Proventia ® Network IPS GXシリーズのご紹介 - IBM

IBM Internet Security Systems
Proventia ® Network IPS GXシリーズのご紹介
日本アイ・ビー・エム株式会社
ISS事業部
© 2008 IBM Corporation
IBM Internet Security Systems
Proventia Network IPS の概要
© 2008 IBM Corporation
IBM Internet Security Systems
ƒ L2での実装
Proventia Network IPSの概要
– IPアドレスを持たないため透過的に実装
– Fail Open機能の搭載(一部モデルはオプションの外付けユニット使用)
– リンクプロパゲーション
ƒ 3つの実装モードを搭載
– Inline Protection:通過トラフィックを確認した上で、防御設定を実施
– Inline Simulation:インライン型で設置し、検知内容をシミュレーション(防御なし)
– Passive:ネットワークのモニタリング(IDSモード)
ƒ 最大8ポート4インラインセグメントサポート(GX5xxx/G2000)
– IPSとして4セグメント、IDSとして8セグメントまで利用可能
– 非対称ルーティングネットワークへの対応
ƒ HA(ハイアベイラビリティ)対応
– Active-Standby(全モデル)、Active-Active (GX5xxx/G2000のみ)
ƒ ネットワークポートの前面集約化(GX Seriesのみ)
– ネットワーク機器との接続性向上
ƒ 筐体のサイズ変更
– スイッチラック等への実装対応
ƒ 監視ポートのGBIC化(2Uの一部モデル)
– 運用ネットワークの変更に対応
ƒ 外付けバイパスユニットへの対応(2Uモデル)
– 障害時対応の容易化
– 1Uモデルはバイパスユニットを内蔵
© 2008 IBM Corporation
IBM Internet Security Systems
ƒ Virtual IPS/Granular Policy機能
Proventia Network IPSの概要(続き)
– VLAN、ポート、IPアドレス毎にルールの追加が可能
ƒ X-Force recommended blocking responses using Virtual Patch
TM
technology の搭載
– X-Force推奨のポリシー設定、Virtual Patchを自動的に実現
ƒ X-Press Updateによる自動更新
ƒ 柔軟に設定可能な検知・防御ポリシー
ƒ カスタムシグネチャの搭載(Snort互換)
ƒ 監視ポートからのKillパケット送出(Passive mode)
ƒ ローカル管理コンソールの搭載
ƒ SiteProtectorによる集中管理
ƒ Network Time Protocol(NTP)サポート
ƒ SNMPによる管理
ƒ 二つのログオンアカウントrootとadmin
– 通常はadminを使用し、各種設定を実施
– リモートからのrootアカウントによるアクセスの無効化が可能
ƒ LCDパネルの搭載
– Shutdownや初期設定等をパネルからの操作可能
© 2008 IBM Corporation
IBM Internet Security Systems
Proventia Network IPS ラインナップ
© 2008 IBM Corporation
IBM Internet Security Systems
Proventia Network IPS ラインナップ
筐体サイズ
GX
3002
GX
4002
GX
4004
GX
5008
GX
5008CF
GX
5108C
GX
5108CF
G
2000C
G
2000CF
G
2000F
GX
6116
Tabletop
1U
1U
2U
2U
2U
2U
2U
2U
2U
2U
保障帯域 (Mbps)
10
200
400
インラインモード時 防御セグメント数
1
1
2
パッシブモード時 監視セグメント数
1
1
2
監視用
インター
フェース
2000
6000
4
4
8
8
8
16
○(VLAN ID毎、IPアドレスレンジ毎、監視ポート毎)
Virtual IPS/Granular Policy
ハイアベイラビリティ対応
1200
×
×
○(非対称ルーティングネットワーク、ロードバランシングネットワーク等への対応)
2(10/100のみ)
2
4
8
4
8
4
0
0
0
---
1000
0
0
0
0
0
0
0
8
4
0
---
SFPインターフェイス
0
0
0
0
4
0
4
0
4
8
16
内蔵
C:内蔵
F:外付
外付
外付
Copper
10/100/1000
Fiber
管理用
インターフェース
Copper
10/100/1000
1
(GX3002のみ リンクスピードは10/100限定)
Reset 送信用
インタフェース
Copper
10/100/1000
専用(1ポート)または監視用インターフェイスから出力
(GX3002のみ リンクスピードは10/100限定)
インライン バイパスユニット
内蔵
内蔵
外付
記憶装置冗長化 (RAID1構成)
×
×
○
○
○
電源冗長化
×
×
○
○
○
225×50×205
429×44×382
430×88×520
430×87.5×672
-
本体外寸(W×H×D)
電圧/周波数
100~240V
(50 ~ 60Hz)
100-127V 50/60Hz、200-240V 50-60Hz
-
電流 (A)
1.5
4.96 (100-127V)
2.48 (200-240V)
