SlideShare una empresa de Scribd logo

Ids ips

Shigekazu Takei
Shigekazu Takei
1 de 30
Descargar para leer sin conexión
IDS / IPS S.Takei (@shtaag) 2012年4月10日火曜日
IDS/IPSの役割 • 不正ネットワークアクセスに対して • 監視 • 警告 • 防御 2012年4月10日火曜日
FW + IDS + IPS • FireWall • フィルタリング • Intrusion Detection System • 監視・警告 • Intrusion Prevention System • 防御 2012年4月10日火曜日
FWと何が違う? • FWはパケットを弾く • IDSは、見てるだけ • IPSは防御アクションを取る • FWはパケット単体を監視 • IDS/IPSはそれに加え、ネットワークの統計 情報なども収集 2012年4月10日火曜日
典型的な例 router FW IDPS Internal Servers switch DB console インライン型ネットワークベースIDPS 2012年4月10日火曜日
IDSのタイプ • 検出方法 • シグネチャベース • アノマリベース • 設置場所 • ネットワーク型 • インライン型 • 受動型 • NBA(Network Behavior Analysis)型 • ホスト型 2012年4月10日火曜日
監視 2012年4月10日火曜日
監視 • 何を? • どうやって? 2012年4月10日火曜日
監視対象 • パケット情報 • ネットワークフロー統計情報 • システムログ等 2012年4月10日火曜日
FWだけで十分でしょ? • FW • パケットヘッダ情報見てフィルタリング • それだけでは防御できない • 例えば、BOF攻撃 • HTTPヘッダは適正 • ∴ リクエストの形式は正しい • HTTPボディに大量のデータ 2012年4月10日火曜日
FWだけでは無理 ヘッダは適正 だが、中身はBOF 通過:HTTPリクエスト かつ 適正なホスト 2012年4月10日火曜日
FWだけでは無理 IDS 中身はBOFだ!! ↓ 通過:HTTPリクエスト Alert Log発行 かつ 適正なホスト 2012年4月10日火曜日
統計情報 • 例えばポートスキャン • 攻撃の予兆 • 統計情報により、ポートスキャン実行元が特定できる • 実際にはスプーフィングされてる場合がほとんど • ポートスキャン自体も多彩 • TCPパケットフラグビット;IPフラグメントID; デコイ 2012年4月10日火曜日
IDSの検出タイプ • シグネチャ型 • 不正なパケットタイプをブラックリスト化 • リストに一致した場合検出 • アノマリ型 • 適正なネットワーク統計情報を記述 • 適正な範囲から外れた場合に検出 2012年4月10日火曜日
例)シグネチャ型 SELECT Protocol[TCP] AND Port[21] WHERE Contains[“Guest”] TCPのPort21番へのリクエストで Guestという文字列を含む物を不正とみなす 2012年4月10日火曜日
例)シグネチャ型 SELECT Application[HTTP] WHERE Contains[../..] アプリケーション・プロトコルがHTTPで 中身に../..を含むリクエストを不正とみなす 2012年4月10日火曜日
例)アノマリベース GETリクエスト時のボディに 含まれる文字列は、 一般的にxxx文字以下のはず これ以上の文字列を含むリクエストは BOF攻撃の可能性がある 2012年4月10日火曜日
例)アノマリベース 単位時間におけるパケット数は 一般的にxxx パケット/秒 これ以上のリクエストを受けたとき DoS攻撃の可能性あり 2012年4月10日火曜日
実際のところ • シグネチャ • 管理が大変 • 設定しておけば正しく動く • アノマリ • 未知の攻撃に強い • ”正常”をどこに取るかが難しい • 統計情報を用いる場合、検出が遅れる • シグネチャ+アノマリを組み合わせ 2012年4月10日火曜日
実際のところ • いかに誤検知を防ぐか • 誤検知は本当の攻撃を隠してしまう • チューニング不可欠 • 最近のは自動的にチューニングしてく れるらしい 2012年4月10日火曜日
