なぜIDSIPSは必要なのか？(v1.1）.ppt

Size: px

Start display at page:

Download "なぜIDSIPSは必要なのか？(v1.1）.ppt"

いぶきいんそん
5 years ago
Views:

1 なぜ IDS/IPS は必要なのか? ~ アプローチの違いにみる他セキュリティ製品との相違 ~ (Rev.1.1) 日本アイビーエム株式会社 ISS 事業部

2 ファイアウォール = Good Guys IN アクセスを制御しています決められたルールに乗っ取りルールに許可されたものを通過させそれ以外の通信を遮断しますそのルールは通信を行っているホスト (IPアドレス) の組合せとそのポート番号の情報だけに依存します * これらはトラフィック中のごく一部の情報にすぎませんファイアウォールの通過を認められた通信についてはその通信の内容は不問です - 同じ IP アドレスポート番号の組合せであれば正常通信であろうとワームであろうと SQL インジェクションの通信だろうと構いません許可されたもの (Good Guys) は安全であり通過させる (IN) というコンセプトです - 例 : インターネットに公開された Web サーバとインターネットの間にファイアウォールが存在した場合不特定多数の IP アドレスから Web サーバの TCP80 番ポートへのアクセスは許可されます * 許可されない場合 Web サーバアクセスできるのは誰もいない若しくはあるいは一部の限られた IP アドレスを持つ人だけとなってしまうからです 2

3 ファイアウォール = Good Guys IN -Web へのアクセス WWW http(tcp80) = OK! 一般的な Web へのアクセス要求とそれに対する応答 3

4 ファイアウォール = NOT enough 36% 64% 弊社の調査によればあるサイトにおいて不正侵入を狙った攻撃として確認された通信のうちの 64% が TCP80 番向けの通信だったもちろん攻撃の発信元はインターネット上のあらゆるIPアドレスからファイアウォールでこれらの攻撃を止めることは Webサーバへのアクセスを全閉することと同じ Web サーバーへの攻撃そのほかの攻撃ファイアウォールで Web サーバへのアクセスを許可しつつ Web サーバへの攻撃を止めるには? HTTP 系攻撃の割合サンプル数 : 約 24 万イベント日数 :9 日間 *IBM ISS 調べ 4

5 ファイアウォール = NOT enough - IIS Unicode Decording WEB http = OK! 許可されたリクエストだが... 任意のプログラムを実行 scripts/..%c0%af.. ファイアウォールは通信の内容を考慮しない 5

6 アンチウイルス = NOT enough アンチウイルスはファイルを監視しているだけ - ファイルが生成されないものは検出できない監視できるのは SMTP,POP3,HTTP,FTP,IMAP など限られたプロトコルのみ - 脅威は他のプロトコルからもやってくる - Ex. MS Blaster MSRPC SQL Slammer MSSQL 2004 年 1 年間でISSのセキュリティオペレーションセンターで最も多く確認された攻撃は SSLライブラリの脆弱性に関連するものでした企業団体等の2 社に1 社は年に一度は重大なセキュリティ上の問題が発生しているそのうちの99% はファイアウォールとアンチウイルス対策が施されていた IPaddress PortNo <Firewall> 限られたなルールでアクセス制御 Source: 2003 CSI/FBI Computer Crime & Research Survey SMTP POP3 FTP HTTP <AntiVirus> 特定のプロトコルから悪意のあるコードを検出除去 6

ISSのIPS/IDSは 160を超える種類のプロトコルアプリケーションの通信に対応していますファイアウォールは通信の一部であり IP

7 IDS / IPS = Bad Guys OUT IDS( 不正侵入検知システム ) IPS( 不正侵入防御システム ) はトラフィックの一部ではなく全体を解析し不正アクセス攻撃などの悪意ある通信 (Bad Guys) を検出しますまた IPSは検出した通信を遮断 (OUT) します IBM ISSのIPS/IDSは 160を超える種類のプロトコルアプリケーションの通信に対応していますファイアウォールは通信の一部であり IP アドレスやポート番号情報が含まれるヘッダー部分のみを解読します IDS/IPS はヘッダー部分に加え通信の内容が含まれるペイロード (payload) 部分に至る通信全体を解読 ( 解析 ) します 7

IPS があれば! WWW http = OK! http://www.isskk.co.

8 IPS があれば! WWW http = OK! IPS 装置が通信を遮断合わせて攻撃者にリセットパケットを送りセッション終了を通知 8

9 IBM ISS の IPS 製品群アプライアンス製品 - Proventia Network IPS シリーズネットワーク型 IPS( 不正侵入防御 ) 製品であり HUBやスイッチのように既存のネットワークのケーブル接続点として実装可能なためネットワークセグメントルーティング等の構成変更が不要 - Proventia Network MFSシリーズ不正侵入防御機能の他にファイアウォールアンチウイルス spam フィルター URL フィルターを兼ね備えた統合型セキュリティアプライアンスソフトウェア製品 - RealSecure Server Sensor / Proventia Server サーバー向け製品サーバーマシン上にインストールして利用管理コンソールを通じ一元管理一元アップデートが可能 - RealSecure Desktop Protector クライアント PC 向け製品それぞれの PC 毎にインストールされるが Server Sensor と同様の一元管理を同じ管理コンソールで実現 9

Thank you! 製品に関するお問い合わせ日本アイビーエム株式会社 ITS 事業 ISS 事業部パートナーセールス部 TEL : 03-5740-4060 E-Mail : isssales@jp.ibm.com URL : http://www.ibm.com/services/jp/index.

10 Thank you! 製品に関するお問い合わせ日本アイビーエム株式会社 ITS 事業 ISS 事業部パートナーセールス部 TEL : isssales@jp.ibm.com URL : 当資料に関するお問い合わせは担当営業または上記までご連絡ください Copyright IBM Japan, Ltd 日本アイビーエム株式会社 Produced in Japan Jun 2008 All Rights Reserved この説明資料の情報は2008 年 6 月現在のものです仕様は予告なく変更される場合があります記載のデータはIBM 社内の調査に基づくものであり全ての場合において同等の効果が得られることを意味するものではありません効果はお客様の環境その他の要因によって異なります製品サービスなどの詳細については ISSSales@jp.ibm.com 弊社もしくはビジネスパートナーの営業担当員にご相談ください IBM IBMロゴ X-Force Proventia Network MFSは International Business Machines Corporationの米国およびその他の国における商標 Microsoftは Microsoft Corporationの米国およびその他の国における商標 Adobeは Adobe Systems Incorporatedの米国およびその他の国における登録商標または商標他の会社名製品名およびサービス名等はそれぞれ各社の商標 10

Microsoft PowerPoint - 入門編：IPSとIDS、FW、AVの違い(v1.1).ppt

Microsoft PowerPoint - 入門編：IPSとIDS、FW、AVの違い(v1.1).ppt 入門編 :IPS と IDS FW AV の違い (Rev.1.1) 日本アイビーエム株式会社 ISS 事業部 IDS との違いは? IPS とは? IDS とは - 不正侵入検知 (Intrusion Detection System) ではコピーされたパケットを分析しイベントを検知して通知する仕組みです - TCPコネクションに対してはRSTパケットを送出し切断する機能を有しておりますが