Upload File

野々下幸治 マカフィー株式会社se本部長 · 2013. 2. 22. · •ips – ibm-iss...

  • Home
  • Documents
  • 野々下幸治 マカフィー株式会社SE本部長 · 2013. 2. 22. · •IPS – IBM-ISS Proventia, McAfee IntruShield, SourceFire, TippingPoint 2500N IPS • 境界でのマルウェアおよび迷惑メール対策
12
点検!セキュリティ対策IPv6導入に必要とされるセキュリティ機器における課題を整理する 下幸治 January 4, 2010 下幸治 マカフィー株式会社SE本部長

Upload: others

Post on 13-Oct-2020

0 views

Category:

Documents


0 download

Report

TRANSCRIPT

Page 1: 野々下幸治 マカフィー株式会社SE本部長 · 2013. 2. 22. · •IPS – IBM-ISS Proventia, McAfee IntruShield, SourceFire, TippingPoint 2500N IPS • 境界でのマルウェアおよび迷惑メール対策

点検!セキュリティ対策製品製IPv6導入に必要とされるセキュリティ機器における課題を整理する

野々下幸治

January 4, 2010

野々下幸治

マカフィー株式会社SE本部長

Page 2: 野々下幸治 マカフィー株式会社SE本部長 · 2013. 2. 22. · •IPS – IBM-ISS Proventia, McAfee IntruShield, SourceFire, TippingPoint 2500N IPS • 境界でのマルウェアおよび迷惑メール対策

IPv6の導入状況導入状況

Country

Ipv6 deployment

Ipv6 network / Ipv4

Top10%

Country code Country

ment rate

Ipv4 networks

JE Jersey 100% 1/1CU Cuba 75% 3/4OM Oman 50% 1/2MC Monaco 50% 1/2

VAHoly See (Vatican City State) 50% 1/2

FJ Fiji 50% 1/2TN Tunisia 33% 1/3ML Mali 33% 1/3UY Uruguay 31% 8/26UY Uruguay 31% 8/26EE Estonia 26% 10/39BT Bhutan 25% 1/4SN Senegal 25% 1/4IM Isle of Man 25% 1/4LU Luxembourg 24% 10/42LK S i L k 23% 3/13LK Sri Lanka 23% 3/13IS Iceland 21% 6/29EU 20% 22/109CZ Czech Republic 19% 34/176NZ New Zealand 18% 35/194JP Japan 17% 92/545

http://www.netknowledge.ca/index.php?option=com_content&view=article&id=57%3Aipv6-deployment-statistics&catid=38%3Anews&Itemid=58

CI Cote D’Ivoire 17% 1/6NL Netherlands 17% 85/511MY Malaysia 17% 13/78MU Mauritius 17% 1/6VE Venezuela 16% 6/38PT Portugal 15% 11/75

January 4, 20102

PT Portugal 15% 11/75CR Costa Rica 15% 2/13

TWTaiwan, Province of China 15% 18/122

RW Rwanda 14% 1/7NO Norway 14% 17/120ZA S th Af i 14% 13/92

Page 3: 野々下幸治 マカフィー株式会社SE本部長 · 2013. 2. 22. · •IPS – IBM-ISS Proventia, McAfee IntruShield, SourceFire, TippingPoint 2500N IPS • 境界でのマルウェアおよび迷惑メール対策

IPv6でもIPv4でのセキュリティの課題は同じも キ リティ 課題 同

• いくつかのネットワークセキュリティのため改善はこれまでのセキュリティの問題を解決?– IPSec -Authentication and Encryption

S N i hb Di (SEND) L 3 tt h th ti ti– Secure Neighbor Discovery (SEND) –Layer 3 attach authentication– Crypto-generated Address (CGA)– Unique Local Addresses (ULAs) – Common Architecture Label IPv6 Security Option (CALIPSO)