IDSの設置場所 • FWの外(ネットワーク型) • すべてのパケットを監視 • アラート多すぎで情報埋もれる • DMZなど(ネットワーク型) • FWを抜けてきた潜在的に攻撃となるリクエストを監視 • 対象サーバー(ホスト型) • ホストに対する潜在的攻撃を検出 • ホスト毎にきめ細かい対応可能 2012年4月10日火曜日
防御 2012年4月10日火曜日
防御 • IDSだけでは防御しない • アラートを出し、FWのACLを書き換 えてもらう • IPSは能動的に防御を行う 2012年4月10日火曜日
防御方法 • セッションの遮断 • パケットの廃棄 • 帯域使用量の制限 • 悪意あるコンテンツの改変 • インラインFWを起動、他のネットワーク機 器の設定改変 2012年4月10日火曜日
セッションの遮断 • セッションスナイピング • (※すでに時代遅れだが) • セッションの両エンドポイントに TCP (RST)パケットを送る • 検出、分析、送付に手間取り対応遅れる 2012年4月10日火曜日
IPSの設置場所 • 受動型で設置 • パケットのコピーを監視 • パケットドロップを直接実行できない • システム全体の統計情報を扱いたい時に • インライン型で設置 • パケット、セッションをドロップできる • 各ラインでの防御を担当 2012年4月10日火曜日
IDS/IPSの課題 • 検出率 • いたちごっこ、、、 • 自動シグネチャ作成、統計情報の利用 • パフォーマンス • パケット内容をすべて見る、、 • シグネチャはどんどん増える、、 2012年4月10日火曜日
パフォーマンス • IDPSの設置場所 • FWの外では受動型で大まかな統計情報 を把握 • FWの内側ではインラインで確実に制御 • ロードバランサで負荷分散 2012年4月10日火曜日
IDSを回避するには • 弾幕 • 本当の攻撃を紛らわせる • TCPスプーフィング等で送信元偽装 • パケット断片化 • TCPパケットが分割されていると、IDSはそれを組み立て る必要がある。 • 組み立ては負荷となるため、組み立てをOFFにしている ところもある 2012年4月10日火曜日
参考文献 IDS/IPSに関するNISTの指針 ◦ ”侵入検知および侵入防止システム(IDPS)に関するガイド" by NIST http://bit.ly/HhUKAB • IDS ◦ 不正侵入対策最前線(前編) http://bit.ly/Ikdigb ◦ Linuxで使える侵入検知システム(IDS) http://bit.ly/HsZDYS ◦ @IT:Snortでつくる不正侵入検知システム 第1回 http://bit.ly/Hhceho • IPS ◦ 前編 従来型IPSの課題と解決策 − @IT http://bit.ly/Ipfcjj ◦ IPSの実装方法と防御技術とは http://bit.ly/Ipi93a ◦ 侵入防御システム(IPS:Intrusion Prevention System) - テクノロジー解説 - Cisco Systems http://bit.ly/IpiAL8 ◦ Cisco IPSソリューション - 侵入検知/侵入防御システム - Cisco Systems http://bit.ly/Ipip2o ◦ DDoS攻撃の軽減対策 - Cisco Traffic Anomaly Detectors - Cisco Systems http://bit.ly/Ia1kpq • IDSの回避 ◦ エンタープライズ:セキュリティ How-To - 第6回:IDSからの検知回避は可能か http://bit.ly/Ia2hOI ◦ エンタープライズ:セキュリティ How-To - 第5回 Snortへの攻撃とその対策 http://bit.ly/I3Qu8Z ◦ @IT:攻撃者側から見た入前の事前調査(下見) - Page1 http://bit.ly/HnWPuU ◦ 攻撃はポートスキャンから始まる(下) - ITpro Security:ITpro http://nkbp.jp/HsYfFC ◦ ファイアウォール/IDS の回避とスプーフィング http://bit.ly/Hu0ohP 2012年4月10日火曜日

