IBM Internet Security Systems Proventia ® Network IPS GXシリーズのご紹介 日本アイ・ビー・エム株式会社 ISS事業部 © 2008 IBM Corporation IBM Internet Security Systems Proventia Network IPS の概要 © 2008 IBM Corporation IBM Internet Security Systems L2での実装 Proventia Network IPSの概要 – IPアドレスを持たないため透過的に実装 – Fail Open機能の搭載(一部モデルはオプションの外付けユニット使用) – リンクプロパゲーション 3つの実装モードを搭載 – Inline Protection:通過トラフィックを確認した上で、防御設定を実施 – Inline Simulation:インライン型で設置し、検知内容をシミュレーション(防御なし) – Passive:ネットワークのモニタリング(IDSモード) 最大8ポート4インラインセグメントサポート(GX5xxx/G2000) – IPSとして4セグメント、IDSとして8セグメントまで利用可能 – 非対称ルーティングネットワークへの対応 HA(ハイアベイラビリティ)対応 – Active-Standby(全モデル)、Active-Active (GX5xxx/G2000のみ) ネットワークポートの前面集約化(GX Seriesのみ) – ネットワーク機器との接続性向上 筐体のサイズ変更 – スイッチラック等への実装対応 監視ポートのGBIC化(2Uの一部モデル) – 運用ネットワークの変更に対応 外付けバイパスユニットへの対応(2Uモデル) – 障害時対応の容易化 – 1Uモデルはバイパスユニットを内蔵 © 2008 IBM Corporation IBM Internet Security Systems Virtual IPS/Granular Policy機能 Proventia Network IPSの概要(続き) – VLAN、ポート、IPアドレス毎にルールの追加が可能 X-Force recommended blocking responses using Virtual Patch TM technology の搭載 – X-Force推奨のポリシー設定、Virtual Patchを自動的に実現 X-Press Updateによる自動更新 柔軟に設定可能な検知・防御ポリシー カスタムシグネチャの搭載(Snort互換) 監視ポートからのKillパケット送出(Passive mode) ローカル管理コンソールの搭載 SiteProtectorによる集中管理 Network Time Protocol(NTP)サポート SNMPによる管理 二つのログオンアカウントrootとadmin – 通常はadminを使用し、各種設定を実施 – リモートからのrootアカウントによるアクセスの無効化が可能 LCDパネルの搭載 – Shutdownや初期設定等をパネルからの操作可能 © 2008 IBM Corporation IBM Internet Security Systems Proventia Network IPS ラインナップ © 2008 IBM Corporation IBM Internet Security Systems Proventia Network IPS ラインナップ 筐体サイズ GX 3002 GX 4002 GX 4004 GX 5008 GX 5008CF GX 5108C GX 5108CF G 2000C G 2000CF G 2000F GX 6116 Tabletop 1U 1U 2U 2U 2U 2U 2U 2U 2U 2U 保障帯域 (Mbps) 10 200 400 インラインモード時 防御セグメント数 1 1 2 パッシブモード時 監視セグメント数 1 1 2 監視用 インター フェース 2000 6000 4 4 8 8 8 16 ○(VLAN ID毎、IPアドレスレンジ毎、監視ポート毎) Virtual IPS/Granular Policy ハイアベイラビリティ対応 1200 × × ○(非対称ルーティングネットワーク、ロードバランシングネットワーク等への対応) 2(10/100のみ) 2 4 8 4 8 4 0 0 0 --- 1000 0 0 0 0 0 0 0 8 4 0 --- SFPインターフェイス 0 0 0 0 4 0 4 0 4 8 16 内蔵 C:内蔵 F:外付 外付 外付 Copper 10/100/1000 Fiber 管理用 インターフェース Copper 10/100/1000 1 (GX3002のみ リンクスピードは10/100限定) Reset 送信用 インタフェース Copper 10/100/1000 専用(1ポート)または監視用インターフェイスから出力 (GX3002のみ リンクスピードは10/100限定) インライン バイパスユニット 内蔵 内蔵 外付 記憶装置冗長化 (RAID1構成) × × ○ ○ ○ 電源冗長化 × × ○ ○ ○ 225×50×205 429×44×382 430×88×520 430×87.5×672 - 本体外寸(W×H×D) 電圧/周波数 100~240V (50 ~ 60Hz) 100-127V 50/60Hz、200-240V 50-60Hz - 電流 (A) 1.5 4.96 (100-127V) 2.48 (200-240V) 8.4 (100-127V) 4.2 (200-240V) 8.9 (100-127V) 5.4 (200-240V) - 