侵入検知システムとは(後半)
前回の記事では、侵入検知システム(IDS)には、
ネットワーク型のNIDSとホスト型のHIDSの2種類があることをご紹介しました。
今回は、このうちNIDSについて、より具体的なお話をします。
NIDSの設置場所がミソ
NIDSは、その設置場所によって監視対象が変わってきます。
次のイメージを見て下さい。
■イメージ
インターネット
↓↑ ←①NIDS
ファイヤーウォール
↓↑ ←②NIDS
端末
ファイヤーウォールを挟んでどちらに設置するかで、
気をつけなければならないことが変わってきます。
ファイヤーウォールの外側に設置するとき
ファイヤーウォールの外側に設置する場合(①)は、
監視対象は「内部から外部へ出て行く不正な通信」です。
なぜなら、外側からの脅威は日常茶飯事、
通常はファイヤーウォールでブロックされるので監視する意味が無いからです。
なので、内部から外部へ漏れる通信がないかどうかが重要になります。
ここで気をつけなければならないことは何か。
それは、内部からの通信がファイヤーウォールに遮断されてしまい、
結局監視の意味が無いという状態です。
ファイヤーウォールの内側に設置するとき
ファイヤーウォールの内側に設置する場合(②)は、
監視対象は「外部から内部へ入り込む不正な通信」です。
ここで気をつけなければならないのは何でしょうか。
それは、外部からの通信がファイヤーウォールによって変換されてしまい、
同一のIPアドレスで受け取ってしまうため、
送信元IPアドレスが特定できず意味が無いという状態です。
また、プロキシサーバーを挟んでいる場合も注意が必要です。
この場合は、「内部から外部へ出て行く不正な通信」が監視対象となりますが、
内部のプロキシサーバーによってIPアドレスが書き換えられてしまい、
どの端末から発信されたかが特定できない状態はNGです。
このように、ファイヤーウォールの設定、プロキシサーバーの設定等を見直すことが、
NIDSの設置において欠かせません。
「とりあえずNIDSを導入すればOK」ではありません。
その役割や目的を考え、周辺機器の設定を見直すことは不可欠です。
以上、前回に引き続き侵入検知システム(IDS)についてご紹介しました。
