proventia network ips gxシリーズのご紹介€“ fail close によりproventia...
TRANSCRIPT
IBM Internet Security Systems
© 2008 IBM Corporation
Proventia ® Network IPS GXシリーズのご紹介
日本アイ・ビー・エム株式会社
ISS事業部
IBM Internet Security Systems
© 2008 IBM Corporation
Proventia Network IPS の概要
IBM Internet Security Systems
© 2008 IBM Corporation
Proventia Network IPSの概要L2での実装
– IPアドレスを持たないため透過的に実装
– Fail Open機能の搭載(一部モデルはオプションの外付けユニット使用)
– リンクプロパゲーション
3つの実装モードを搭載
– Inline Protection:通過トラフィックを確認した上で、防御設定を実施
– Inline Simulation:インライン型で設置し、検知内容をシミュレーション(防御なし)
– Passive:ネットワークのモニタリング(IDSモード)
最大8ポート4インラインセグメントサポート(GX5xxx/G2000)
– IPSとして4セグメント、IDSとして8セグメントまで利用可能
– 非対称ルーティングネットワークへの対応
HA(ハイアベイラビリティ)対応
– Active-Standby(全モデル)、Active-Active (GX5xxx/G2000のみ)
ネットワークポートの前面集約化(GX Seriesのみ)
– ネットワーク機器との接続性向上
筐体のサイズ変更
– スイッチラック等への実装対応
監視ポートのGBIC化(2Uの一部モデル)
– 運用ネットワークの変更に対応
外付けバイパスユニットへの対応(2Uモデル)
– 障害時対応の容易化
– 1Uモデルはバイパスユニットを内蔵
IBM Internet Security Systems
© 2008 IBM Corporation
Proventia Network IPSの概要(続き)Virtual IPS/Granular Policy機能
– VLAN、ポート、IPアドレス毎にルールの追加が可能
X-Force recommended blocking responses using Virtual PatchTM technology の搭載
– X-Force推奨のポリシー設定、Virtual Patchを自動的に実現
X-Press Updateによる自動更新
柔軟に設定可能な検知・防御ポリシー
カスタムシグネチャの搭載(Snort互換)
監視ポートからのKillパケット送出(Passive mode)
ローカル管理コンソールの搭載
SiteProtectorによる集中管理
Network Time Protocol(NTP)サポート
SNMPによる管理
二つのログオンアカウントrootとadmin– 通常はadminを使用し、各種設定を実施
– リモートからのrootアカウントによるアクセスの無効化が可能
LCDパネルの搭載
– Shutdownや初期設定等をパネルからの操作可能
IBM Internet Security Systems
© 2008 IBM Corporation
Proventia Network IPS ラインナップ
IBM Internet Security Systems
© 2008 IBM Corporation
Proventia Network IPS ラインナップ
100-127V 50/60Hz、200-240V 50-60Hz
5
1.5
225×50×205
×
×
内蔵
1(GX3002のみ リンクスピードは10/100限定)
0
0
2(10/100のみ)
×
○(VLAN ID毎、IPアドレスレンジ毎、監視ポート毎)
1
1
10
Tabletop
GX3002
-
-
-
-
○
○
外付
16
---
---
16
8
6000
2U
GX6116
27
8.9 (100-127V)5.4 (200-240V)
430×87.5×672
○
○
内蔵
0
8
0
8
4
2000
2U
G2000C
C:内蔵F:外付
4
4
0
2U
G2000CF
外付
8
0
0
2U
G2000F
4
0
4
2U
GX5108CF
0
0
8
1200
2U
GX5108C
4
0
4
2U
GX5008CF
18
8.4 (100-127V)4.2 (200-240V)
430×88×520
○
○
外付
0
0
8
○(非対称ルーティングネットワーク、ロードバランシングネットワーク等への対応)
8
4
400
2U
GX5008
0
0
4
2
2
1U
GX4004
11.5
4.96 (100-127V)2.48 (200-240V)
100~240V(50 ~ 60Hz)
429×44×382
×
×
内蔵
専用(1ポート)または監視用インターフェイスから出力(GX3002のみ リンクスピードは10/100限定)
0
0
2
×
1
1
200
1U
GX4002
電圧/周波数
電流 (A)
本体外寸(W×H×D)
Copper10/100/1000
管理用インターフェース
パッシブモード時 監視セグメント数
Virtual IPS/Granular Policy
ハイアベイラビリティ対応
電源冗長化
1000Fiber
SFPインターフェイス
Copper
Copper10/100/1000
10/100/1000
