ファイアウォール、IDS、IPS

一通り概略をさらってみたものの、これという決定的な違いが見つけられない。
目的がアクセスコントロールと不正な侵入・攻撃の検出・予防であるために似通った者に見えてしまうのかもしれない。とりあえず思いついたこととそれぞれの違い(と、思われる箇所)をメモ。
 

ファイアウォールとIDS&IPSの違い

まずファイアウォールは残り二つ(IDS,IPS)と決定的に違う。
何が違うかと言えば監視する範囲。
ファイアウォールIPアドレス、ポート番号のみを監視する。ペイロードと呼ばれる中身までは監視しない。一方で残り二つはパケットの中身まで見る。
故にファイアウォールに出来るのはパケットの振り分けのみ。具体的に言えば、Webサーバーへ外部からSSHのパケットを送られても防げるが、HTTPによる攻撃コードを含むパケットを送られると防げない。(Webサーバー向けのHTTPパケットを許可しているため)
一方でIDSやIPSは、パケットの内部まで見るため(限界はあるものの)ある程度は攻撃コードなどを検出・防御できる。
乱暴に言えば、防御できる攻撃の集合自体はIDS,IPSの方が広いということ。ただし処理能力や運用方法で見るとファイアウォールが明らかに劣っているとは言えない。
 

IDSとIPSの違い

続いてIDSとIPSの違い。IDSはIntrution Detection System、IPSはIntrution Privention Systemの略。つまり侵入検知システムと侵入防御システムである。
もうこの時点で8割方明らかな気もするが、IPSはIDSよりも防御機能が強化されたシステム。特にネットワーク型IDS(NIDS)の強化版といえる。これらは機能的に明確な線引きがあるわけではなく、IDSの上位機種をIPSと呼ぶ、という解釈でも良いかもしれない。(パソコンの上位機種がワークステーション・・・というようなイメージで)
 

システム構成から見た特徴

ここまでは動作という観点で分類し、ファイアウォールとIDS,IPSという区分けをしたが、設置位置や設置方向から分類する場合には、もう少し複雑な様相を呈する。
結論から言ってしまうと、ファイアウォール、HIDS、インラインモードIPSとNIDS、プロミスキャスモードIPSの二群に別れる。前者はネットワーク上に直列配置されるもの、後者はネットワーク上に並列配置されるものである。
もう少し詳しく言えば、前者(以下直列型)は、ファイアウォールに代表されるようにネットワークの途中に挟み、場合によっては通信を遮断する装置である。こちらの長所は、(より低位のレイヤーで遮断することが可能であるため)攻撃に対する防御能力が高いこと。短所はトラフィックが性能に依存することである。
一方後者はNIDSのように、多ホスト同様スイッチなどにぶら下げて使用する。こちらの長所はトラフィックに影響を与えないこと、短所は防御能力が低いことであり、ちょうど前者と対照的になっている。
 

それぞれホントに必要なモノなのか

どれも似たかよったかならどれか一つで良いんじゃない?性能的に劣る奴は優れた奴でカバーできない?いやぁ予算がねぇ・・・。など疑問は尽きない。そこでちょっと検証。

ファイアウォールはいらないか

ファイアウォールの主な役割は、IPアドレスとポート番号によるアクセス管理。もっと乱暴に言ったらパケットの仕訳。会社宛の手紙を部署毎に分けて不要なDMや悪質な脅迫文(あるのか?)を排除する事務のお姉さんみたいなオシゴト。これが無くなったらどうなるかまず考えてみる。
1.不要なパケットが不適切な場所にも届く。
IDSやIPSで検知・排除できるとはいえ、付加が増える点であまりよろしくない。それに万一取りこぼしがあったら・・・きっと管理者はorzだね。
2.遮断すべきパケットもLAN上を流れる。
セキュリティ的にもよろしくないし、トラフィックも嵩む。うーん・・・。
一方無い場合のメリットは・・・よくわからんが、1.予算が浮く 2.フィルタリングによる通信の遅れが無くなる。3.ちょっとしたおいたがしやすくなる とか?
ぶっちゃけあるに越したことはないだろうけど、状況にも依るだろうから結論は省略。

IDSはいらないか

案外IPSに取って代わられるというのが答えかもしれないw
IDSがIPSの機能の部分集合という考え方からすればそれも妥当である。
ただし、コスト面、運用面からHIDSでIPSを代用するという選択肢も無いわけではない。
うーん難しい。

IPSはいらないか

同上。うはっっっw

疲れたので今夜はこの辺でおしまい!