IDS について IDS とは IDS の利用目的 FW を設置しても IDS は必要か IDS の分類

Size: px

Start display at page:

Download "IDS について IDS とは IDS の利用目的 FW を設置しても IDS は必要か IDS の分類"

きみのしんみしま
5 years ago
Views:

1 IDS の仕組みと効果的な利用についてインターネットセキュリティシステムズ ( 株 ) 財団法人インターネット協会第 7 回セキュリティフォーラム Sep

2 IDS について IDS とは IDS の利用目的 FW を設置しても IDS は必要か IDS の分類

3 IDS について :IDS とは Intrusion Detection System の略で日本では不正侵入検知装置と呼ばれるコンピュータおよびネットワークに対する不正侵入を検知するためのシステムで一般的にネットワーク上を流れるパケットから不正侵入を検知するシステム ( ネットワーク型 IDS) とコンピュータ上のログやシステムコールから不正侵入を検知するシステム ( ホスト型 IDS) がある

4 記録ALERT!! 解析IDS について :IDS の利用目的不正侵入の状況を把握する不正アクセスや疑わしい挙動を記録しサイトやホストがどのような脅威に直面しているかを把握する目的で IDS を利用する不正侵入に対する迅速な対応を行うサイトやホストに対する不正アクセスの兆候を検出し侵入を防止する危険な不正アクセスを検知し必要な対処を迅速に実施し被害の防止や軽減を図る ALERT!! 不正侵入に関する情報を記録する不正アクセスに関連する情報を記録し証拠として利用する

IDS について : FW を設置しても IDS は必要か 1/2 WWW http = OK! 許可されたリクエストだが... パスワードを取得 http://www.isskk.co.jp/cgi-bin/phf?qalias=.

5 IDS について : FW を設置しても IDS は必要か 1/2 WWW http = OK! 許可されたリクエストだが... パスワードを取得ファイアウォールは攻撃パターンを認識しない root:ukonr4ronwqws8:0:0:root:/root:/bin/bash bin:*:1:1:bin:/bin: daemon:*:2:2:daemon:/sbin: adm:*:3:4:adm:/var/adm: lp:*:4:7:lp:/var/spool/lpd: sync:*:5:0:sync:/sbin:/bin/sync shutdown:*:6:0:shutdown:/sbin:/sbin/shutdown halt:*:7:0:halt:/sbin:/sbin/halt

6 IDS について : FW を設置しても IDS は必要か 2/2 ファイアウォールがアクセスを許可するリクエストでもアタックの可能性があるパケットを分析しアタックを検知する DATA DATA DATA DATA DATA DATA DATA DATA DATA DATA DATA DATA DATA DATA

7 IDS について : IDS の分類 ( 形態からの分類 ) IDS の主な形態として以下のものがあるここではそれぞれの IDS の基本的な動作を解説するホスト型ハイブリッド型ネットワーク型ネットワーク型ホスト型ハイブリッド型

8 IDS の分類 : ネットワーク型 TARGET セッションの切断社内 L A N ALERT!! ネットワーク監視 Network Sensor

9 IDS の分類 : ホスト型重要ファイル書換の試み不正に取得した正規アカウント社内 L A N ALERT!! Server Sensor ホスト監視 Console

10 IDS の分類 : ハイブリッド型 Server Sensor ログを分析しアタックを検知する

11 IDS の分類 ( 方式からの分類 ) 不正アクセスの検知手法に以下のものがあるここではそれぞれの検知方法の特徴について解説するシグニチャ ( パターンルール ) ベース異常検知 (Anomaly Detection / Misuse Detection) 方式からみた IDS の分類プロファイル異常検知型 IDS シグニチャシグニチャベース型 IDS

12 IDS の分類 : シグニチャベースシグニチャ ( パターン ) を利用した不正アクセス検出概要利点課題現在実用的に利用されているほとんど IDS がこのタイプ特にネットワーク型はシグニチャベースが多い検出精度にかなりの正確性がある新しいアタックに対して迅速なシグニチャのアップデートが行われている製品がある未知のアタックを検出することは難しい

