No Programming, No Life

プログラミング関連の話題や雑記

セキュリティ応用システム(FW, IDS, IPS, ハニーポット)

ファイアウォール(FW)

ファイヤウォールには、様々な拡張機能や種類(サーキットレベルゲートウェイなど)そして運用方法がある。試験にあたっておさえておくべき基本事項は以下。

パケットフィルタリング(アクセス制御)

特に、フィルタリングルールに追加すべき通信許可の内容が問われやすい。近年の出題傾向として、戻りパケットに関しては、動的フィルタリング機能によって応答パケットも許可されるとして、省略されることが多い。また送信元ポート番号も任意であることが多いため、省略されつつある。

アドレス変換(NAT)
プロキシ(アプリケーションゲートウェイ)
ACLの作成

パケットフィルタリングを行うためのルールを決めるのが、ACL(Access Control List:アクセス制御リスト)である。

侵入検知システム(IDS)

定義

IDSは、その設置場所や監視対象などから、大別して次の二つのタイプに分類される。

  • ネットワーク型IDS(NIDS):接続されたネットワークセグメント上のパケットを監視するタイプ
  • ホスト型IDS(HIDS):サーバ上にインストールされ、サーバに対するネットワークアクセスやサーバ上のログを監視するタイプ
  • フォールスポジティブ(誤検知):正常なものまでも攻撃として検知してしまうエラー
  • フォールスネガティブ(見逃し):検知すべき攻撃を検知できないエラー
ポイント

IDSに関しては、次の点をおさえておく必要がある。

  • NIDSとHIDSの違い
  • NIDSの接続に必要な設定
  • NIDSの設置場所による監視目的
  • IDSの運用
  • IDSの限界(NIDSの弱点とHIDSの弱点)

侵入防止システム(IPS)

IPS(Intrusion Prevention System:侵入防止システム)とは、不正なパケットを検出し、遮断することによって不正侵入を防止する装置である。IPSはインライン接続で通信路上に挿入され、検知した攻撃を自動的に防御(遮断)する機能をIDSに持たせたものであることから、

「IPS = IDS + インライン接続 + 遮断機能」

と見なすことができる。IDSと重複する部分が多いものの、その限界を補う機能を備えている。不正アクセスを単に検知するだけのIDSと違い、パケットが正当なものと判明するまではあて先に転送せず、遮断する。

IPSの防御機能
IPSの課題

一方でまだ以下のような課題が残されている。

  • 可用性対策
  • 性能(処理能力不足によるボトルネック)
  • 誤検知の問題(フォールスポジティブから受ける影響の大きさ)
  • 暗号化されたパケットの解析
  • アプリケーション独自の脆弱性を突いた攻撃の検知

アプリケーションレベルの攻撃を防ぐには、Webアプリケーションファイアウォール(WAF)の導入など、多層防御を取り入れる必要がある。

ハニーポット

ハニーポットは、セキュリティ上、脆弱性のあるホストやシステムをあえて公開し、受けた攻撃の内容を観察するためのシステムである。「甘い蜜の入ったつぼ」の意味。いわゆるおとりサーバである。おとりサーバには、次の二つのタイプが存在する。

  • 実際にシステムへの侵入まで許可するタイプ(狭義のハニーポット)
  • システムへの侵入まで許可しないタイプ(デコイ)

ネットワークセキュリティにおけるトラップを総称して、デセプションシステム(広義のハニーポット)と呼ぶ。
侵入検知という観点から、ハニーポットはIDSの一種として位置づけられる。IDSが絶えず誤検知という問題を抱える一方、ハニーポットは誤検知がない唯一の不正アクセス監視システムと言える。

ポイント
  • 利用目的
  • 運用する上でのリスク