侵入防止システム(IPS)を探る(2/2)

高崎達哉 2005年07月28日 10時00分

  • このエントリーをはてなブックマークに追加

前回は、外部からのワームの侵入や内部でのワームの拡散を防ぐ「侵入防止システム(IPS)」の概要と防御の仕組みについて解説した。今回は、IPSにおける侵入検知の方式と、設置や導入の方法について解説する。

代表的な侵入検知の方式は3種類ある

 IPS(侵入防止システム)の検知方式は、実はIDS(侵入検知システム)のものと変わらない。IDS/IPSの攻撃の検知方式には、大きく分けて「不正検知方式(Misuse Detection)」と「異常検知方式(Anomaly Detection)」の2種類がある。

 不正検知方式は、「シグネチャ検知方式」や「シグネチャ・マッチング方式」とも呼ばれる。この方式では、図1のように、既知の攻撃の特徴を記述したシグネチャと呼ばれるデータをデータベースに格納しておき、ネットワーク上を流れるパケットの内容と比較して、一致した場合に攻撃が発生したとして検知する。

図1 シグネチャ検知方式では既知の攻撃の特徴をもとに検知する

 これに対して、異常検知方式とは、正常なアクセスのデータを持っておき、ネットワーク上を流れるパケットの内容と比較して、一致しなかった場合に攻撃が発生したとして検知するものである。

 異常検知方式には、保持しておく正常アクセスのデータの違いによって、さらに「統計的異常検知方式(Statistical Anomaly Detection)」と「プロトコル異常検知方式(Protocol Anomaly Detection)」に分かれる。

 統計的異常検知方式では、図2のように、ネットワーク上を定常的に流れるトラフィックの特徴を学習しておき、それを「プロファイル」として保持しておく。ワームが発生した場合には、プロファイルの内容から大きく外れたアクセスが発生するため、検知することができるのである。

図2 統計的異常検知方式では通常と異なるトラフィックを検知する

 プロトコル異常検知方式は、プロトコルの仕様に準拠していないアクセスを異常として検知する。プロトコルの仕様はRFCに記述されている。ただ、アプリケーションプロトコルのフィールドの最大長などは、RFCでは規定されていない場合が多く、これでは、ワームの侵入に利用されることの多いバッファオーバーフロー攻撃を検知することができない。このため、多くのIDS/IPSベンダでは、通常のアクセスで利用される長さの範囲をフィールド毎に独自に規定することで、バッファオーバーフロー攻撃などを検知できるようにしている。

IPSの効果的な設置の仕方

 内部でのワームの拡散を防ぐためには、各セグメントの境界にIPSを設置するのが有効だろう。しかし、それぞれの境界に別々にIPSを設置していたのでは、IPSの台数が非常に多くなり、コストがかかってしまう。このため、多くのIPS機器では、複数のセグメントを同時に監視できる機能を備えている。

 例えば、インタフェースを6つ持つIPSの場合は、インタフェースを2つずつ3グループに分けることによって、図4のように、3つのセグメントを1台でまとめて監視することができる。バーチャルIPS機能を持つ製品であれば、この3つのセグメントをそれぞれ別のポリシーで監視することもできる。製品によっては、VLANに対応したものもあり、その場合は、2つの物理インタフェースで複数のVLANセグメントを監視することも可能となる。

図3 1台のIPSで複数のセグメントの境界を監視

IPSの効果的な導入手順

 IPSをいきなりインラインで設置して動作させると、誤検知された正常なアクセスが遮断されて業務が中断されたり、全体のネットワークの性能が急激に下がったりしてしまう可能性があり、お勧めできない。IPSは、以下の3つの手順を踏んで導入するのが良いだろう。

  1. IPSをIDSモードにして監視のみを行い、検知精度のチューニングを行う
  2. IPSをインラインで設置して監視のみを行い、パフォーマンスの確認を行う
  3. IPSの防御機能を有効にして運用する

  • IDSモードで監視する
  • 導入するIPSに、IDSのようにトラフィックをキャプチャして監視するモードが備わっている場合は、すでに設置してあるスイッチングハブの余っているポートを、上位ルータと接続しているポートのミラーポートとして設定し、IPSのインタフェースを接続して監視のみを行う。そしてこの状態で、発生するアラームを監視し、誤検知の発生状況を把握する。もし、誤検知が発生するようであれば、その誤検知のもととなるシグネチャのパラメータを変更したり、シグネチャ自体を無効にしたりする。
  • インライン接続で監視する
  • IDSモードでチューニングを行い、誤検知が発生しないようになれば、実際にIPSをインラインで設置して動作させてみる。しかし、ここではまだIPSの遮断機能は無効にしておき、通常アクセスのパフォーマンスに影響がないかどうかを確認する。
  • 遮断機能を有効にする
  • チューニングが終了し、通常アクセスのパフォーマンスに影響が出ていないようであれば、IPSの遮断機能を有効にする。この場合もいきなりすべての項目を遮断するのではなく、確実に侵入だと判断されるものから徐々に遮断をしていくのが良いだろう。

    • このエントリーをはてなブックマークに追加
    関連キーワード
    セキュリティ

    関連ホワイトペーパー

    SpecialPR