法と防御技術とは
  Page1
IDS(不正侵入検知システム)の限界
IPS製品の歴史
IPSで何が変わったのか
Page2
IPSの実装方法
 -IPSの実装場所
IPSの防御技術
 -正しく攻撃を排除できない
 -パフォーマンスへの悪影響
  Page3
IPSの検知技術
 -ステートフルなプロトコル分析とは
 -アノーマリ検知
 -ヒューリスティックなビヘイビア検知

コラム:誤検知について

関連リンク
  IPSを実装する場所と考慮すべき点

Security&Trust記事一覧


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Security & Trust 記事ランキング

本日 月間