Configuring Firewalls for SiteProtector Traffic - IBM

Configuring Firewalls for SiteProtector Traffic
Version 2.0, Service Pack 7, 2008 年 10 月 14 日
概要
はじめに
ファイアウォールがコンポーネントの通信を妨げていると、 SiteProtector は正常に機能できません。
本書では、ネットワークデバイスと SiteProtector コンポーネントがファイアウォールを介して通信
できるようにするための設定手順について説明します。
前提条件
本書は、次の知識に精通していることを前提としています。
ファイアウォール
●
ファイアウォールの設定手順
●
ネットワーク上のトラフィックをブロックするために使用するルーター、またはその他のデバ
イス
●
Windows レジストリーやプロパティーファイアウォールなどのシステムファイルの修正手順
本書中では、ファイアウォールには、パケットフィルタリングファイアウォール、ルーターおよ
び VPN などの、トラフィックをフィルタリングするデバイスも含まれます。これらのファイア
ウォールは、ネットワークアドレス変換 (NAT: Network Address Translation) も使用する場合もあり
ます。
注記 : ファイアウォールがトラフィックをブロックするように設定されていない場合、この章の
手順は該当しない場合があります。
タスクの概要
表 1 では、タスクの完了に役立つチェックリストについて説明します。
9
タス
ク

1
説明
必要なポートを開くようにファイアウォールを設定する。
「SiteProtector トラフィックのポート情報」 (4 ページ ) を参照してください。
表 1: タスクの概要
IBM Internet Security Systems
1
Configuring Firewalls for SiteProtector Traffic
9
タス
ク

2
説明
ファイアウォールが Third Party Module と Cisco、 Checkpoint ファイアウォール、
または他の SiteProtector コンポーネント間にある場合は、 Third Party Module トラ
フィックに対してファイアウォールを設定する。
「Third Party Module ( 国内未サポート ) トラフィックのポート情報」 (8 ページ ) を
参照してください。

3
Internet 経由で SiteProtector のアップデートを入手している場合、 Internet アクセ
スに関するファイアウォールルールを設定する。
「インターネットアクセスのポート情報」 (10 ページ ) を参照してください。

4
NAT ファイアウォールがコンソールと Application Server 間にある場合は、
Application Server のプロパティーを設定する。
「NAT ファイアウォールとの通信向けの Application Server」 (12 ページ ) を参照し
てください。

5
NAT ファイアウォールが Proventia Desktop エージェントと Agent Manager 間にあ
る場合は、 Agent Manager のプロパティーを設定する。
「NAT ファイアウォールを経由する通信向けの Agent Manager の設定」 (14 ページ )
を参照してください。
表 1: タスクの概要 ( 続き )
本書の内容
本書では、次のセクションについて説明します。
セクション
ファイアウォールポート情報
3
NAT ファイアウォール向けのコンポーネント設定
11
文書の内容は変更されることがあります。
2
ページ
セクション A:
ファイアウォールポート情報
はじめに
SiteProtector コンポーネントまたはモジュールがファイアウォールの背後にある場合は、コンポー
ネントやモジュールが通信できるようにファイアウォールの再設定をする必要があります。このセ
クションでは、異なるタイプのトラフィックに対するファイアウォールポートを設定するための
背景情報と手順について説明します。
TCP/IP ポート
ファイアウォールは一般的に、 IP アドレスと TCP または UDP ポートによってトラフィックをフィ
ルタリングします。ファイアウォールは通常、明示的に許可されていない限り、こうしたアドレス
とポートをブロックします。
ファイアウォールの一般
的な位置
ファイアウォールはネットワーク上の任意の場所に設置できますが、最も一般的な場所は次のとお
りです。
このセクションの内容
●
コンソールと Application Server の間
●
Application Server とエージェントの間
●
Agent Manager と Proventia Desktop エージェントの間
●
Event Collector とエージェントの間
●
Application Server とインターネットの間
●
Application Server と Third Party Module の間
このセクションでは、次のトピックについて説明します。
トピック
ページ
SiteProtector トラフィックのポート情報
4
Third Party Module ( 国内未サポート ) トラフィックのポート情報
8
Active Directory 統合のポート情報
9
インターネットアクセスのポート情報
10
Contents of document subject to change.