重量(kg)
記憶装置冗長化 (RAID1構成)
インライン バイパスユニット
Reset 送信用インタフェース
監視用インターフェース
インラインモード時 防御セグメント数
保障帯域 (Mbps)
筐体サイズ
IBM Internet Security Systems
© 2008 IBM Corporation
Proventia Network IPS 型番命名規則
GX5108CF の場合
– GXGX5108CF• Product Family(製品群)
– GX515108CF• Platform Indicator(製品ライン)
• 40 = 200Mbps(1U)、 50 = 400Mbps(2U)、 51 = 1200Mbps(2U) – GX510808CF
• Protected Ports(監視ポート数)
– GX5108CFCF• 監視インターフェース種類
• C = Copper only、CF = Copper + SFP Port、F = SFP Port only
IBM Internet Security Systems
© 2008 IBM Corporation
Proventia Network IPS GXシリーズ(1U)
ポート、操作系を前面に集約する事でネットワーク機器との接続性を向上
バイパス機能(Fail Open)を内蔵
従来のA201、G100~G200相当のモデル
写真はGX4004
IBM Internet Security Systems
© 2008 IBM Corporation
Proventia Network IPS GXシリーズ(2U)
ポート、操作系を前面に集約する事でネットワーク機器との接続性を向上
外付によるバイパスユニットの提供
HA構成対応
従来のA604、A1204、G400~G1200相当のモデル
写真はGX5108
IBM Internet Security Systems
© 2008 IBM Corporation
LCD表示の提供
フロントパネルにLCDユニットを搭載
– Firmware、XPUバージョンの表示
– Shutdown、Rebootの実行が可能
– 初期設定時のIP Address、Subnet Mask、Default Gatewayの設定(初期設定後、SSHにて残りの設定を実施)
写真は1Uモデル 写真は2Uモデル
IBM Internet Security Systems
© 2008 IBM Corporation
Mini GBICモデルの提供
GXシリーズ(2U一部モデル)は監視ポートをMini GBICで提供
– 運用開始後にFiberとCupperの変更が可能
– 対応モデルはGX 5008CF/5108CFのファイバーポート、GX5008F/5108Fの全
て
mini-GBIC (カッパーおよびファイバ SFP) インターフェースの外観
IBM Internet Security Systems
© 2008 IBM Corporation
ネットワークの可用性維持
IBM Internet Security Systems
© 2008 IBM Corporation
Proventia Network IPS のネットワーク可能性維持
Proventia Network IPS はインラインでの実装を想定し、以下の
機能を実装することにより可用性の維持を実現しています
– リンクプロパゲート
• リンクの状況を対向機器に伝播し、ネットワークに対して透過的に実装
– Unanalyzed Policy(ソフトウェアバイパス)
• 設定変更時、過負荷時における可用性の維持
– Fail Open/ Fail Close• 機器障害時における可用性の維持
IBM Internet Security Systems
© 2008 IBM Corporation
Proventia
リンクプロパゲーション機能とは
– Proventia Network IPS の監視ポートペアの片側がLink Down/Upした際に、もう一方も対向装置の状態に関わらず連動してLink Down/Upさせる機能
リンクプロパゲーション
NW-b
NW-a ×
NW-b
NW-a
①Link Down
②自動で連動
③プロパゲーション
④ リンクプロパゲーションにより Link Down
×
×
× ×
×
①Link Down
②自動で連動
※ この機能により、上下のネットワーク機器からProventia Network IPS が透過的に見えるよう
になります。
※ 設定により、有効(リンク状況の遷移あり) /無効(リンク状況の遷移なし)が選択可能です。
IBM Internet Security Systems
© 2008 IBM Corporation
“Unanalyzed Policy”とは
– 以下の場合における動作設定
• Policy、responseの内容を追加/変更/削除する場合
• Firewall Settingsの内容を追加/変更/削除する場合
• X-Press Updateを適用する場合
• 解析エンジンの処理能力を超えた場合
設定
– 以下の2つのモードが選択できます
• Forward– 対向するネットワーク機器とのリンクを保持し、トラフィックを全て通過させます
• Drop– 対向するネットワーク機器とのリンクを保持しつつも、トラフィックを全て遮断します
※ この状態では検知/防御は行われません
ソフトウェアバイパス(Unanalyzed Policy )
IBM Internet Security Systems
© 2008 IBM Corporation
