情報処理安全確保支援士(情報セキュリティスペシャリスト)試験に合格するためのサイトです。
過去問を多数引用しながら、基礎知識をしっかり学んでもらうように作ってあります。
また、情報処理安全確保支援士(情報セキュリティスペシャリスト)を楽しく学べるように工夫したいと思います。
カテゴリ:

6.ネットワークセキュリティ > 6.1 IDSとIPS

IDS、IPSとは
IDS(Intrusion Detection System)は、言葉の通り、「侵入(Intrusion)」を「検知(Detection)」する「システム(System)です。
また、IPS(Intrusion Prevention System)も同じく言葉の通りで、「侵入(Intrusion)」を「防御(Prevention)」する「システム(System)です。
両者の違いは、検知(Detection)だけでなのか、検知したものを防御(Prevention)するかです。

ただ、実際の製品としては、防御までできるIPS製品がほとんどです。製品例としては、McAfee社のNSPやIBM社のIBM Security Network IPS(旧Proventia)、HP社のTippingPointなどがあります。

どちらも、従来のFWでは防げない高度な攻撃を検知、防御します。

※最近のネットワークスペシャリスト試験では、あまり問われていません。

なぜファイアウォールでは防げないのか
情報セキュリティスペシャリスト試験を目指す女性SE

ファイアウォールで、外部からの攻撃は防げますよね。
それでもIPSは必要なのでしょうか?
良く分かっていないので、教えてください。
きちんとしたセキュリティ対策のためには必要だ。
それは、ファイアウォールでは防げない攻撃があるからだ。
ファイアーウォールは,IPアドレス,プロトコル,ポート番号などのヘッダのみを確認し,データの中身を確認しない。
送信元IP
アドレス
宛先IP
アドレス
プロト
コル
送信元
ポート番号
宛先
ポート番号
データ   
    
つまり、通常のWebアクセス(80や443)による通信であれば、すべて許可してしまう。そうなると、クロスサイトスクリプティングやバッファオーバフローなどの攻撃を防ぐことができない。
一方,IDSやIPSはデータの中身もチェックすることができる。

次の過去問を見てみよう。これをじっくり考えると、ファイアウォールでは防げない攻撃が分かる。
問41 パケットフィルタリング型ファイアウォールのフィルタリングルールを用いて、本来必要なサービスに影響を及ぼすことなく妨げるものはどれか。
ア 外部に公開していないサービスへのアクセス
イ サーバで動作するソフトウェアのセキュリティの脆弱性を突く攻撃
ウ 電子メールに添付されたファイルに含まれるマクロウィルスの侵入
エ 電子メール爆弾などのDos攻撃
(H23AP秋)
同時に、ファイアウォールでなければ、何を導入すれば防げるかも同時に考えよう。
正解はアである。フィルタリングルールだけでは、イ~エの攻撃が防げない、そこで、IPSであたり、WAFの仕組みが必要になる。イはWAFやホスト型IPSが必要、ウはUTMによるウイルスチェックが必要であろう。エはIPSが必要。

5
FWでは防げない攻撃があることは分かりました。
でも、IDSやIPSが無くても、サーバをきちんと要塞化すればいいのでは?




それはそう。本当にその通りだ。その観点でいうと、FWも不要だ。
しかし、FWの利点は、セキュリティ管理の一元化ができることだ。
一方、IDS/IPSに関して、以下の過去問を見てみよう。
L氏 :IDS又はIPSを導入する必要性について,説明してください。
J主任:③FWのフィルタリングルールの設定だけでは、Webサーバに対するバッファオーバフロー攻撃などを防御できません。こうした攻撃への対策として,IDS又はIPSの導入や,サーバにセキュリティパッチを適用することが考えられます。しかし,御社では,セキュリティパッチ適用時のサーバの動作確認や,適用前のデータのバックアップ採取を行う必要があり,すぐにセキュリティパッチを適用することはできません。そこで,  IDS又はIPSの導入をお勧めした次第です。

設問3
(3)本文中の下線③について,  FWのパケットフィルタリングルールだけでは攻撃を防御できない理由を,  30字以内で述べよ。 (H19SV春午後1問2)
設問については、それほど難しくない。試験センターの解答例は以下だ。
「パケットのヘッダ情報だけで攻撃か否かを判断しているから」
「ペイロードの内容を見ていないから」

ここで着目してほしいのは、問題文にあるIDSやIPSの必要性である。
サーバのセキュリティパッチは毎月出る。しかし、セキュリティパッチを適用すると、システムが従来とは違う動きをしたり、アプリケーションが動かなくなるなどの危険が少なからずある。多くの企業では、パッチを自動更新しない設定にしている。そうすると、セキュリティホールが残ったままになるわけだから、IDS/IPSを設定しておくべきだ。

以下の問題を解いてみよう。
IDS














試験運用を開始してすぐに、IDSから管理者あてに警告メールが大量に送られるようになった。警告メールが多いと,管理者が重要な警告を見落とすおそれがあることから、D社ではIDSの導入効果を維持したまま警告メールの件数を少なくするために,①IDSの設置位置を図1のβの位置に変更した。