3
Configuring Firewalls for SiteProtector Traffic
SiteProtector トラフィックのポート情報
はじめに
このトピックでは、 Third Party Module を除くすべての SiteProtector コンポーネント間でトラフィッ
クを許可するファイアウォールルールの設定に役立つ情報について説明します。
要件
発信元コンポーネントと宛先コンポーネントの間にファイアウォールがある場合は、指定の宛先
ポートへの着信トラフィックを許可するファイアウォールルールを作成します。
参照 : ファイアウォールルールの作成と設定に関する具体的な手順については、お使いのファイ
アウォールのマニュアルを参照してください。
開いている必要のある宛宛先ポートは、特に指示がない限り TCP プロトコルを使用します。表 2 は、それぞれの
先ポート
SiteProtector コンポーネントの組み合わせ間で通信を行うために開いている必要のある宛先ポート
を説明します
発信元コンポーネント
宛先コンポーネン
ト
ワイヤープ
ロトコル
暗号化
宛先ポート
SiteProtector Console
SP Server
HTTP/SP
あり
Server/RMI/
JRMP/JMS
3988, 3989, 3994,
3996, 3997, 3998,
3999, 8093
Event Viewer
N/A
あり
3993
ADS Appliance
HTTP
あり
443
IBM ISS の Web
サイト
HTTP
なし
80
表 2: SiteProtector エージェント間のトラフィックを許可するファイアウォールポート
文書の内容は変更されることがあります。
4
SiteProtector トラフィックのポート情報
発信元コンポーネント
宛先コンポーネン
ト
ワイヤープ
ロトコル
暗号化
宛先ポート
SP Server
Databridges
L/Sa
あり
2998
Active Directory
Server
LDAP
なし
389, 3268b
Event Collector
HTTP/L/S
あり
2998, 8996
SecurityFusion
module
L/S
あり
2998
Agent Manager
L/S/HTTP
あり
2998, 3995
Deployment
Manager
L/S
あり
2998
X-Press Update
Server
HTTP
あり
3994
Event Archiver
HTTP
あり
8998
Site DB
JDBC/TDS/ あり
名前付きパ
イプ
(Named
Pipe)、また
は RPS
1433, 445, 135,
Proventia Network
MFS
HTTP
あり
443
External Ticketing
Server
ベンダー固
有情報
(Vendor
Proprietary)
あり
1058, 1069d
1434 ( 暗号化されて
いない UDP ポート )
c
SNMP Server
SNMP
なし
162
SMTP Server
SMTP
なし
25
Internet Scanner
L/S
あり
2998
Network Sensor
L/S
あり
2998
Server Sensor
L/S
あり
2998
Proventia Nework
IDS
L/S
あり
2998e
Third Party
Module
L/S
あり
2998
Remote Host
Windows
RPC
なし
135
IBM MSS の Web
サイト
HTTP
あり
443
HTTP
あり
8082
Desktop Agents (7.0 以 Agent Manager
前)
表 2: SiteProtector エージェント間のトラフィックを許可するファイアウォールポート ( 続き )
Contents of document subject to change.