Proventia Network IPS の停止時や特定の操作時に通信を通過(Fail Open)/遮断(Fail Close)させる機能
• GX 4000シリーズ(1Uモデル)– Fail Open 機能が内蔵
• GX 5000シリーズ (2Uモデル)– 本体のみでは Fail Close機能のみ提供
– Fail Openは別売のExternal Bypass Unit が必要
• G2000シリーズのCupper 監視ポート– Fail Open/Fail Closeが選択可能
• G2000シリーズのFiber 監視ポート– Fail Close専用
(Fail Openは別売の External Bypass Unit が必要)
ハードウェアバイパス機能
IBM Internet Security Systems
© 2008 IBM Corporation
ハードウェアバイパスの条件
「ハードウェアバイパス」は以下の場合に行われます。
– Local Tuning Parameter内の設定変更
(Link Speed、Adapter Mode、 Unanalyzed Policy、 Propagate Link などの変更)
– Firmware を適用
– 電源がOff時または監視エンジン停止時
– Alert QueueサイズまたはAlert Queue full Policyを変更
注意:ハードウェアバイパスモードが動作するときには3秒程度のリンクダウン/リンクアップが発生します
IBM Internet Security Systems
© 2008 IBM Corporation
外付けバイパスユニット
2Uモデルの電源障害時にFail Openさせるために使用(電源供給時はアプライアンス内蔵のユニットにてFail Openを実装)
1Uサイズで4インラインセグメント分のユニットを搭載
電源はUSBケーブル経由でIPSより供給
IPSPower
Detection
SX or LXBypass Module
TXBypass Module
IBM Internet Security Systems
© 2008 IBM Corporation
外付バイパスユニットの接続と動作
2Uモデルは電源断時のFail Openを実装するために 別売の外部バイパスユニット が必要です。
左図のように結線する事で、Network IPSで電源断が発生した場合、外部バイパスユニットにて通信をBypassさせ
ます。
通常時
バイパス時Bypass Unit
GX 5000/5100
IBM Internet Security Systems
© 2008 IBM Corporation
Proventia Network IPS の防御
IBM Internet Security Systems
© 2008 IBM Corporation
多彩な防御機能
イベントを発生させたTCPコネクションのすべてのパケットをドロップし、Inline監視インタフェースからResetパケットを送信
してコネクションを切断します。Drop Connection with Reset
イベントを発生させたパケット(UDP/ICMP)のすべてのパケットをドロップします。Drop Packet
ファイアウォールのルールを定義し、トラフィックのアクセス制御やフィルタリングを行うことができます。Firewall Rule
防御アクション
★攻撃の特性に応じ、Proventiaが適切な防御方法を選択
ワームトラフィックを検知した後、攻撃元のIPアドレス、攻撃先のポート番号の情報を得て、指定した時間範囲で上記設定のパケットを全て遮断します。
ワームに感染したマシン(攻撃元IPアドレス限定)から、不特定マシンに対して脆弱点のあるサービス(攻撃先ポート番号特定)への、攻撃を遮断する。それ以外は通信許可となります。
Block-worm
不正な攻撃を検知した後、攻撃元のIPアドレス、攻撃先のIPアドレスの情報を得て、指定した時間範囲で上記設定のパケットを全て遮断します。
侵入者のPCから、被害側PCへの通信の一切を遮断する。それ以外は通信許可となります。
Block-intruder
バックドア(トロイの木馬)プログラムの攻撃を検知した後、攻撃先のIPアドレス、攻撃先のポート番号の情報を得て、指定した時間範囲で上記設定のパケットを全て遮断します。
不特定多数のマシンから、バックドア(トロイの木馬:ポート番号特定される)を、仕組まれマシン(攻撃先IPアドレス限定)からの通信を遮断する。それ以外は通信許可となります。
Block-trojan
Dynamic Blockingの種類
IBM Internet Security Systems
© 2008 IBM Corporation
Proventia Network IPSの冗長ネットワークへの対応
IBM Internet Security Systems
© 2008 IBM Corporation
High Availability
Active/Standby、Active/Activeをサポート
– Fail Close によりProventia 停止時には上下のネットワーク機
器に障害通知可能
– リンクプロパゲーション機能により上下どちらかのネットワーク機器障害を反対側に通知可能
– HAペアーのProventia間はセッション情報を完全共有(HAモード時は1台で2ラインまで監視可能)
検知イベント
– イベントをトリガした Proventia が イベントを通知するため2重
イベントの発生はなし
IBM Internet Security Systems