• エンドノード間のセキュリティ構築を容易にする– 広いアドレスレンジはNATを不要に– セキュリティ拡張ヘッダ(AH、ESP)を備えたIPSecが標準

ジ• 広いアドレスレンジはワームのスキャンを難しくするかも• 広いアドレスレンジとAHはAnonymousでの攻撃や成りすましを難しくするかも

しかし多くのIP 4のセキ リテ の問題はIP 6でも同様多くのIPv4のセキュリティの問題はIPv6でも同様

January 4, 20103

Page 4: 野々下幸治 マカフィー株式会社SE本部長 · 2013. 2. 22. · •IPS – IBM-ISS Proventia, McAfee IntruShield, SourceFire, TippingPoint 2500N IPS • 境界でのマルウェアおよび迷惑メール対策

CIOが直面している5つのIPv6の脅威直面 る 脅威

• Rogue IPv6通信

知らない間にIP 6通信が行なわれる危険性

FirewallやIPSでIPv6の通信をブロックするべき

– 知らない間にIPv6通信が行なわれる危険性

• IPv6トンネル

– Teredo、6to4、ISATAP(Intra-Site Automatic Tunnel Addressing Protocol)FirewallやIDS/IPSでトラフィックを監視

g )でIPv6の通信がIPv4にカプセル化

• Rogue IPv6デバイス

知らない間に設定されるIPv6マシン

IPv6が不要であれば、無効にしておく

– 知らない間に設定されるIPv6マシン

• Type 0 Routing ヘッダー

– 既知のIPv6のDoSの脆弱性

Type 0 Routingは無効にしておく

• IPv6のICMPとマルチキャスト

– ICMPv6によるDoS攻撃、マルチキャストによるアドレスリスト取得の危険性

ルータでフィルタリングする

http://www.networkworld.com/news/2009/071309-ipv6-network-threat.html

確かにIPv6固有の脅威かもしれないが.....

January 4, 20104

確かに 6固有の脅威かもしれないが

対策技術についてはIPv4と同様

Page 5: 野々下幸治 マカフィー株式会社SE本部長 · 2013. 2. 22. · •IPS – IBM-ISS Proventia, McAfee IntruShield, SourceFire, TippingPoint 2500N IPS • 境界でのマルウェアおよび迷惑メール対策

IPv6のセキュリティには製品の調査と中深い計画が必要 (2004年の調査)製品 調査 中深 計画 必要 ( 年 調査)

January 4, 20105

Page 6: 野々下幸治 マカフィー株式会社SE本部長 · 2013. 2. 22. · •IPS – IBM-ISS Proventia, McAfee IntruShield, SourceFire, TippingPoint 2500N IPS • 境界でのマルウェアおよび迷惑メール対策

市場のFirewallの31%しかIPv6に対応できていない市場 対応 き な

January 4, 20106

www.usenix.org/publications/login/2008-04/pdfs/piscitello.pdf

Page 7: 野々下幸治 マカフィー株式会社SE本部長 · 2013. 2. 22. · •IPS – IBM-ISS Proventia, McAfee IntruShield, SourceFire, TippingPoint 2500N IPS • 境界でのマルウェアおよび迷惑メール対策

セキュリティ製品のIPv6対応の状況キ リティ製品 対応 状況

• 対応状況を知るために参考になるサイト

IP 6 Read Logo Programサイト– IPv6 Ready Logo Programサイト

• http://www.ipv6ready.org/– Joint Interoperability Test Commandサイト

• http://jitc.fhu.disa.mil/apl/ipv6.html#security– ICSA Labs IPv6 Capable Security Productsサイト

• http://www icsalabs com/technology-program/ipv6/ipv6-capable-http://www.icsalabs.com/technology-program/ipv6/ipv6-capable-security-products

現状の公開情報ではネットワーク製品のみで非常に不十分

January 4, 20107

Page 8: 野々下幸治 マカフィー株式会社SE本部長 · 2013. 2. 22. · •IPS – IBM-ISS Proventia, McAfee IntruShield, SourceFire, TippingPoint 2500N IPS • 境界でのマルウェアおよび迷惑メール対策

セキュリティ製品のIPv6対応の状況キ リティ製品 対応 状況

• Firewall– Juniper Netscreen, Cisco PIX, Checkpoint Firewall-1, McAfee Firewall Enterprise (Sidewinder), Fortigate

FortinetFortinet• IPS

– IBM-ISS Proventia, McAfee IntruShield, SourceFire, TippingPoint 2500N IPS

• 境界でのマルウェアおよび迷惑メール対策M Af E il d W b S it A li– McAfee Email and Web Security Appliance