設問3 IDSから管理者あてに送られる警告メールの大量発生後に, D社が実施した対策について,答えよ。
(1)本文中の下線①の対策について,警告メールが減少する理由を35字以内で述べよ。(H23春AP午後問9)
db2fc28c
なるほど。分かりました。
この場合は、ファイアウォールで通信を絞ったあとにIDSを導入していますね。
ファイアウォールでは、Webサーバ(80)やメール(25)などの公開サービス以外の通信をブロックします。もしαにIDSを設置すると、すべての攻撃が来ますから、莫大なログになりますもんね。

その通り。
試験センターの解答例「監視対象がファイアウォールを通過したパケットに限定されるから」
とはいえ、FWへの攻撃を防ぐという意味では、αに置くことも選択肢の一つであることは理解しよう。
最近の場合は、FWに簡易なIPS機能があるから、その可能性は低いかもしれないが。

 IDSの種類には,ネットワーク上の通信を監視するネットワーク型IDS(NIDS:Network-Based IDS)とコンピュータ上での異常を監視するホスト型IDS(HIDS:Host-Based IDS)がある。過去問では以下のように,NIDSとHIDSの内容が問われる。

問48 NIDSの目的はどれか
解答:管理下のネットワーク内への不正侵入の試みを記録し,管理者に通知する。
(H18NW 午前問題 問48より)

問45 IDS(Intrusion Detection System)の特徴のうち,適切なものはどれか
解答:ホスト型IDSでは,シグネチャとのパターンマッチングを失敗させるためのパケットが挿入された攻撃でも検知できる。
(H18SM 午前問題 問45より)


 不正侵入の検知方法にはシグネチャ型とアノマリ型がある。その方法に関しては,過去問(H19SV午後Ⅰ問2)に詳しく記載がある。

検知方法には,シグネチャ型とアノマリ型があり,シグネチャ型は,既知の攻撃パターンに基づく攻撃とマッチングすることによって攻撃を検知し,例えば,サーバの既知の脆弱性を突いた攻撃を防ぐことができます。一方,アノマリ型は,RFCのプロトコル仕様などと比較して異常なパケットや,トラフィックを分析して統計的に異常なパケットを攻撃として検知します。
(H19SV午後Ⅰ問2より引用)

アノマリ(anomaly)という言葉は「異常な」という意味で,normal(正常)の反対として考えてもらうと覚えやすいだろう。
7a536a8a
番犬で言うと、 シグネチャ型は,「悪い人の顔」を「サングラス」「マスク」など覚えさせて,その人を見たらほえます。
 アノマリ型は,「普通の人よりキョロキョロする」「顔の露出が少ない」などの,統計的に異常な人を見たらほえるのですね。

過去問(H22年NW午後Ⅰ問3)を見てみよう
現在の構成では,  FWで通過が許可されているパケットを使った不正侵入は防御できないので,より高度な機能をもった侵入検知システム(以下, IDSという)が必要です。IDSには,監視対象のネットワークに設置するネットワーク型IDSと,監視対象のWebサーバなどにインストールする[ ア ]型IDSの2種類があります。また,侵入検知の仕組みとして,不正なパケットに関する一定のルールやパターンを使う[ イ ]型と,平常時のしきい値を超えるアクセスがあった場合に不正と見なすアノマリ型(異常検知型)の2種類があります。アノマリ型の場合,しきい値を高く設定したときだけでなく,①しきい値の設定が低すぎたときにも弊害が発生するので,注意が必要です。

・[ ア ]
 ホスト

・[ イ ]
 シグネチャ

・下線①に関して
設問「(3)本文中の下線①について,発生する弊害を,  40字以内で具体的に述べよ。」
 
 しきい値とは境目となる値のことです。アクセス数がこの値を超えると不正アクセスとみなします。反対に,この値に達しなければ不正アクセスとしてみなされません。
 しきい値を高く設定すると,大量の不正アクセスがあっても不正アクセスを検出することができません。しきい値が高すぎて,しきい値に達しないからです。
逆に,しきい値が低すぎると,通常のアクセスであっても不正アクセスとして誤検出する恐れがあります。しきい値が低いため,通常のアクセスであってもしきい値に達してしまうからです。

解答:不正な通信だけでなく適正な通信も異常として検知されてしまう。

 IDSやIPSにはフォールスポジティブ(誤検知)やフォールスネガティブ(見逃し)というエラーがある。
 (1)フォールスポジティブ
  正常な通信を誤って異常と検知してしまうこと
 (2)フォールスネガティブ
  異常な通信を検知できずに見逃してしまうこと

d18680c9
なかなか覚えられなくて…。逆に覚えたりしてしまいます。





 覚えるのではなく,理解するようにしよう。

 誤検知は,取り越し苦労ではあるが,侵入されていなかったので,前向きに考えてポジティブといえる。一方,見逃しは,侵入されたということなので,否定的にネガティブと言わざるを得ない。病気でいうと,「ガンです」と告知されて,「すいません,間違えていました」と言われるのは,ポジティブに考えられる。一方,「健康です」と言われ,実は「ガンであと少しの命でした」というのはネガティブに考えざるを得ない。

このページのトップヘ