8.4 (100-127V)
4.2 (200-240V)
8.9 (100-127V)
5.4 (200-240V)
-
重量(kg)
5
11.5
18
27
-
© 2008 IBM Corporation
IBM Internet Security Systems
Proventia Network IPS 型番命名規則
ƒ GX5108CF の場合
– GX5108CF
GX
• Product Family(製品群)
– GX5108CF
51
• Platform Indicator(製品ライン)
• 40 = 200Mbps(1U)、 50 = 400Mbps(2U)、 51 = 1200Mbps(2U)
– GX5108CF
08
• Protected Ports(監視ポート数)
– GX5108CF
• 監視インターフェース種類
• C = Copper only、CF = Copper + SFP Port、F = SFP Port only
© 2008 IBM Corporation
IBM Internet Security Systems
Proventia Network IPS GXシリーズ(1U)
写真はGX4004
„ポート、操作系を前面に集約する事でネットワーク機器との接続性を向上
„バイパス機能(Fail
Open)を内蔵
„従来のA201、G100~G200相当のモデル
© 2008 IBM Corporation
IBM Internet Security Systems
Proventia Network IPS GXシリーズ(2U)
写真はGX5108
„ ポート、操作系を前面に集約する事でネットワーク機器との接続性を向上
„外付によるバイパスユニットの提供
„HA構成対応
„従来のA604、A1204、G400~G1200相当のモデル
© 2008 IBM Corporation
IBM Internet Security Systems
LCD表示の提供
写真は1Uモデル
写真は2Uモデル
ƒ フロントパネルにLCDユニットを搭載
– Firmware、XPUバージョンの表示
– Shutdown、Rebootの実行が可能
– 初期設定時のIP Address、Subnet Mask、Default
Gatewayの設定(初期設定後、SSHにて残りの設定を実施)
© 2008 IBM Corporation
IBM Internet Security Systems
Mini GBICモデルの提供
ƒ GXシリーズ(2U一部モデル)は監視ポートをMini GBICで提供
– 運用開始後にFiberとCupperの変更が可能
– 対応モデルは
GX 5008CF/5108CFのファイバーポート、GX5008F/5108Fの全
て
mini-GBIC (カッパーおよびファイバ SFP) インターフェースの外観
© 2008 IBM Corporation
IBM Internet Security Systems
ネットワークの可用性維持
© 2008 IBM Corporation
IBM Internet Security Systems
Proventia Network IPS のネットワーク可能性維持
ƒ Proventia Network IPS はインラインでの実装を想定し、以下の
機能を実装することにより可用性の維持を実現しています
– リンクプロパゲート
• リンクの状況を対向機器に伝播し、ネットワークに対して透過的に実装
– Unanalyzed Policy(ソフトウェアバイパス)
• 設定変更時、過負荷時における可用性の維持
– Fail Open/ Fail Close
• 機器障害時における可用性の維持
© 2008 IBM Corporation
IBM Internet Security Systems
リンクプロパゲーション
ƒ リンクプロパゲーション機能とは
– Proventia Network IPS の監視ポートペアの片側がLink Down/Upした際に、もう
一方も対向装置の状態に関わらず連動してLink Down/Upさせる機能
×
NW-a
NW-a
×
①Link Down
①Link Down
②自動で連動
Proventia
×
③プロパゲーション
②自動で連動
NW-b
×
×
NW-b
×
④ リンクプロパゲーションにより Link Down
※ この機能により、上下のネットワーク機器からProventia Network IPS が透過的に見えるよう
になります。
※ 設定により、有効(リンク状況の遷移あり) /無効(リンク状況の遷移なし)が選択可能です。
© 2008 IBM Corporation
IBM Internet Security Systems
ソフトウェアバイパス
(Unanalyzed Policy )
ƒ “Unanalyzed Policy”とは
– 以下の場合における動作設定
• Policy、responseの内容を追加/変更/削除する場合
• Firewall Settingsの内容を追加/変更/削除する場合
• X-Press Updateを適用する場合
• 解析エンジンの処理能力を超えた場合
ƒ 設定
– 以下の2つのモードが選択できます
• Forward
– 対向するネットワーク機器とのリンクを保持し、トラフィックを全て通過させます
• Drop
– 対向するネットワーク機器とのリンクを保持しつつも、トラフィックを全て遮断します
※ この状態では検知/防御は行われません
© 2008 IBM Corporation
IBM Internet Security Systems
ハードウェアバイパス機能
ƒ Proventia Network IPS の停止時や特定の操作時に通信を