• AntiVirus– 一般消費者向け

• Symantec Norton, Trend Micro ウイルスバスター, McAfee Internet Security– 企業向け業 け

• McAfee ToPS• Host IPS

– McAfee HIPS• 脆弱性検査

ネ ト クベ– ネットワークベース• SAINT Corporation SAINT、Tenable Network Security Nesus

– エージェントベース• McAfee Policy Auditor

• SIEMSIEM– ArcSight

ただし、IPv4のフル機能がIPv6でサポートされているわけではない

January 4, 20108

As of 22 Oct 野々下調べ

IPv6でサポートされているわけではない

Page 9: 野々下幸治 マカフィー株式会社SE本部長 · 2013. 2. 22. · •IPS – IBM-ISS Proventia, McAfee IntruShield, SourceFire, TippingPoint 2500N IPS • 境界でのマルウェアおよび迷惑メール対策

IPv6普及・高度化推進協議会セキュリティWGの活動の紹介キ リティ 活動 紹介

【活動目的】IPv4アドレス枯渇時期を間近に迎え、IPv6におけるセキュリティへの関心が高まっているが、IP 6の導入によ て生まれる課題とその対策や セキ リテ 製品のIP 6対応状況等の情IPv6の導入によって生まれる課題とその対策や、セキュリティ製品のIPv6対応状況等の情報は、必ずしも行き渡っているとは言えない。本WGでは、それらの情報を整理すると共に、実証実験を通じてセキュリティ製品のIPv6対応状況を検証する。加えて、IPv6固有の課題に対応するセキュリティガイドラインの検討を行う行う。

【2009年度活動内容】1. IPv6インターネットに関する脅威と対応策の整理

– IPv4時代との差異に関する分析– 新たに必要となるセキュリティ対策の枠組み整理

2. セキュリティ製品のIPv6対応状況の検証セキ リティ製品の 6対応状況の検証– IPv6関連セキュリティソリューションの情報収集– 実機を用いた機能等の検証– 検証結果のフィードバック及び公開

3. IPv6固有の課題に対応するセキュリティガイドラインの検討– IPv6でのセキュリティの方向性検討– セキュリティガイドラインの検討

January 4, 20109

Page 10: 野々下幸治 マカフィー株式会社SE本部長 · 2013. 2. 22. · •IPS – IBM-ISS Proventia, McAfee IntruShield, SourceFire, TippingPoint 2500N IPS • 境界でのマルウェアおよび迷惑メール対策

セキュリティ製品のIPv6対応を増やすにはキ リティ製品 対応を増やす

• システムのIPv6への対応の積極的な推進

特にEnd to Endのセキ リティを担保する必要があるところはIP 6は有利– 特にEnd to Endのセキュリティを担保する必要があるところはIPv6は有利

• 最近流行のクラウドサービス、特にプライベートクラウドとか...

• SCADAなど製造・制御系のシステムとか...

• 他に不特定多数の接続を必要としないシステム

• IPv6普及・高度化推進協議会のセキュリティWGの活動へ協力を• IPv6普及・高度化推進協議会のセキュリティWGの活動へ協力を

– 対応状況の整理はベンダーへのプレッシャーになります。

January 4, 201010

Page 11: 野々下幸治 マカフィー株式会社SE本部長 · 2013. 2. 22. · •IPS – IBM-ISS Proventia, McAfee IntruShield, SourceFire, TippingPoint 2500N IPS • 境界でのマルウェアおよび迷惑メール対策

私のテーマについての議論私のテ マについての議論

January 4, 201011

Page 12: 野々下幸治 マカフィー株式会社SE本部長 · 2013. 2. 22. · •IPS – IBM-ISS Proventia, McAfee IntruShield, SourceFire, TippingPoint 2500N IPS • 境界でのマルウェアおよび迷惑メール対策

Alat Peraga IPS, Peta, Peta Bingkai, Jual Alat Peraga IPS, IPS SD, IPS SMP, KIT IPS, Jual Peta, Jual Peta Bingkai

