全6522文字
PR

ネット君 サイバー攻撃が後を絶ちませんね。

インター博士 うむ。だからネットワーク技術者にはセキュリティーの知識がより重要になっている。実際、ネットワークスペシャリスト(ネスペ)試験でも頻繁に出題されている。セキュリティーデバイス(装置)に関する設問も多いな。

ネット君 セキュリティーデバイスというと、ファイアウオールやWAF、IDSとかでしょうか。

インター博士 今回はIDSの話をしよう。

監視対象で2種類に大別

 IDSは、ネットワークやホスト(サーバーやパソコン)に対する脅威(攻撃)を検知するための機器あるいはソフトウエアである。

 IDSは、守る対象の観点から2種類に大別にできる(図1)。1つは、特定のホストに対する攻撃を検知するIDSである。ホストを守るIDSなのでホスト型IDSやHIDSなどとも呼ばれる。

図1●ホスト型IDSとネットワーク型IDS
図1●ホスト型IDSとネットワーク型IDS
IDSには、特定のホスト(サーバーやパソコン)に対する不正な通信を検知するホスト型IDS(HIDS)と、ネットワークを流れる不正な通信を検知するネットワーク型IDS(NIDS)がある。
[画像のクリックで拡大表示]

 もう1つが、ネットワークを監視して攻撃を検知するIDSだ。ネットワーク型IDSやNIDSなどとも呼ばれる。ネットワーク型IDSは、ミラーリング機能を備えたスイッチを利用するケースが多い。そのスイッチが受信したすべてのフレームあるいは特定ポート宛てのフレームを、ミラーポートに接続したネットワーク型IDSに送信する。

 ネットワーク型IDSのNICには、自分宛て以外のフレームも受け取れるようにプロミスキャスモードを設定する。そして受け取ったフレームを調べて攻撃を検知する。

 なおこの記事ではネットワーク型IDSを中心に取り上げる。単にIDSとした場合にはネットワーク型を指す。今回取り上げるネスペ試験の問題も、ネットワーク型IDSを「IDS」としている。