© 2008 IBM Corporation
FirewallA
FirewallB
SwitchA
SwitchB
RouterA
RouterB
VRRP HSRP
①リンクダウン発生②リンク状態をプロパゲート
③FirewallとRouterがフェイルオーバー実施
High Availability対応
Active – Standby 構成
IBM Internet Security Systems
© 2008 IBM Corporation
High Availability対応
Active – Active 構成
VRRP
F
A
A
E
CDGH(Session情報共有用)
B
E
F
B
SwitchA
FirewallA
FirewallB
SwitchB
SwitchA
SwitchB
非対称ルーティングのサポート
– A-B/E-F間のセッションをC-D/G-Hで共有
マルチセグメント対応
– 1台のProventia Gで最大2ラインまで冗長化対応
※上記構成の場合は合計保証帯域は2台の合計となります(GX5108の場合、2台の合計で1200Mbpsとなります。)
IBM Internet Security Systems
© 2008 IBM Corporation
High Availability対応
Active – Active 構成時の内部動作
A C E G
B D F H
seg.1 seg.2
seg.1 seg.2
ACEG
BDFH
seg.1seg.2
seg.1seg.2
HA(seg.1)
HA(seg.2)
HA(seg.1)
HA(seg.2)
互いに通信の内容を共有しあう事により、2台のどのラインを流れても確実に防御が可能(HAモードで使用した場合には、最大監視セグメントは半分になります)
IBM Internet Security Systems
© 2008 IBM Corporation
High Availability対応
非対称ルーティングのサポート
•通信の往復が異なるProventia Network IPSを通過しても防御可能
•この際、検出のトリガーとなったパケットを検出した側がイベントを出すため2重イベントとなる事はありません
IBM Internet Security Systems
© 2008 IBM Corporation
Proventia の管理
IBM Internet Security Systems
© 2008 IBM Corporation
二つの管理
ローカル管理コンソール:LMIの装備
– Proventia Manager
– HTTPS
– 小規模なネットワークに最適
• イベント(ログ)の管理を行わない
• 評価利用
集中管理コンソール
– SiteProtector
– エンタープライズレベルの管理システム
– 複数台のProventiaの同時管理、運用可能
– SQL Serverへのイベント保存
IBM Internet Security Systems
© 2008 IBM Corporation
Proventia Managerによる単体運用
ブラウザで管理
– インストール操作は不要
– 要Java 1.4.5 or 1.5
基本操作を実行可能
– 監視ポリシー設定
– 防御レスポンス設定
– XPUの適用
– 簡易イベント監視
IBM Internet Security Systems
© 2008 IBM Corporation
統合管理マネージメントSiteProtector
各種ISS製品を統合管理
グループ管理
– イベントの表示・解析をグループ毎に実施
ユーザーアクセス管理
– SiteProtectorを操作するユーザ権限を管理
– Microsoft Active Directoryとの統合
ポリシー管理
– グループ単位、個別のエージェント単位
イベント・インシデント解析
セントラルアラーティング機能
– 閾値や設定した条件に従って、メールやSNMPで通知
– エージェントのステータスを通知
グラフィカルレポートと分析グラフの提供
– HTML、PDF、CSV形式でレポートを作成
– 約30種類のレポートテンプレートを提供
Proventia Network IPS の管理にはSiteProtectorの利用を推奨します
システム要件および規模に合わせた構成例は下記をご参照ください
http://www.isskk.co.jp/document/m_SP.html
IBM Internet Security Systems
© 2008 IBM Corporation
Proventia単体での管理機能(CLI)コマンドラインインターフェース(CLI)
– シリアルポート接続またはSSHでProventiaへアクセスし、以下の
基本設定の実施が可能
• ネットワーク、NTP、SNMPの設定
• エージェントステータスの確認と再起動
• バックアップ/リストアの実施
• パスワードの管理(パスワード変更はLMIから
でも可能)
その他の設定は、LMI またはSiteProtectorから行います。
IBM Internet Security Systems
© 2008 IBM Corporation
SiteProtectorとの通信
IBM Internet Security Systems
© 2008 IBM Corporation
SiteProtector機能紹介(1)
Summaryタブ
– 各種サマリ情報を表示、表示する情報のタイプを選択
