IDSを使った侵入検知（２）

〜［前号より］〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜
　さらに、いったん侵入されたPCには、リモート操作を行うバックドアを仕込まれることが多い。こうなると、バックドアを探してインターネット上を徘徊している別のクラッカー達によっても、利用されてしまうことが十分に考えられる。あなたのPCが、さまざまな不正アクセスの温床になってしまう危険すらあるのである。
〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜

●ファイアウォールとIDS

　上記のような悪意の第三者からの侵入被害を防ぐには、ネットワーク内部へのアクセスを防ぐことに尽きる。この場合、一般的に利用されているのがファイアウォールである。

　ファイアウォールは、ネットワークを外敵から守る防火壁（防御壁）のような働きをするものだ。ネットワーク外部から送られてくるパケットをチェックし、そのパケットを通過させるか、あるいはさせないかを判断するのである。たとえば、特定のアドレスから送られてきたパケット以外は通過させないように設定すれば、基本的に、内部ネットワークへの不振なアクセスを遮断することが可能だ。

　以前は、ファイアウォールといえば、企業の外部と内部ネットワークをつなぐ結節点のサーバに仕込まれるものというイメージが強かったが、1、2年ほど前からは個人ユーザのPCに単独でインストールするパーソナルファイアウォールの話題も目に付くようになっている。このカテゴリでは、市販品とともにフリーの製品も充実している。日本語化キットもあるZoneAlarm（ http://www.zonelabs.com/ ）などは草分け的存在だろう。その他には、Sygate Personal Firewall（ http://www.sygate.com/ ）やTiny Personal Firewall（ http://www.tinysoftware.com/ ）などがよく知られている。

　そしてもうひとつ、不正アクセス防御に威力を発揮するのが、本稿で紹介しようとしているIDSである。IDSは「Intrusion Detection System」の略で、一般に「侵入検知システム」と呼ばれるものだ。

　このIDS、先に挙げたファイアウォールとどういう違いがあるのだろうか。　一般的にパーソナルファイアウォールは、いわゆるパケットフィルタリング型ファイアウォールであり、パケットヘッダ内のIPアドレスとポート番号を設定情報と比較し、通過の許可/不許可を判断している。これは、パケットの内容に対しては処理を行わないことを意味している。たとえば、WWWサービスをやり取りするHTTPポート（80番）を通過するパケットに不正なものが混じっていても、基本的にはそのまま通過させてしまうことになる。ユーザに通知したり記録したりするという機能もない。CodeRedやNimdaは、まさにこの点を突いてファイアウォールの内側にまで侵入したのである。

　一方のIDSは、送受信されるパケット自体を監視する。通常は、あらかじめ用意されている特定のルールと照合し、不正と判断される場合にユーザへの通知、検出結果の保存を実行するのだ。現在起きていることを、常時監視するのである。ファイアウォールを通過してしまった不正パケットがあっても、IDSで侵入を検知することが可能だ。
　もっとも、IDSだけでは侵入を検知できてもそれを止める方法がない。ファイアウォールと併用することで、その力を十二分に活用することができるといえる。

【執筆：磯野康孝】

「無料セキュリティツールで構築するセキュアな環境 No.1」
　〜ZoneAlarm−snort〜
http://shop.vagabond.co.jp/p-fss01.shtml

http://www.d-pub.co.jp/cgi-bin/bannou/shop/book_detail.cgi

（詳しくはScan本誌をご覧ください）
http://shop.vagabond.co.jp/m-ssw01.shtml