インターネットからの攻撃はFWで絞込みIDS/IPS/WAFで防ごう!

ネットワークスペシャリスト

ネットワークは目に見えない非常に多くのデータがやり取りされる。

そんなネットワーク上では、悪意を持ったデータのやり取りも発生する。

実際に、様々なメディアで個人情報が漏洩したりHPがダウンしたりする記事を目にするだろう。

ネットワークスペシャリスト試験でも良く問われる「アクセス制御」。

この記事でネットワークスペシャリスト試験で必要となるアクセス制御の知識を整理したいと思う。

ファイアウォールで通過させるパケットをふるいにかける

師匠
師匠

ネットワークのセキュリティを守るためにはどういう方法があるのかのぉ~?

Ys
Ys

方法はたくさんあります!

一般的なインターネットからの通信を例に順番に整理してみたいと思います。

例えば、あなたのPCからとある企業などのHPにアクセスする場合を考えてみよう。

その際、インターネットを経由して対象のWebサーバにアクセスする。

ファイアウォール(以下、FW)では自分宛の通信であるパケットを受け取った後、これを後続のネットワーク機器に転送して良いか否かを判断する

例えば、Webサーバにアクセスすることだけを許可するならば、電子メールのパケットは拒否するなどである。

ここで、平成27年度 ネットワークスペシャリスト試験 午後Ⅰ試験 問3を例に見てみようと思う。

出典:平成27年度 ネットワークスペシャリスト試験 午後Ⅰ試験 問3

この問題では、営業さんが外出時はモバイル端末、内勤時は自席のPCから社内の営業支援システムにアクセスするケースの問題である。

営業さんがモバイル端末を使用して営業支援システムに接続する場合の経路は、以下の流れだ。

 モバイル端末→ルータ→SW1→FW→SW2→RPサーバ→SW2→FW→SW3→Webサーバ

ここで登場するファイアウォール(以下、FW)がまずセキュリティ機能を働かせている。

ファイアフォールは、必要な通信のみを許可するためのネットワーク機器である

例えば、上記の図でモバイル端末から営業支援システムに接続する通信とF社のHPにアクセスする通信以外は拒否するという場合、ファイアウォールでは以下のような制御を行う。

制御送信元IPアドレス宛先IPアドレス送信元ポート番号宛先ポート番号
許可RPサーバ80,443
拒否****
FWのアクセス制御イメージ

このように、モバイル端末含めてインターネットからRPサーバに対してHTTPやHTTPS通信を許可し、それ以外は拒否するということをFWで制御する。

このアクセス制御するための設定をACL(Access Control List)という。

また、送信元および送信先のIPアドレスとポート番号でアクセス制御することをパケットフィルタリングという。

このように、インターネット上に無数の通信が行われている状況下で、自分宛の通信が届いたときにパケットフィルタリングによって不必要な通信を破棄する役目を担っている。

IDSでパケットを監視して不正を暴き通報する

師匠
師匠

FWで必要なパケットだけ通信の許可をする関所的な役目であることは分かった。

じゃが、許可した通信に不正な内容が埋め込まれていたらどうするのじゃ?

Ys
Ys

そうなんです。

それを見つけるために登場したのが不正侵入検知システムです!

FWを通過したHTTPまたはHTTPSのパケット内に、例えばWebサーバのOSの脆弱性を狙った攻撃内容が埋め込まれていた場合、それが自分のネットワークに入り込んでしまう。

FWを通過したパケットを監視し、異常を検知する「不正侵入検知システム(以下、IDS)」が登場した。

IDSには、ネットワーク内を監視するNIDSホストを監視するHIDSが存在する。

NIDSとHIDSは共に一長一短があり、ネットワークシステムの特性によって選択する必要がある。

師匠
師匠

特性によって選択って難しいのぉ~

NIDSとHIDSのメリット・デメリットを教えて欲しいのぉ~

Ys
Ys

了解しました。

それぞれのメリットとデメリットをこちらに整理してみました。

 1)NIDS

  メリット :ネットワーク内を監視するため広く監視することが可能である。

  デメリット:暗号化されたHTTPSなどは監視できない。

 2)HIDS

  メリット :ホスト内で監視するため、きめ細かな監視が可能。

  デメリット:監視対象のホスト毎に導入が必要であり、ホストのリソースも消費する。

師匠
師匠

ネットワークの要件次第ということが良く分かったぞ

でもIDSはどのような不正を見つけ出すのじゃ?