Recomendados

4章 Linuxカーネル - 割り込み・例外 1
4章 Linuxカーネル - 割り込み・例外 1 4章 Linuxカーネル - 割り込み・例外 1
4章 Linuxカーネル - 割り込み・例外 1 mao999
 
ステートフル型のトラフィック監視ツールとDNSの監視例
ステートフル型のトラフィック監視ツールとDNSの監視例ステートフル型のトラフィック監視ツールとDNSの監視例
ステートフル型のトラフィック監視ツールとDNSの監視例Mizutani Masayoshi
 
Fast forensics(公開用)
Fast forensics(公開用)Fast forensics(公開用)
Fast forensics(公開用)f kasasagi
 
死んで覚えるDeep Security 〜 意識高いポート編
死んで覚えるDeep Security 〜 意識高いポート編死んで覚えるDeep Security 〜 意識高いポート編
死んで覚えるDeep Security 〜 意識高いポート編Hirokazu Yoshida
 
DeepSecurityでシステムを守る運用を幾つか
DeepSecurityでシステムを守る運用を幾つかDeepSecurityでシステムを守る運用を幾つか
DeepSecurityでシステムを守る運用を幾つかHirokazu Yoshida
 
侵入防御の誤検知を減らすためのDeepSecurity運用
侵入防御の誤検知を減らすためのDeepSecurity運用侵入防御の誤検知を減らすためのDeepSecurity運用
侵入防御の誤検知を減らすためのDeepSecurity運用morisshi
 
140129 ips instruction
140129 ips instruction140129 ips instruction
140129 ips instructionKenji Fukuta
 
スマートニュースの世界展開を支えるログ解析基盤
スマートニュースの世界展開を支えるログ解析基盤スマートニュースの世界展開を支えるログ解析基盤
スマートニュースの世界展開を支えるログ解析基盤Takumi Sakamoto
 

Recomendados

4章 Linuxカーネル - 割り込み・例外 1
4章 Linuxカーネル - 割り込み・例外 1 4章 Linuxカーネル - 割り込み・例外 1
4章 Linuxカーネル - 割り込み・例外 1 mao999
 
ステートフル型のトラフィック監視ツールとDNSの監視例
ステートフル型のトラフィック監視ツールとDNSの監視例ステートフル型のトラフィック監視ツールとDNSの監視例
ステートフル型のトラフィック監視ツールとDNSの監視例Mizutani Masayoshi
 
Fast forensics(公開用)
Fast forensics(公開用)Fast forensics(公開用)
Fast forensics(公開用)f kasasagi
 
死んで覚えるDeep Security 〜 意識高いポート編
死んで覚えるDeep Security 〜 意識高いポート編死んで覚えるDeep Security 〜 意識高いポート編
死んで覚えるDeep Security 〜 意識高いポート編Hirokazu Yoshida
 
DeepSecurityでシステムを守る運用を幾つか
DeepSecurityでシステムを守る運用を幾つかDeepSecurityでシステムを守る運用を幾つか
DeepSecurityでシステムを守る運用を幾つかHirokazu Yoshida
 
侵入防御の誤検知を減らすためのDeepSecurity運用
侵入防御の誤検知を減らすためのDeepSecurity運用侵入防御の誤検知を減らすためのDeepSecurity運用
侵入防御の誤検知を減らすためのDeepSecurity運用morisshi
 
140129 ips instruction
140129 ips instruction140129 ips instruction
140129 ips instructionKenji Fukuta
 
スマートニュースの世界展開を支えるログ解析基盤
スマートニュースの世界展開を支えるログ解析基盤スマートニュースの世界展開を支えるログ解析基盤
スマートニュースの世界展開を支えるログ解析基盤Takumi Sakamoto
 
業務系クラウドサービスが取り組んでいるセキュリティ対策
業務系クラウドサービスが取り組んでいるセキュリティ対策業務系クラウドサービスが取り組んでいるセキュリティ対策
業務系クラウドサービスが取り組んでいるセキュリティ対策Yusuke Tamukai
 
もう怖くない。実例で学ぶAwsでのサイジングと料金計算
もう怖くない。実例で学ぶAwsでのサイジングと料金計算もう怖くない。実例で学ぶAwsでのサイジングと料金計算
もう怖くない。実例で学ぶAwsでのサイジングと料金計算Takuya Tachibana
 
Strem処理(Spark Streaming + Kinesis)とOffline処理(Hive)の統合
Strem処理(Spark Streaming + Kinesis)とOffline処理(Hive)の統合Strem処理(Spark Streaming + Kinesis)とOffline処理(Hive)の統合
Strem処理(Spark Streaming + Kinesis)とOffline処理(Hive)の統合SmartNews, Inc.
 
