インラインモードで動作するシグネチャ型IPSの特徴はどれか。
| ア | IPSが監視対象の通信経路を流れる全ての通信パケットを経路外からキャプチャできるように通信経路上のスイッチのミラーポートに接続され、通常の通信から外れた通信を不正と判断して遮断する。 |
| イ | IPSが監視対象の通信経路を流れる全ての通信パケットを経路外からキャプチャできるように通信経路上のスイッチのミラーポートに接続され、定義した異常な通信と合致する通信を不正と判断し遮断する。 |
| ウ | IPSが監視対象の通信を通過させるように通信経路上に設置され、通常時の通信から外れた通信を不正と判断して遮断する。 |
| エ | IPSが監視対象の通信を通過させるように通信経路上に設置され、定義した異常な通信と合致する通信を不正と判断して遮断する。 |
答え エ
【解説】
インラインモードで動作するIPSは監視対象の通信経路上に通信データを中継するように設置し、通信データを監視し不正と判断した場合には通信を遮断するセキュリティ機器で、シグネチャ型の不正検出とは不正パターンを予め設定して、設定したパターンと一致するものを不正と判断する方法なので、シグネチャ型IPSはIPSが監視対象の通信を通過させるように通信経路上に設置され、定義した異常な通信と合致する通信を不正と判断して遮断する(エ)になる。
通常時の通信から外れた通信を不正と判断して遮断するIPSはアノマリ型になります。
【キーワード】
・IPS
・ミラーポート
- IPS(Intrusion Prevention System、侵入防御システム)
不正なアクセスを検知し、自動的にブロックする機能を備えたシステムです。 従来はの不正アクセス対策としては、IDS(Intrusion Detection System、侵入検知システム)という侵入を検知した際に管理者に知らせる機能をもったシステムが使われていましたが、IPSは不正アクセスを検知した場合には通信の遮断のようなブロック機能を自動的に実行する点が特徴です。 - ミラーポート(mirror port)
ネットワークスイッチでは中継する通信のEthernetヘッダーの宛先MACアドレスを見て送出先ポートを決め、それ以外のポートには通信データを出力しないため、トラブル発生時に通信の内容を監視し対策を行うことができない。 そのため、監視対象のポートの送受信データをコピーして送出することを行い、このポートのことをミラーポートと呼ぶ。
もっと、「ミラーポート」について調べてみよう。
戻る
一覧へ
次へ