•表示可能な項目•Available Updates (入手可能なアップデート)•Event History By Day (1 日ごとのイベント履歴)•Event History By Week (週ごとのイベント履歴)•Event History By Month (月ごとのイベント履歴)•Group Summary (グループ概要)•Scan Progress (スキャン進行状況)•System Health (システムの健全性)•Ticket Status (チケット ステータス)•Today's Event Summary By Source(本日のイベント概要、発信元別)•Today's Event Summary By Target(本日のイベント概要、宛先別)•Today's Event Summary By Security Tag Name (本日のイベント概要、セキュリティ タグ名別)•Vulnerability History By Day (1 日ごとの脆弱性履歴)•Vulnerability History By Week (週ごとの脆弱性履歴)•Vulnerability History By Month (月ごとの脆弱性履歴)•Vulnerability Summary By Operating System(オペレーティング システムごとの脆弱性概要)
IBM Internet Security Systems
© 2008 IBM Corporation
SiteProtector機能紹介(2)
SiteProtectorのコンポーネント、Sensorを表示
状態を表示
アップデートの有無を表示
Sensorタブ
– SiteProtectorのコンポーネント及び各種Sensor、Scannerの情報
Assetタブ
– 組織構造、地理的条件、センサーの種類等に基づいてAssetをグループ化し分類
各Assetの脆弱性
の状態により表示
ホスト名、IPアドレスなどを表示
Asset毎にインストールされているISS製品を
表示
Assetをグループ分け
IBM Internet Security Systems
© 2008 IBM Corporation
SiteProtector機能紹介(3)
Analysisタブ
– イベントフィルタリング機能
• イベント名や危険度別、件数等の列に従い柔軟に表示をカスタマイズ
• 多種にわたるフィルタリング設定で必要な情報のみを抽出することが可能
– カウント表示機能
• 検知イベントも同一イベントはまとめて、イベント数をカウント表示
グループを対象としフィルタリング
日時、送信元IP、宛先IP等でフィルタリング
規定の条件を元に表示を変更可能
イベント数をカウント表示また、ベースライン表示も可
IBM Internet Security Systems
© 2008 IBM Corporation
SiteProtector機能紹介(4)Analysisタブ(続き)
– 検知インシデントの情報
• IPアドレスやポート番号、プロトコルなどの表示
• インシデントに関しての詳細情報を表示
IBM Internet Security Systems
© 2008 IBM Corporation
SiteProtector機能紹介(5)
Policyタブ
– グループ単位の設定、もしくはアプライアンス単位の設定の選択が可能
Ticketタブ
– チケッティングシステム
• ワークフローを管理するチケッティングシステム
• 脆弱性マネージメント、インシデントのコントロールを行う
• 誰が、何を、何時までに実施するのかをワークフローで管理
IBM Internet Security Systems
© 2008 IBM Corporation
SiteProtector機能紹介(6)Reportタブ
– 用意されているテンプレートを元にレポートの出力が可能 (Reporting Module:有償ライセンス)
– これらのレポートで組織全体にわたる傾向を見極めたり、Proventia等ISSプロダクトの投入効果の評価、
セキュリティ状態の確認を行う場合に役立ちます
– レポート形式は“PDF”、“HTML”、“CSV”となります
IBM Internet Security Systems
© 2008 IBM Corporation
SiteProtector機能紹介(7)コンソール情報のエクスポート
– 画面情報をHTML、CSV、PDFへ変換が可能
• エクスポートされるデータは、表示されているデータに基づいてエクスポートされる
CSVへ
HTMLへ
PDFへ
IBM Internet Security Systems
© 2008 IBM Corporation
SiteProtector機能紹介(8)Central Response機能
– Proventia Network IPSから直接 EmailやSNMPにて通知するのではなく、SiteProtectorが受け取ったイベントに対してレスポンスを行う
– イベントに対して条件を設定し、条件に合致した場合にEmail、SNMPによる通知を実施
– イベント名(HTTP*という記述も可)、送信元IPアドレス、送信元ポート、宛先IPアドレス、宛先ポート、
レスポンスの頻度、イベントステータスやプライオリティ等を条件に設定が可
– 1,000回の攻撃イベントを検知した際に、1,000回の電子メールを送信するのではなく、条件に合致するイベントが1,000個通知された場合に、1回のEmail、SNMPによる通知を実施
※SP6ではProventiaのStatusに応じて通知することが可能
ProventiaがOfflineになった場合
メールにて通知
設定例
IBM Internet Security Systems
