侵入検知装置についての質問です。

インライン型のNIDSへは複数個のNICが搭載されている、
という説明書きを或る参考書で見付けましたので、伺います。

★たとえバリアセグメントに設置されていましょうとも、
インライン型のNIDSの全NICへは、
同じネットワークのIPアドレスが割り当てられるのでしょうか？

No.1 ベストアンサー 回答者： mrkato 回答日時： 2012/09/14 11:16

ＮＩＤＳが「ネットワーク型ＩＤＳ」の頭文字による略語で、

サーバー機器に個々導入し実行させる「ホスト型ＩＤＳ」を
ＨＩＤＳと記して分別しているようです。

ホスト型ＩＤＳはサーバー内部での動作なので、監視が可能なのは
機器に搭載されたＮＩＣのＩＰアドレスに対するアクセスのみです。

ネットワーク型ＩＤＳは運用管理するための
ローカルＩＰアドレスを持つＮＩＣが無いと設備の体を成さないのですが、
監視する物理的な節目（ファイアウォールの内外どぢらでも設置できる）
に対し接続するＮＩＣは、ＩＰアドレスを持たせず使用することが出来、
セクションに向かう全パケットを傍受監視するだけなので
「防犯カメラ」状態にあり、自らアクセスに要する物ではありません。

日経ＮＥＴＷＯＲＫ、2004年６月号掲載より「ＩＤＳとＩＰＳの動作」
４パート（Ｗｅｂも４ページ掲載）のパート１、ＩＤＳの役割
ファイアウォール直下にインライン型ＩＤＳを設けた図解あり
http://itpro.nikkeibp.co.jp/article/lecture/2007 …

jemさん（実務でセキュリティ運用と思われる）の個人サイト
snort導入、理解の為のＷｅｂページ序章、IDSの種類、図入り解説（商品情報は古い）
http://jemsec.blog.so-net.ne.jp/
http://jem.es.land.to/security/ids.html

インライン型ＩＤＳはネットワーク型ＩＤＳではありますが、
ファイアウォール機器と同じく（複合した機器もある）ブリッジとして節目そのものに
取り付けられ、監視とともに遮断や無効化して送り出す機能を内包しています。
入り口で受信するＮＩＣが傍受用でなく、パケット全量を受信してシステムに持ち込み、
制御済みのストリームを出口側ＮＩＣに渡す（逆方向の監視も適用できるかは仕様で異なる）
ので、このＮＩＣ二つには固有のアドレス割り当てが不要なはずです。
別にＩＤＳの管理アクセス用ＮＩＣへローカルのＩＰアドレスを割り当てる事になります。

インラインＩＤＳの対象となるセグメントの流量がハードウェアの能力を超える場合には、
その前段にロードバランサーを置いて並列設置させる事となりますので、
並列する機器が監視するＩＰアドレスはセグメント下の全部のままで同じ、
ローカルＩＰアドレスは機器ごとに各々一つ設定する必要があります。
（単一アドレスを与えると当然衝突を起しますし障害時の制御や切り分けも出来ません）

この回答への補足

有り難う御座います。

セキュリティ対策用のハードウェアに触れ得る機会に恵まれておりませんので、私の環境では想像に頼らざるを得ないのか、と嘆いていたものですから、非常に詳しい説明に深く感謝を致します。

因みに、下記URLのページでも、御指導を賜れませんでしょうか？
http://okwave.jp/qa/q7698060.html

補足日時：2012/09/14 23:48