II-20-6. IDSの導入と設定方法

代表的なIDSであるSnortやTripwireを例としてその導入や設定方法について説明する。またネットワークIDSとサーバIDSといった概念の違いを説明する。さらに検知ルールやアクションの設定と行った実際の運用方法について言及する。

【学習の要点】

* ネットワークベースのIDSは、監視対象ネットワークの境界やDMZなど、すべてのパケットが通過するネットワークの入口に置かれる。

* ホストベースのIDSは、あるホストにインストールされるソフトウェアであることが多い。ホスト内で行われる行為がIDSによって監視されることになる。

* Snortはネットワーク型IDS、Tripwireはホスト型IDSとして有名である。

図II-20-6. Tripwire

【解説】

1) Tripwire

* Tripwireは、ホストにインストールするホスト型IDSである。Tripwireは商用バージョンもあるが、オープンソースバージョンは特にOpen Source Tripwireと呼ばれている。

* Tripwireを用いれば、ホストにあるファイルの改竄を監視することができる。ファイルのMD5チェックサムを計算し、前回分と比較することによりこれを行なう。

* Tripwire使用の大まかな流れは以下の通りである。

- インストール

- ポリシーファイルの設定(twpol.txtの編集)

- ポリシーファイルの暗号化

- データベースの初期化

- 整合性チェック

- レポートの作成

* Tripwireに類似したソフトウェアには、AIDE (http://www.cs.tut.fi/~rammer/aide.html) やAFICK (http://afick.sourceforge.net) などがある。

2) Snort

* Snortは、ネットワーク型、signature型のIDSである。つまり、Snortは不正アクセスのパターンデータベースと照らし合わせて、そのアクセスが不正であるかを判断する。

* Snortの処理の流れは、入ってきたパケットをプリプロセッサによりフィルタリングし、その後に検知エンジンを呼び出す。警告出力用のフィルタの種類も豊富である。

* Snortをインストールしたら、設置場所の決定と、用途に合わせた設定を行なう必要がある。ファイアウォールの外側に置くか、内側に置くかで設定も異なる。

* 設定は、signatureとプリプロセッサの決定である。誤った検知を減らすためにこれらは適切に設定しておきたい。また、不要な設定は処理の負荷となるだけでなく、誤った検知を誘発することになるので注意が必要である。

3) 現状のIDSソフトウェアの問題点

* TripwireにしてもSnortにしても、現状それ自身を保護する仕組みはない。DoS攻撃などにより、これらのプログラムの効果を無効化されることがないわけではない。

* また、これらのソフトウェアは多くのコンピュータリソースを消費する。特にSnortをファイアウォールの外側に置いた場合、入ってくるすべてのパケットを検査する必要があるため、保護対象のホストやネットワークの提供するサービスに影響が及ぶ場合もあるだろう。

OSS Course Naviのコンテンツは IPA OSS モデルカリキュラムを基としています。