Ys
Ys

IDSは不正検出と異常検出の2つの機能を持っています。

IDSは、シグネチャ型アノマリ型の検出方法がある。

シグネチャ型は検出ルールに従ってパケットを監視し、そのルールとマッチした場合に「不正」と判断する

この検出方法は、既に存在する不正パターンを見つけ出す際に役に立つ。

逆を言うと、新たな攻撃によるパケット内容は不正として判断できないのがデメリットだ。

シグネチャ型の欠点を補うのがアノマリ型である。

アノマリ型はプロトコルの仕様に沿った挙動を監視し、通常と異なる振る舞いをするパケットを「異常」と判断する

これは、普通だったらこういう動きなのに、なんかいつもと違うから知らせようという感じの内容だ。

つまり、まだ見つかっていない攻撃に対しても通常と異なる振る舞いをしていると警告を上げることができるのだ。

改めて平成27年度 ネットワークスペシャリスト試験 午後Ⅰ試験 問3を見てみよう。

出典:平成27年度 ネットワークスペシャリスト試験 午後Ⅰ試験 問3

赤枠部分に「シグネチャ型」と「アノマリ型(空欄ア)」の説明が書かれている。

ちなみに、この問題文はNIDSをベースに書かれている

もう少し問題文を読むと、空欄イ~エがある。

IDSはパケットキャプチャのように自分宛以外のパケットを参照しなければならない。

そのため、監視対象のネットワークにあるSWのミラーポート(空欄イ)に接続しつつ、IDS側のネットワークポートをプロミスキャスモード(空欄ウ)にして通信を取り込む必要がある。

また、IDSが攻撃されると不正なパケットを検知できなくなる。

その回避策として、IPアドレスの設定は行わない(空欄エ)対策をしているのである。

ただ、繰り返しになるが、IDSはパケットの監視と検知しかできない

つまり、不正なパケットを発見してもネットワーク管理者に自動通知するだけしかできない

ネットワーク管理者は、IDSからの不正通知を受ける都度FWのACLを変更することになる。

ただ、これはこれで大変な作業だ。

そこで、FWとIDSが連携し、不正なパケットを発見したらACLに動的反映する機能がある。

これが平成27年度 ネットワークスペシャリスト試験 午後Ⅰ試験 問3で出題された。

出典:平成27年度 ネットワークスペシャリスト試験 午後Ⅰ試験 問3

上記の問題文に対して、問われた設問はこちら。

出典:平成27年度 ネットワークスペシャリスト試験 午後Ⅰ試験 問3

この設問の解答例は、「FWのACLを動的に変更して、遮断の対象とする送信元IPアドレスを追加する。」である。

このように、FWとIDSを組み合わせた不正パケットの遮断方法なども問われるのだ。

IDSの欠点を改善したIPSで不正通信を防御する

師匠
師匠

IDSで監視と不正検知ができるならそれを破棄する機器を作ればよいのにのぉ~

Ys
Ys

それも実はあるんです!

それが、不正侵入防止システムです!

IDSはネットワークまたはホストを監視し、不正を検知する機器であった。

それを強化したものとして、不正侵入防止システム(以下、IPS)という機器が登場した。

IPSは不正と判断されたパケットを遮断する仕組みで非常に便利だ。

一方で、正常な通信を誤って遮断してしまうと運用に影響を及ぼしてしまう。

IDSとIPSを組み合わせた構成例として、ネットワークスペシャリスト試験ではこのような構成で出題されたている。

出典:平成27年度 ネットワークスペシャリスト試験 午後Ⅰ試験 問3

この問題では、FWの後続にIDS(正しくはNIDS)とIPSを併用している。

ちなみに、右下の管理用PCでIPSやIDSのログを定期的に解析し、セキュリティ的な見直しが出来るようにしている。

平成27年度 ネットワークスペシャリスト試験 午後Ⅰ試験 問3では、FW、IDS、IPSを中心に出題された。

この問題と設問に関する詳細の解説は、この書籍が非常にわかりやすい。

この書籍の解説を読むまでは、今回の投稿記事をかけるだけの知識が整理されていなかった。

それぞれの知識が点でしか理解できていなかったのが、線に変えることができた。

たった数時間でブログ記事をまとめられるだけの力が身につく。

ネットワークスペシャリスト試験の対策本としてだけでなく、ネットワークに関する基礎知識が体系的に学べる良書だ。

WAFでウェブアプリケーションの脆弱性を守る

Ys
Ys

Webアプリケーションに特化したファイアフォールもあるぞ!

Webアプリケーションが主流になってかなりの月日が経つ。

この間に様々なWebアプリケーションの脆弱性を悪用する攻撃が登場した。

主流なものとしてはSQLインジェクションなどがある。

前述したIPSはOSの脆弱性を悪用する攻撃やファイル共有サービスの脆弱性を悪用するものなど多様な攻撃に対応できるようになっている。

一方でWAFは前述の通りWebアプリケーションの脆弱性に特化した攻撃に対応する。

WAFについて情報処理推進機構(IPA)から非常にわかりやすい読み物が発行されている。

こちらも是非読んでみて欲しい。

まとめ

今回はネットワークのアクセス制御について、自分の学習のまとめとして書いてみた。

最後に今回の記事をまとめてみたいと思う。

  • FWは必要な通信のみを許可するネットワーク機器
  • FWを通過したパケットを監視して不正を検知するのがIDS
  • IDSはNIDSとHIDSの2つに分かれる
  • NIDSはネットワーク内の監視用、HIDSはホスト内の監視用
  • 不正はシグネチャ型で検知、異常はアノマリ型で検知
  • IDSの機能(監視、不正・異常検知)に防御機能を付け加えたのがIPS
  • Webアプリケーションに特化したFWがWAF

こんかいの記事で紹介したこちらの書籍も是非読んでみて欲しい。

Follow me!

コメント

PAGE TOP
タイトルとURLをコピーしました