短期間で大規模なシンクラ環境を用意した話
短期間で大規模なシンクラ環境を用意した話短期間で大規模なシンクラ環境を用意した話
短期間で大規模なシンクラ環境を用意した話淳 千葉
 
AWSの進化とSmartNewsの裏側
AWSの進化とSmartNewsの裏側AWSの進化とSmartNewsの裏側
AWSの進化とSmartNewsの裏側SmartNews, Inc.
 
Smartnews Product Manager Night
Smartnews Product Manager NightSmartnews Product Manager Night
Smartnews Product Manager NightSmartNews, Inc.
 
Scala@SmartNews AdFrontend を Scala で書いた話
Scala@SmartNews AdFrontend を Scala で書いた話Scala@SmartNews AdFrontend を Scala で書いた話
Scala@SmartNews AdFrontend を Scala で書いた話Keiji Muraishi
 
iOSアプリ開発者から見たMobile Hub
iOSアプリ開発者から見たMobile HubiOSアプリ開発者から見たMobile Hub
iOSアプリ開発者から見たMobile HubJun Kato
 
インフラ専任エンジニアが一人もいないSmartNewsにおけるクラウド活用法
インフラ専任エンジニアが一人もいないSmartNewsにおけるクラウド活用法インフラ専任エンジニアが一人もいないSmartNewsにおけるクラウド活用法
インフラ専任エンジニアが一人もいないSmartNewsにおけるクラウド活用法SmartNews, Inc.
 
Building a Sustainable Data Platform on AWS
Building a Sustainable Data Platform on AWSBuilding a Sustainable Data Platform on AWS
Building a Sustainable Data Platform on AWSSmartNews, Inc.
 
美しいモバイルUXの理解と実践〜10の法則:アプリ企画・ユーザー体験編 先生:安藤 幸央
美しいモバイルUXの理解と実践〜10の法則:アプリ企画・ユーザー体験編 先生:安藤 幸央美しいモバイルUXの理解と実践〜10の法則:アプリ企画・ユーザー体験編 先生:安藤 幸央
美しいモバイルUXの理解と実践〜10の法則:アプリ企画・ユーザー体験編 先生:安藤 幸央schoowebcampus
 
AWS 初心者向けWebinar Amazon Web Services料金の見積り方法 -料金計算の考え方・見積り方法・お支払方法-
AWS 初心者向けWebinar Amazon Web Services料金の見積り方法 -料金計算の考え方・見積り方法・お支払方法-AWS 初心者向けWebinar Amazon Web Services料金の見積り方法 -料金計算の考え方・見積り方法・お支払方法-
AWS 初心者向けWebinar Amazon Web Services料金の見積り方法 -料金計算の考え方・見積り方法・お支払方法-Amazon Web Services Japan
 
SmartNews Ads System - AWS Summit Tokyo 2015
SmartNews Ads System - AWS Summit Tokyo 2015SmartNews Ads System - AWS Summit Tokyo 2015
SmartNews Ads System - AWS Summit Tokyo 2015SmartNews, Inc.
 
Scala(finagle)@SmartNews_English
Scala(finagle)@SmartNews_EnglishScala(finagle)@SmartNews_English
Scala(finagle)@SmartNews_EnglishShigekazu Takei
 
Scala@SmartNews_20150221
Scala@SmartNews_20150221Scala@SmartNews_20150221
Scala@SmartNews_20150221Shigekazu Takei
 
Startprintf_2013May18
Startprintf_2013May18Startprintf_2013May18
Startprintf_2013May18Shigekazu Takei
 
Pfds 9 2_2
Pfds 9 2_2Pfds 9 2_2
Pfds 9 2_2Shigekazu Takei
 
Pfds 5 2+6_4_2
Pfds 5 2+6_4_2Pfds 5 2+6_4_2
Pfds 5 2+6_4_2Shigekazu Takei
 
Stanford ml neuralnetwork
Stanford ml neuralnetworkStanford ml neuralnetwork
Stanford ml neuralnetworkShigekazu Takei
 
Pfds ex3 9
Pfds ex3 9Pfds ex3 9
Pfds ex3 9Shigekazu Takei
 

Más contenido relacionado

Destacado

業務系クラウドサービスが取り組んでいるセキュリティ対策
業務系クラウドサービスが取り組んでいるセキュリティ対策業務系クラウドサービスが取り組んでいるセキュリティ対策
業務系クラウドサービスが取り組んでいるセキュリティ対策Yusuke Tamukai
 