13 IDS の分類 : 異常検知 1/2 通常と異なるパターンから異常を検出検出概要特長課題ユーザの振る舞いやトラフィックの状況から正常と異なる振る舞いを異常として検出するホスト型の IDS はある種以上検知型であることが多い未知のアタックを検出することができる正常な権限で実行された不正アクセスについても検知することができる実用的な精度が得られない ( 正常を定義することが難しい ) 正常と異常の境界値の設定が困難その他簡単な異常検知はシグニチャとして組み込まれていることが多い異常検知 (Anomaly Detection) に対応している IDS もシグニチャベースと同様の単純な異常検知のみ行っていることもある

14 IDS の分類 : 異常検知 2/2 ネットワークパターン分析による異常検知の例

15 IDS の課題ネットワークの高速化複雑化暗号化未知のアタックの検知検知精度不正アクセスに対する動的な対応

16 IDS の課題 : ネットワークの高速化複雑化ネットワークの高速化ローカルセグメント : 10M -> 100M -> G インターネット接続 : 1.4K-> > 64K-> 1.5M -> 100M ネットワーク型の IDS にとってネットワークの高速化に追従することは大きな課題となっている IDS の高速化やロードバランシングよって対応しているハイブリッド型の IDS による解決も図られているネットワークの複雑化スイッチセグメントアクセスコントロール冗長構成ロードバランシングネットワーク IDS はコリジョンドメインにおけるパケットキャプチャリングが基本となっているためこれらの構成では単純には配置できないミラーポートや TAP などを使って対応しているハイブリッド型による解決も図られている

17 IDS の課題 : 暗号化 SSL や IPsec など暗号化されたパケットはネットワーク型の IDS では解析できない暗号化された通信やトネリングされた通信においてはネットワーク型の IDS が解析を行う事ができないネットワーク型 IDS とホスト型 IDS のハイブリッド型ホストベースの IDS にネットワーク型の IDS の機能を追加したハイブリッド型の IDS が発表されているこのタイプの IDS は以下の特徴的な機能を持つホストのパケットキャプチャ部において通常のパケットに対する解析を行うアプリケーションの最下層部において復号化されたパケットの解析を行う

18 IDS の課題 : 未知のアタックの検知新たな手法が次々と開発されているシグニチャベースの IDS ではこの状況に迅速な対応が行えないシグニチャベース IDS の対応シグニチャの迅速な配布シグニチャ部分をプログラムから独立させシグニチャだけの配布を行うことで迅速な対応を図っている異常検出 (Anomaly / Misuse Detection) の試み通常とは異なる状態を検知することで不正アクセスを検知する試みが行われている正確な解析を行うためには膨大な情報の蓄積と高度な統計処理が必要となるシグニチャの更新 RealSecure X-press Update

19 IDS の課題 : 検出精度 IDS には誤報がつきもの IDS は障害検知とことなりある程度の誤報を避けることができない運用におけるアプローチ IDS 利用の目的により検出シグニチャをコントロールするプロダクトのアプローチ脆弱性検査と不正侵入検知 (IDS IDS) の連携システム上脆弱ではないアタックと脆弱点を突いたアタックを区別するこの区別を行うため脆弱性検査の結果を IDS に取り込む試みが行われている

20 IDS の課題 : 動的な対応不正アクセスを検知するだけではなく対応が求められる場合があるセキュリティ技術者の絶対数が少ない事や迅速な対応を図るといった理由から IDS が不正アクセスを検知した際に不正アクセスを中断させる事が試みられている動的な対応 ( ダイナミックディフェンス ) の種類 Kill Session, Firewall との連動パケットのドロップなど動的な対応 ( ダイナミックディフェンス ) を行う際の注意点検出の精度対応効果 (UDP に対しては Kill Session は効果が無い ) 正常な通信に対する影響

21 IDSの今後の動向について管理機能の強化大量のセンサのハンドリング大規模なシステムにおいて多数の IDS を利用するケースやネットワーク型ホスト型を併用するケースが増えている脆弱点と脅威の管理システムに有効なアタックのみに焦点をあてる事を目的として脆弱性検査の結果を自動的に IDS に反映する仕組みが必要 IDS 以外の装置との連携動的な対応 ( ダイナミックディフェンス ) に対する要望は今後より強くなると考えられる

