なぜIDS/IPSは必要なのか?
~アプローチの違いにみる他セキュリティ製品との相違 ~
(Rev.1.1)
日本アイ・ビー・エム株式会社
ファイアウォール = “Good Guys
IN
”
アクセスを「制御」しています 決められたルールに乗っ取り、ルールに許可されたものを通過させ、それ以外の通信を遮断します そのルールは、通信を行っているホスト(IPアドレス)の組合せと、そのポート番号の情報だけに依存します *これらはトラフィック中のごく一部の情報にすぎません
ファイアウォールの通過を認められた通信については、その通信の内容は不問です
- 同じIPアドレス、ポート番号の組合せであれば、正常通信であろうと、ワームであろうと、SQLインジェクションの通信だろ うと構いません。
許可されたもの
(Good Guys
)は安全であり、通過させる(
IN
)というコンセプトです
- 例:インターネットに公開されたWebサーバとインターネットの間にファイアウォールが存在した場合、不特定多数のIPア ドレスからWebサーバのTCP80番ポートへのアクセスは許可されます * 許可されない場合、Webサーバアクセスできるのは、誰もいない、若しくはあるいは一部の限られたIPアドレスを持つ人だけとなってしまうからですhttp://www.isskk.co.jp/
WWW
WWW
http(TCP80) = OK!
ファイアウォール = “
NOT
enough”
弊社の調査によれば、あるサイトにおいて不正侵入を狙った攻撃と して確認された通信のうちの64%
がTCP80番向けの通信だった もちろん、攻撃の発信元はインターネット上のあらゆるIPアドレスから ファイアウォールでこれらの攻撃を止めることは、Webサーバへのア クセスを全閉することと同じ ファイアウォールでWebサーバへのアクセスを許可しつつ、Web サーバへの攻撃を止めるには・・・?64%
36%
Webサーバーへの攻撃
そのほかの攻撃
HTTP系攻撃の割合
サンプル数:約24万イベント
日数:9日間 *
IBM ISS調べhttp://www.isskk.co.jp/
WEB
http = OK!
許可されたリクエストだが...
任意のプログラムを実行
IPaddress PortNo <Firewall> 限られたなルールで アクセス制御 SMTP POP3 FTP HTTP <AntiVirus> 特定のプロトコルから 悪意のあるコードを 検出・除去
アンチウイルス = “
NOT
enough”
アンチウイルスは “ファイル”を監視しているだけ - ファイルが生成されないものは検出できない 監視できるのは、SMTP,POP3,HTTP,FTP,IMAPなど限られたプロトコルのみ - 脅威は、他のプロトコルからもやってくる - Ex. • MS Blaster MSRPC • SQL Slammer MSSQL • 2004年1年間でISSのセキュリティオペレーションセンターで最も多く確認された攻撃は、SSLライブラリの脆弱性に関連するもの でした企業、団体等の2社に1社は年に一度は重大なセキュリティ上の
問題が発生している
そのうちの99%はファイアウォールとアンチウイルス対策が施され
ていた
Source: 2003 CSI/FBI Computer Crime & Research Survey
IDS / IPS = “Bad Guys
OUT
”
IDS(不正侵入検知システム)、IPS(不正侵入防御システム)は、トラフィックの一部ではなく、全体を解析し、不正アクセス 攻撃などの悪意ある通信
(Bad Guys
)を検出します。また、IPSは検出した通信を遮断(
OUT)します。 IBM ISSのIPS/IDSは、160を超える種類のプロトコル、アプリケーションの通信に対応しています
WWW
http = OK!
http://www.isskk.co.jp/cgi-bin/phf?Qalias=….IPSがあれば・・・!
IPS装置が通信を遮断。合わ
せて攻撃者にリセットパケットを
送りセッション終了を通知
IBM ISSのIPS製品群
アプライアンス製品
-
Proventia
®Network IPSシリーズ
• ネットワーク型IPS(不正侵入防御)製品であり、HUBやスイッチのように、既存のネット
ワークのケーブル接続点として実装可能なため、ネットワークセグメント、ルーティング
等の構成変更が不要。
-
Proventia
®Network MFSシリーズ
• 不正侵入防御機能の他に、ファイアウォール、アンチウイルス、spamフィルター、URL
フィルターを兼ね備えた、統合型セキュリティアプライアンス。
ソフトウェア製品
-
RealSecure
®Server Sensor / Proventia Server
• サーバー向け製品。サーバーマシン上にインストールして利用。管理コンソールを通じ、
一元管理、一元アップデートが可能。
Thank you!
製品に関するお問い合わせ 日本アイ・ビー・エム株式会社 ITS事業 ISS事業部 パートナーセールス部 TEL : 03-5740-4060 E-Mail : [email protected] URL : http://www.ibm.com/services/jp/index.wss/offerfamily/its/b1327874 ※当資料に関するお問い合わせは、担当営業、または上記までご連 絡ください。©Copyright IBM Japan, Ltd. 2008 日本アイ・ビー・エム株式会社
Produced in Japan Jun 2008 All Rights Reserved
●この説明資料の情報は2008年6月現在のものです。仕様は予告なく変更される場合があります。
●記載のデータはIBM社内の調査に基づくものであり、全ての場合において同等の効果が得られることを意味するものではありませ ん。効果はお客様の環境その他の要因によって異なります。
●製品、サービスなどの詳細については、[email protected]弊社もしくはビジネス・パートナーの営業担当員にご相談ください。 IBM、IBMロゴ、X-Force、Proventia Network MFSは、International Business Machines Corporationの米国およびその他の国における商標。
Microsoftは、Microsoft Corporationの米国およびその他の国における商標。