5
Configuring Firewalls for SiteProtector Traffic
発信元コンポーネント
宛先コンポーネン
ト
ワイヤープ
ロトコル
暗号化
宛先ポート
Agent Manager
Desktop Agent
N/A
なし
ICMP
SP Server
HTTP
あり
3994
Site DB
OLE DB/
RPC/ 名前
付きパイプ
設定可能
1433, 135, 445, 1434
SNMP Server
SNMP
なし
162
Databridge
L/S
あり
901-930
Agent Manager
L/S
あり
914
Event Archiver
HTTP
あり
8997
Event Collector
L/S
あり
912
SP Server
HTTP
あり
3994
Internet Scanner
L/S
あり
901-930
Network Sensor
L/S
あり
901-930
Proventia Network
IDS
L/S
あり
901-930f
SNMP Server
SNMP
なし
162
RealSecure
Sensor Agent
L/S
あり
901-930
SecurityFusion
module
L/S
あり
901-930
Site DB
ODBC/
RPC/ 名前
付きパイプ
設定可能
1433, 135, 445, 1434
IBM MSS Event
Server
HTTP
あり
8443
SP Server
HTTP
あり
3994
Agent Manager
HTTP
あり
3995
Web Console
SP Server
HTTP
あり
3994
Web ブラウザー
Deployment
Manager
HTTP
あり
3994
Agent Manager
HTTP
あり
8085
Agent Managerg
HTTP
あり
3995
Event Collector
Event Archiver
Proventia Network
IDS、 Proventia
Network IPS、
Proventia Network
MFS、および
Proventia Server
表 2: SiteProtector エージェント間のトラフィックを許可するファイアウォールポート ( 続き )
文書の内容は変更されることがあります。
6
SiteProtector トラフィックのポート情報
発信元コンポーネント
宛先コンポーネン
ト
ワイヤープ
ロトコル
暗号化
宛先ポート
L/S
あり
950
Site DB
ODBC/
RPC/ 名前
付きパイプ
設定可能
1433, 135, 445, 1434
Proventia Server IPS
Agent Manager
HTTP
あり
3995
Proventia Desktop
Agent Manager
HTTP
あり
3995
Event Viewer Service
SP Server
RMI/JRMP
あり
3989, 3988
Update Server
Agent Manager
HTTP
あり
3995
IBM ISS の Web
サイト
HTTP
あり
443
SecurityFusion module Event Collector
表 2: SiteProtector エージェント間のトラフィックを許可するファイアウォールポート ( 続き )
a.
b.
c.
d.
e.
f.
g.
ワイヤープロトコル列の「L/S」は「Leap / Score」の省略形です。
ポート 3268 はグローバルカタログから参照しています。
ベンダー固有情報 (Vendor Proprietary) とは、そのベンダーに特有の情報を意味しています。
ポート 1069 は Remedy の Web サイトに基づいています。
宛先ポート 443 を使用する Proventia Network IPS FW 1.0 以降
宛先ポート 901 ～ 903 が使用されるのは、 Proventia Network IDS FW 1.0 より前のバージョンだけです。
Agent Manager と通信するすべての Proventia Agents、 Desktop Agent 7 とそれ以前のバージョンには、
Command & Control が含まれています。
Contents of document subject to change.
7
Configuring Firewalls for SiteProtector Traffic
Third Party Module ( 国内未サポート ) トラフィックのポート情報
はじめに
要件
ファイアウォールが Third Party Module (TPM) と次のファイアウォールやコンポーネントの間にあ
る場合は、トラフィックを許可するようにファイアウォールを設定する必要があります。
●
CheckPoint ファイアウォールまたは Cisco ファイアウォール
●
別の SiteProtector コンポーネント
発信元コンポーネントと宛先コンポーネントの間にファイアウォールがある場合は、指定の宛先
ポートへの着信トラフィックを許可するファイアウォールルールを作成します。
参照 : IBM ISS Web サイトから「SiteProtector Third Party Module Guide」を参照してください。
開いている必要のある宛表 3 では、 SiteProtector コンポーネントと TPM との間で通信を行うために開いている必要のある宛
先ポート
先ポートを説明します。
発信元コンポーネント
宛先コンポーネント
宛先ポート
Cisco Secure PIX
Sensor Controller
2998/tcp
Event Collector
901-931/tcp
Third Party Module
514/udp
Event Archiver
SP Server
3994
Sensor Controller
Third Party Module
2998/tcp
Event Collector
Third Party Module
901-931/tcp
表 3: Third Party Module とその他のコンポーネントとの間のトラフィックを許可するファイア
ウォールポート
文書の内容は変更されることがあります。
8
Active Directory 統合のポート情報
Active Directory 統合のポート情報
はじめに
Active Directory を SiteProtector と統合するには、 Sensor Controller が Active Directory と特定のポー
ト上で通信可能である必要があります。
開いている必要のある宛表 4 では、 SiteProtector コンポーネントと Active Directory との間で通信を行うために開いている必
先ポート
要のある宛先ポートを説明します。
プロトコル
TCP ポート
Kerberos 認証
88
Lightweight Directory Access Protocol (LDAP)
389
Kerberos パスワード
464
LDAP over SSL
636
Microsoft グローバルカタログ
3268
Microsoft グローバルカタログ LDAP/SSL
3269
表 4: SiteProtector Sensor Controller と Active Directory との間の通信を許可するポート
Contents of document subject to change.
