• 締切済み

IDS/IPSとWAFの違いについて

IDS/IPSとWAFの違いを調べております。 IDS/IPSとWAFでは対象が異なるといった説明をよく見ます(IDS/IPSは対象がOSやL4まわりで、WAFは対象がL7のwebアプリ)。 しかし、IDS/IPSもWAFもパケットをスキャンしてシグネチャと照らして不正を検知する という動作の中で何が対象の違いを生んでいるのか? IDS/IPSでWAFと同じことがなぜできないのか? といったことがいまいち理解できず、質問させていただきたいです。 この点について現在では以下のように考えているのですが、この認識であっているでしょうか? 間違っておりましたらポイントを教えていただきたいです。 ・IDS/IPSもWAFもパケットの内容をスキャンして不正なパターンがないか  シグネチャに基づいてチェックしている。やっていることは同じ。 ・IDS/IPSもWAFもハードウェアリソース的に利用できるシグネチャ数に限度があるため、  ターゲットを制限する必要がある。 ・IDS/IPSはHTTPやFTPなど特定のアプリケーションに依存しない部分を  メインターゲットとし、その部分のシグネチャを充実させている。 ・WAFはHTTPをメインターゲットとし、HTTP関連のシグネチャを充実させている。

みんなの回答

  • notnot
  • ベストアンサー率47% (4847/10260)
回答No.1

>(IDS/IPSは対象がOSやL4まわりで、WAFは対象がL7のwebアプリ)。 という事に尽きます。 >IDS/IPSでWAFと同じことがなぜできないのか? IDS/IPSではHTTPレベルのデータを見ないからです。 >この点について現在では以下のように考えているのですが、この認識であっているでしょうか? ということで、間違ってます。 もちろん、物理的に1つの筐体でIDS/IPSとWAFを詰め込むことは可能でしょう。

komasu
質問者

お礼

ご回答ありがとうございました。 >IDS/IPSではHTTPレベルのデータを見ないからです。 >物理的に1つの筐体でIDS/IPSとWAFを詰め込むことは可能でしょう。 なんとなくわかってきました。 しつこくて恐縮なのですが、よろしければ以下についてもご回答いただくことはできないでしょうか? 「HTTPレベルのデータを見ない」 というのは、 「HTTPヘッダやメッセージボディに書かれる内容に関するシグネチャを持たない」 ということではなく、 「パケットをチェックする際に、パケットのHTTPヘッダやメッセージボディに関する領域はチェックしない(TCPヘッダまでしかチェックしない)」と言うことでしょうか? (例) IDS/IPSのカスタムシグネチャで「パケット内に”post”があること」といった意味のシグネチャを作ったとしても、IDS/IPSではHTTPヘッダは見ないので、実際にHTTPでpostメソッドが使われているパケットが来たとしてもIDS/IPSは検知しない。

  1. カテゴリ
  2. [技術者向] コンピューター
  3. ITシステム運用・管理
  4. ネットワーク

関連するQ&A

  • anti-virus 対応 IPS の動作について

    anti-virus 対応 IPS(ISS、Cisco等)の動作について疑問があります。 [SMTPサーバA]--[インターネット]--[IDS/IPS]--[SMTPサーバB] という構成で、IPS が anti-virus 対応だったとします。 私の理解では以下(点線にかこまれた部分)のようになります。 -------------------------------- SMTPサーバAのユーザがウイルスに感染し、サーバAを使ってサーバBのユーザ宛ての感染メールを送信したとします。 まず、サーバBとSMTPのコネクションが生成されますが、dataを送る段階になった時に、 経路を監視している IPS がウイルスを含んだメールデータであることを検出しパケットをドロップします。 サーバAはサーバBからのTCPのackが帰ってこなくなるため、TCPレベルの再送を行いますが、IPSはそのたびにパケットをドロップします。 最終的にエラーとしてSMTPのコネクションがクローズし、メールはサーアBに到達しません。 サーバAはサーバBから適切なSMTPエラー応答を受け取ったわけではないため、メールの送信完了を確認できません。 結果的に、メールはサーバAの送信スプールに残り、設定された時間間隔で数度の再送を試みます。 多くの場合、1週間ほどたった後に、メールのErrors-Toヘッダのアドレスに対してbounce を通知するエラーメールが送られることなります。 -------------------------------- これだと、ウイルスの感染は防げますが、サーバAとサーバBの負荷(再送やスプールによる)が高まるような気がします。 経路上のanti-virus対応IPSは、実際にはどのような動作をしているのでしょうか? また、理解が間違っている点があればご指摘いただけないでしょうか。

  • IDSとIPSの使い分けについて

    すみませんが、教えてください。 1. IDS(Intrusion Detection System) 2. IPS(Intrusion Prevention System) って何が違うのでしょうか? そもそもどのように使い分けるものかも良く わかっていません。(どのように使うものなのか) IDSの上にIPSがのる?とか、そういうことも教えて 頂けると助かります。 基本的な質問ですみませんが、教えてください。