22 IDS の利用 IDS を利用する際の基本的な考え方効果的な配置キャパシティプランニング検知におけるフレームワーク動的な対応について

23 IDS の利用 : IDS を利用する際の基本的な考え方 IDS は一般的な意味でのセキュリティレベル ( 静的なセキュリティレベル :MTBF) の向上に寄与しない IDS は不正アクセスに対する迅速な対応を行う事 ( 動的なセキュリティレベル :MTTR) の向上に寄与する技術である静的なセキュリティレベル MTBF セキュリティ施策の二つの軸動的なセキュリティレベル MTTR

24 IDS の利用 : 効果的な配置 IDS 利用の目的から配置を考える傾向の分析を行うかインシデントの対応を行うか =>FW の内側外側など必要とするセキュリティレベルから配置を考えるネットワーク型ホスト型ハイブリッド型などネットワークの特性に合わせて配置を考える高速ネットワークスイッチセグメントロードバランシングなど IDS の配置例セキュリティレベルと IDS の適用 Level-3: ホストレベル RSNS RSNS SS RSOSS SS RSOSS SS RSOSS セキュリティレベル Level-2: セグメントレベル Level-1: 対外部レベル管理セグメント

25 IDS の利用 : キャパシティプランニング IDS のキャパシティセンサーのキャパシティ ( ポリシ設定ロードバランシング ) センサと管理コンソールのキャパシティ IDS のキャパシティキャパシティ 1 キャパシティ 2 Traffic-1 Sensor PFM Traffic-2 Console PFM Network RS Network Sensor RS Console or SDK-Console

26 IDS の利用 : 検知におけるフレームワーク 1/2 IDS の主たる目的として以下の二つが存在する傾向分析型の利用インシデント対応型の利用疑わしいアクティビティ不正アクセス検知のトレードオフ A B D C 不正アクセス可能性があるアクティビティ False Positive または実効性のないアタック有効なアタック有効だが対応しないアタック傾向分析対応アクティビティレベルインシデント対応

27 IDS の利用 : 検知におけるフレームワーク 2/2 傾向分析型アタックや疑わしいアクティブティをできるだけ記録するインシデント対応型脆弱点に対するアタックに焦点をあてて検出する傾向分析型インシデント対応型脆弱点アタック IDS で検知脆弱点 IDSで検知アタック

28 IDS の利用 : 動的な対応について動的な対応 ( ダイナミックディフェンス ) ダイナミックディフェンスを行うにあたっては以下の観点から対応を評価する検出の精度対応効果 (UDP に対しては Kill Session は効果が無い ) 正常な通信に対する影響動的な対応とあわせて人員組織面に置ける対応も同時に設計する必要がある DD の評価 DD( セッションの強制切断 ) の評価 PortScan SynFlood Land DNS Spoofing 0.00 NFS uid check Attackのリスク Back Orifice Generick Overflow HTTP IIS$Data Loki JNSA ダイナミックディフェンス WG

29 まとめ IDS で直接的なセキュリティレベルは向上しないセキュリティの MTBF と MTTR IDS を利用するにあたっては目的を明確にする傾向分析解析 / インシデント対応目的に応じた IDS を導入するネットワーク型ホスト型ハイブリッド型シグニチャベース異常検出目的とセグメントに応じたキャパシティプランを行うセンサーのキャパシティプランセンサと管理コンソールのキャパシティプラン

30 Director of Professional Service Organization

なぜIDSIPSは必要なのか？(v1.1）.ppt

なぜIDSIPSは必要なのか？(v1.1）.ppt なぜ IDS/IPS は必要なのか? ~ アプローチの違いにみる他セキュリティ製品との相違 ~ (Rev.1.1) 日本アイビーエム株式会社 ISS 事業部ファイアウォール = Good Guys IN アクセスを制御しています決められたルールに乗っ取りルールに許可されたものを通過させそれ以外の通信を遮断しますそのルールは通信を行っているホスト (IPアドレス) の組合せとそのポート番号の情報だけに依存します