Your SlideShare is downloading. ×

Ids ips

1,713

Published on

0 Comments
5 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
1,713
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
8
Comments
0
Likes
5
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. IDS / IPS S.Takei (@shtaag)2012年4月10日火曜日
  • 2. IDS/IPSの役割 • 不正ネットワークアクセスに対して • 監視 • 警告 • 防御2012年4月10日火曜日
  • 3. FW + IDS + IPS • FireWall • フィルタリング • Intrusion Detection System • 監視・警告 • Intrusion Prevention System • 防御2012年4月10日火曜日
  • 4. FWと何が違う? • FWはパケットを弾く • IDSは、見てるだけ • IPSは防御アクションを取る • FWはパケット単体を監視 • IDS/IPSはそれに加え、ネットワークの統計 情報なども収集2012年4月10日火曜日
  • 5. 典型的な例 router FW IDPS Internal Servers switch DB console インライン型ネットワークベースIDPS2012年4月10日火曜日
  • 6. IDSのタイプ • 検出方法 • シグネチャベース • アノマリベース • 設置場所 • ネットワーク型 • インライン型 • 受動型 • NBA(Network Behavior Analysis)型 • ホスト型2012年4月10日火曜日
  • 7. 監視2012年4月10日火曜日
  • 8. 監視 • 何を? • どうやって?2012年4月10日火曜日
  • 9. 監視対象 • パケット情報 • ネットワークフロー統計情報 • システムログ等2012年4月10日火曜日
  • 10. FWだけで十分でしょ? • FW • パケットヘッダ情報見てフィルタリング • それだけでは防御できない • 例えば、BOF攻撃 • HTTPヘッダは適正 • ∴ リクエストの形式は正しい • HTTPボディに大量のデータ2012年4月10日火曜日
  • 11. FWだけでは無理 ヘッダは適正 だが、中身はBOF 通過:HTTPリクエスト かつ 適正なホスト2012年4月10日火曜日
  • 12. FWだけでは無理 IDS 中身はBOFだ!! ↓ 通過:HTTPリクエスト Alert Log発行 かつ 適正なホスト2012年4月10日火曜日
  • 13. 統計情報 • 例えばポートスキャン • 攻撃の予兆 • 統計情報により、ポートスキャン実行元が特定できる • 実際にはスプーフィングされてる場合がほとんど • ポートスキャン自体も多彩 • TCPパケットフラグビット;IPフラグメントID; デコイ2012年4月10日火曜日
  • 14. IDSの検出タイプ • シグネチャ型 • 不正なパケットタイプをブラックリスト化 • リストに一致した場合検出 • アノマリ型 • 適正なネットワーク統計情報を記述 • 適正な範囲から外れた場合に検出2012年4月10日火曜日
  • 15. 例)シグネチャ型 SELECT Protocol[TCP] AND Port[21] WHERE Contains[“Guest”] TCPのPort21番へのリクエストで Guestという文字列を含む物を不正とみなす2012年4月10日火曜日
  • 16. 例)シグネチャ型 SELECT Application[HTTP] WHERE Contains[../..] アプリケーション・プロトコルがHTTPで 中身に../..を含むリクエストを不正とみなす2012年4月10日火曜日
  • 17. 例)アノマリベース GETリクエスト時のボディに 含まれる文字列は、 一般的にxxx文字以下のはず これ以上の文字列を含むリクエストは BOF攻撃の可能性がある2012年4月10日火曜日
  • 18. 例)アノマリベース 単位時間におけるパケット数は 一般的にxxx パケット/秒 これ以上のリクエストを受けたとき DoS攻撃の可能性あり2012年4月10日火曜日
  • 19. 実際のところ • シグネチャ • 管理が大変 • 設定しておけば正しく動く • アノマリ • 未知の攻撃に強い • ”正常”をどこに取るかが難しい • 統計情報を用いる場合、検出が遅れる • シグネチャ+アノマリを組み合わせ2012年4月10日火曜日
