組織のネットワークアーキテクチャにおけるファイアウォール、侵入防止、検出、およびウイルス対策テクノロジーの比較
最近、私は侵入防止/検出システムについて読んでいます。読んでいるとき、私はいくつかの点で本当に混乱しています。
まず、ファイアウォールとウイルス対策のテクノロジーは何年も前から知られている用語ですが、今ではIDSが普及しています。
私の質問は次のとおりです。
- 組織のネットワークアーキテクチャでは、これらのシステムをいつ/どこで使用しますか?
- それぞれを使用する利点は何ですか?
- ファイアウォールにはこれらの他のすべてが含まれていますか?
いくつか例を挙げていただければ、大いに役立ちます。
ありがとう。
侵入検知システム (IDS)と侵入防御システム(IPS)はかなり幅広いトピックです。そのため、ここでの私の答えは包括的ではありません。
IDSのタイプには、ネットワークベースとホストベースが含まれます。
[〜#〜] snort [〜#〜] などのネットワークベースのIDSは、一連のルールに基づいてネットワークトラフィックを分析およびログに記録します。これらのルールは潜在的な脆弱性と一致するため、侵入の試みと事後のフォレンジックデータの事前警告を提供する可能性があります。
ホストベースのIDSには、 [〜#〜] aid [〜#〜] などのソフトウェアが含まれています。これらのソフトウェアは、ファイルシステム上のファイルのハッシュを定期的に比較します。これにより、誰かがシステムの変更を監視し、不正な変更を特定できるようになります。
中央ロギングは、間違いなく、ホストベースのIDSソリューションの一部である可能性があります。中央ログにより、ログを一元的に制御および監査できます。さらに、ログを中央の場所に保持することで、システムが危険にさらされてログが信頼できなくなった場合に、露出を最小限に抑え、追加の監査証跡を許可します。
パケットフィルタリング(ファイアウォール)は、ネットワークとの間のトラフィックを制御するためのセキュリティメカニズムです。ファイアウォールはIDSではありません。
適切に運用されているITインフラストラクチャには、これらのテクノロジの多くが含まれており、多くの専門家はそれらをオプションとは見なしません。
私が追加したいいくつかのこと(IMO、ワーナーの優れた答えはすでにほとんどのポイントをカバーしています):
ファイアウォールは、ネットワークをさまざまなレベルの信頼を持つ領域に分割します。
- 会社の外部/内部
- 外部/内部のホスト
- ホワイトリスト/ブラックリスト/ニュートラルの特定のIPアドレス
- .。
一方、IDSは、すべて同じゾーンから発信されていますが、有効なトラフィックと攻撃を区別するためによく使用されます。企業がよく行う素朴な仮定は、企業のLANから発信されるすべてのトラフィックを信頼できるというものです。しかし、これは問題につながります。表面的には無害に見える小さなセキュリティ違反(たとえば、攻撃者が会社のWebサーバーからLANに特定の「無害な」要求を送信できるようにする)でさえ、はるかに大きな問題になる可能性があります。 。したがって、IDSはむしろ、攻撃者がすでにネットワーク内のどこかにいると想定し、異常を探します。
IDSについてもう1つ、ネットワークの1つのポイントで聞くだけでは不十分なことがよくあります。スイッチの性質上、すべての攻撃がネットワーク全体に広がるわけではありません。したがって、最適なIDSは(理論的に)監視します
- すべてのホスト
- 任意の2点間のすべてのネットワークトラフィック。
スイッチの状態を監視することも役立ちます(ポートの盗用などの攻撃から防御するため)。
Webアプリケーションを実行している場合は、Webアプリケーションファイアウォールがあることを確認してください。たとえば mod_security は、無料でオープンソースの優れたWebアプリケーションファイアウォールです。
Mod_secuirtyのデフォルトのルールセットは、SQLインジェクション、xss、およびその他の多くの攻撃を防ぐことができます。 Mod_Securityは、非常に高価な商用製品である Cisco ACE ほど良くありません。 Cisco ACEの最高の機能は、アンチDDoSです。