II-21-10. 侵入検知の仕組みと運用方法

サーバに対する侵入検知の必要性と、侵入検知ツールの仕組みや方法を解説する。具体的にはホスト型進入検知ツールのTripwireと、ネットワーク型進入検知ツールのSnortについて、それらの導入方法と設定方法、これらのツールを使った進入検知手順などを紹介する。

【学習の要点】

* 侵入検知システムは、インターネットなどを通して不正に内部ネットワークまたはホスト内に侵入し、データの改竄やシステムの破壊を試みる行為を事前に検知し、管理者に知らせるものである。

* 侵入検知システムは、センサによって悪意のある行為を検知し、ルールエンジンやパターンエンジンによってフィルタリングし、コンソールで管理者と対話する構成が一般的である。

* 侵入検知システムは、センサのカバーする範囲や動作によって分類することができる。ネットワーク型はネットワーク内を監視するセンサを有し、ホスト型はあるホストのシステムを監視するセンサを有する。

図II-21-10. Snortによる侵入検知処理の一例

【解説】

1) 侵入検知システムの必要性

* 侵入検知システム(IDS)は、保護されるべき領域に不正に侵入されたことを検知し、管理者にそれを知らせるためのシステムである。

* 不正な侵入そのものを防ぐことはしないが、公開ポートを経由して侵入されたことに対してこれを検知することができるため、ファイアウォールで防ぎきれないリスクをヘッジすることができる。

* 侵入検知システムを発展させたものとして、侵入防止システム(IPS)がある。IDSやIPSは、ファイアウォールと組み合わせて使用されることが多い。

2) 侵入検知システムの分類

* 侵入検知システムは、大分類として、ホスト型とネットワーク型に分けることができる。ホスト型は、OSのソフトウェアとして実装され、ホストで実行される不正な行為を検出する。ネットワーク型は、ファイアウォールの前後に置かれ、ネットワークへの不正な侵入や攻撃を検出する。

* ネットワーク型の侵入検知システムは、専用のハードウェアが存在する。侵入検知システムの処理には多くの計算機リソースを消費するため、ハードウェアの方が効率が良いからである。

* 不正侵入だと判断する根拠は主に二通りあり、一つは通常作業との比較により以上を検出する方法と、もう一つは予め用意した不正行為パターンへのマッチングを行なうものである。

3) 侵入検知システムのソフトウェア実装

* ホスト型の侵入検知システムの実装としては、Tripwireが有名である。ネットワーク型の場合は、Snortが有名である。

* Tripwireは、ホストのファイルが不正に改竄されていないかを検出するのに最適なソフトウェアである。Tripwireは、最初にファイルシステムに存在するすべてのファイルのMD5チェックサムを保存しておき、定期的にそれらの整合性をチェックする。

* Snortは、ネットワークへのアクセスを監視し、不正アクセスのパターンと照合する。もし予め登録された不正アクセスパターンにマッチすると、管理者に知らせる。

* ネットワーク型の侵入検知システムであるSnortは、そこを通過するパケットをすべて検査していたのでは、到底処理が追いつかない。通常、プリプロセッサを設定して、検査するべきパケットを選択する。また、ファイアウォールの内側に設置することで、ファイアウォールを通過したパケットのみ検査と対象とすることで、検査対象パケットを大幅に減らすことができる。

OSS Course Naviのコンテンツは IPA OSS モデルカリキュラムを基としています。