  • 20. 実際のところ • いかに誤検知を防ぐか • 誤検知は本当の攻撃を隠してしまう • チューニング不可欠 • 最近のは自動的にチューニングしてく れるらしい2012年4月10日火曜日
  • 21. IDSの設置場所 • FWの外(ネットワーク型) • すべてのパケットを監視 • アラート多すぎで情報埋もれる • DMZなど(ネットワーク型) • FWを抜けてきた潜在的に攻撃となるリクエストを監視 • 対象サーバー(ホスト型) • ホストに対する潜在的攻撃を検出 • ホスト毎にきめ細かい対応可能2012年4月10日火曜日
  • 22. 防御2012年4月10日火曜日
  • 23. 防御 • IDSだけでは防御しない • アラートを出し、FWのACLを書き換 えてもらう • IPSは能動的に防御を行う2012年4月10日火曜日
  • 24. 防御方法 • セッションの遮断 • パケットの廃棄 • 帯域使用量の制限 • 悪意あるコンテンツの改変 • インラインFWを起動、他のネットワーク機 器の設定改変2012年4月10日火曜日
  • 25. セッションの遮断 • セッションスナイピング • (※すでに時代遅れだが) • セッションの両エンドポイントに TCP (RST)パケットを送る • 検出、分析、送付に手間取り対応遅れる2012年4月10日火曜日
  • 26. IPSの設置場所 • 受動型で設置 • パケットのコピーを監視 • パケットドロップを直接実行できない • システム全体の統計情報を扱いたい時に • インライン型で設置 • パケット、セッションをドロップできる • 各ラインでの防御を担当2012年4月10日火曜日
  • 27. IDS/IPSの課題 • 検出率 • いたちごっこ、、、 • 自動シグネチャ作成、統計情報の利用 • パフォーマンス • パケット内容をすべて見る、、 • シグネチャはどんどん増える、、2012年4月10日火曜日
  • 28. パフォーマンス • IDPSの設置場所 • FWの外では受動型で大まかな統計情報 を把握 • FWの内側ではインラインで確実に制御 • ロードバランサで負荷分散2012年4月10日火曜日
  • 29. IDSを回避するには • 弾幕 • 本当の攻撃を紛らわせる • TCPスプーフィング等で送信元偽装 • パケット断片化 • TCPパケットが分割されていると、IDSはそれを組み立て る必要がある。 • 組み立ては負荷となるため、組み立てをOFFにしている ところもある2012年4月10日火曜日
  • 30. 参考文献 IDS/IPSに関するNISTの指針 ◦ ”侵入検知および侵入防止システム(IDPS)に関するガイド" by NIST http://bit.ly/HhUKAB • IDS ◦ 不正侵入対策最前線(前編) http://bit.ly/Ikdigb ◦ Linuxで使える侵入検知システム(IDS) http://bit.ly/HsZDYS ◦ @IT:Snortでつくる不正侵入検知システム 第1回 http://bit.ly/Hhceho • IPS ◦ 前編 従来型IPSの課題と解決策 − @IT http://bit.ly/Ipfcjj ◦ IPSの実装方法と防御技術とは http://bit.ly/Ipi93a ◦ 侵入防御システム(IPS:Intrusion Prevention System) - テクノロジー解説 - Cisco Systems http://bit.ly/IpiAL8 ◦ Cisco IPSソリューション - 侵入検知/侵入防御システム - Cisco Systems http://bit.ly/Ipip2o ◦ DDoS攻撃の軽減対策 - Cisco Traffic Anomaly Detectors - Cisco Systems http://bit.ly/Ia1kpq • IDSの回避 ◦ エンタープライズ:セキュリティ How-To - 第6回:IDSからの検知回避は可能か http://bit.ly/Ia2hOI ◦ エンタープライズ:セキュリティ How-To - 第5回 Snortへの攻撃とその対策 http://bit.ly/I3Qu8Z ◦ @IT:攻撃者側から見た入前の事前調査(下見) - Page1 http://bit.ly/HnWPuU ◦ 攻撃はポートスキャンから始まる(下) - ITpro Security:ITpro http://nkbp.jp/HsYfFC ◦ ファイアウォール/IDS の回避とスプーフィング http://bit.ly/Hu0ohP2012年4月10日火曜日

×