3. ファイアウォール・IDS・IPS・UTM
ファイアウォールの種類及び方式
- パケットフィルタリング型
- ルータ同様、IPパケットを通過させるか判断する
- ダイナミックパケットフィルタリング
- リクエストパケットに対応する戻りのパケットだけ通過させる
- ゲートウェイ型
- ゲートウェイとして機能
- サーキットレベル
- アプリケーション
- アプリケーションレベルでの制御が可能
- パーソナルファイアウォール
- クライアント端末だけを守る
- WAF
- ステートフルパケットインスペクション機能
- ダイナミックパケットフィルタリングの高機能版
- ACL
- 運用
- ペネトレーションテスト
- ログの確認
- インシデント発生時の被害状況の確認
- ログを確認し、外部C&Cサーバとの通信が成功して情報が持ち出されたかどうか判断する
- パケットフィルタリング型FWで防げない攻撃
- L7ファイアウォール
- アプリケーションレベルで判断するファイアウォール
- UTMと遜色ない
IDS
- 種類
- HIDS
- ホスト型
- 監視対象のホストにインストール
- 機能
- 対象ホストのログファイルを監視
- ホストが受信する送受信パケットを監視
- ファイルの不正な改ざんを監視
- NIDS
- ネットワーク型
- 監視対象のネットワークセグメントに設置
- 機能
- プロミスキャスモード
- 自分宛でないパケットもすべて取得する
- ステルスモード
- IPアドレスを振らない
- SW-HUBには、モニタリングポートに接続
- プロミスキャスモード
- HIDS
検知の仕組み
- Misuse検知
- Anomaly検知
- アノマリ検知型
- 正常となるパターンを登録し、正常動作から離れた動きをするものを異常として検知する
- 異常な数のパケットに強い
- 仕様に反したパケットに強い
IDSの問題点
- 検知できるが侵入はされる
- false positive
- false negative