 |
IPSアプライアンスカタログ2005[中編]
DoS攻撃やスパイウェアにも効く
不正侵入防御システム
@IT編集部
2005/7/29
 |
ジュニパーネットワークスIDP (ジュニパーネットワークス) |
ジュニパーネットワークスの不正侵入防御アプライアンスは、IPSではなく「IDP(Intrusion Detection and Prevention)」と呼ばれている。このIDPこそが初めてアプライアンス製品として市場に登場したIPSなのだ(2002年に登場したときの開発元はOneSecure。OneSecureはその後NetScreenに買収され、NetScreenはジュニパーネットワークスに買収された)。
IDP 50/200/600/1100の4タイプ(6モデル)が用意されており、最大スループットは50Mbpsから1Gbps。シグネチャ検知やアノーマリ検知のほか、IPスプーフィング検知やレイヤ2攻撃検知、ネットワークハニーポットなど8種類のセンサを持つ。ちなみにシグネチャの更新は毎日実施される。また、SIPのプロトコルデコード機能を他社に先駆けて実装した(従来はシグネチャベースだった)。
アプライアンス型のIPSとして一番長い歴史を持つことから、他社製品が持つIPSとしての基本機能は当然備えている。ジュニパーネットワークスが現在取り組んでいる課題は、ユーザーが抱く「IPSの運用は難しい」「専門知識が要求される」という苦手意識のブレークスルーである。そのためIPSの管理画面を、多くの管理者が普段から目にするファイアウォールのそれに似せたものにし、「何をどうしたらいいのか」が直感的に分かるようなインターフェイスを目指している。
●ITマネージャ層にこそネットワークで何が起きているのかを知ってほしい
ジュニパーネットワークスIDPの特徴として、ESP(Enterprise Security Profiler)が挙げられる。これは平時からネットワークを流れるすべてのパケットをプロファイリングし、アプリケーションごと、プロトコルごとにデータをデータベースに収集するもの。ユーザーとサーバの間でやりとりされるユーザーネーム、コマンド、IPアドレス、利用しているWebブラウザやメールソフトの種類やバージョンなどが収集され、管理者がネットワークの状況をいつでも把握することが可能となる。
このように平時の情報が蓄積されているため、ネットワークに何らかの変化が発生すれば攻撃の予兆として早期発見につなげられる。例えば、新しいポートが使われ始めたとすれば、それは新たなアプリケーションが利用され始めたのか、そうでなければ誰かがワームに感染したのではないかと疑うことができるのだ。
万が一、問題が発生したとしても、攻撃のあて先アドレスやワームの送信元アドレスなどが収集されているため、管理者は即座に問題解決のアクションを起こすことが可能となる。セキュリティが低い持ち込みPCによるネットワーク内部からの攻撃が問題となっている昨今、社内に無許可のサーバやPC、アプリケーションが接続された段階で管理者に警告が出る設定で運用することも可能なので、単なるIPSではなくネットワーク管理ツールとしても効果を発揮するだろう。
そのほか技術的に面白いと思われるのは、バッファオーバーフローエミュレータだろう。これは「シェルコードを一網打尽にするもの」(同社担当者)もので、悪意のあるコードが実行されるところを監視している。詳細については企業秘密とのことだが、低いレイヤでエミュレート(例えば、チップをエミュレートし命令部分を解析)しているという。この結果、バッファオーバーフローを引き起こす攻撃に対する検知精度が格段に向上した。シグネチャによってマッチングしているのではないので、次々と登場する攻撃の亜種にも効果的な検知能力を発揮する。
導入は約10種類のテンプレートをベースに開始し、自社のネットワークに適した形にカスタマイズしていく。将来的には、インストールやカスタマイズの部分を簡略化し、より敷居の低い不正侵入対策を実現したいという。
| 1100 | 600 | 200 | 50 | |
|---|---|---|---|---|
| 価格 | オープンプライス |
|||
性能
|
||||
| スループット | 1Gbps |
500Mbps |
250Mbps |
50Mbps |
| 同時セッション数 | 500,000 |
220,000 |
70,000 |
10,000 |
| 監視セグメント数 | 5 |
5 |
4 |
1 |
| 監視用ポート数 | ||||
| 10/100/1000 BASE-T | 10 |
10 |
8 |
2 |
(600、1100モデルにはGigabit Fiber対応バージョンあり) |
||||
| サイズ | ||||
| 筐体 | 2U |
2U |
2U |
1U |
 |
| 写真は200 |
 |
4/4 |
| Index | |
| DoS攻撃やスパイウェアにも効く不正侵入防御システム | |
| Page1 IPSは難しい? |
|
| Page2 DefensePro(日本ラドウェア) |
|
| Page3 Symantec Network Security 7100(シマンテック) |
|
 |
Page4 ジュニパーネットワークスIDP(ジュニパーネットワークス) |
| IPSアプライアンスカタログ | |
| セキュリティの次の一手となる不正侵入防御システム (ISS、マカフィー) |
|
| 関連リンク | |
| IPSの実装方法と防御技術とは | |
| IPSを実装する場所と考慮すべき点 | |
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
