侵入検知や防御

CEHのテキスト12章は、IDSについて。

IDSの一般論から、製品紹介。その後は、IDSをかいくぐるテクニックの紹介。

製品としては、SnortやSuricataが紹介されており、Snortに関しては、Snort Ruleというパケットフィルタリングルールの記述についても触れられている。

SnortやSuricataはオープンソースなので、導入自体は無料で出来る。一方で、IDSの有料製品・サービスを利用しようとすると、その金額は小さくない。

オープンソースでどこまで出来るのだろうか。

Snortについて

Snortは1998年に制作され、2013年にCiscoに買収され、今も開発は続いていて、Snort Version3.xが2021年にリリースされている。

www.snort.org

Snortの概略

Snortは、ネットワーク型IDS。

・対応OS

殆どのLinux系OSに対応している。

Ver3では、Windowsはサポートしておらず、Ver2.9系のexeが配布されている。

Snort Supported

・対応プロトコル

• IP
• TCP
• UDP
• ICMP

・対応モード

• Sniffer mode：パケット画面表示
• Packet Logger mode：ログ記録
• Network Intrusion Detection System (NIDS) mode：侵入防御

・ルールアクション

• alert - generate an alert using the selected alert method, and then log the packet
• log - log the packet
• pass - ignore the packet
• drop - block and log the packet
• reject - block the packet, log it, and then send a TCP reset if the protocol is TCP or an ICMP port unreachable message if the protocol is UDP.
• sdrop - block the packet but do not log it

・ルールセット

• Community
• Registered
• Subscriber

最新の脅威に対応したものはSubscriberで配布されるが、有料（399ドル/年）になる。

Ciscoのtalosと呼ばれるセキュリティ専門集団が対応しているようです。

IDSの導入をオープンソースで無料で出来るものの、最新のルールを適用しようとすればお金がかかる。

IPSで構成する場合は、サーバーとネットワーク機器の間に挟む構成になり、それなりのパフォーマンスとともに可用性も求められる。

パケットの処理は、ハードウェア的な処理の方が高速と言われる。IPSのアプライアンスでは、IPS機能障害時に、通信をバイパスする機能を持つものもある。

ネットワークレベルのセキュリティに対して、どの程度コストをかけるのか、非常に悩ましい。まずは、その判断のためにもIDSによるトラフィックの可視化が初手になるのだろうか。

SnortとELKで、オープンソースでグラフィカルなビューを提供できそうです。

ks888.hatenablog.com