侵入検知システムとは（後半）

前回の記事では、侵入検知システム（IDS）には、
ネットワーク型のNIDSとホスト型のHIDSの2種類があることをご紹介しました。

今回は、このうちNIDSについて、より具体的なお話をします。

NIDSの設置場所がミソ

NIDSは、その設置場所によって監視対象が変わってきます。
次のイメージを見て下さい。

■イメージ
インターネット
↓↑　←①NIDS
ファイヤーウォール
↓↑　←②NIDS
端末

ファイヤーウォールを挟んでどちらに設置するかで、
気をつけなければならないことが変わってきます。

ファイヤーウォールの外側に設置するとき

ファイヤーウォールの外側に設置する場合（①）は、
監視対象は「内部から外部へ出て行く不正な通信」です。

なぜなら、外側からの脅威は日常茶飯事、
通常はファイヤーウォールでブロックされるので監視する意味が無いからです。

なので、内部から外部へ漏れる通信がないかどうかが重要になります。

ここで気をつけなければならないことは何か。

それは、内部からの通信がファイヤーウォールに遮断されてしまい、
結局監視の意味が無いという状態です。

ファイヤーウォールの内側に設置するとき

ファイヤーウォールの内側に設置する場合（②）は、
監視対象は「外部から内部へ入り込む不正な通信」です。

ここで気をつけなければならないのは何でしょうか。

それは、外部からの通信がファイヤーウォールによって変換されてしまい、
同一のIPアドレスで受け取ってしまうため、
送信元IPアドレスが特定できず意味が無いという状態です。

また、プロキシサーバーを挟んでいる場合も注意が必要です。

この場合は、「内部から外部へ出て行く不正な通信」が監視対象となりますが、
内部のプロキシサーバーによってIPアドレスが書き換えられてしまい、
どの端末から発信されたかが特定できない状態はNGです。

このように、ファイヤーウォールの設定、プロキシサーバーの設定等を見直すことが、
NIDSの設置において欠かせません。

「とりあえずNIDSを導入すればOK」ではありません。
その役割や目的を考え、周辺機器の設定を見直すことは不可欠です。

以上、前回に引き続き侵入検知システム（IDS）についてご紹介しました。