セキュリティ対策機器とVPN
目次
セキュリティ対策機器
システムに対する侵入/侵害を検出・通知するIDS (Intrusion Detection System: 侵入検知システム)など、物理的侵入に対する対策機器には、次のようなものがあります。
NIDS
ネットワーク型IDS。管理下のネットワークを監視し、不正なパケットの通過、異常なトラフィック量などを検知して通知する。
HIDS
ホスト型IDS。ホストにインストールして、そのホストのみを監視する。パケットの分析だけでなく、シグネチャとのパターンマッチングを失敗させるためのパケットが挿入された攻撃でも検知できる。
IPS (Intrusion Prevention System)
侵入防止システム。不正パケットの検出だけでなく、それを検出した際には通信を遮断するなどの対処も行う。
ハニーポット
ダミーとして使われるサーバやネットワーク機器の総称。攻撃のログをとることで、攻撃元の特定や対策に利用する。
不正検知方法
不正検知方法には、シグネチャ方式とアノマリー方式があります。
シグネチャ方式
シグネチャと呼ばれるデータベース化された既知の攻撃パターンと通信パケットとのパターンマッチングによって、不正なパケットを検出する方式。
アノマリー方式
正常なパターンを定義し、それに反するものをすべて異常だとみなす方式。未知の攻撃にも有効に機能し、新種の攻撃も検出できる。
しかし、いずれの方式も正常なものを不正だと誤認識してしまうフォールスポジティブや、不正なものを正常だと判断してしまうフォールスネガティブといった問題が起こり得ます。
VPN
VPN (Virtual Private Network)は仮想専用線とも訳される、インターネットを専用線のように使う技術です(インターネットVPN)。
VPNでは、認証技術や暗号化技術を利用して、アクセスが許可されたユーザ以外は通信内容にアクセスできないようにしています。通信の内容が暗号化されているため、通信経路としてインターネットを利用しても、途中で傍受されたパケットを解読することができません。
VPNを実装するために2つのモードが用意されています。
トランスポートモード
通信を行う端末が直接データの暗号化を行う。ペイロード(パケットのヘッダ部分を除いたデータ)のみの暗号化であり、IPアドレスは暗号化されないため、あて先の盗聴が可能となる。
トンネルモード
VPNゲートウェイを拠点において、その間の通信を暗号化する。送信側ゲートウェイでは、IPsecを利用し、IPパケットを暗号化してから、受信側のゲートウェイあてのIPヘッダを新たにつけ、拠点間の通信を行うトンネリング手法をとる。
IPsec
VPNを構築する際に利用されるネットワーク層のセキュリティプロトコルがIPsec (IP Security)です。IPsecでは、ネットワーク層レベルで暗号化や認証、改ざんの検出を行います。
IPsecで通信を行う場合、通常のIPでは利用しないパラメータをいろいろ交換します。この情報は、IPヘッダには入り切らないため、IPsec用のフィールドが別に用意されます。このとき、認証だけを行う場合はAH (Authentication Header)、認証と暗号化を行う場合はESP (Encapsulating Security Payload)を用います。
また、IPsecでは通信を開始する前に暗号化方式の決定と鍵交換を行います。これを行うフェーズをIKE (Internet Key Exchange)フェーズといいます。