もう怖くない。実例で学ぶAwsでのサイジングと料金計算
もう怖くない。実例で学ぶAwsでのサイジングと料金計算もう怖くない。実例で学ぶAwsでのサイジングと料金計算
もう怖くない。実例で学ぶAwsでのサイジングと料金計算Takuya Tachibana
 
Strem処理(Spark Streaming + Kinesis)とOffline処理(Hive)の統合
Strem処理(Spark Streaming + Kinesis)とOffline処理(Hive)の統合Strem処理(Spark Streaming + Kinesis)とOffline処理(Hive)の統合
Strem処理(Spark Streaming + Kinesis)とOffline処理(Hive)の統合SmartNews, Inc.
 
短期間で大規模なシンクラ環境を用意した話
短期間で大規模なシンクラ環境を用意した話短期間で大規模なシンクラ環境を用意した話
短期間で大規模なシンクラ環境を用意した話淳 千葉
 
AWSの進化とSmartNewsの裏側
AWSの進化とSmartNewsの裏側AWSの進化とSmartNewsの裏側
AWSの進化とSmartNewsの裏側SmartNews, Inc.
 
Smartnews Product Manager Night
Smartnews Product Manager NightSmartnews Product Manager Night
Smartnews Product Manager NightSmartNews, Inc.
 
Scala@SmartNews AdFrontend を Scala で書いた話
Scala@SmartNews AdFrontend を Scala で書いた話Scala@SmartNews AdFrontend を Scala で書いた話
Scala@SmartNews AdFrontend を Scala で書いた話Keiji Muraishi
 
iOSアプリ開発者から見たMobile Hub
iOSアプリ開発者から見たMobile HubiOSアプリ開発者から見たMobile Hub
iOSアプリ開発者から見たMobile HubJun Kato
 
インフラ専任エンジニアが一人もいないSmartNewsにおけるクラウド活用法
インフラ専任エンジニアが一人もいないSmartNewsにおけるクラウド活用法インフラ専任エンジニアが一人もいないSmartNewsにおけるクラウド活用法
インフラ専任エンジニアが一人もいないSmartNewsにおけるクラウド活用法SmartNews, Inc.
 
Building a Sustainable Data Platform on AWS
Building a Sustainable Data Platform on AWSBuilding a Sustainable Data Platform on AWS
Building a Sustainable Data Platform on AWSSmartNews, Inc.
 
美しいモバイルUXの理解と実践〜10の法則:アプリ企画・ユーザー体験編 先生:安藤 幸央
美しいモバイルUXの理解と実践〜10の法則:アプリ企画・ユーザー体験編 先生:安藤 幸央美しいモバイルUXの理解と実践〜10の法則:アプリ企画・ユーザー体験編 先生:安藤 幸央
美しいモバイルUXの理解と実践〜10の法則:アプリ企画・ユーザー体験編 先生:安藤 幸央schoowebcampus
 
AWS 初心者向けWebinar Amazon Web Services料金の見積り方法 -料金計算の考え方・見積り方法・お支払方法-
AWS 初心者向けWebinar Amazon Web Services料金の見積り方法 -料金計算の考え方・見積り方法・お支払方法-AWS 初心者向けWebinar Amazon Web Services料金の見積り方法 -料金計算の考え方・見積り方法・お支払方法-
AWS 初心者向けWebinar Amazon Web Services料金の見積り方法 -料金計算の考え方・見積り方法・お支払方法-Amazon Web Services Japan
 
SmartNews Ads System - AWS Summit Tokyo 2015
SmartNews Ads System - AWS Summit Tokyo 2015SmartNews Ads System - AWS Summit Tokyo 2015
SmartNews Ads System - AWS Summit Tokyo 2015SmartNews, Inc.
 