© 2008 IBM Corporation
SiteProtector機能紹介(9)SiteProtector Web Access
– ブラウザ(IE6以上)を用いて、SiteProtectorにアクセス
– 完全なコマンド、コントロールを必要としないユーザに対して、軽量なソリューションとして提供が可能
– SP6よりレポートの作成、閲覧も可能
IBM Internet Security Systems
© 2008 IBM Corporation
ポリシーチューニング
IBM Internet Security Systems
© 2008 IBM Corporation
X-Force Default Blocking
ユーザ設定が優先
チェック有無で設定
X-Force Default Blocking の活用
– X-Force が決定した標準防御状態ポリシーの自動設定
• 危険度が高く誤検知がないシグネチャのみ検知・防御対象
IBM Internet Security Systems
© 2008 IBM Corporation
ポリシーチューニングホワイトリスト
非イベント検知対象の設定
– Firewallルールで該当IP、プロトコルをignoreすること
で、イベント検知対象から外すことが可能
非防御対象の設定
– Firewallルールで該当IP、プロトコルをMonitorすること
で、防御対象から外すことが可能
IBM Internet Security Systems
© 2008 IBM Corporation
ポリシーチューニング
シグネチャの変更を行うと User Overriddenのチェックがつきます。
IBM Internet Security Systems
© 2008 IBM Corporation
Virtual IPS機能
IBM Internet Security Systems
© 2008 IBM Corporation
Virtual IPS/Granular Policy機能とは
1台のProventia上に、Virtual IPSを定義し、それぞれのVirtual IPSで異なるポリシー、レスポンスを設定可能
– 監視ポート毎
– IPアドレスレンジ、サブネットレンジ毎
– VLANID又はVLANIDレンジ毎
これまで複数台のIPSが必要だったケースでも1台に集約可能
コストメリットネットワーク構成簡略化運用負荷低減
ポリシーA
ポリシーB
ポリシーC
ポリシーA ポリシーCポリシーB
IBM Internet Security Systems
© 2008 IBM Corporation
Virtual IPSの 考え方1
全保護対象領域
Proventia Network IPSが
保護する全保護領域
特定の‘領域’を定義
領域の組み合わせ
Adapter
VLan Range
IP Address Range
Protection Domain AProtection Domain A
Protection Domain BProtection Domain B
Protection Domain CProtection Domain C
IBM Internet Security Systems
© 2008 IBM Corporation
Virtual IPSの考え方2
全保護対象領域( Global Domain)
Protection Domain AProtection Domain A
Protection Domain BProtection Domain B
Protection Domain CProtection Domain C
差分ポリシーA
差分ポリシーC
Global Policy
特定の領域に対するポリシー
全体に対するポリシー
差分ポリシーB
IBM Internet Security Systems
© 2008 IBM Corporation
Virtual IPSの動作例
全保護対象領域 (Global Domain)
192.168.0.1~192.168.0.254Policy A
Global PolicyIP_Tunnel_Bad_Version を有
防御を有効
IP_Tunnel_Bad_Version を有※防御をOFF(検知のみ)
192.168.0.10からの攻撃 → 検知のみ(Policy Aが適用)192.168.1.10からの攻撃 → 検知と防御(Global Policyが適用)
その結果、このような動作となります
※ Protection Domain用のポリシーがGlobal Policyより優先されます
IBM Internet Security Systems
© 2008 IBM Corporation
Virtual IPSの使い方例
XPUで新規追加されたシグネチャの評価
– Global PolicyはTrust X-Forceの防御設定で利用
– 全体をカバーするProtection Domainもしくは特定の領域のみのProtection Domainを構成
– XPUで追加されたシグネチャだけをProtection Domainに設定
• 防御レスポンスを外し、検知のみに設定
– 評価終了後Protection Domainからポリシーを削除
IBM Internet Security Systems
© 2008 IBM Corporation
アップデートについて
IBM Internet Security Systems
© 2008 IBM Corporation
アップデート
