 |
IPSアプライアンスカタログ2005[中編]
DoS攻撃やスパイウェアにも効く
不正侵入防御システム
@IT編集部
2005/7/29
 |
DefensePro(日本ラドウェア) |
日本ラドウェアは、L4-7スイッチで実績を重ねてきた企業だ。「DefensePro」も開発のベースになったのは同社のスイッチ製品で、ハードウェアとしての信頼性は非常に高い。また、競合製品と比べてポート数が多く、1台で最大11セグメントを監視・防御することができる。
DefenseProの発表は2003年12月であるが、同社はそれ以前にSynApps(シナプス)と呼ばれるセキュリティアーキテクチャを展開している。SynAppsは、ヘルスモニタ、負荷分散、帯域制御、侵入防御、DoSプロテクションという5つのサービスを備えており、同社のロードバランサ「LinkProof」などと組み合わせることでIPS機能を実現できた。DefenseProは、この実績をベースにIPSアプライアンスとして生まれた。
スループットは100Mbpsから3Gbps。4製品がラインアップされている。SOC(セキュリティオペレーションセンター)は米国とイスラエルの2カ所に存在し、アウトブレーク発生後6時間以内にパッチアップデートが実施される。
●ASICベースの高速なシグネチャマッチングエンジン搭載
最大3Gbpsというスループットを実現するため、DefenseProの上位2機種(DefensePro 1000、DefensePro 3000)には、StringMatch Engineと呼ばれるハードウェアアクセラレータが用意されている。これは1サイクルで最大25万6000個のシグネチャをパラレルで照合するものだ。通常、シグネチャの数が増えればマッチングにかかる時間が増加し、結果的にパフォーマンスが低下する。これをRISCプロセッサと最大8つのASICで構成されるアクセラレータで回避できる。
また、DoS/DDoS攻撃へのリアルタイムな防御にも優れている。DoS攻撃のタイプによって、防御方法はいくつか考えられる。ランドアタックやTCPヘッダに不正なフラグを記しているフラッディングアタックなどに対してはシグネチャでの検知・防御が可能だ。また、正常な通信との違いを検出するのが難しいフラッディングアタックに対しては、シグネチャに加えてしきい値を組み合わせた検知・防御ができる。
SYNアタックについては、ディレイドバインディングが効果的だ。これは、クライアントとサーバの間に入ったDefenseProがクライアントからのTCP通信が正常なものかどうかを判断し、TCP通信が確立したものだけをサーバに渡すもの。DefenseProではSYNクッキーと組み合わせて防御している。ちなみに、秒間100万SYNアタックを防御できるという。
導入については、1st Timeウィザードと呼ばれるテンプレートが準備されている。Javaベースの管理コンソール「Configware Insite」から6つのステップで、企業内LAN用、ネットワーク境界部用、DMZ用、キャリア用、大学内LAN用などの設定を完了できるもので、15分以内の導入を目指している。
管理画面のリアルタイムモニタは、競合製品と一風変わった表示方法が用意されている。特徴的なのはミリタリー物の映画やドラマで見掛けるようなレーダービュウだろう。3つの同心円で構成されていて、中心部ほど危険度の高い攻撃が表示される(方向については、特に関係はないという)。また、攻撃元の国が一目で分かる世界地図型の「ジオグラフィカルマップ」もある。
DefenseProの今後の展開として、トラフィックを3次元曲線で分析し、自動的にシグネチャを作成する機能が実装されるという(残念ながら、詳細については教えてもらえなかった)。
| 3000 | 1000 | 200 | 100 | |
|---|---|---|---|---|
| 価格 | 1396万円 |
798万円 |
498万円 |
199万円 |
性能
|
||||
| スループット | 3Gbps |
1Gbps |
200Mbps |
100Mbps |
| 同時セッション数 | 1,100,000 |
500,000 |
500,000 |
120,000 |
| 監視セグメント数 | 11 |
10 |
10 |
3 |
| 監視用ポート数 | ||||
| Gigabit Ethernet | 7 |
5 |
5 |
- |
| Fast Ethernet | 16 |
16 |
16 |
8 |
| サイズ | ||||
| 筐体 | 1U |
1U |
1U |
1U |
 |
| 写真は3000 |
 |
2/4 |
|
| Index | |
| DoS攻撃やスパイウェアにも効く不正侵入防御システム | |
| Page1 IPSは難しい? |
|
 |
Page2 DefensePro(日本ラドウェア) |
| Page3 Symantec Network Security 7100(シマンテック) |
|
| Page4 ジュニパーネットワークスIDP(ジュニパーネットワークス) |
|
| IPSアプライアンスカタログ | |
| セキュリティの次の一手となる不正侵入防御システム (ISS、マカフィー) |
|
| 関連リンク | |
| IPSの実装方法と防御技術とは | |
| IPSを実装する場所と考慮すべき点 | |
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
