IDSで侵入を“検知”するだけでは不十分ということから登場してきたのが,IPS(intrusion prevention/protection system)である。Part4では,IPSの概要について押さえておく。
最後に,IPS(intrusion prevention/protection system)についても押さえておこう。
IPSとは,侵入防止システムという名前の通りに,ネットワークへの不正な侵入を検知すると,それを防止するというものだ。
これはIDSで侵入を“検知”するだけでは不十分だということから登場してきたものである。攻撃されたときに,それを検知ができたとしても,そのままネットワークが攻撃されてしまっては実質的な意味がない。そこで,検知するだけでなく,検知と同時に防御もしてしまおうというのがIPSである。
ネットワークの途中に設置する
IPSはIDSとは設置場所が違う。IPSはネットワークの途中にインライン型で配置される(図1)。ネットワーク上でやりとりされるパケットを判別し,必要に応じて通信そのものを防止することが必要になるからだ。具体的には,インターネットと接続する部分だけでなく,LANの内部や広域閉域網との接続するポイントに配置されることもある。
具体的には,侵入を検知したら接続の遮断などの防御をリアルタイムに実行する。例えば,ワームやサービス拒否攻撃(DoS)などのパケットの特徴的パターンと照らし合わせて,怪しい接続を検知するとこれを遮断する。
通信を遮断する手段としては,TCPのセッションを切断あるいは初期化したり,UDPのようなセッションレス型の通信ならパケットそのものを廃棄して相手に届かないようにしたりする。なお,通信を遮断した際に,管理者へ通知したり記録を残したりもするのが一般的だ。
IPSは,攻撃に対する防御だけではなく通常の通信に与える影響についても考慮する必要がある。ネットワークに求められる通信帯域やIPSを通過するパケットで許される遅延などを考慮して,導入前には性能をチェックしておくことが必要である。