Destacado (13)

業務系クラウドサービスが取り組んでいるセキュリティ対策
業務系クラウドサービスが取り組んでいるセキュリティ対策業務系クラウドサービスが取り組んでいるセキュリティ対策
業務系クラウドサービスが取り組んでいるセキュリティ対策
 
もう怖くない。実例で学ぶAwsでのサイジングと料金計算
もう怖くない。実例で学ぶAwsでのサイジングと料金計算もう怖くない。実例で学ぶAwsでのサイジングと料金計算
もう怖くない。実例で学ぶAwsでのサイジングと料金計算
 
Strem処理(Spark Streaming + Kinesis)とOffline処理(Hive)の統合
Strem処理(Spark Streaming + Kinesis)とOffline処理(Hive)の統合Strem処理(Spark Streaming + Kinesis)とOffline処理(Hive)の統合
Strem処理(Spark Streaming + Kinesis)とOffline処理(Hive)の統合
 
短期間で大規模なシンクラ環境を用意した話
短期間で大規模なシンクラ環境を用意した話短期間で大規模なシンクラ環境を用意した話
短期間で大規模なシンクラ環境を用意した話
 
AWSの進化とSmartNewsの裏側
AWSの進化とSmartNewsの裏側AWSの進化とSmartNewsの裏側
AWSの進化とSmartNewsの裏側
 
Smartnews Product Manager Night
Smartnews Product Manager NightSmartnews Product Manager Night
Smartnews Product Manager Night
 
Scala@SmartNews AdFrontend を Scala で書いた話
Scala@SmartNews AdFrontend を Scala で書いた話Scala@SmartNews AdFrontend を Scala で書いた話
Scala@SmartNews AdFrontend を Scala で書いた話
 
iOSアプリ開発者から見たMobile Hub
iOSアプリ開発者から見たMobile HubiOSアプリ開発者から見たMobile Hub
iOSアプリ開発者から見たMobile Hub
 
インフラ専任エンジニアが一人もいないSmartNewsにおけるクラウド活用法
インフラ専任エンジニアが一人もいないSmartNewsにおけるクラウド活用法インフラ専任エンジニアが一人もいないSmartNewsにおけるクラウド活用法
インフラ専任エンジニアが一人もいないSmartNewsにおけるクラウド活用法
 
Building a Sustainable Data Platform on AWS
Building a Sustainable Data Platform on AWSBuilding a Sustainable Data Platform on AWS
Building a Sustainable Data Platform on AWS
 
美しいモバイルUXの理解と実践〜10の法則:アプリ企画・ユーザー体験編 先生:安藤 幸央
美しいモバイルUXの理解と実践〜10の法則:アプリ企画・ユーザー体験編 先生:安藤 幸央美しいモバイルUXの理解と実践〜10の法則:アプリ企画・ユーザー体験編 先生:安藤 幸央
美しいモバイルUXの理解と実践〜10の法則:アプリ企画・ユーザー体験編 先生:安藤 幸央
 
AWS 初心者向けWebinar Amazon Web Services料金の見積り方法 -料金計算の考え方・見積り方法・お支払方法-
AWS 初心者向けWebinar Amazon Web Services料金の見積り方法 -料金計算の考え方・見積り方法・お支払方法-AWS 初心者向けWebinar Amazon Web Services料金の見積り方法 -料金計算の考え方・見積り方法・お支払方法-
AWS 初心者向けWebinar Amazon Web Services料金の見積り方法 -料金計算の考え方・見積り方法・お支払方法-
 
SmartNews Ads System - AWS Summit Tokyo 2015
SmartNews Ads System - AWS Summit Tokyo 2015SmartNews Ads System - AWS Summit Tokyo 2015
SmartNews Ads System - AWS Summit Tokyo 2015
 

Más de Shigekazu Takei

Scala(finagle)@SmartNews_English
Scala(finagle)@SmartNews_EnglishScala(finagle)@SmartNews_English
Scala(finagle)@SmartNews_EnglishShigekazu Takei
 
Scala@SmartNews_20150221
Scala@SmartNews_20150221Scala@SmartNews_20150221
Scala@SmartNews_20150221Shigekazu Takei
 
Stanford ml neuralnetwork
Stanford ml neuralnetworkStanford ml neuralnetwork
Stanford ml neuralnetworkShigekazu Takei
 

Más de Shigekazu Takei (7)

Scala(finagle)@SmartNews_English
Scala(finagle)@SmartNews_EnglishScala(finagle)@SmartNews_English
Scala(finagle)@SmartNews_English
 
Scala@SmartNews_20150221
Scala@SmartNews_20150221Scala@SmartNews_20150221
Scala@SmartNews_20150221
 
Startprintf_2013May18
Startprintf_2013May18Startprintf_2013May18
Startprintf_2013May18
 
