第28回 侵入検知システム(IDS)(2)
IDSの構成例
HIDSはホストに入れるソフトなのでこの際無視します。
検知が必要なサーバにコストを勘案して導入しときます。
ネットワーク構成は次の三種類がここ(翔泳社の本)には書いてあります。
1.スイッチ接続
スイッチのミラーポートに接続する方法。
ミラーポートとは、他のポートにだけ流れるはずのパケットをミラー(コピー)して
流すものです。
主にパケットキャプチャに使います。
IDS(NIDS)もパケットキャプチャの一種。
ここに接続してパケットをのぞき見する。
2.TAP接続
昔はバカスイッチ(L1スイッチのこと。インテリジェントスイッチの対語。)
に接続すれば、パケットキャプチャできたですが、いまでは末端まで
L2スイッチ(これもインテリジェントでないものはバカスイッチ。)となっとる。
なので、パケットのぞき見を生業にしているものには非常にやりにくい世の中になってしもた。
で、IDSやスニファーを接続するための機器が生まれた。
ここ二年ばかりで出たものでしょう。
水神がネットワーク屋やめてから出てきたもののようです。(要するに初めて知った。)
それが、TAP。たぶん「たっぷ」と読むのでしょう。
ちょうど電源タップと同じイメージなので。
何者かはこちら(PDFです)をご覧下さい。ピンと来るでしょう。
来ない人はネットワークを勉強してからまた戻ってきてください。
セキュリティやるには、ネットワークとサーバ(unix)の知識が必須です。
要するにこれバカスイッチ(L1版)ですな。
いつの間にか名前が変わって復活しているらしい。
バカスイッチなので、当然IPもないしネットワーク的にはその存在は見えない。
時代がおもしろいもん作ったの。
3.LB接続
何か急に略語が増えたの。
LBはロードバランサーのつもりらしい。
で、ここで書いてあるのは、SSLアクセラレータつきのLB。
...もうわけわからん。
まあ、要するに、Webサーバ(SSLを使っているやつ)向けのものらしい。
なんか意図がようわからんので、ここではやめとく。
SSLつまりHTTPS通信の監視までできる。ということだけ書いときます。
IDS導入上の留意点
いろいろ書いてあるけど、所詮はパケットキャプチャであるということ。
これさえ理解していればいろんな問題が見えてきます。
二つだけ書いとくと、
パケットの取りこぼし。100Mbpsのパケットをを20本とろうとすると、
2Gbpsの処理能力が必要となる。(瞬間風速的に。)
当然、パケットの取りこぼしが起きる可能性もあるわけだ。
パケットキャプチャでは、一つのパケットだけで何かが分かることはまずない。
複数のパケットを調べて、それ(攻撃)らしいと判断する。
一つでも取りこぼせば的確な判断ができなくなるのは、想像に難くない。
もう一つ。暗号化されたパケットは監視できない。
当たり前ですが、見過ごされがち。
なんでも監視できると盲目的に信用するのは危険。
あとどうでもいいけどこの本の209ページの図が文字化けしとるの。
なんか意図があるかと悩んでみたが、結論としてはただの文字化け。
IDSの構成例
HIDSはホストに入れるソフトなのでこの際無視します。
検知が必要なサーバにコストを勘案して導入しときます。
ネットワーク構成は次の三種類がここ(翔泳社の本)には書いてあります。
1.スイッチ接続
スイッチのミラーポートに接続する方法。
ミラーポートとは、他のポートにだけ流れるはずのパケットをミラー(コピー)して
流すものです。
主にパケットキャプチャに使います。
IDS(NIDS)もパケットキャプチャの一種。
ここに接続してパケットをのぞき見する。
2.TAP接続
昔はバカスイッチ(L1スイッチのこと。インテリジェントスイッチの対語。)
に接続すれば、パケットキャプチャできたですが、いまでは末端まで
L2スイッチ(これもインテリジェントでないものはバカスイッチ。)となっとる。
なので、パケットのぞき見を生業にしているものには非常にやりにくい世の中になってしもた。
で、IDSやスニファーを接続するための機器が生まれた。
ここ二年ばかりで出たものでしょう。
水神がネットワーク屋やめてから出てきたもののようです。(要するに初めて知った。)
それが、TAP。たぶん「たっぷ」と読むのでしょう。
ちょうど電源タップと同じイメージなので。
何者かはこちら(PDFです)をご覧下さい。ピンと来るでしょう。
来ない人はネットワークを勉強してからまた戻ってきてください。
セキュリティやるには、ネットワークとサーバ(unix)の知識が必須です。
要するにこれバカスイッチ(L1版)ですな。
いつの間にか名前が変わって復活しているらしい。
バカスイッチなので、当然IPもないしネットワーク的にはその存在は見えない。
時代がおもしろいもん作ったの。
3.LB接続
何か急に略語が増えたの。
LBはロードバランサーのつもりらしい。
で、ここで書いてあるのは、SSLアクセラレータつきのLB。
...もうわけわからん。
まあ、要するに、Webサーバ(SSLを使っているやつ)向けのものらしい。
なんか意図がようわからんので、ここではやめとく。
SSLつまりHTTPS通信の監視までできる。ということだけ書いときます。
IDS導入上の留意点
いろいろ書いてあるけど、所詮はパケットキャプチャであるということ。
これさえ理解していればいろんな問題が見えてきます。
二つだけ書いとくと、
パケットの取りこぼし。100Mbpsのパケットをを20本とろうとすると、
2Gbpsの処理能力が必要となる。(瞬間風速的に。)
当然、パケットの取りこぼしが起きる可能性もあるわけだ。
パケットキャプチャでは、一つのパケットだけで何かが分かることはまずない。
複数のパケットを調べて、それ(攻撃)らしいと判断する。
一つでも取りこぼせば的確な判断ができなくなるのは、想像に難くない。
もう一つ。暗号化されたパケットは監視できない。
当たり前ですが、見過ごされがち。
なんでも監視できると盲目的に信用するのは危険。
あとどうでもいいけどこの本の209ページの図が文字化けしとるの。
なんか意図があるかと悩んでみたが、結論としてはただの文字化け。
※コメント投稿者のブログIDはブログ作成者のみに通知されます