IPS(不正侵入防御システム)を知る[前編]
IPSの実装方法と防御技術とは
小倉 秀敏(おぐら ひでとし)インターネット セキュリティ システムズ株式会社
営業企画部 テクニカルソリューション課マネージャ
(エグゼクティブ・セキュリティ・エンジニア)
2005/3/16
IPSの実装方法 |
IPSはIDSとは異なり、いわゆるネットワークへインラインで実装する。図1と図2を見ていただきたい。
図1 IDSの実装 |
図2 IPSの実装 |
IPSはネットワークにインラインで実装されるため、その課題は検知や防御だけではなくなってしまう。つまり、ネットワークに与える影響という点が非常に重要になってきたのだ。攻撃防御だけではなく、「攻撃ではない通信に与える影響をどれだけ小さくできるか」という点である。
例えば、処理可能な通信帯域、IPSを通過するパケットの遅延などを挙げることができる。防御するべき攻撃が存在しない場合と攻撃防御を実施している場合で、それぞれの数値をきちんと確認することが必要である。
●IPSの実装場所
IPSでは、設置する場所の幅が広がった。IDSは、インターネット接続点に設置されることがほとんどだ。しかしIPSでは、LANの内部や広域閉域網への接続点に配置されることが多くなってきた。これはワームの脅威が広がってきたことと無関係ではない。これについては、後編で詳しく説明したい。
IPSの防御技術 |
IPSの防御手法にはさまざまなものがある。しかし実際はこれほど単純ではない。下記の表を見れば分かるように、攻撃通信の種類に合わせて適切な防御手法を選択する必要がある。利用者側の立場から見れば、これはIPSの利用を難しくする。そのため「単にすべての攻撃パケットをドロップするだけでよいのではないか」と思われがちだ。
|
||||||||
IPSの防御機能 |
しかしその手法だけでは、IPSがネットワーク・パフォーマンスに悪影響を与えてしまう危険性が高くなるばかりか、正しく攻撃を排除することができなくなる。
●正しく攻撃を排除できない
TCP系の攻撃では、攻撃情報が1つのパケットだけではなく、複数のパケットにわたって存在することがほとんどだ。2024文字のバッファオーバーフローを狙った「詰め物」が含まれた攻撃を考えてみよう。対象はHTTPでも何でもよい。当然この攻撃は最低でも2つのパケットから構成されることになる。フラグメントされた場合、もっと多数のパケットになるだろう。
1つ目のパケットで攻撃として検知できた場合、2つ目のパケットは無視してもよいのだろうか。また2つ目のパケットで初めて攻撃として認知できる場合はどうだろうか。1つ目のパケットはそのまま通してもよいものなのだろうか。そのような場合、エンド・ツー・エンドでは、通信エラーとして見なされるのではないだろうか。これをセッション単位で扱うことにすれば、該当セッションに連なるすべてのパケットをドロップでき、複雑さは生まれない。
●パフォーマンスへの悪影響
攻撃として判断したパケットをすべて排除する場合、防御の挙動回数自体が増加するため、IPSへの負荷が増大する。負荷が増大することで、IPSが正常パケットを転送する際の処理時間が悪影響を受ける可能性がある。このような問題が発生した場合、パケットレイテンシと呼ばれるパケットの転送遅延が発生する。パケット転送遅延が生じると、ネットワーク全体のパフォーマンスが劣化することになる。ネットワーク・パフォーマンスを高いレベルで維持しようとした場合、これは許されないことになる。
これらの問題を解決するため、プロトコルの特性に合わせた防御手法が必要になる。IPSによっては、さらにファイアウォール機能などを組み込み、ワームなどの連続した攻撃をさらに効率よく防御できるような仕組みを併せ持つものも存在する。
2/3 |
Index | |
IPSの実装方法と防御技術とは | |
Page1 IDS(不正侵入検知システム)の限界 IPS製品の歴史 IPSで何が変わったのか |
|
Page2 IPSの実装方法 -IPSの実装場所 IPSの防御技術 -正しく攻撃を排除できない -パフォーマンスへの悪影響 |
|
Page3 IPSの検知技術 -ステートフルなプロトコル分析とは -アノーマリ検知 -ヒューリスティックなビヘイビア検知 コラム:誤検知について |
関連リンク | |
IPSを実装する場所と考慮すべき点 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
|
|