IPS

インターネットからの攻撃を検知し、遮断出来る技術があります。本項ではIPSについて説明します。

IPSの概要

 Webサーバーを公開する場合、インターネットから80番ポートに対して通信可能にする必要があります。

 ファイアウォールでセキュリティを確保した場合でも80番ポートに対する通信は許可されるため、80番ポート宛ての不正なアクセスや攻撃があった場合は防ぐ事が出来ず、最悪の場合はサーバーダウンや改ざん等の被害に合ってしまいます。

ips1

 IPSでは不正なアクセスや攻撃を検知して破棄したり、一定時間通信出来ないようにブロックして防御する事が可能であり、サーバーダウンや改ざん等を防げる可能性が高まります。

 「TCP・UDP」で示した通り、TCP通信は最初に3ウェイハンドシェイクを行うためSYNを送信します。このSYNパケットは通信の開始を示すため、許可された通信であればフレームやパケットの構造が壊れていない限りファイアウォールでは必ず透過します。

 SYNを受信したサーバーはパケットを処理する必要があるため、CPUやメモリを使います。

 限度内の通信であればサーバーは処理可能ですが、限度を超えるとダウンしたり異常な動作をする場合があります。

 DOS攻撃は例えばこのSYNパケットを大量に送信してサーバーをダウンさせたりする事を言います。

IPS2

 1台のパソコン、又はサーバーからの攻撃であれば一度に通信出来る量も限られて来ますが、ウィルス感染したパソコン等を利用して多数から一度に攻撃する事もあります。これをDDOS攻撃と言います。

 アノマリ型IPSでは一度に大量のSYNが発生すると攻撃を検知し、防御する事が可能です。

IPS3

 この他にも攻撃の準備として空いているポートを順番に検索するポートスキャンといった通信も防御可能です。短期間に多数のポート宛ての通信を行った場合に防御出来ます。

 又、大量のpingを攻撃と見なしたり、巨大なサイズのファイルを添付しているメールを攻撃と見なしたり、様々な定義をする事で対応する攻撃を防げます。

脆弱性を付いた攻撃

 脆弱性を付いた攻撃の例として、Webサーバーの文字を入力する欄に、ある文字列を入力するとWebサーバーがダウンしたりデータを書き換えられたりする事があります。

 通信自体は正常であるためファイアウォールで攻撃を防ぐ事は出来ず、様々な脆弱性があるためアノマリ型IPSでも攻撃を防ぐ事が難しくなります。

 シグニチャ型IPSは内部にパターンファイルを持っており、パターンにマッチした通信を攻撃と見なし、防御する事が可能です。

IPS4

 パターンファイルには例えば、通信中にある文字列の羅列があった場合は検知する等が記載されています。

 パターンマッチのため、パソコンでウィルス対策ソフトが検知する仕組みと同様にメーカーのサイトからパターンファイルをダウンロードして、そのファイルに基づいて検知します。

 シグニチャ型IPSでは脆弱性を付いた攻撃だけでなく、ウィルスやワーム等もパターンファイルに記述可能であり、様々な防御が可能な反面、パターンファイルの更新が遅い場合は新たな脅威を防げません。

誤検知

 アノマリ型IPS、シグニチャ型IPS共に誤検知の可能性があります。

 アノマリ型IPSでは例えばアクセスが多いWebサーバーに対してSYNが1秒間に10回以上は防御すると定義した場合、通常の通信も防御されてしまいます。

 逆に、余り大きな値を設定すると攻撃を検知出来ません。このため、アノマリ型IPSを設定する場合は、最大時どの位の通信があるか等、設定する内容に応じて現状を把握する必要があります。

 又、シグニチャ型IPSでは極端に例えればxxxという文字列のパターンがあって有効にしていると正常な通信でもxxxと入力しただけで防御されてしまいます。

 全てのパターンを有効にした場合、かなりの誤検知が予想されます。このため、誤検知のない最低限のパターンだけ有効にし、他は必要に応じて有効にします。メーカーで推奨設定がある場合は、重要度が高く誤検知が殆どないパターンを有効にしていると思われるため、最初はこれを用いると正常な通信が防御されずに済みます。

IDS

 IDSはIPSの機能の内、検知だけを行ってメールを送信したりログに書き出したり出来ます。

 防御しないため通信経路上に接続する必要はありません。

IPS5

UTM

 最近ではファイアウォールとIPSが一体化した製品も多くあります。このような製品をUTMと言います。

 UTMは統合的にセキュリティを高める事が可能で、ウィルス対策等その他の機能も統合されている場合があります。

IPS6
  • このエントリーをはてなブックマークに追加