NETSCREEN-IDPによる攻撃からの防御

　今回はこのNetscreen-IDP（Intrusion Detection and Prevention）の特徴の一つである防御機能についてご紹介します。

　以前この特集でNetscreen-IDPが採用している複数の検知メカニズム「Multi-Method Detectionの1つである、「ステイトフルシグネチャ」による攻撃パターン検知技法をご紹介しました。（Scan Security Wire Vol.236（2003/07/24))

　この「ステイトフルシグネチャ」により従来のIDSが抱えている検知精度の問題を大幅に解消したことは説明した通りですが、更には防御機能の実現にも一役買っているのも事実であると考えられます。
　何故なら従来の検知精度レベルで検知したトラフィックやパケットを遮断してしまうと、本来正常なトラフィックもかなりの割合で遮断されてしまうという事が問題視されてきたと思いますし、実際に懸念された方も多いと思います。

　このことからやはりIDSでの防御機能は正確な検知が可能になって始めて実現できるファンクションと言って過言ではないと思います。

　更にIDSの防御機能と一口に言っても、現時点では大きく分けて2種類の方式により実現されています。
　ここでは従来のIDSが採用している方式とNetscreen-IDPの方式の違いを簡単に説明していきます。

◆従来のIDSで採用されている防御機能
　従来のIDSの導入形態としてはTAP装置やSWのミラーポートに接続し、NW上を流れるトラフィックのコピーから攻撃を検知する形態が主流でした。このような形態での防御機能としてはリセットコマンドを発行したり、FWとの連携で検知後にFW側のルールを書き換える等の方法で実現されているケースが一般的です。

　しかしこの方式では次の点が大きなデメリットとして報告されています。

・検知後に防御アクションが行われる為、検知時の攻撃はTARGETへ届いてしまっている。
・FWのルールを書き換える（L3・L4によるフィルタリング）ことで、NATやPROXYされているような大勢が同一IPで通信する場合に攻撃に無関係な第三者までもFWを通過する事が出来なくなってしまう。

（資料提供：NetScreen Technologies, Inc.）

　ノックス株式会社
　ソリューション営業部
　鈴木　克利
http://www.nox.co.jp/

（詳しくはScan本誌をご覧ください）
http://shop.vagabond.co.jp/m-ssw01.shtml