 |
IPSアプライアンスカタログ2005[後編]
ワームの拡散を防ぐ不正侵入防御システム
岡田大助@IT編集部
2005/9/29
 |
Attack Mitigator IPS 5500 (トップレイヤーネットワークス) |
トップレイヤーネットワークスのIPSに対するアプローチは他社と一線を画しているといっていい。IPSは不正侵入を検知して防御する装置であるが、通常、検知の部分はIDSで培われた技術(シグネチャによるパターンマッチングやアノーマリ検知)が発展したものが多い。トップレイヤーではこれを「IDSライクなIPS」と呼んでいる。
では、トップレイヤーの製品はどうなのかというと「ファイアウォールライクなIPS」なのだ。同社はシグネチャというものに頼っていない。ファイアウォールの基本機能であるステートフルインスペクションをベースにパケットフィルタリングやプロトコルチェックを用いて不正侵入を検知する。
ファイアウォールの発展形であることから当然インラインでの運用を前提にした性能を実現している。スループットは200Mbpsから最上位機種では4GbpsとIPSカタログの1回目、2回目で紹介してきた製品を凌ぐ。スループットもさることながら、トップレイヤーが強調するのは「転送遅延の少なさ」と「高いコネクション処理レート(1秒間に何コネクションを処理できるか)」だ。
また、スイッチなどのネットワーク機器並みのハイアベイラビリティを実現した。「ProtectionCluster」と名付けられたIPSクラスタ技術では、Active-Activeでのロードバランシングを行う。処理フローの情報は相互に交換しあっており、どちらかの装置に障害が発生してもライブコネクションを継続する。担当者は「VoIPで通話している最中に一方のラインを引き抜いても瞬断さえ気付かない」という。
●多層的なTopFire侵入防御アーキテクチャ
Attack Mitigator IPS 5500がリリースされたのは2004年6月。以来、日本国内では1年間に100台近くが出荷された。それは、TopFireと名付けられたASICとFPGAによる多層的な防御アーキテクチャが評価されたからだ。
多層的というのは、このアーキテクチャが「レートベースの攻撃からの防御」、ステートフルインスペクションによる「好ましくないアクセスの抑止」、ディープパケットインスペクション技術「TopInspect」による「悪意あるコンテンツからの防御」という3つの側面で構成されているからだ。
入力されたトラフィックは、まずDDoS攻撃の検知と流量制限による資源消費を検査される。最上位機種である5500-1000では秒間1.5M SYNに対応可能だ。その後、IPアドレスやアプリケーション番号を基にしたステートフルフィルタなどを駆使して不正なアクセスを弾く。
TopInspectを駆使するコンテンツベースの防御では、「プロトコル審査モジュール(PVM)」がHTTP、SMTP、DNS、FTP、TELNET、SSH、MS-RPC、MS-CIFSなどを対象としたアプリケーション使用基準審査を行う。現在、500以上のチェックルールが実装されており、プロトコル上で不正なリクエスト・レスポンス、不正フォーマット、コマンドインジェクションを介するネットワーク感染型の攻撃などを防御する。一部のペイロードチェックも実施するため、エクスプロイトコードを潜り込ませるような攻撃も検知可能だ。
シグネチャによる攻撃の検知に頼っていないという不安は、このような多層的なアプローチによって解消されるはずだ。アプリケーション使用基準審査の考え方は、ほかのベンダがアピールしている脆弱性シグネチャの考え方に通じるものがある。
いわゆるシグネチャと呼ばれるものは、脆弱性が発表され、それを突くための攻撃の手法が解明された後に作られる“攻撃手法のパターンマッチング”だ。これに対して脆弱性シグネチャとは、脆弱性が発表された場合、どのような攻撃手法を用いられようとも、その脆弱性そのものをふさいでしまえばいいという防御方法である。それ故、脆弱性シグネチャにしても脆弱性が発表されてからリリースされる(公表される前に脆弱性情報を入手している可能性もあるが)。
これに対してトップレイヤーの考え方は大きく異なっている。「脆弱性が発見される前に、脆弱性になり得そうなところを調査してチェックルールを作ってしまう」というのだ。具体的には、RFCに沿っているにもかかわらず、想定外の値が入るケースがある。つまりRFCが現状にそぐわないのにアップデートされていないというものだ。これを「RFCに沿った“正当”な値であっても、そもそもそれが正当であるのはおかしい」と規定し直すのがトップレイヤーのチェックルールとなる。最近、猛威を振るったZotobワームは「ビンゴだった」とのことだ。
| 1000 | 500 | 100 | 50 | |
|---|---|---|---|---|
| 価格(参考) | 約1600万円 |
約1000万円 |
約500万円 |
約300万円 |
性能
|
||||
| スループット | 4Gbps |
2Gbps |
400Mbps |
200Mbps |
| 同時セッション数 | 1,000,000 |
512,000 |
512,000 |
128,000 |
| 監視セグメント数 | 4 |
4 |
2 |
2 |
| コネクションセットアップ (CPS) |
50,000 |
50,000 |
50,000 |
15,000 |
| 監視用ポート数 | ||||
| Gigabit Ethernet | 4 |
4 |
- |
- |
| Fast Ethernet | 4 |
4 |
4 |
4 |
| サイズ | ||||
| 筐体 | 2U |
2U |
2U |
2U |
 |
| 写真はIPS5500-1000 |
 |
2/4 |
|
| Index | |
| ワームの拡散を防ぐ不正侵入防御システム | |
| Page1 IPSをどのように評価すべきか |
|
 |
Page2 Attack Mitigator IPS 5500(トップレイヤーネットワークス) |
| Page3 SecureSoft Absolute IPS(セキュアソフト) |
|
| Page4 UnityOne(TippingPoint) |
|
| IPSアプライアンスカタログ | |
| セキュリティの次の一手となる不正侵入防御システム (ISS、マカフィー) |
|
| DoS攻撃やスパイウェアにも効く不正侵入防御システム (日本ラドウェア、シマンテック、ジュニパーネットワークス) |
|
| 関連リンク | |
| IPSの実装方法と防御技術とは | |
| IPSを実装する場所と考慮すべき点 | |
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
