全6522文字
ネット君 サイバー攻撃が後を絶ちませんね。
インター博士 うむ。だからネットワーク技術者にはセキュリティーの知識がより重要になっている。実際、ネットワークスペシャリスト(ネスペ)試験でも頻繁に出題されている。セキュリティーデバイス(装置)に関する設問も多いな。
ネット君 セキュリティーデバイスというと、ファイアウオールやWAF▼、IDS▼とかでしょうか。
インター博士 今回はIDSの話をしよう。
監視対象で2種類に大別
IDSは、ネットワークやホスト(サーバーやパソコン)に対する脅威(攻撃)を検知するための機器あるいはソフトウエアである。
IDSは、守る対象の観点から2種類に大別にできる(図1)。1つは、特定のホストに対する攻撃を検知するIDSである。ホストを守るIDSなのでホスト型IDSやHIDS▼などとも呼ばれる。
図1●ホスト型IDSとネットワーク型IDS
IDSには、特定のホスト(サーバーやパソコン)に対する不正な通信を検知するホスト型IDS(HIDS)と、ネットワークを流れる不正な通信を検知するネットワーク型IDS(NIDS)がある。
[画像のクリックで拡大表示]
もう1つが、ネットワークを監視して攻撃を検知するIDSだ。ネットワーク型IDSやNIDS▼などとも呼ばれる。ネットワーク型IDSは、ミラーリング機能▼を備えたスイッチを利用するケースが多い。そのスイッチが受信したすべてのフレームあるいは特定ポート宛てのフレームを、ミラーポート▼に接続したネットワーク型IDSに送信する。
ネットワーク型IDSのNIC▼には、自分宛て以外のフレームも受け取れるようにプロミスキャスモード▼を設定する。そして受け取ったフレームを調べて攻撃を検知する。
なおこの記事ではネットワーク型IDSを中心に取り上げる。単にIDSとした場合にはネットワーク型を指す。今回取り上げるネスペ試験の問題も、ネットワーク型IDSを「IDS」としている。
