 |
Copyright © 2000-2005 eazyfox. All Rights Reserved. | ||||
|
|
|||||
|
Copyright © 2000-2005 eazyfox. All Rights Reserved. | ||||
|
|
|||||
・侵入検知システム(IDS)
Firewallはパケットの出入りを制限することで、外部からの不正な攻撃に対応するが、Webサーバを外部に公開しているような場合や、外部からのアクセスを許可する場合では外部からの侵入を防ぐことは難しい。外部からHttpの80ポートを使った攻撃をFirewallのパケットフィルタだけで完全に防ぐのは不可能である。不正侵入検知システム(Intrusion
Detection
System)はネットワークやサーバなどの動きを逐次監視して、不正な侵入を検知したときに警報を発して被害を最小限に食い止める。また不正侵入の元(クラッカー)を突き止めるためのシステムである。
不正な侵入を検知するためには通常2つの方法がある。
・不正検出(Misuse
Detection)
空き巣があなたの家に入ろうとしているとする。まず在宅かどうかを調べるために家の呼鈴を押して反応を見る。そして玄関にたたずみ聞き耳を立てて家の中に動きがあるかをみる。動きがないようなら玄関のかぎをこじ開けようとする。こういった動作をしている人を見かけたなら、あなたは「あ、空き巣が入ろうとしている」と思うだろう。つまり空き巣という不正な侵入の手口を知っていれば、それに合致する動きをみたときに「空き巣だ」と判断できるのである。これと同じことをネットワークやサーバの動きを監視することで不正侵入を検知するのが不正検出である。
このシステムはシグネチャと呼ばれる不正侵入の手口や振る舞いを登録してあるデータベース、ネットワークやサーバの動きを監視するシステム、監視した内容とデータベースを比較して不正を検知するシステムの3つから構成される。ネットワークに監視システムを入れるものをNIDS(Nwtwork
base IDS)、サーバに監視システムを入れるものをHIDS(Host base
IDS)と呼ぶ。
不正検出のかなめは不正侵入の手口を登録したデータベースである。ここには過去の事例を含めた侵入の手口や当然考えられる動作が登録されている。
しかし様々な手口が存在する現状ではすべてのパターンを登録しておくことは不可能であり、数が膨大であれば監視内容とデータベースを比較するシステムの負荷が増大してリアルタイムな判断ができなくなる。しかし基本的な侵入の動作(ポートスキャンや管理者ログインの試み)では確実に感知して警報を発することができる。
NIDSの導入では最近のLANやWANの速度の向上によって高速処理が可能な機種が必要であるが、HIDSではサーバのログやイベントを監視するだけなので結構低速な機種でも導入が可能である。このため各サーバにHIDSを導入してFirewallを設置するのが良いのではないかと考える。
・異常検出(Anomaly
Detection)
会社内でPCを使って仕事をしている人、家庭でInternetやGameを主に使用している人、使用する人によっていろいろな使用方法があるはずだがあるパターンを持って行動しているとみなすことができる。たとえば会社では9時にログインして5時にログオフする。また使用中はサーバのファイルをアクセスすることが多く、メールサーバやWebサーバへのアクセスも定期的に行っているといったようなパターンのことだ。また自宅でのPCユーザなら23時のテレホの時間以降はInternetに接続していて、それ以外の時間では短時間のメールサーバへのアクセスやWebサーバへのアクセスが行われているといったパターンだとする。こういったパターンから大きく逸脱したときに警報を発するのが異常検出である。
つまりプロファイルと呼ばれる正常な状態とはどういった内容なのかということを登録しているデータベース、ネットワークやサーバの動きを監視するシステム、監視した内容とデータベースを比較するパターンマッチングシステムから構成される。
前述の不正検出は不正なパターンを検出するものであり、異常検出とは正常以外の動作を検出するといった違いとなる。つまり不正検出では不正でないと判断されるような明らかな正常以外のグレーな行動も不正と判断される。
あまりに正常の範囲を狭くしてしまうと警報が多発して、実際の不正侵入が見逃されてしまう可能性がある。また正常の範囲を広くしすぎると本当の不正侵入を検出できなくなってしまう。そのため本当の不正侵入の警報と誤判定による警報との比率が重要となってくる。
不正侵入検出システムは警報装置であり、トラップでもある。つまり不正な侵入に対してクラッカーに侵入を試みることを諦めさせるためのシステムであり、侵入によって警報が鳴っていることに気づかないようなクラッカーには痕跡を記録して相応の処置を下すためのシステムである。よく侵入してもログを消して痕跡を無くせば気づかれないという話も昔は聞かれたが、最近ではCD-Rなどの消せない媒体にログを逐次出力することもあたりまえになってきているのでよほどの恨みでもない限り、侵入を試みることは割が合わないのではないか。
現在ではFirewallなどのフィルタリングができるシステムと組み合わせて使われることが一般的である。不正侵入検出システムだけを単独で使用していても侵入によって即切断を行わない限りある程度のダメージを覚悟しなければいけなし、前述したようにFirewallだけでは許可するポートを使った攻撃を防ぐことが出来ないからだ。IDSが異常を検出したときにFirewallの設定を変更して不正侵入を即座にストップさせる。現在ではこの組み合わせがどうしても必要だとかんがえる。