重量(kg) 5 11.5 18 27 - © 2008 IBM Corporation IBM Internet Security Systems Proventia Network IPS 型番命名規則 GX5108CF の場合 – GX5108CF GX • Product Family(製品群) – GX5108CF 51 • Platform Indicator(製品ライン) • 40 = 200Mbps(1U)、 50 = 400Mbps(2U)、 51 = 1200Mbps(2U) – GX5108CF 08 • Protected Ports(監視ポート数) – GX5108CF • 監視インターフェース種類 • C = Copper only、CF = Copper + SFP Port、F = SFP Port only © 2008 IBM Corporation IBM Internet Security Systems Proventia Network IPS GXシリーズ(1U) 写真はGX4004 ポート、操作系を前面に集約する事でネットワーク機器との接続性を向上 バイパス機能(Fail Open)を内蔵 従来のA201、G100~G200相当のモデル © 2008 IBM Corporation IBM Internet Security Systems Proventia Network IPS GXシリーズ(2U) 写真はGX5108 ポート、操作系を前面に集約する事でネットワーク機器との接続性を向上 外付によるバイパスユニットの提供 HA構成対応 従来のA604、A1204、G400~G1200相当のモデル © 2008 IBM Corporation IBM Internet Security Systems LCD表示の提供 写真は1Uモデル 写真は2Uモデル フロントパネルにLCDユニットを搭載 – Firmware、XPUバージョンの表示 – Shutdown、Rebootの実行が可能 – 初期設定時のIP Address、Subnet Mask、Default Gatewayの設定(初期設定後、SSHにて残りの設定を実施) © 2008 IBM Corporation IBM Internet Security Systems Mini GBICモデルの提供 GXシリーズ(2U一部モデル)は監視ポートをMini GBICで提供 – 運用開始後にFiberとCupperの変更が可能 – 対応モデルは GX 5008CF/5108CFのファイバーポート、GX5008F/5108Fの全 て mini-GBIC (カッパーおよびファイバ SFP) インターフェースの外観 © 2008 IBM Corporation IBM Internet Security Systems ネットワークの可用性維持 © 2008 IBM Corporation IBM Internet Security Systems Proventia Network IPS のネットワーク可能性維持 Proventia Network IPS はインラインでの実装を想定し、以下の 機能を実装することにより可用性の維持を実現しています – リンクプロパゲート • リンクの状況を対向機器に伝播し、ネットワークに対して透過的に実装 – Unanalyzed Policy(ソフトウェアバイパス) • 設定変更時、過負荷時における可用性の維持 – Fail Open/ Fail Close • 機器障害時における可用性の維持 © 2008 IBM Corporation IBM Internet Security Systems リンクプロパゲーション リンクプロパゲーション機能とは – Proventia Network IPS の監視ポートペアの片側がLink Down/Upした際に、もう 一方も対向装置の状態に関わらず連動してLink Down/Upさせる機能 × NW-a NW-a × ①Link Down ①Link Down ②自動で連動 Proventia × ③プロパゲーション ②自動で連動 NW-b × × NW-b × ④ リンクプロパゲーションにより Link Down ※ この機能により、上下のネットワーク機器からProventia Network IPS が透過的に見えるよう になります。 ※ 設定により、有効(リンク状況の遷移あり) /無効(リンク状況の遷移なし)が選択可能です。 © 2008 IBM Corporation IBM Internet Security Systems ソフトウェアバイパス (Unanalyzed Policy ) “Unanalyzed Policy”とは – 以下の場合における動作設定 • Policy、responseの内容を追加/変更/削除する場合 • Firewall Settingsの内容を追加/変更/削除する場合 • X-Press Updateを適用する場合 • 解析エンジンの処理能力を超えた場合 設定 – 以下の2つのモードが選択できます • Forward – 対向するネットワーク機器とのリンクを保持し、トラフィックを全て通過させます • Drop – 対向するネットワーク機器とのリンクを保持しつつも、トラフィックを全て遮断します ※ この状態では検知/防御は行われません © 2008 IBM Corporation IBM Internet Security Systems ハードウェアバイパス機能 Proventia Network IPS の停止時や特定の操作時に通信を 通過(Fail Open)/遮断(Fail Close)させる機能 • GX 4000シリーズ(1Uモデル) – Fail Open 機能が内蔵 • GX 5000シリーズ (2Uモデル) – 本体のみでは Fail Close機能のみ提供 – Fail Openは別売のExternal Bypass Unit が必要 • G2000シリーズのCupper 監視ポート – Fail Open/Fail Closeが選択可能 • G2000シリーズのFiber 監視ポート – Fail Close専用 (Fail Openは別売の External Bypass Unit が必要) © 2008 IBM Corporation IBM Internet Security Systems ハードウェアバイパスの条件 「ハードウェアバイパス」は以下の場合に行われます。 – Local Tuning Parameter内の設定変更 (Link Speed、Adapter Mode、 Unanalyzed Policy、 Propagate Link などの変更) – Firmware を適用 – 電源がOff時または監視エンジン停止時 – Alert QueueサイズまたはAlert Queue full Policyを変更 注意:ハードウェアバイパスモードが動作するときには3秒程度のリンクダウン/ リンクアップが発生します © 2008 IBM Corporation IBM Internet Security Systems 外付けバイパスユニット 2Uモデルの電源障害時にFail Openさせるために使用 (電源供給時はアプライアンス内蔵のユニットにてFail Openを実装) 1Uサイズで4インラインセグメント分のユニットを搭載 電源はUSBケーブル経由でIPSより供給 TX Bypass Module IPS Power Detection SX or LX Bypass Module © 2008 IBM Corporation IBM Internet Security Systems 外付バイパスユニットの接続と動作 2Uモデルは電源断時のFail Openを 実装するために 別売の外部バイパス ユニット が必要です。 左図のように結線する事で、Network IPSで電源断が発生した場合、外部バ イパスユニットにて通信をBypassさせ ます。 Bypass Unit バイパス時 通常時 GX 5000/5100 © 2008 IBM Corporation IBM Internet Security Systems Proventia Network IPS の防御 © 2008 IBM Corporation IBM Internet Security Systems 多彩な防御機能 防御アクション Firewall Rule ファイアウォールのルールを定義し、トラフィックのアクセス制御やフィルタリングを行うことができます。 Drop Packet イベントを発生させたパケット(UDP/ICMP)のすべてのパケットをドロップします。 Drop Connection with Reset イベントを発生させたTCPコネクションのすべてのパケットをドロップし、Inline監視インタフェースからResetパケットを送信 してコネクションを切断します。 Dynamic Blockingの種類 Block-worm Block-intruder Block-trojan ワームトラフィックを検知した後、攻撃元のIPアドレス、攻撃先のポート番号の情報を得て、指定した時間範囲で上記 設定のパケットを全て遮断します。 ワームに感染したマシン(攻撃元IPアドレス限定)から、不特定マシンに対して脆弱点のあるサービス(攻撃先ポート番号 特定)への、攻撃を遮断する。それ以外は通信許可となります。 不正な攻撃を検知した後、攻撃元のIPアドレス、攻撃先のIPアドレスの情報を得て、指定した時間範囲で上記設定 のパケットを全て遮断します。 侵入者のPCから、被害側PCへの通信の一切を遮断する。それ以外は通信許可となります。 バックドア(トロイの木馬)プログラムの攻撃を検知した後、攻撃先のIPアドレス、攻撃先のポート番号の情報を得て、指 定した時間範囲で上記設定のパケットを全て遮断します。 不特定多数のマシンから、バックドア(トロイの木馬:ポート番号特定される)を、仕組まれマシン(攻撃先IPアドレス限定) からの通信を遮断する。それ以外は通信許可となります。 ★攻撃の特性に応じ、Proventiaが適切な防御方法を選択 © 2008 IBM Corporation IBM Internet Security Systems Proventia Network IPSの冗長ネットワークへの対応 © 2008 IBM Corporation IBM Internet Security Systems High Availability Active/Standby、Active/Activeをサポート – Fail Close によりProventia 停止時には上下のネットワーク機 器に障害通知可能 – リンクプロパゲーション機能により上下どちらかのネットワーク 機器障害を反対側に通知可能 – HAペアーのProventia間はセッション情報を完全共有 (HAモード時は1台で2ラインまで監視可能) 検知イベント – イベントをトリガした Proventia が イベントを通知するため2重 イベントの発生はなし © 2008 IBM Corporation IBM Internet Security Systems High Availability対応 Active – Standby 構成 ②リンク状態をプロパゲート Firewall