通過(Fail Open)/遮断(Fail Close)させる機能
• GX 4000シリーズ(1Uモデル)
– Fail Open 機能が内蔵
• GX 5000シリーズ (2Uモデル)
– 本体のみでは Fail Close機能のみ提供
– Fail Openは別売のExternal Bypass Unit が必要
• G2000シリーズのCupper 監視ポート
– Fail Open/Fail Closeが選択可能
• G2000シリーズのFiber 監視ポート
– Fail Close専用
(Fail Openは別売の External Bypass Unit が必要)
© 2008 IBM Corporation
IBM Internet Security Systems
ハードウェアバイパスの条件
ƒ 「ハードウェアバイパス」は以下の場合に行われます。
– Local Tuning Parameter内の設定変更
(Link Speed、Adapter Mode、 Unanalyzed Policy、 Propagate Link などの変更)
– Firmware を適用
– 電源がOff時または監視エンジン停止時
– Alert QueueサイズまたはAlert Queue full Policyを変更
注意:ハードウェアバイパスモードが動作するときには3秒程度のリンクダウン/
リンクアップが発生します
© 2008 IBM Corporation
IBM Internet Security Systems
外付けバイパスユニット
ƒ 2Uモデルの電源障害時にFail Openさせるために使用
(電源供給時はアプライアンス内蔵のユニットにてFail Openを実装)
ƒ 1Uサイズで4インラインセグメント分のユニットを搭載
ƒ 電源はUSBケーブル経由でIPSより供給
TX
Bypass Module
IPS
Power
Detection
SX or LX
Bypass Module
© 2008 IBM Corporation
IBM Internet Security Systems
外付バイパスユニットの接続と動作
ƒ 2Uモデルは電源断時のFail Openを
実装するために 別売の外部バイパス
ユニット が必要です。
ƒ 左図のように結線する事で、Network
IPSで電源断が発生した場合、外部バ
イパスユニットにて通信をBypassさせ
ます。
Bypass Unit
バイパス時
通常時
GX 5000/5100
© 2008 IBM Corporation
IBM Internet Security Systems
Proventia Network IPS の防御
© 2008 IBM Corporation
IBM Internet Security Systems
多彩な防御機能
防御アクション
Firewall Rule
ファイアウォールのルールを定義し、トラフィックのアクセス制御やフィルタリングを行うことができます。
Drop Packet
イベントを発生させたパケット(UDP/ICMP)のすべてのパケットをドロップします。
Drop Connection
with Reset
イベントを発生させたTCPコネクションのすべてのパケットをドロップし、Inline監視インタフェースからResetパケットを送信
してコネクションを切断します。
Dynamic Blockingの種類
Block-worm
Block-intruder
Block-trojan
ワームトラフィックを検知した後、攻撃元のIPアドレス、攻撃先のポート番号の情報を得て、指定した時間範囲で上記
設定のパケットを全て遮断します。
ワームに感染したマシン(攻撃元IPアドレス限定)から、不特定マシンに対して脆弱点のあるサービス(攻撃先ポート番号
特定)への、攻撃を遮断する。それ以外は通信許可となります。
不正な攻撃を検知した後、攻撃元のIPアドレス、攻撃先のIPアドレスの情報を得て、指定した時間範囲で上記設定
のパケットを全て遮断します。
侵入者のPCから、被害側PCへの通信の一切を遮断する。それ以外は通信許可となります。
バックドア(トロイの木馬)プログラムの攻撃を検知した後、攻撃先のIPアドレス、攻撃先のポート番号の情報を得て、指
定した時間範囲で上記設定のパケットを全て遮断します。
不特定多数のマシンから、バックドア(トロイの木馬:ポート番号特定される)を、仕組まれマシン(攻撃先IPアドレス限定)
からの通信を遮断する。それ以外は通信許可となります。
★攻撃の特性に応じ、Proventiaが適切な防御方法を選択
© 2008 IBM Corporation
IBM Internet Security Systems
Proventia Network IPSの冗長ネットワークへの対応
© 2008 IBM Corporation
IBM Internet Security Systems
High Availability
ƒ Active/Standby、Active/Activeをサポート
– Fail Close によりProventia 停止時には上下のネットワーク機
器に障害通知可能
– リンクプロパゲーション機能により上下どちらかのネットワーク
機器障害を反対側に通知可能
– HAペアーのProventia間はセッション情報を完全共有
(HAモード時は1台で2ラインまで監視可能)
ƒ 検知イベント
– イベントをトリガした Proventia が イベントを通知するため2重
イベントの発生はなし
© 2008 IBM Corporation
IBM Internet Security Systems
High Availability対応
