lu100101の日記

勉強の記録

3. ファイアウォール・IDS・IPS・UTM

ファイアウォールの種類及び方式

  • パケットフィルタリング型
    • ルータ同様、IPパケットを通過させるか判断する
    • ダイナミックパケットフィルタリング
      • リクエストパケットに対応する戻りのパケットだけ通過させる
  • ゲートウェイ
    • ゲートウェイとして機能
    • サーキットレベル
    • アプリケーション
      • アプリケーションレベルでの制御が可能
  • パーソナルファイアウォール
    • クライアント端末だけを守る
  • WAF
  • ステートフルパケットインスペクション機能
    • ダイナミックパケットフィルタリングの高機能版
  • ACL
    • 設定項目
    • 設定
      • デフォルト禁止
      • インターネットからのアクセスはDMZに束ねる
      • インターネット及びDMZ→社内LANは原則禁止
      • 危険なポートは塞ぐ
  • 運用
  • インシデント発生時の被害状況の確認
    • ログを確認し、外部C&Cサーバとの通信が成功して情報が持ち出されたかどうか判断する
  • パケットフィルタリング型FWで防げない攻撃
  • L7ファイアウォール

IDS

  • 種類
    • HIDS
      • ホスト型
      • 監視対象のホストにインストール
      • 機能
        • 対象ホストのログファイルを監視
        • ホストが受信する送受信パケットを監視
        • ファイルの不正な改ざんを監視
    • NIDS
      • ネットワーク型
      • 監視対象のネットワークセグメントに設置
      • 機能
        • プロミスキャスモード
          • 自分宛でないパケットもすべて取得する
        • ステルスモード
        • SW-HUBには、モニタリングポートに接続

検知の仕組み

  • Misuse検知
  • Anomaly検知
    • アノマリ検知型
    • 正常となるパターンを登録し、正常動作から離れた動きをするものを異常として検知する
    • 異常な数のパケットに強い
    • 仕様に反したパケットに強い

IDSの問題点

  • 検知できるが侵入はされる
  • false positive
  • false negative