9
Configuring Firewalls for SiteProtector Traffic
インターネットアクセスのポート情報
はじめに
SiteProtector アップデートをインターネットからダウンロードする場合は、この通信を許可するよ
うにファイアウォールルールを再設定する必要があります。このトピックでは、インターネット
アクセス用にファイアウォールルールを設定する手順を説明します。
参照 : 具体的な手順については、お使いのファイアウォールのマニュアルを参照してください。
要件
発信元コンポーネントと宛先コンポーネントの間にファイアウォールがある場合は、指定の宛先
ポートへの着信トラフィックを許可するファイアウォールルールを作成します。
開いている必要のある宛表では、 SiteProtector コンポーネントと IBM ISS のダウンロードページとの間で通信を行うため
先ポート
に開いている必要のある宛先ポートを説明します。
プロトコル
宛先アドレス
宛先ポート
SSL または HTTPS
xpu.iss.net
443
SSL または HTTPS
www.iss.net
443
SSL または HTTPS
download.iss.net
443
HTTP
iss.net
80
表 5: Application Server とインターネットとの間のトラフィックを許可するポート
重要 : Deployment Manager からアップデートをダウンロードする場合は、安全なプロトコル (SSL
または HTTPS) の使用をお勧めします。
文書の内容は変更されることがあります。
10
セクション B:
NAT ファイアウォール向けのコンポーネン
ト設定
概要
はじめに
SiteProtector コンポーネントが、 NAT またはその他のタイプのアドレス変換を使用するファイア
ウォールの背後にある場合は、 SiteProtector コンポーネントが通信できるように追加の設定タスク
を実行する必要があります。
SiteProtector と NAT のデフォルトでは、一部の SiteProtector コンポーネントは、その他のコンポーネントとの通信にプラ
イベート IP アドレスを使用するように設定されています。 NAT ファイアウォールは通常、プライ
併用における問題
ベート IP アドレスを使用するコンポーネントをブロックします。
NAT 通信の有効化
NAT 通信の問題点を修正するには、パブリック IP アドレスと完全修飾ドメイン名のいずれかを使
用するように SiteProtector コンポーネントを設定する必要があります。
NAT ファイアウォール
の一般的な位置
NAT は通常、イントラネット上に位置するファイアウォールではなく、外部ファイアウォール上
で有効になっています。ファイアウォールが次のコンポーネントの間にあると、通信上の問題が発
生する可能性があります。
このセクションの内容
●
リモートのコンソールと Application Server
●
リモートの Proventia Desktop エージェントと Agent Manager
このセクションでは、次のトピックについて説明します。 :
トピック
ページ
NAT ファイアウォールとの通信向けの Application Server
12
Sensor Controller および Application Server サービスの再起動
13
NAT ファイアウォールを経由する通信向けの Agent Manager の設定
14
Contents of document subject to change.
