IDSとは、ネットワークやホストで発生している事象をリアルタイムに監視して侵入や攻撃を
検知し管理者に通知するシステムである。
IDSは、その動作形態や監視対象によって、ネットワーク型侵入検知システムと
ホスト型侵入検知システムの二つに分類することができる。
攻撃や不正アクセスを検知する仕組み
①シグネチャとのパターンマッチング
取り込んだパケットをIDSに登録されている膨大な数のシグネチャとの比較し
不正アクセスを検知する手法
②アノマリ検知
取り込んだパケットをRFCのプロトコル仕様等(正常なパターン)と比較し
仕様から逸脱したものを異常として検知する手法
ファイアウォールとは、複数のネットワークセグメント間においてあらかじめ設定された
ルール(ACL)に基づいてパケットを中継したり、破棄したりする機能をもつアクセス制御
製品である。
●ファイアウォールの種類
パケットフィルタ型
パケットのヘッダ情報に含まれるIPアドレス、ポート番号などによって中継の可否を判断する
方式である。
発信元IPアドレス、送信元IPアドレス、プロトコル種別(TCP,UDP)、パケットの方向、発信元ポート番号
送信元ポート番号でフィルタリング設定を行なう。
ただし、パケットのデータ部(ペイロード)についはチェックしない。
アプリケーションゲートウェイ型
HTTP、SMTP、FTPなどのアプリケーションプログラムごとに別々の中継専用プログラムを持ち
パケットのアプリケーション層を含めた情報に基づいてパケットの中継可否を判断するタイプである
IPアドレス、ポート番号に加えペイロードに含まれるコマンドやポート番号などの情報についても
チェックするため、パケットフィルタ型に比べより細かな制御が可能となる。
サーキットレベルゲートウェイ型
ネットワークへの要求をサーキットレベルで中継するタイプのゲートウェイサービス。
TCPによって実現されるアプリケーション間の通信路をバーチャルサーキット
(仮想回線、仮想的に2点間をつなぐための回線のこと)というが、このレベルでサーバとクライアント間を結ぶ
タイプのサービスをサーキットレベルゲートウェイという。
OSI階層モデルでいうと、トランスポート層でサービスを中継する。
ダイナミックパケットフィルタ型
基本的なACLのみ登録しておき、接続要求があると動的に必要なACLを生成しフィルタリングを
行なう。
常のパケットフィルタリングでは、サービス毎に通信するポート番号が固定されています。
このため、提供されているサービスが判明し、不正アクセスされる原因になります。
ダイナミックパケットフィルタリングでは、必要な時に、必要なポート番号をオープン
(利用できる状態)にします。
サービスが終了して不要になったポート番号は、クローズ(利用できない状態)にします。
