IDSIPSの遮断の違いをラブレターで例えたら1つの物語ができた

今さらながらIDSも通信を遮断する機能があることを知ったので、
IDSとIPSの遮断方法の違いを解釈するために、ラブレターに例えてみたら
1つの儚い恋物語ができてしまいました。

タイトル：とうきょうらぶすとーり
===
■登場人物
A君　（シャイ、B子さんに気がある)
B子さん　（特にA君に興味はない）
IDS郵便局 (以下D郵便局)
IPS郵便局 (以下P郵便局)
配達員X

■あらすじ
A君はB子さんにラブレターを送ることにした。

でもA君はシャイなので直接渡すのが恥ずかしい。
そこで郵便局経由で手紙を届けることにした。

まずP郵便局を使って手紙を届けることにした。
しかし手紙を送ってしばらくしても音沙汰がない。
どうやら手紙は届いていないようだ。

「ダメだなぁP郵便局は」と思い
今度はD郵便局を利用することに。

手紙を送ってしばらくするとチャイムがなった。
配達員Xが玄関にいた。

「すみません、あの手紙は破棄したっすw」

A君は
「この町の郵便局はどうなっているんだ...」
と思うばかりであった

めでたしめでたし
＝＝＝

さてA君の手紙には何が起こったでしょか？

===
■解説

IDSIPS郵便局には変わったルールがある

それは「手紙の文章が一部でも禁止ルールに一致する場合は、手紙は破棄される」
というもの
つまりに郵便局が手紙の中身を確認し、破棄するかどうかを判断するのだ

禁止ルールのなかにはこういった文章も禁止されている
「結婚を前提に」
これが含まれれば即破棄される

さらにD郵便局とP郵便局では手紙をチェックする「タイミング」が少し違う

・先にIPS郵便局の場合
P郵便局は「受取人に届く前」に手紙の中身をチェックします。

もし禁止ルールに一致していた場合、
手紙はその場で破棄されます。
手紙が受取人に届くことはありません。

・次にIDS郵便局の場合
D郵便局では「手紙のコピー」をチェックします。

そしてそのコピーをチェックするタイミングは
受取人に手紙が届くほぼ同じタミングです。

この時、実はB子さんには手紙が届いていました。
「A君からだわ」とB子さんは手紙を開き、冒頭から読み始めました。
「以前からB子さんのことが...」

しかしその時！

配達員XがB子さんのところに突然現れ、
「あ、すみません、今の手紙は無しでw」
と言って手紙をビリビリに破いて破棄しちゃいます。

B子さんは
「今の手紙はなんだったんだろう..?」
と唖然。

また配達員Xは駆け足で送り主のところにも行き、
こう通達します。

「すみません、あの手紙は破棄したっすw」

ちなみにA君の手紙に書かれていた内容はこうだ
「以前からB子さんのことが気になっていました。」
「結婚を前提にお付き合いしてください。」

これがA君の手紙に起こった全貌だった...
===

さて、こっから普通のIDSIPSの話になりますが、
手紙や郵便局以外にも、他にこんな例えを使っていました。

禁止ルール => シグネチャ
配達員X => RSTパケット
「結婚を前提に」=> ペイロード(攻撃コード的な)

これを簡単に言うならば
・もしパケットにペイロードが含まれていて
・それがシグネチャに一致した場合
・インライン構成のIPSではパケットがDrop(破棄)され
・IDSではサーバとクライアントの両方にRSTパケットが送られ
　TCPコネクションが切断される

ポイントとしては
IDSの遮断では受信側にパケットが一旦届いてしまっているので、
届いたパケットによってはサーバに影響する可能性があるようです。

これが上でいう
B子さんは少し手紙を読んでしまっていた
ところにあたりますね。

ざっっっっくり言えばこんな流れかと思います。
IDSがこういった流れで通信遮断をするんだというのを
最近知ったので書きたくなりました。

ちなみにCentOSにSnortをインストールして
シグネチャ作ってIDSとして遮断させたら
クライアントにもサーバにもバッチリRSTパケットが
送られて遮断されていることが確認できました。

シグネチャが作れるというおもしろさ。

■まとめ
ラブレターは手渡しが良い

おしまい

akkietech’s diary