11
Configuring Firewalls for SiteProtector Traffic
NAT ファイアウォールとの通信向けの Application Server
はじめに
このトピックでは、 NAT ファイアウォールと通信できるように Application Server を設定する方法
を説明します。
重要 : NAT ファイアウォールが Application Server とコンソールの間にある場合に限り、このト
ピックの手順を実行します。
参照 : アプリケーションサービスの停止と再起動に関する詳細は、「Sensor Controller および
Application Server サービスの再起動」 (13 ページ ) を参照してください。
手順
Application Server を NAT 向けに設定するには :
1. Application Server サービスを停止します。
2. タスクバーの [ スタート ] をクリックし、 [ ファイル名を指定して実行 ] を選択します。
3. [ 名前 ] フィールドに「regedit」を入力します。
レジストリーエディターが表示されます。
4. 次のパスに移動します。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\
5. 次の表を使用して、レジストリーキーを設定します。
例
フォルダー
項目
変更
issSPAppService\Parameters
JVM Option
Number 6
値データを IP アドレスから
DNS 名に変更します。
issSPSenCtlService\Parameters
IPBind
値データを IP アドレスから
DNS 名に変更します。
—Djava.rmi.server.hostname=public_IP_or_FQDN
6. Sensor Controller と Application Server サービスを再起動します。
文書の内容は変更されることがあります。
12
Sensor Controller および Application Server サービスの再起動
Sensor Controller および Application Server サービスの再起動
はじめに
NAT で通信できるように Application Server を設定したら、 Sensor Controller および Application
Server サービスを再起動して変更を有効にする必要があります。
手順
Sensor Controller と Application Server サービスを停止または再起動するには :
1. Application Server と Sensor Controller がインストールされているコンピューターのタスクバー
で、 [ スタート ] をクリックして、 [ 設定 ]Æ [ コントロールパネル ] の順に選択します。
2. [ 管理ツール ] フォルダーを開き、 [ サービス ] をダブルクリックします。
[ サービス ] ウィンドウが表示されます。
3. 右側のウィンドウ枠で、 [SiteProtector Sensor Controller Service] が見つかるまでスクロール
し、これを選択します。
4. 次のいずれかを行います。
■
サービスを停止するには、ツールバーの [ サービスの停止 ] ( 停止オプション ) をクリックし
ます。
■
サービスを開始するには、ツールバーの [ サービスの開始 ] ( 開始オプション ) をクリックし
ます。
5. Application Server について、手順 1 ～ 4 を繰り返します。
Contents of document subject to change.
13
Configuring Firewalls for SiteProtector Traffic
NAT ファイアウォールを経由する通信向けの Agent Manager の設定
はじめに
NAT ファイアウォールが Agent Manager と Proventia Desktop エージェントの間にある場合に限り、
このトピックの手順を実行します。この手順では、 NAT ファイアウォールと通信できるように
Agent Manager を設定します。
重要な前提条件
この手順は、エージェントビルドの生成前に行う必要があります。生成する前に行わなかった場
合、エージェントは Agent Manager と通信できず、エージェントビルドの再作成が強制されます。
手順
Agent Manager を NAT 向けに設定するには :
1. Agent Manager がインストールされているコンピューター上で、次のパスで Agent Manager 初
期化ファイルを探します。
\Program Files\ISS\SiteProtector\AgentManager\rsspdc.ini
2. テキストエディターでファイルを開きます。
3. dcName を次のいずれかに変更します。
■
DNS 名 ( 推奨オプション )
■
パブリック IP アドレス
注記 : DNS 名オプションを選択した場合は、 IP アドレスに解決できるようにしてください。
4. ファイルを保存します。
5. コンソールで [Agent Manager] アイコンを右クリックして、 [Stop] を選択します。
6. [Agent Manager] アイコンを右クリックして、 [Start] を選択します。
文書の内容は変更されることがあります。
14

Download Report