Active – Standby 構成
②リンク状態をプロパゲート
Firewall
A
①リンクダウン発生
Switch
A
VRRP
Firewall
B
Router
A
HSRP
Switch
B
Router
B
③FirewallとRouterがフェイルオーバー実施
© 2008 IBM Corporation
IBM Internet Security Systems
High Availability対応
Active – Active 構成
Firewall
A
Switch
A
A
B
F
Switch
A
F
Switch
B
E
VRRP
Firewall
B
Switch
B
E
A
ƒ 非対称ルーティングのサポート
B
CDGH(Session情報共有用)
– A-B/E-F間のセッションをC-D/G-Hで共有
ƒ マルチセグメント対応
– 1台のProventia Gで最大2ラインまで冗長化対応
※上記構成の場合は合計保証帯域は2台の合計となります
(GX5108の場合、2台の合計で1200Mbpsとなります。)
© 2008 IBM Corporation
IBM Internet Security Systems
High Availability対応
Active – Active 構成時の内部動作
seg.1
seg.2
seg.2
seg.1
HA(seg.1)
A
C
E
G
B
D
F
H
HA(seg.2)
HA(seg.2)
G
E
C
A
H
F
D
B
HA(seg.1)
seg.1
seg.2
seg.2
seg.1
互いに通信の内容を共有しあう事により、2台のどのラインを流れても確実に防御が可能
(HAモードで使用した場合には、最大監視セグメントは半分になります)
© 2008 IBM Corporation
IBM Internet Security Systems
High Availability対応
非対称ルーティングのサポート
•通信の往復が異なるProventia Network IPSを通過しても防御可能
•この際、検出のトリガーとなったパケットを検出した側がイベントを出すため
2重イベントとなる事はありません
© 2008 IBM Corporation
IBM Internet Security Systems
Proventia の管理
© 2008 IBM Corporation
IBM Internet Security Systems
二つの管理
ƒ ローカル管理コンソール:LMIの装備
– Proventia Manager
– HTTPS
– 小規模なネットワークに最適
• イベント(ログ)の管理を行わない
• 評価利用
ƒ 集中管理コンソール
– SiteProtector
– エンタープライズレベルの管理システム
– 複数台のProventiaの同時管理、運用可能
– SQL Serverへのイベント保存
© 2008 IBM Corporation
IBM Internet Security Systems
Proventia Managerによる単体運用
ƒ ブラウザで管理
– インストール操作は不要
– 要Java 1.4.5 or 1.5
ƒ 基本操作を実行可能
– 監視ポリシー設定
– 防御レスポンス設定
– XPUの適用
– 簡易イベント監視
© 2008 IBM Corporation
IBM Internet Security Systems
統合管理マネージメントSiteProtector
Proventia Network IPS の管理にはSiteProtectorの利用を推奨します
ƒ 各種ISS製品を統合管理
ƒ グループ管理
– イベントの表示・解析をグループ毎に実施
ƒ ユーザーアクセス管理
– SiteProtectorを操作するユーザ権限を管理
– Microsoft Active Directoryとの統合
ƒ ポリシー管理
– グループ単位、個別のエージェント単位
ƒ イベント・インシデント解析
ƒ セントラルアラーティング機能
– 閾値や設定した条件に従って、メールや
SNMPで通知
– エージェントのステータスを通知
ƒ グラフィカルレポートと分析グラフの提供
– HTML、PDF、CSV形式でレポートを作成
– 約30種類のレポートテンプレートを提供
ƒ システム要件および規模に合わせた構成例は下記をご参照ください
http://www.isskk.co.jp/document/m_SP.html
© 2008 IBM Corporation
IBM Internet Security Systems
Proventia単体での管理機能(CLI)
ƒ コマンドラインインターフェース(CLI)
– シリアルポート接続またはSSHでProventiaへアクセスし、以下の
基本設定の実施が可能
•
•
•
•
ネットワーク、NTP、SNMPの設定
エージェントステータスの確認と再起動
バックアップ/リストアの実施
パスワードの管理
(パスワード変更はLMIから
でも可能)
ƒ その他の設定は、LMI またはSiteProtectorから行います。
© 2008 IBM Corporation
IBM Internet Security Systems
SiteProtectorとの通信
© 2008 IBM Corporation
IBM Internet Security Systems
SiteProtector機能紹介(1)
ƒ Summaryタブ
– 各種サマリ情報を表示、
表示する情報のタイプを
選択
•表示可能な項目
•Available Updates (入手可能なアップデート)
•Event History By Day (1 日ごとのイベント履歴)