Pfds 9 2_2
Pfds 9 2_2Pfds 9 2_2
Pfds 9 2_2
 
Pfds 5 2+6_4_2
Pfds 5 2+6_4_2Pfds 5 2+6_4_2
Pfds 5 2+6_4_2
 
Stanford ml neuralnetwork
Stanford ml neuralnetworkStanford ml neuralnetwork
Stanford ml neuralnetwork
 
Pfds ex3 9
Pfds ex3 9Pfds ex3 9
Pfds ex3 9
 

Ids ips

  • 1. IDS / IPS S.Takei (@shtaag) 2012年4月10日火曜日
  • 2. IDS/IPSの役割 • 不正ネットワークアクセスに対して • 監視 • 警告 • 防御 2012年4月10日火曜日
  • 3. FW + IDS + IPS • FireWall • フィルタリング • Intrusion Detection System • 監視・警告 • Intrusion Prevention System • 防御 2012年4月10日火曜日
  • 4. FWと何が違う? • FWはパケットを弾く • IDSは、見てるだけ • IPSは防御アクションを取る • FWはパケット単体を監視 • IDS/IPSはそれに加え、ネットワークの統計 情報なども収集 2012年4月10日火曜日
  • 5. 典型的な例 router FW IDPS Internal Servers switch DB console インライン型ネットワークベースIDPS 2012年4月10日火曜日
  • 6. IDSのタイプ • 検出方法 • シグネチャベース • アノマリベース • 設置場所 • ネットワーク型 • インライン型 • 受動型 • NBA(Network Behavior Analysis)型 • ホスト型 2012年4月10日火曜日
  • 8. 監視 • 何を? • どうやって? 2012年4月10日火曜日
  • 9. 監視対象 • パケット情報 • ネットワークフロー統計情報 • システムログ等 2012年4月10日火曜日
  • 10. FWだけで十分でしょ? • FW • パケットヘッダ情報見てフィルタリング • それだけでは防御できない • 例えば、BOF攻撃 • HTTPヘッダは適正 • ∴ リクエストの形式は正しい • HTTPボディに大量のデータ 2012年4月10日火曜日
  • 11. FWだけでは無理 ヘッダは適正 だが、中身はBOF 通過:HTTPリクエスト かつ 適正なホスト 2012年4月10日火曜日
  • 12. FWだけでは無理 IDS 中身はBOFだ!! ↓ 通過:HTTPリクエスト Alert Log発行 かつ 適正なホスト 2012年4月10日火曜日
  • 13. 統計情報 • 例えばポートスキャン • 攻撃の予兆 • 統計情報により、ポートスキャン実行元が特定できる • 実際にはスプーフィングされてる場合がほとんど • ポートスキャン自体も多彩 • TCPパケットフラグビット;IPフラグメントID; デコイ 2012年4月10日火曜日
  • 14. IDSの検出タイプ • シグネチャ型 • 不正なパケットタイプをブラックリスト化 • リストに一致した場合検出 • アノマリ型 • 適正なネットワーク統計情報を記述 • 適正な範囲から外れた場合に検出 2012年4月10日火曜日
  • 15. 例)シグネチャ型 SELECT Protocol[TCP] AND Port[21] WHERE Contains[“Guest”] TCPのPort21番へのリクエストで Guestという文字列を含む物を不正とみなす 2012年4月10日火曜日
  • 16. 例)シグネチャ型 SELECT Application[HTTP] WHERE Contains[../..] アプリケーション・プロトコルがHTTPで 中身に../..を含むリクエストを不正とみなす 2012年4月10日火曜日
  • 17. 例)アノマリベース GETリクエスト時のボディに 含まれる文字列は、 一般的にxxx文字以下のはず これ以上の文字列を含むリクエストは BOF攻撃の可能性がある 2012年4月10日火曜日
  • 18. 例)アノマリベース 単位時間におけるパケット数は 一般的にxxx パケット/秒 これ以上のリクエストを受けたとき DoS攻撃の可能性あり 2012年4月10日火曜日
  • 19. 実際のところ • シグネチャ • 管理が大変 • 設定しておけば正しく動く • アノマリ • 未知の攻撃に強い • ”正常”をどこに取るかが難しい • 統計情報を用いる場合、検出が遅れる • シグネチャ+アノマリを組み合わせ 2012年4月10日火曜日