A ①リンクダウン発生 Switch A VRRP Firewall B Router A HSRP Switch B Router B ③FirewallとRouterがフェイルオーバー実施 © 2008 IBM Corporation IBM Internet Security Systems High Availability対応 Active – Active 構成 Firewall A Switch A A B F Switch A F Switch B E VRRP Firewall B Switch B E A 非対称ルーティングのサポート B CDGH(Session情報共有用) – A-B/E-F間のセッションをC-D/G-Hで共有 マルチセグメント対応 – 1台のProventia Gで最大2ラインまで冗長化対応 ※上記構成の場合は合計保証帯域は2台の合計となります (GX5108の場合、2台の合計で1200Mbpsとなります。) © 2008 IBM Corporation IBM Internet Security Systems High Availability対応 Active – Active 構成時の内部動作 seg.1 seg.2 seg.2 seg.1 HA(seg.1) A C E G B D F H HA(seg.2) HA(seg.2) G E C A H F D B HA(seg.1) seg.1 seg.2 seg.2 seg.1 互いに通信の内容を共有しあう事により、2台のどのラインを流れても確実に防御が可能 (HAモードで使用した場合には、最大監視セグメントは半分になります) © 2008 IBM Corporation IBM Internet Security Systems High Availability対応 非対称ルーティングのサポート •通信の往復が異なるProventia Network IPSを通過しても防御可能 •この際、検出のトリガーとなったパケットを検出した側がイベントを出すため 2重イベントとなる事はありません © 2008 IBM Corporation IBM Internet Security Systems Proventia の管理 © 2008 IBM Corporation IBM Internet Security Systems 二つの管理 ローカル管理コンソール:LMIの装備 – Proventia Manager – HTTPS – 小規模なネットワークに最適 • イベント(ログ)の管理を行わない • 評価利用 集中管理コンソール – SiteProtector – エンタープライズレベルの管理システム – 複数台のProventiaの同時管理、運用可能 – SQL Serverへのイベント保存 © 2008 IBM Corporation IBM Internet Security Systems Proventia Managerによる単体運用 ブラウザで管理 – インストール操作は不要 – 要Java 1.4.5 or 1.5 基本操作を実行可能 – 監視ポリシー設定 – 防御レスポンス設定 – XPUの適用 – 簡易イベント監視 © 2008 IBM Corporation IBM Internet Security Systems 統合管理マネージメントSiteProtector Proventia Network IPS の管理にはSiteProtectorの利用を推奨します 各種ISS製品を統合管理 グループ管理 – イベントの表示・解析をグループ毎に実施 ユーザーアクセス管理 – SiteProtectorを操作するユーザ権限を管理 – Microsoft Active Directoryとの統合 ポリシー管理 – グループ単位、個別のエージェント単位 イベント・インシデント解析 セントラルアラーティング機能 – 閾値や設定した条件に従って、メールや SNMPで通知 – エージェントのステータスを通知 グラフィカルレポートと分析グラフの提供 – HTML、PDF、CSV形式でレポートを作成 – 約30種類のレポートテンプレートを提供 システム要件および規模に合わせた構成例は下記をご参照ください http://www.isskk.co.jp/document/m_SP.html © 2008 IBM Corporation IBM Internet Security Systems Proventia単体での管理機能(CLI) コマンドラインインターフェース(CLI) – シリアルポート接続またはSSHでProventiaへアクセスし、以下の 基本設定の実施が可能 • • • • ネットワーク、NTP、SNMPの設定 エージェントステータスの確認と再起動 バックアップ/リストアの実施 パスワードの管理 (パスワード変更はLMIから でも可能) その他の設定は、LMI またはSiteProtectorから行います。 © 2008 IBM Corporation IBM Internet Security Systems SiteProtectorとの通信 © 2008 IBM Corporation IBM Internet Security Systems SiteProtector機能紹介(1) Summaryタブ – 各種サマリ情報を表示、 表示する情報のタイプを 選択 •表示可能な項目 •Available Updates (入手可能なアップデート) •Event History By Day (1 日ごとのイベント履歴) •Event History By Week (週ごとのイベント履歴) •Event History By Month (月ごとのイベント履歴) •Group Summary (グループ概要) •Scan Progress (スキャン進行状況) •System Health (システムの健全性) •Ticket Status (チケット ステータス) •Today's Event Summary By Source (本日のイベント概要、発信元別) •Today's Event Summary By Target (本日のイベント概要、宛先別) •Today's Event Summary By Security Tag Name (本日のイベント概要、セキュリティ タグ名別) •Vulnerability History By Day (1 日ごとの脆弱性履歴) •Vulnerability History By Week (週ごとの脆弱性履歴) •Vulnerability History By Month (月ごとの脆弱性履歴) •Vulnerability Summary By Operating System (オペレーティング システムごとの脆弱性概要) © 2008 IBM Corporation IBM Internet Security Systems SiteProtector機能紹介(2) Sensorタブ – SiteProtectorのコンポー ネント及び各種Sensor、 Scannerの情報 状態を表示 アップデートの有無を表示 SiteProtectorの コンポーネント、 Sensorを表示 Assetタブ ホスト名、IPアドレスなどを表示 – 組織構造、地理的条 件、センサーの種類 等に基づいてAssetを グループ化し分類 Asset毎にインストール されているISS製品を 表示 Assetをグループ分け 各Assetの脆弱性 の状態により表示 © 2008 IBM Corporation IBM Internet Security Systems SiteProtector機能紹介(3) Analysisタブ – イベントフィルタリング機能 • イベント名や危険度別、件数等の列に従い柔軟に表示をカスタマイズ • 多種にわたるフィルタリング設定で必要な情報のみを抽出することが可能 – カウント表示機能 • 検知イベントも同一イベントはまとめて、イベント数をカウント表示 日時、送信元IP、宛先IP等でフィルタリング 規定の条件を元に表示を変更可能 グループを対象とし フィルタリング イベント数をカウント表示 また、ベースライン表示も可 © 2008 IBM Corporation IBM Internet Security Systems Analysisタブ(続き) SiteProtector機能紹介(4) – 検知インシデントの情報 • IPアドレスやポート番号、プロトコルなどの表示 • インシデントに関しての詳細情報を表示 © 2008 IBM Corporation IBM Internet Security Systems SiteProtector機能紹介(5) Policyタブ – グループ単位の設定、もしくは アプライアンス単位の設定の 選択が可能 Ticketタブ – チケッティングシステム • ワークフローを管理するチケッティングシステム • 脆弱性マネージメント、インシデントのコント ロールを行う • 誰が、何を、何時までに実施するのかをワーク フローで管理 © 2008 IBM Corporation IBM Internet Security Systems SiteProtector機能紹介(6) Reportタブ – 用意されているテンプレートを元にレポートの出力が可能 (Reporting Module:有償ライセンス) – これらのレポートで組織全体にわたる傾向を見極めたり、Proventia等ISSプロダクトの投入効果の評価、 セキュリティ状態の確認を行う場合に役立ちます – レポート形式は“PDF”、“HTML”、“CSV”となります © 2008 IBM Corporation IBM Internet Security Systems SiteProtector機能紹介(7) コンソール情報のエクスポート – 画面情報をHTML、CSV、PDFへ変換が可能 • エクスポートされるデータは、表示されているデータに基づいてエクスポートされる PDFへ HTMLへ CSVへ © 2008 IBM Corporation IBM Internet Security Systems SiteProtector機能紹介(8) Central Response機能 – Proventia Network IPSから直接 EmailやSNMPにて通知するのではなく、SiteProtectorが 受け取ったイベントに対してレスポンスを行う – イベントに対して条件を設定し、条件に合致した場合にEmail、SNMPによる通知を実施 – イベント名(HTTP*という記述も可)、送信元IPアドレス、送信元ポート、宛先IPアドレス、宛先ポート、 レスポンスの頻度、イベントステータスやプライオリティ等を条件に設定が可 設定例 – 1,000回の攻撃イベントを検知した際に、1,000回の電子メールを送信するのではなく、条件に合致する イベントが1,000個通知された場合に、1回のEmail、SNMPによる通知を実施 ※SP6ではProventiaのStatusに応じて通知することが可能 ProventiaがOfflineになった場合 メールにて通知 © 2008 IBM Corporation IBM Internet Security Systems SiteProtector機能紹介(9) SiteProtector