•Event History By Week (週ごとのイベント履歴)
•Event History By Month (月ごとのイベント履歴)
•Group Summary (グループ概要)
•Scan Progress (スキャン進行状況)
•System Health (システムの健全性)
•Ticket Status (チケット ステータス)
•Today's Event Summary By Source
(本日のイベント概要、発信元別)
•Today's Event Summary By Target
(本日のイベント概要、宛先別)
•Today's Event Summary By Security Tag Name
(本日のイベント概要、セキュリティ タグ名別)
•Vulnerability History By Day (1 日ごとの脆弱性履歴)
•Vulnerability History By Week (週ごとの脆弱性履歴)
•Vulnerability History By Month (月ごとの脆弱性履歴)
•Vulnerability Summary By Operating System
(オペレーティング システムごとの脆弱性概要)
© 2008 IBM Corporation
IBM Internet Security Systems
SiteProtector機能紹介(2)
ƒ Sensorタブ
– SiteProtectorのコンポー
ネント及び各種Sensor、
Scannerの情報
状態を表示
アップデートの有無を表示
SiteProtectorの
コンポーネント、
Sensorを表示
ƒ Assetタブ
ホスト名、IPアドレスなどを表示
– 組織構造、地理的条
件、センサーの種類
等に基づいてAssetを
グループ化し分類
Asset毎にインストール
されているISS製品を
表示
Assetをグループ分け
各Assetの脆弱性
の状態により表示
© 2008 IBM Corporation
IBM Internet Security Systems
SiteProtector機能紹介(3)
ƒ Analysisタブ
– イベントフィルタリング機能
• イベント名や危険度別、件数等の列に従い柔軟に表示をカスタマイズ
• 多種にわたるフィルタリング設定で必要な情報のみを抽出することが可能
– カウント表示機能
• 検知イベントも同一イベントはまとめて、イベント数をカウント表示
日時、送信元IP、宛先IP等でフィルタリング
規定の条件を元に表示を変更可能
グループを対象とし
フィルタリング
イベント数をカウント表示
また、ベースライン表示も可
© 2008 IBM Corporation
IBM Internet Security Systems
ƒ Analysisタブ(続き)
SiteProtector機能紹介(4)
– 検知インシデントの情報
• IPアドレスやポート番号、プロトコルなどの表示
• インシデントに関しての詳細情報を表示
© 2008 IBM Corporation
IBM Internet Security Systems
SiteProtector機能紹介(5)
ƒ Policyタブ
– グループ単位の設定、もしくは
アプライアンス単位の設定の
選択が可能
ƒ Ticketタブ
– チケッティングシステム
• ワークフローを管理するチケッティングシステム
• 脆弱性マネージメント、インシデントのコント
ロールを行う
• 誰が、何を、何時までに実施するのかをワーク
フローで管理
© 2008 IBM Corporation
IBM Internet Security Systems
SiteProtector機能紹介(6)
ƒ Reportタブ
– 用意されているテンプレートを元にレポートの出力が可能 (Reporting Module:有償ライセンス)
– これらのレポートで組織全体にわたる傾向を見極めたり、Proventia等ISSプロダクトの投入効果の評価、
セキュリティ状態の確認を行う場合に役立ちます
– レポート形式は“PDF”、“HTML”、“CSV”となります
© 2008 IBM Corporation
IBM Internet Security Systems
SiteProtector機能紹介(7)
ƒ コンソール情報のエクスポート
– 画面情報をHTML、CSV、PDFへ変換が可能
• エクスポートされるデータは、表示されているデータに基づいてエクスポートされる
PDFへ
HTMLへ
CSVへ
© 2008 IBM Corporation
IBM Internet Security Systems
SiteProtector機能紹介(8)
ƒ Central Response機能
– Proventia Network IPSから直接 EmailやSNMPにて通知するのではなく、SiteProtectorが
受け取ったイベントに対してレスポンスを行う
– イベントに対して条件を設定し、条件に合致した場合にEmail、SNMPによる通知を実施
– イベント名(HTTP*という記述も可)、送信元IPアドレス、送信元ポート、宛先IPアドレス、宛先ポート、
レスポンスの頻度、イベントステータスやプライオリティ等を条件に設定が可
設定例
– 1,000回の攻撃イベントを検知した際に、1,000回の電子メールを送信するのではなく、条件に合致する
イベントが1,000個通知された場合に、1回のEmail、SNMPによる通知を実施
※SP6ではProventiaのStatusに応じて通知することが可能
ProventiaがOfflineになった場合
メールにて通知
© 2008 IBM Corporation
IBM Internet Security Systems