  • HTTP以外のプロトコルとパケット定額

    どうも、携帯各社のパケット定額について質問があります。 店でパケット定額では定額にならない場合もあるということを聞いたのですが、詳しくたずねると、PCサイトは定額上限があがるやら、いやPCブラウザを使わなければ変わらないとかで、どれが本当なんだかサッパリわかりませんでした。 どのような場合にどうなる、というのも知りたいですが、あるパターンずばりを尋ねます。 アプリ(i,ez,s)でのHTTPではないネットワークアクセスはパケット定額の対象内でしょうか?また、アプリでのHTTPアクセスの方もどうなんでしょう? ずばり、自宅にサーバーがあり、HTTPでない通信をする場合です。単純にテキストデータをやりとりします。 あと、ケータイサイトとPCサイトの違いもいまいちわからないのですが・・・。どちらもホームページには変わりないですよね? こちらもずばりのパターンを聞きますが、HPビルダーで携帯用を選んで作成し、yahoo!ジオシティーズに載せているものはどうなりますか?ジオはどこでも構いませんし、自宅サーバーでも良いです。 ケータイに関して、まったく素人でして。。。 よろしくお願いします。

  • ライフカードの補償について(クレジット)

    とあるWebページにて、クレジットカードの不正利用の被害で、 ネットで不正利用された場合はかなりのカード会社で補償の対象外というのを見ました。 ライフカードはどうなのでしょうか? 読み落としかも知れませんが、規約に書いていなかったように思います。 被害にあったワケではないのですが、ウイルススキャンをしてみるとjpegファイル(jpeg.exe)に偽装した通称「Zeus」(trojan.zbot)と呼ばれるファイルが見つかったので心配しております。(ノートン先生にて削除済み) ネットバンク(利用してません)やクレジット情報などをメインに情報を抜き取ると見たので… ちなみにこの偽装ファイルはクリックしたりはしていません。

  • 「HttpSendRequest」の異常終了の原因について

    プログラム環境は「WinXP SP3 + VB2008 Express Edition」です。 Webサーバ上のファイルを取得するプログラムを作成しています。 「VB6」で「Inet/OpenURL」を使用して実現していた機能を「WinInet.dll」を使用して実現したいと思っています。 その処理の途中の「HttpSendRequest」で異常終了してしまいます。 「エラーコード:2(ERROR_FILE_NOT_FOUND:The system cannot find the file specified.)」です。 「Wireshark」でPCとサーバの交信をチェックしたところ、「Inet/OpenURL」でうまくいった時と、「HttpSendRequest」でうまくいかない時に違いが見当たりません。「HTTP:GET」に対して「HTTP:200 OK」が返ってきます。TCPでも「SYN-->ACK」で始まって、「FIN-->ACK」で終っています。交信は正常に行われているのに、「HttpSendRequest」の内部の処理でエラーにしているように見えます。(例えば、「HTTP:GET」~「HTTP:200 OK」でPCとサーバの間でパケットのやり取りがありますが、その回数が限界値を超えたため、エラーにしてしまうような処理があれば、エラーになりそうです。このあたりがわかりませんでした。) また、この「HttpSendRequest」が異常終了する事態は「GET」の対象が「*.php」の場合に発生します。「GET」の対象が「*.html」「*.jpg」「*.zip」の場合には、正常終了して、ファイルが正常に取得できます。「GET」の対象が「*.php」の場合に「HttpSendRequest」を実行する前に何か設定が必要なのでしょうか? よろしく、お願いいたします。

  • 拡張子「ids」とは?

    拡張子「ids」とは? よろしくお願いします。 Outlook Express のメール関係をバックアップしようとしたところ、 Identities フォルダの中には、「受信トレイ.ids」しかありませんでした。 しかし、Outlook Express を起動させると きちんと送受信メールの確認はできます。 拡張子が「idx」ではなく「ids」なのは、どうしてなのでしょうか? 教えてください。

  • /*@cc_on@*/

    条件付きコンパイルステートメントの/*@cc_on@*/を使用してaddEventListenerとattachEventを切り替えるという方法を教えてもらいましたが、IEで動作確認をすると、「サポートされていないオブジェクトまたは、メソッドです」といったエラーを返されます。 ifで分けて書いてみるとオブジェクトではないかNULLですといったエラーで返ってきます。 どなたかご存知の方がいらっしゃれば、ご教授いただけると助かります。 教えていただいたソース>selectメニューに応じてdivを変換する <!--/*@cc_on @*/ var changer = function(evt){  var sel = evt./*@if(1)srcElement @else@*/target /*@end@*/;  changer.set(sel.value); } changer.set = function(val){  if(!val) return;  var pa, ch, i, target = this.target;  var reg = new RegExp("\\b" + val + "\\b");  for(i=0; i<target.length; i++){   if(!(pa=document.getElementById(target[i]))) continue;   ch = pa.firstChild;   while(ch){    if(ch.nodeType==1) ch.style.display = reg.test(ch.className)?"":"none";    ch = ch.nextSibling;   }  } } changer.init = function(id, ids){  var sel = document.getElementById(id);  if(!sel || sel.nodeName != "SELECT") return;  this.target = ids.split(",");  this.set(sel.value); ★ sel./*@if(1)attachEvent('on' + @else@*/addEventListener(/*@end@*/'change',changer, false); sel = null; } // 引数1:select要素のid // 引数2:選択表示する対象となる要素(ラッパー)のid(カンマ連結) changer.init("sel","dir1,dir2"); //--> ★の部分がサポートされていないようです。 ifで書き換えてみたところ var ie = /*@cc_on@*/false; if(ie){sel.attachEvent('onchange',changer);} else{sel.addEventListener('change',changer,false);} 'value'はNULLまたはオブジェクトではありませんというエラーになります。