Web Access – ブラウザ(IE6以上)を用いて、SiteProtectorにアクセス – 完全なコマンド、コントロールを必要としないユーザに対して、軽量なソリューションとして提供が可能 – SP6よりレポートの作成、閲覧も可能 © 2008 IBM Corporation IBM Internet Security Systems ポリシーチューニング © 2008 IBM Corporation IBM Internet Security Systems X-Force Default Blocking X-Force Default Blocking の活用 – X-Force が決定した標準防御状態ポリシーの自動設定 • 危険度が高く誤検知がないシグネチャのみ検知・防御対象 ユーザ設定が優先 チェック有無で設定 © 2008 IBM Corporation IBM Internet Security Systems ポリシーチューニング ホワイトリスト 非イベント検知対象の設定 – Firewallルールで該当IP、 プロトコルをignoreすること で、イベント検知対象から外 すことが可能 非防御対象の設定 – Firewallルールで該当IP、 プロトコルをMonitorすること で、防御対象から外すこと が可能 © 2008 IBM Corporation IBM Internet Security Systems ポリシーチューニング シグネチャの変更を行うと User Overriddenのチェックがつきます。 © 2008 IBM Corporation IBM Internet Security Systems Virtual IPS機能 © 2008 IBM Corporation IBM Internet Security Systems Virtual IPS/Granular Policy機能とは 1台のProventia上に、Virtual IPSを定義し、 それぞれのVirtual IPSで異なるポリシー、レスポンスを設定可能 – 監視ポート毎 – IPアドレスレンジ、サブネットレンジ毎 – VLANID又はVLANIDレンジ毎 これまで複数台のIPSが必要だったケースでも1台に 集約可能 ¾コストメリット ¾ネットワーク構成簡略化 ¾運用負荷低減 ポリシーA ポリシーC ポリシーA ポリシーB ポリシーB ポリシーC © 2008 IBM Corporation IBM Internet Security Systems Virtual IPSの 考え方1 全保護対象領域 特定の‘領域’を定義 Protection Protection Domain Domain A A 領域の組み合わせ Adapter Protection Protection Domain Domain B B VLan Range IP Address Range Protection Protection Domain Domain C C Proventia Network IPSが 保護する全保護領域 © 2008 IBM Corporation IBM Internet Security Systems Virtual IPSの考え方2 全保護対象領域( Global Domain) 特定の領域に対するポリシー Protection Protection Domain Domain A A 差分ポリシーA 差分ポリシーB 差分ポリシーC Protection Protection Domain Domain B B Protection Protection Domain Domain C C 全体に対するポリシー Global Policy © 2008 IBM Corporation IBM Internet Security Systems Virtual IPSの動作例 全保護対象領域 (Global Domain) Policy A 192.168.0.1~192.168.0.254 IP_Tunnel_Bad_Version を有 ※防御をOFF(検知のみ) Global Policy IP_Tunnel_Bad_Version を有 防御を有効 その結果、このような動作となります 192.168.0.10からの攻撃 → 検知のみ(Policy Aが適用) 192.168.1.10からの攻撃 → 検知と防御(Global Policyが適用) ※ Protection Domain用のポリシーがGlobal Policyより優先されます © 2008 IBM Corporation IBM Internet Security Systems Virtual IPSの使い方例 XPUで新規追加されたシグネチャの評価 – Global PolicyはTrust X-Forceの防御設定で利用 – 全体をカバーするProtection Domainもしくは特定の領域のみの Protection Domainを構成 – XPUで追加されたシグネチャだけをProtection Domainに設定 • 防御レスポンスを外し、検知のみに設定 – 評価終了後Protection Domainからポリシーを削除 © 2008 IBM Corporation IBM Internet Security Systems アップデートについて © 2008 IBM Corporation IBM Internet Security Systems アップデート 弊社製品は以下のアップデートが提供されております。 (本アップデートを利用するには保守契約が必要となります) – X-Press Update • シグネチャの追加および修正 – Firmware • 機能追加 • Proventiaが再起動される いずれもスケジュールによる自動ダウンロード及び自動適用が可能 © 2008 IBM Corporation IBM Internet Security Systems X-Press Update 設定 SiteProtector、LMIのいずれからも設定可能 ダウンロードとインストールを 組み合わせて設定可能 スケジューリング可能 X-Press UpdateとFirmware Updateを別々に設定可能 © 2008 IBM Corporation IBM Internet Security Systems アップデートの仕組み SiteProtector2.0 SP6 HTTPS:443 Retrieve Catalog Files & Update Files Copy Catalog Files & Update Files Update Server(3994) Application Server (SPCore) HTTPS Force Refresh Agent Manager (3995) Heart Beat HTTPS:443 www.iss.net update.iss.net OR 3994 Pull Update Files Heart Beat HTTPS: 443 Force Refresh © 2008 IBM Corporation IBM Internet Security Systems アップデートの注意点 名前解決(Proventia Network IPSから直接アップデートする際は必須) – Proventia Network IPS上で名前解決が必要 – DNSもしくはフォワーダが利用できることを確認 プロキシ経由でのアップデート(Proventia Network IPSから直接アップデート) – Updates / Settings / Advanced Parameters に以下のパラメータを追加 • Update.proxy.enable = true/false(ブーリアン) • Update.proxy.url = https://123.123.123.123(文字列) • Update.proxy.port = 1234(数値) – プロキシ認証は利用不可 Update Server 経由の アップデート – パラメータの追加で設定可能 • 設定メニューからUpdate--> Settings--> Advanced Parameterを選択 – Name = Update.source.url (Case Sensitive) – Type = String – Value = https://ip-address-update-server:3994/XPU (Case Sensitive) © 2008 IBM Corporation IBM Internet Security Systems アップデートについて © 2008 IBM Corporation IBM Internet Security Systems SNMP管理の三つの方法 SNMPトラップによる検知イベントの報告 Proventia Network IPSに異常が発生した際のSNMPト ラップ送信 SNMP Readによる ハードウェア情報の取得 © 2008 IBM Corporation IBM Internet Security Systems ソフトウェア関連のSNMP イベント – – – – – – – – – – – – – – Appliance starts up or SNMP daemon starts up Appliance shuts down or SNMP daemon shuts down Link up notification for management interface Link down notification for HA heartbeat interface issDaemon is not running issCSF is not running iss-netengine is not running issdrivermgr is not running sshd is not running 1 minute CPU load average is over 90% 5 minute CPU load average is over 70% 15 minute CPU load average is over 50% Free disk space is less than 10% Very little swap space left 必要なMIB – UCD-SNMP-MIB Proventiaの/usr/share/snmp 配下に保存 © 2008 IBM Corporation IBM Internet Security Systems イベント関連のSNMP Proventia Network IPS が検知した攻撃イベントを SNMPトラップで報告 – ISS.MIBが必要 • https://isskk.e-srvc.com/cgi-bin/isskk.cfg/php/enduser/std_adp.php?p_faqid=1630 © 2008 IBM Corporation IBM Internet Security Systems SNMP Read SNMP read により Proventia Network IPSのハードウェアに関 する情報を取得可能 © 2008 IBM Corporation IBM Internet Security Systems 初期導入の方法とリカバリー © 2008 IBM Corporation IBM Internet Security Systems Proventia Network IPSの導入 購入後(及びリカバリー後)は初期設定が必要となります。 – 必要な環境 • Serial Portを持ったPC – 必要な情報 • • • • • パスワード 管理ポート用のIPアドレス タイムゾーンと日時 Agent名 監視ポートのモードとリンクスピード ※このほかに LCDにて管理ポートのネットワーク設定まで実施し、 それ以後の設定をSSH接続にて行う方法もあります。 © 2008 IBM Corporation IBM Internet Security Systems バックアップとリストア Proventia Network IPSはHDD内にバックアップを保持できます – バックアップは1世代までのディスクイメージ全体を保存 – このほかに工場出荷時のイメージを保存済 – バックアップ/リストアはコマンドラインインターフェースから実施 – バックアップ/リストア間はバイパス状態となります © 2008 IBM Corporation IBM Internet Security Systems Reinstallについて GXシリーズにてreinstallを実行する際は、CDROMドライブ付属 のPCを用いてPXEブート機能を利用します PXEブート機能をサポートするNICをご確認ください (Proventia Network IPS User’s Guide) © 2008 IBM Corporation IBM Internet Security Systems その他情報 © 2008 IBM Corporation IBM Internet Security Systems 設置例 © 2008 IBM Corporation IBM Internet Security Systems Proventiaの優位性 レイテンシに対しての疑問 GX400x:平均85~120μ秒程度 G2000:20~40μ秒程度 IPS自身の機器障害や電源供給停止時の対応策 FailOpen機能でトラフィックを通過させることが可能 GX400x/G2000Cはバイパスユニットを内臓 GX5x08/G2000Fは外部バイパスユニットを使用 どのシグネチャを有効、無効にするべきか判断が難しい 正規通信をブロックしてしまった時のネットワークサービス障害が 不安 X-Force推奨レスポンスを提供 導入前にシュミレーションモードで一定期間評価を行うことが可能 © 2008 IBM Corporation IBM Internet Security Systems Proventia Network IPSに関する情報 Proventia に関する情報は以下をご参照ください – IBM ISS事業部(株)ホームページ • http://www.isskk.co.jp/ – Proventia Network IPS • http://www.isskk.co.jp/product/proventia/network_ips.html – マニュアルダウンロード • http://www.isskk.co.jp/document/manuals.html – ナレッジベース(日本語) • https://isskk.e-srvc.com/ – ナレッジベース(英語) • https://iss.custhelp.com/ – セキュリティセンター • http://www.isskk.co.jp/security_center.html © 2008 IBM Corporation IBM Internet Security Systems 本資料に関するお問合せ 日本アイ・ビー・エム株式会社 ITS事業 ISS事業部 パートナーセールス部 TEL : 03-5740-4060 E-Mail : [email protected] URL : http://www.ibm.com/services/jp/index.wss/offerfamily/its/b1327874 ※当資料に関するお問い合わせは、担当営業、または上記までご連絡ください。 ©Copyright IBM Japan, Ltd. 2008 日本アイ・ビー・エム株式会社 Produced in Japan Jun 2008 All Rights Reserved ●この説明資料の情報は2008年6月現在のものです。仕様は予告なく変更される場合があります。 ●記載のデータはIBM社内の調査に基づくものであり、全ての場合において同等の効果が得られることを意味するものではありませ ん。効果はお客様の環境その他の要因によって異なります。 ●製品、サービスなどの詳細については、[email protected]弊社もしくはビジネス・パートナーの営業担当員にご相談ください。 IBM、IBMロゴ、X-Force、Proventia Network MFSは、International Business Machines Corporationの米国およびその他の国における商標。 Microsoftは、Microsoft Corporationの米国およびその他の国における商標。 Adobeは、Adobe Systems Incorporatedの米国およびその他の国における登録商標または商標。 他の会社名、製品名およびサービス名等はそれぞれ各社の商標。 © 2008 IBM Corporation
© Copyright 2024 ExpyDoc