SiteProtector機能紹介(9)
ƒ SiteProtector Web Access
– ブラウザ(IE6以上)を用いて、SiteProtectorにアクセス
– 完全なコマンド、コントロールを必要としないユーザに対して、軽量なソリューションとして提供が可能
– SP6よりレポートの作成、閲覧も可能
© 2008 IBM Corporation
IBM Internet Security Systems
ポリシーチューニング
© 2008 IBM Corporation
IBM Internet Security Systems
X-Force Default Blocking
ƒ X-Force Default Blocking の活用
– X-Force が決定した標準防御状態ポリシーの自動設定
• 危険度が高く誤検知がないシグネチャのみ検知・防御対象
ƒ ユーザ設定が優先
ƒ チェック有無で設定
© 2008 IBM Corporation
IBM Internet Security Systems
ポリシーチューニング
ホワイトリスト
ƒ 非イベント検知対象の設定
– Firewallルールで該当IP、
プロトコルをignoreすること
で、イベント検知対象から外
すことが可能
ƒ 非防御対象の設定
– Firewallルールで該当IP、
プロトコルをMonitorすること
で、防御対象から外すこと
が可能
© 2008 IBM Corporation
IBM Internet Security Systems
ポリシーチューニング
シグネチャの変更を行うと User Overriddenのチェックがつきます。
© 2008 IBM Corporation
IBM Internet Security Systems
Virtual IPS機能
© 2008 IBM Corporation
IBM Internet Security Systems
Virtual IPS/Granular Policy機能とは
ƒ 1台のProventia上に、Virtual IPSを定義し、
それぞれのVirtual IPSで異なるポリシー、レスポンスを設定可能
– 監視ポート毎
– IPアドレスレンジ、サブネットレンジ毎
– VLANID又はVLANIDレンジ毎
これまで複数台のIPSが必要だったケースでも1台に
集約可能
¾コストメリット
¾ネットワーク構成簡略化
¾運用負荷低減
ポリシーA
ポリシーC
ポリシーA
ポリシーB
ポリシーB
ポリシーC
© 2008 IBM Corporation
IBM Internet Security Systems
Virtual IPSの 考え方1
全保護対象領域
特定の‘領域’を定義
Protection
Protection Domain
Domain A
A
領域の組み合わせ
ƒ Adapter
Protection
Protection Domain
Domain B
B
ƒ VLan Range
ƒ IP Address
Range
Protection
Protection Domain
Domain C
C
Proventia Network IPSが
保護する全保護領域
© 2008 IBM Corporation
IBM Internet Security Systems
Virtual IPSの考え方2
全保護対象領域( Global Domain)
特定の領域に対するポリシー
Protection
Protection Domain
Domain A
A
差分ポリシーA
差分ポリシーB
差分ポリシーC
Protection
Protection Domain
Domain B
B
Protection
Protection Domain
Domain C
C
全体に対するポリシー
Global Policy
© 2008 IBM Corporation
IBM Internet Security Systems
Virtual IPSの動作例
全保護対象領域 (Global Domain)
Policy A
192.168.0.1~192.168.0.254
IP_Tunnel_Bad_Version を有
※防御をOFF(検知のみ)
Global Policy
IP_Tunnel_Bad_Version を有
防御を有効
その結果、このような動作となります
192.168.0.10からの攻撃 → 検知のみ(Policy Aが適用)
192.168.1.10からの攻撃 → 検知と防御(Global Policyが適用)
※ Protection Domain用のポリシーがGlobal Policyより優先されます
© 2008 IBM Corporation
IBM Internet Security Systems
Virtual IPSの使い方例
ƒ XPUで新規追加されたシグネチャの評価
– Global PolicyはTrust X-Forceの防御設定で利用
– 全体をカバーするProtection Domainもしくは特定の領域のみの
Protection Domainを構成
– XPUで追加されたシグネチャだけをProtection Domainに設定
• 防御レスポンスを外し、検知のみに設定
– 評価終了後Protection Domainからポリシーを削除
© 2008 IBM Corporation
IBM Internet Security Systems
アップデートについて
© 2008 IBM Corporation
IBM Internet Security Systems
アップデート
ƒ 弊社製品は以下のアップデートが提供されております。