弊社製品は以下のアップデートが提供されております。(本アップデートを利用するには保守契約が必要となります)
– X-Press Update• シグネチャの追加および修正
– Firmware• 機能追加
• Proventiaが再起動される
いずれもスケジュールによる自動ダウンロード及び自動適用が可能
IBM Internet Security Systems
© 2008 IBM Corporation
X-Press Update 設定
SiteProtector、LMIのいずれからも設定可能
ダウンロードとインストールを組み合わせて設定可能
スケジューリング可能
X-Press UpdateとFirmware Updateを別々に設定可能
IBM Internet Security Systems
© 2008 IBM Corporation
アップデートの仕組み
Update Server(3994)
Agent Manager(3995)
SiteProtector2.0 SP6
HTTPS:443
RetrieveCatalog Files
&Update Files
Application Server (SPCore)
Copy Catalog Files
&Update Files
Heart Beat
HTTPS ForceRefresh
HTTPS:443ForceRefresh
3994PullUpdate Files
Heart BeatHTTPS:443 www.iss.netupdate.iss.net
OR
Agent Manager(3995)
IBM Internet Security Systems
© 2008 IBM Corporation
アップデートの注意点
名前解決(Proventia Network IPSから直接アップデートする際は必須)
– Proventia Network IPS上で名前解決が必要
– DNSもしくはフォワーダが利用できることを確認
プロキシ経由でのアップデート(Proventia Network IPSから直接アップデート)
– Updates / Settings / Advanced Parameters に以下のパラメータを追加
• Update.proxy.enable = true/false(ブーリアン)
• Update.proxy.url = https://123.123.123.123(文字列)
• Update.proxy.port = 1234(数値)
– プロキシ認証は利用不可
Update Server 経由の アップデート
– パラメータの追加で設定可能
• 設定メニューからUpdate--> Settings--> Advanced Parameterを選択
– Name = Update.source.url (Case Sensitive)– Type = String– Value = https://ip-address-update-server:3994/XPU (Case Sensitive)
IBM Internet Security Systems
© 2008 IBM Corporation
アップデートについて
IBM Internet Security Systems
© 2008 IBM Corporation
SNMP管理の三つの方法
SNMPトラップによる検知イベントの報告
Proventia Network IPSに異常が発生した際のSNMPト
ラップ送信
SNMP Readによる ハードウェア情報の取得
IBM Internet Security Systems
© 2008 IBM Corporation
ソフトウェア関連のSNMPイベント
– Appliance starts up or SNMP daemon starts up– Appliance shuts down or SNMP daemon shuts down– Link up notification for management interface– Link down notification for HA heartbeat interface– issDaemon is not running– issCSF is not running– iss-netengine is not running– issdrivermgr is not running– sshd is not running– 1 minute CPU load average is over 90%– 5 minute CPU load average is over 70%– 15 minute CPU load average is over 50%– Free disk space is less than 10%– Very little swap space left
必要なMIB– UCD-SNMP-MIB
Proventiaの/usr/share/snmp 配下に保存
IBM Internet Security Systems
© 2008 IBM Corporation
イベント関連のSNMPProventia Network IPS が検知した攻撃イベントをSNMPトラップで報告
– ISS.MIBが必要
• https://isskk.e-srvc.com/cgi-bin/isskk.cfg/php/enduser/std_adp.php?p_faqid=1630
IBM Internet Security Systems
© 2008 IBM Corporation
SNMP Read
SNMP read により Proventia Network IPSのハードウェアに関