  • 20. 実際のところ • いかに誤検知を防ぐか • 誤検知は本当の攻撃を隠してしまう • チューニング不可欠 • 最近のは自動的にチューニングしてく れるらしい 2012年4月10日火曜日
  • 21. IDSの設置場所 • FWの外(ネットワーク型) • すべてのパケットを監視 • アラート多すぎで情報埋もれる • DMZなど(ネットワーク型) • FWを抜けてきた潜在的に攻撃となるリクエストを監視 • 対象サーバー(ホスト型) • ホストに対する潜在的攻撃を検出 • ホスト毎にきめ細かい対応可能 2012年4月10日火曜日
  • 23. 防御 • IDSだけでは防御しない • アラートを出し、FWのACLを書き換 えてもらう • IPSは能動的に防御を行う 2012年4月10日火曜日
  • 24. 防御方法 • セッションの遮断 • パケットの廃棄 • 帯域使用量の制限 • 悪意あるコンテンツの改変 • インラインFWを起動、他のネットワーク機 器の設定改変 2012年4月10日火曜日
  • 25. セッションの遮断 • セッションスナイピング • (※すでに時代遅れだが) • セッションの両エンドポイントに TCP (RST)パケットを送る • 検出、分析、送付に手間取り対応遅れる 2012年4月10日火曜日
  • 26. IPSの設置場所 • 受動型で設置 • パケットのコピーを監視 • パケットドロップを直接実行できない • システム全体の統計情報を扱いたい時に • インライン型で設置 • パケット、セッションをドロップできる • 各ラインでの防御を担当 2012年4月10日火曜日
  • 27. IDS/IPSの課題 • 検出率 • いたちごっこ、、、 • 自動シグネチャ作成、統計情報の利用 • パフォーマンス • パケット内容をすべて見る、、 • シグネチャはどんどん増える、、 2012年4月10日火曜日
  • 28. パフォーマンス • IDPSの設置場所 • FWの外では受動型で大まかな統計情報 を把握 • FWの内側ではインラインで確実に制御 • ロードバランサで負荷分散 2012年4月10日火曜日
  • 29. IDSを回避するには • 弾幕 • 本当の攻撃を紛らわせる • TCPスプーフィング等で送信元偽装 • パケット断片化 • TCPパケットが分割されていると、IDSはそれを組み立て る必要がある。 • 組み立ては負荷となるため、組み立てをOFFにしている ところもある 2012年4月10日火曜日
  • 30. 参考文献 IDS/IPSに関するNISTの指針 ◦ ”侵入検知および侵入防止システム(IDPS)に関するガイド" by NIST http://bit.ly/HhUKAB • IDS ◦ 不正侵入対策最前線(前編) http://bit.ly/Ikdigb ◦ Linuxで使える侵入検知システム(IDS) http://bit.ly/HsZDYS ◦ @IT:Snortでつくる不正侵入検知システム 第1回 http://bit.ly/Hhceho • IPS ◦ 前編 従来型IPSの課題と解決策 − @IT http://bit.ly/Ipfcjj ◦ IPSの実装方法と防御技術とは http://bit.ly/Ipi93a ◦ 侵入防御システム(IPS:Intrusion Prevention System) - テクノロジー解説 - Cisco Systems http://bit.ly/IpiAL8 ◦ Cisco IPSソリューション - 侵入検知/侵入防御システム - Cisco Systems http://bit.ly/Ipip2o ◦ DDoS攻撃の軽減対策 - Cisco Traffic Anomaly Detectors - Cisco Systems http://bit.ly/Ia1kpq • IDSの回避 ◦ エンタープライズ:セキュリティ How-To - 第6回:IDSからの検知回避は可能か http://bit.ly/Ia2hOI ◦ エンタープライズ:セキュリティ How-To - 第5回 Snortへの攻撃とその対策 http://bit.ly/I3Qu8Z ◦ @IT:攻撃者側から見た入前の事前調査(下見) - Page1 http://bit.ly/HnWPuU ◦ 攻撃はポートスキャンから始まる(下) - ITpro Security:ITpro http://nkbp.jp/HsYfFC ◦ ファイアウォール/IDS の回避とスプーフィング http://bit.ly/Hu0ohP 2012年4月10日火曜日