(本アップデートを利用するには保守契約が必要となります)
– X-Press Update
• シグネチャの追加および修正
– Firmware
• 機能追加
• Proventiaが再起動される
いずれもスケジュールによる自動ダウンロード及び自動適用が可能
© 2008 IBM Corporation
IBM Internet Security Systems
X-Press Update 設定
ƒ SiteProtector、LMIのいずれからも設定可能
ƒ ダウンロードとインストールを
組み合わせて設定可能
ƒ スケジューリング可能
ƒ X-Press UpdateとFirmware
Updateを別々に設定可能
© 2008 IBM Corporation
IBM Internet Security Systems
アップデートの仕組み
SiteProtector2.0 SP6
HTTPS:443
Retrieve
Catalog Files
&
Update Files
Copy
Catalog Files
&
Update Files
Update
Server(3994)
Application
Server (SPCore)
HTTPS Force
Refresh
Agent Manager
(3995)
Heart Beat
HTTPS:443
www.iss.net
update.iss.net
OR
3994
Pull
Update Files
Heart Beat
HTTPS:
443
Force
Refresh
© 2008 IBM Corporation
IBM Internet Security Systems
アップデートの注意点
ƒ 名前解決(Proventia Network IPSから直接アップデートする際は必須)
– Proventia Network IPS上で名前解決が必要
– DNSもしくはフォワーダが利用できることを確認
ƒ プロキシ経由でのアップデート(Proventia Network IPSから直接アップデート)
– Updates / Settings / Advanced Parameters に以下のパラメータを追加
• Update.proxy.enable = true/false(ブーリアン)
• Update.proxy.url = https://123.123.123.123(文字列)
• Update.proxy.port = 1234(数値)
– プロキシ認証は利用不可
ƒ Update Server 経由の アップデート
– パラメータの追加で設定可能
• 設定メニューからUpdate--> Settings--> Advanced Parameterを選択
– Name = Update.source.url (Case Sensitive)
– Type = String
– Value = https://ip-address-update-server:3994/XPU (Case Sensitive)
© 2008 IBM Corporation
IBM Internet Security Systems
アップデートについて
© 2008 IBM Corporation
IBM Internet Security Systems
SNMP管理の三つの方法
ƒ SNMPトラップによる検知イベントの報告
ƒ Proventia Network IPSに異常が発生した際のSNMPト
ラップ送信
ƒ SNMP Readによる ハードウェア情報の取得
© 2008 IBM Corporation
IBM Internet Security Systems
ソフトウェア関連のSNMP
ƒ イベント
–
–
–
–
–
–
–
–
–
–
–
–
–
–
Appliance starts up or SNMP daemon starts up
Appliance shuts down or SNMP daemon shuts down
Link up notification for management interface
Link down notification for HA heartbeat interface
issDaemon is not running
issCSF is not running
iss-netengine is not running
issdrivermgr is not running
sshd is not running
1 minute CPU load average is over 90%
5 minute CPU load average is over 70%
15 minute CPU load average is over 50%
Free disk space is less than 10%
Very little swap space left
ƒ 必要なMIB
– UCD-SNMP-MIB
Proventiaの/usr/share/snmp 配下に保存
© 2008 IBM Corporation
IBM Internet Security Systems
イベント関連のSNMP
ƒ Proventia Network IPS が検知した攻撃イベントを
SNMPトラップで報告
– ISS.MIBが必要
• https://isskk.e-srvc.com/cgi-bin/isskk.cfg/php/enduser/std_adp.php?p_faqid=1630
© 2008 IBM Corporation
IBM Internet Security Systems
SNMP Read
ƒ SNMP read により Proventia Network IPSのハードウェアに関