する情報を取得可能
IBM Internet Security Systems
© 2008 IBM Corporation
初期導入の方法とリカバリー
IBM Internet Security Systems
© 2008 IBM Corporation
Proventia Network IPSの導入
購入後(及びリカバリー後)は初期設定が必要となります。
– 必要な環境
• Serial Portを持ったPC
– 必要な情報
• パスワード
• 管理ポート用のIPアドレス
• タイムゾーンと日時
• Agent名• 監視ポートのモードとリンクスピード
※このほかに LCDにて管理ポートのネットワーク設定まで実施し、それ以後の設定をSSH接続にて行う方法もあります。
IBM Internet Security Systems
© 2008 IBM Corporation
バックアップとリストアProventia Network IPSはHDD内にバックアップを保持できます
– バックアップは1世代までのディスクイメージ全体を保存
– このほかに工場出荷時のイメージを保存済
– バックアップ/リストアはコマンドラインインターフェースから実施
– バックアップ/リストア間はバイパス状態となります
IBM Internet Security Systems
© 2008 IBM Corporation
Reinstallについて
GXシリーズにてreinstallを実行する際は、CDROMドライブ付属のPCを用いてPXEブート機能を利用します
PXEブート機能をサポートするNICをご確認ください
(Proventia Network IPS User’s Guide)
IBM Internet Security Systems
© 2008 IBM Corporation
その他情報
IBM Internet Security Systems
© 2008 IBM Corporation
設置例
IBM Internet Security Systems
© 2008 IBM Corporation
Proventiaの優位性レイテンシに対しての疑問
IPS自身の機器障害や電源供給停止時の対応策
どのシグネチャを有効、無効にするべきか判断が難しい
正規通信をブロックしてしまった時のネットワークサービス障害が不安
GX400x:平均85~120μ秒程度
G2000:20~40μ秒程度
FailOpen機能でトラフィックを通過させることが可能
GX400x/G2000Cはバイパスユニットを内臓
GX5x08/G2000Fは外部バイパスユニットを使用
X-Force推奨レスポンスを提供
導入前にシュミレーションモードで一定期間評価を行うことが可能
IBM Internet Security Systems
© 2008 IBM Corporation
Proventia Network IPSに関する情報
Proventia に関する情報は以下をご参照ください
– IBM ISS事業部(株)ホームページ
• http://www.isskk.co.jp/– Proventia Network IPS
• http://www.isskk.co.jp/product/proventia/network_ips.html
– マニュアルダウンロード
• http://www.isskk.co.jp/document/manuals.html
– ナレッジベース(日本語)
• https://isskk.e-srvc.com/
– ナレッジベース(英語)
• https://iss.custhelp.com/
– セキュリティセンター
• http://www.isskk.co.jp/security_center.html
IBM Internet Security Systems
© 2008 IBM Corporation
©Copyright IBM Japan, Ltd. 2008
日本アイ・ビー・エム株式会社
Produced in Japan Jun 2008 All Rights Reserved
●この説明資料の情報は2008年6月現在のものです。仕様は予告なく変更される場合があります。
●記載のデータはIBM社内の調査に基づくものであり、全ての場合において同等の効果が得られることを意味するものではありません。効果はお客様の環境その他の要因によって異なります。
●製品、サービスなどの詳細については、[email protected]弊社もしくはビジネス・パートナーの営業担当員にご相談ください。
IBM、IBMロゴ、X-Force、Proventia Network MFSは、International Business Machines Corporationの米国およびその他の国における商標。
Microsoftは、Microsoft Corporationの米国およびその他の国における商標。
Adobeは、Adobe Systems Incorporatedの米国およびその他の国における登録商標または商標。
他の会社名、製品名およびサービス名等はそれぞれ各社の商標。
本資料に関するお問合せ
日本アイ・ビー・エム株式会社ITS事業 ISS事業部
パートナーセールス部TEL : 03-5740-4060E-Mail : [email protected] : http://www.ibm.com/services/jp/index.wss/offerfamily/its/b1327874 ※当資料に関するお問い合わせは、担当営業、または上記までご連絡ください。