  • CANON PIXAS MG8230 スキャン

    MG8230でスキャンする際のサイズの設定についての質問です。 本体で操作する場合は読み取り設定からサイズを 自動読み取り 自動読み取り(複数) レターサイズ A4 L版 2L版 はがき KG 名刺 の中から選べるのですが、B5サイズの物をキッチリ余白なしでスキャンする方法を教えて下さい。 スキャンする際にズレて多少の余白ができてしまうのは許容します。 現在は自動読み取りに設定してスキャンしているのですが、その際にスキャンの対象物だけでなく読み取り台?の全ての範囲をスキャンして、出来た画像をトリミングしています。 単発ならばこの方法でよいのですが、作業する数がかなり多いので初めからB5サイズでスキャンできた方が効率がよいというか今のままではダル過ぎるというか・・・。 複合機はこれが初めてで購入してからあまり時間が経っていないので操作や設定などでよく分かっていない部分があるかもしれません。 ソフトは付属のCanon MP Navigator EX-MG8200 seriesというのをとりあえず使用しています。 ソフトの方から設定できないものかと試みましたが、本体の設定と同様でした。 PCはwin7 64bitを使用しています。 まとめますと、 現状ではB5サイズの物をスキャンする際に丁度いいサイズに設定できず、出来上がった画像には大きく余白が出来てしまいそれを逐一トリミングしなければならなくて困っています。助けて下さい。 ということです。 それでは宜しくお願いします。

  • オートバイ用エンジンオイルと車用の相違は?

    スズキのアドレスV125Gを所有しています。 指定のオイルが、エクスターTYPE04_10W-40_4L SFとSGタイプがありますが、車用に比べて高価だと思います。(同じ鉱物油ベースとして) メーカーは、当然エンジントラブルを考え、指定したオイル以外は補償の対象外になりますが、実質のオイルの成分は車と違う部分やSPEC、添加剤の違い等はあるのでしょうか?鉱物油ベースで、リッター\1,000-以上は高価だと思いますので、、宜しくお願いします。

  • 現行インプレッサスポーツとアクセラスポーツの違い

    お世話になります。 現在車の購入を検討中で、インプレッサスポーツ(16i-L)かアクセラスポーツ(15S特別仕様車)を検討しております。 カタログや営業さんの話を聞いてもどちらも良い車で甲乙つけがたく、悩んでしまいました。 とりあえず現段階での私のイメージをまとめてみたのですが アクセラ ・装備面がインプと比べて充実している ・購入後のサポートパックを見比べたところ、マツダのサービスのほうがオイル交換の頻度が多く、サポートが充実しているようにみえる(+安い) ・値引きが多く、無料オプションの追加もあり、割安感がある インプレッサ ・ネットの評判がやたらと良い(教えてgooやカカクコムなど) ・内装よりもエンジンなどの車内機構にお金をかけている? ・アクセラより排気量が100CC多く、トルクやパワーが若干上。 ・燃費も1キロほどインプのほうが良い 上記のような感じで、アクセラに関しては比較的イメージがつかめているのですが、インプレッサに関してはどうもよくわかりません(営業さんの話もなんだか抽象的な感じがしてよくわからず…)。 そこで皆様にお教えいただきたいのですが、インプレッサスポーツとアクセラスポーツの違いとはどんなところなんでしょうか。 特にインプレッサがアクセラに対して優位に立っている部分があれば、詳しくお教えいただければ助かります。 価格的にはインプレッサのほうが高いと思いますが、その価格差を跳ね返す満足度の理由を知りたいです。 極論「好きな車を選べばいいじゃん」とは思いますが、インプレッサの情報が足りず、好きか嫌いかまだ判別しかねている状態でして…。しかもどっちの外観も好みなんですよね…(笑) 恐れ入りますが、どうぞ皆様のご意見をお聞かせください。 よろしくお願いいたします。 ※数年後、売って下取りに回すことは考えておりません(乗り潰すまで買った車と付き合う)ので、リセールバリューに関しては気にしておりません。

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する