侵入検知システム(IDS)は、ネットワークトラフィックを監視し、疑わしいアクティビティを監視し、システムまたはネットワーク管理者に警告します。 場合によっては、IDSは、ユーザまたは送信元IPアドレスがネットワークにアクセスすることをブロックするなどの措置を講じることによって、異常または悪意のあるトラフィックに応答することもあります。
IDSには様々な「味」があり、疑わしいトラフィックをさまざまな方法で検出するという目標に向かっています。 ネットワークベース(NIDS)とホストベース(HIDS)の侵入検知システムがあります。 既知の脅威の特定のシグネチャを検出することに基づいて検出するIDSがあります。これは、 アンチウイルスソフトウェアがマルウェアを検出してマルウェアから保護する方法と似ており、トラフィックパターンとベースラインを比較して異常を検出するIDSがあります。 単純に監視し警告するIDSと、検出された脅威に対応してアクションまたはアクションを実行するIDSがあります。 これらについて簡単に説明します。
NIDS
ネットワーク侵入検知システムは、ネットワーク上のすべてのデバイスとの間のトラフィックを監視するために、ネットワーク内の1つまたは複数の戦略的ポイントに配置されます。 理想的には、すべてのインバウンドおよびアウトバウンドトラフィックをスキャンしますが、そうすることでネットワーク全体の速度を損なうボトルネックが発生する可能性があります。
HIDS
ホスト侵入検知システムは、ネットワーク上の個々のホストまたはデバイス上で実行されます。 HIDSは、デバイスからのインバウンドおよびアウトバウンドパケットのみを監視し、疑わしいアクティビティが検出されたことをユーザまたは管理者に警告します
署名ベース
シグネチャベースのIDSは、ネットワーク上のパケットを監視し、既知の悪意のある脅威からのシグネチャまたは属性のデータベースと比較します。 これは、ほとんどのウイルス対策ソフトウェアがマルウェアを検出する方法と似ています。 問題は、野生で発見された新しい脅威と、IDSに適用されている脅威を検出するための署名との間に遅れが生じることです。 その遅れの間、IDSは新しい脅威を検出することができません。
異常に基づく
異常に基づくIDSは、ネットワークトラフィックを監視し、確立されたベースラインと比較します。 ベースラインは、一般的にどのような種類の帯域幅が使用されているか、どのプロトコルが使用されているか、一般的にどのポートとデバイスが互いに接続しているか、トラフィックが異常であることが検出されたときに管理者やユーザーに警告し、またはベースラインと有意に異なる。
パッシブIDS
パッシブIDSは単に検出して警告します。 疑わしいトラフィックや悪意のあるトラフィックが検出されると、アラートが生成されて管理者またはユーザーに送信されます。活動をブロックしたり何らかの方法で応答したりすることは、その措置を取ることです。
リアクティブIDS
リアクティブIDSは、疑わしいトラフィックや悪質なトラフィックを検出して管理者に警告するだけでなく、脅威に対応するために事前定義された積極的な対策を講じます。 通常これは、送信元IPアドレスまたはユーザーからのネットワークトラフィックをブロックすることを意味します。
最もよく知られ、広く使用されている侵入検知システムの1つは、オープンソースで、無料で入手できるSnortです。 LinuxとWindowsの両方を含む多くのプラットフォームとオペレーティングシステムで利用できます 。 Snortには大きくて忠実なフォローがあり、最新の脅威を検出するために実装するシグネチャを取得できるインターネット上で利用可能なリソースが多数あります。 他のフリーウェアの侵入検知アプリケーションでは、 無料の侵入検知ソフトウェアにアクセスできます。
ファイアウォールとIDSの間には細かい線があります。 IPS - Intrusion Prevention Systemと呼ばれる技術もあります 。 IPSは基本的にファイアウォールであり、ネットワークレベルとアプリケーションレベルのフィルタリングとリアクティブIDSを組み合わせて、ネットワークを積極的に保護します。 ファイアウォールで時間が経過すると、IDSとIPSは互いからより多くのアトリビュートを引き受け、さらにラインをぼかします。
基本的に、ファイアウォールは境界防御の第一線です。 ベストプラクティスでは、すべての着信トラフィックを拒否するようにファイアウォールを明示的に設定し、必要な場所に穴を開けることをお勧めします。 Webサイトをホストするにはポート80を開き、 FTPファイルサーバーをホストするにはポート21を開く必要があります 。 これらの各穴は1つの観点から必要な場合がありますが、ファイアウォールでブロックされるのではなく、悪意のあるトラフィックがネットワークに侵入する可能性のある可能性も示します。
IDSは、ネットワーク全体、または特定のデバイスのHIDSにNIDSを実装する場合でも、インバウンドおよびアウトバウンドのトラフィックを監視し、ファイアウォールをバイパスした疑いのあるトラフィックや悪意のあるトラフィックを識別しますおそらくあなたのネットワークの内部からも発信される可能性があります。
IDSは、ネットワークをプロアクティブに監視して悪意のあるアクティビティからネットワークを保護する優れたツールですが、誤ったアラームが発生する可能性もあります。 実装しているIDSソリューションを使用するだけで、最初にインストールした後に「調整」する必要があります。 ネットワーク上の通常のトラフィックと悪意のあるトラフィックを認識するようにIDSを正しく設定する必要があります。また、IDSアラートへの応答を担当する管理者は、アラートの意味と効果的な対応方法を理解する必要があります。