Soal un-matematika-ips-2013-kode-mtk ips-sa_61

SISTEMAS DE DETECÇÃO DE INTRUSÃO BASEADOS EM …repositorio.roca.utfpr.edu.br/jspui/bitstream/1/...Figura 5 - IBM Proventia IPS GX5108.....12 Figura 6 - Conexão TCP.....16 Figura

azhdotorg.files.wordpress.com  · Web viewPROFIL INONESIA. IPS. ismail - [2010] home. IPS. PROFIL INONESIA. PROFIL INONESIA. IPS. ismail - [2010] home. IPS. IPS. ismail - [2010]

27 11 28RT-PCR β iPS primitive erythroblast XLSA-iPS XLSA Prussian blue iPS XLSA-iPS HBE1 HBG1 GATA1 TAL1 XLSA iPS iPS ALAS2 2015 11 2016 1 1. Ichikawa S, Takahashi T, Katsushima

Основные возможности системы обнаружения вторжений HP TippingPoint

Soal un-matematika-ips-2013-kode-mtk ips-sa_51

G and GX Appliances User Guide アプライアンスのマニュアルについて ix Proventia Network IPS G and GX Appliance User Guide Proventia アプライアンスのマニュアルについて

Soal un-matematika-ips-2013-kode-mtk ips-sa_49

IPS SD 2 (Aktiv belajar IPS 2)

HP ESP Channel SE Café & Product update - … TippingPoint Security Management System. T Series. ... technical deep-dive webinars ... TippingPoint . Advanced Threat Appliance (ATA)

Program IPS, implementasi kurikulum Program IPS dalam rangkarepository.upi.edu/885/6/T_PK_009578_Chapter3.pdf · Program IPS", "implementasi kurikulum Program IPS" dalam rangka mencermati

Soal un-matematika-ips-2013-kode-mtk ips-sa_66

Logging : centralizzazione e correlazione delle informazioni … ·  · 2015-04-25Backup DMZ Internal Operators INTRANET ... Database dispositivi ed eventi ... Network IPS: ISS Proventia,

HP TippingPoint 新一代防火牆 NX Platform... · 2015-10-29 · 3 產品介紹 | HP TippingPoint 新一代防火牆 S1050F S3010F S3020F S8005F S8010F 效能 備註:效能資料代

IPS 領導品牌 TippingPoint 產品介紹與市場攻略

Soal un-matematika-ips-2013-kode-mtk ips-sa_68

Soal un-matematika-ips-2013-kode-mtk ips-sa_57

Soal un-matematika-ips-2013-kode-mtk ips-sa_58

Soal un-matematika-ips-2013-kode-mtk ips-sa_55

Proventia Network Intrusion Prevention System User … Proventia Network Intrusion Prevention System User Guide 前書き 概要 目的 本書は、Proventia® Network Intrusion Prevention

Soal un-matematika-ips-2013-kode-mtk ips-sa_48

HP TippingPoint Решение по предотвращению вторжений критических инфраструктур, сетевая безопасность АСУ

HO Pengembangan Kurikulum IPS S2 IPS

Soal un-matematika-ips-2013-kode-mtk ips-sa_64

Soal un-matematika-ips-2013-kode-mtk ips-sa_52

Ptk Ips 3 (w g l vs Ips )

Soal un-matematika-ips-2013-kode-mtk ips-sa_44

Soal un-matematika-ips-2013-kode-mtk ips-sa_54

Ptk Ips 2 (Karyawisata vs Ips )

NPO日本ネットワークセキュリティ協会仮想パッチソリューション“IBM Proventia Network IPS” IBM Proventia Network IPSは、独自のVirtual Patch®技術に

2008年にやってきた脅威 ~Webサイトを襲った悪夢~Cisco PIX/ASA Series Cisco IDS Cisco IPS/ASA Series IBM ISS Proventia Series IBM ISS RealSecure Network Sensor/Proventia

Proventia Network IPS GXシリーズのご紹介€“ Fail Close によりProventia 停止時には上下のネットワーク機 器に障害通知可能 – リンクプロパゲーション機能により上下どちらかのネットワーク

IPS-CAPE Bridge™ - ips-energy.com · • IPS-EPIS™ Basic, Core, Executive, Enterprise IPS-CAPE Bridge™ HIGHLIGHTS: • Grundbestand von CAPE Datenbank via IPS Export • IPS

Magsimal®- 59 - ips-vision | ips-vision