する情報を取得可能
© 2008 IBM Corporation
IBM Internet Security Systems
初期導入の方法とリカバリー
© 2008 IBM Corporation
IBM Internet Security Systems
Proventia Network IPSの導入
ƒ 購入後(及びリカバリー後)は初期設定が必要となります。
– 必要な環境
• Serial Portを持ったPC
– 必要な情報
•
•
•
•
•
パスワード
管理ポート用のIPアドレス
タイムゾーンと日時
Agent名
監視ポートのモードとリンクスピード
※このほかに LCDにて管理ポートのネットワーク設定まで実施し、
それ以後の設定をSSH接続にて行う方法もあります。
© 2008 IBM Corporation
IBM Internet Security Systems
バックアップとリストア
ƒ Proventia Network IPSはHDD内にバックアップを保持できます
– バックアップは1世代までのディスクイメージ全体を保存
– このほかに工場出荷時のイメージを保存済
– バックアップ/リストアはコマンドラインインターフェースから実施
– バックアップ/リストア間はバイパス状態となります
© 2008 IBM Corporation
IBM Internet Security Systems
Reinstallについて
ƒ GXシリーズにてreinstallを実行する際は、CDROMドライブ付属
のPCを用いてPXEブート機能を利用します
ƒ PXEブート機能をサポートするNICをご確認ください
(Proventia Network IPS User’s Guide)
© 2008 IBM Corporation
IBM Internet Security Systems
その他情報
© 2008 IBM Corporation
IBM Internet Security Systems
設置例
© 2008 IBM Corporation
IBM Internet Security Systems
Proventiaの優位性
ƒ レイテンシに対しての疑問
„GX400x:平均85~120μ秒程度
„G2000:20~40μ秒程度
ƒ IPS自身の機器障害や電源供給停止時の対応策
„FailOpen機能でトラフィックを通過させることが可能
„GX400x/G2000Cはバイパスユニットを内臓
„GX5x08/G2000Fは外部バイパスユニットを使用
ƒ どのシグネチャを有効、無効にするべきか判断が難しい
ƒ 正規通信をブロックしてしまった時のネットワークサービス障害が
不安
„X-Force推奨レスポンスを提供
„導入前にシュミレーションモードで一定期間評価を行うことが可能
© 2008 IBM Corporation
IBM Internet Security Systems
Proventia Network IPSに関する情報
ƒ Proventia に関する情報は以下をご参照ください
– IBM ISS事業部(株)ホームページ
• http://www.isskk.co.jp/
– Proventia Network IPS
• http://www.isskk.co.jp/product/proventia/network_ips.html
– マニュアルダウンロード
• http://www.isskk.co.jp/document/manuals.html
– ナレッジベース(日本語)
• https://isskk.e-srvc.com/
– ナレッジベース(英語)
• https://iss.custhelp.com/
– セキュリティセンター
• http://www.isskk.co.jp/security_center.html
© 2008 IBM Corporation
IBM Internet Security Systems
本資料に関するお問合せ
日本アイ・ビー・エム株式会社
ITS事業 ISS事業部
パートナーセールス部
TEL
: 03-5740-4060
E-Mail : [email protected]
URL
: http://www.ibm.com/services/jp/index.wss/offerfamily/its/b1327874
※当資料に関するお問い合わせは、担当営業、または上記までご連絡ください。
©Copyright IBM Japan, Ltd. 2008
日本アイ・ビー・エム株式会社
Produced in Japan Jun 2008 All Rights Reserved
●この説明資料の情報は2008年6月現在のものです。仕様は予告なく変更される場合があります。
●記載のデータはIBM社内の調査に基づくものであり、全ての場合において同等の効果が得られることを意味するものではありませ
ん。効果はお客様の環境その他の要因によって異なります。
●製品、サービスなどの詳細については、ISSSales@jp.ibm.com弊社もしくはビジネス・パートナーの営業担当員にご相談ください。
IBM、IBMロゴ、X-Force、Proventia Network MFSは、International Business Machines Corporationの米国およびその他の国における商標。
Microsoftは、Microsoft Corporationの米国およびその他の国における商標。
Adobeは、Adobe Systems Incorporatedの米国およびその他の国における登録商標または商標。
他の会社名、製品名およびサービス名等はそれぞれ各社の商標。
© 2008 IBM Corporation