Embed Size (px)
Citation preview
SecureSoft Sniper IPS White Paper
1
SecureSoft Sniper IPS White Paper アプライアンス製品
1. IPSとは
IPS とは Intrusion Prevention System の略で、ネットワーク上の不正アクセスの検知・
防御を能動的に行い、自動的に対応するソリューションです。ネットワークの遅延を最小
化してネットワーク通信の切断を発生させないことが大前提となります。
1.1 SecureSoft Sniper IPSの紹介
Sniper IPS はネットワーク上で発生するハッキング行為に対する脅威を検知、防御します。ワ
ームやウィルスのような有害トラフィックを適切にブロッキングすることによって、ネットワー
クの信頼性と安定性を保証します。また、コンピュータシステムに対する改ざん、誤用等の行為
をリアルタイムで検知、遮断して管理者へ通報することにより、内部情報の漏洩を監視および遮
断することができます。
SecureSoft Sniper IPS White Paper
2
2. SecureSoft Sniper IPSの特長
2.1 ダイナミックなルールの適用
Sniper IPS はリアルタイムで検知した不正アクセスに対してダイナミックなルールを適用
して防御することができます。即ち、検知した攻撃に対して一定時間(秒単位)を設定してブ
ロッキングポリシーを適用することが可能です。
2.2 Sniper Xドライバ
Sniper IPS ではネットワーク上に流れているパケットを収集するために、独自技術による
Sniper-X ドライバを搭載しております。これによって、パケットの収集能力をアップして
ネットワークの遅延を最小化することが可能になりました。
2.3 ALSI(Application Layer Stateful Inspection)エンジンの搭載
Sniper IPS で収集したパケットは ALSI エンジンを使いパケットの状態をレイヤー7まで
分析します。分析する際にはシグネチャデータとマッチングしながら攻撃であるかどうか
を判定します。このエンジンではパケットベース(One-Way)およびセッションベース
(Two-Way)の攻撃も対象とし、検知・防御の処理を同時に行うことを実現しています。ま
た、TCP Connection-Oriented ベースの攻撃を精度の高いセッション組合せ技術で検知、
防御します。
SecureSoft Sniper IPS White Paper
3
区分 内容
例外 IP IP レベルで検知・防御の処理を例外として管理します。
- SRC : 攻撃元
- DST : 攻撃対象
- SRC-DST : 攻撃元と攻撃対象を同時にチェックします。
Black Hole
実際にブロッキングされるリストを管理します。
- SN_SRC_IP : 攻撃元(全てのサービス)
- SN_DST_IP : 攻撃対象(全てのサービス)
- SN_AND_IP : 攻撃元と攻撃対象を同時にチェックします。(1:1)
- SN_SRC_SERV : 攻撃元、対象サービス(1:N)
- SN_DST_SERV : 攻撃対象、対象サービス(N:1)
Firewall IP Range、ポートごとに ACCEPT, DROP の処理を行います。
IPS
パケットの Layer4 + Payload 情報を検査します。
- Pattern Block
ワーム系の攻撃等に対して Pattern Matching します。
- WebCGI
Web サービスに対して Pattern Matching します。
IDS パケットの L7 まで分析して複雑な攻撃に対応します。
DoS、Service 攻撃、Backdoor 攻撃などに対応します。
※ Firewall のエンジンは ON/OFF 可能です。
※ IPS エンジンを無効にして IDS として運用することも可能です。
2.4 Fail Over Device
Sniper IPS はインラインモードで運用さ
れるため、システムに障害が発生した場合、
ネットワークに影響を与えてしまい、正常
なサービスができなくなる可能性があり
ます。このような問題を回避するために
Fail Over Device というデバイスを LAN
カードに内蔵し、システムに障害が発生し
ても迂回できる機能を提供しています。
※ Sniper IPS は In-Line、SPAN、Bypass モードに切り替えることが可能です。SPAN モ
ードの場合は、通常の Bypass モードと同じ動作をしながら、IDS としてネットワーク
トラフィックをモニタリングするためにパケットをミラーリングします。
SecureSoft Sniper IPS White Paper
4
2.5 Anomalyの検知
Sniper IPS は、ネットワークトラフィックのトレンドを分析する際に DoS、DDoS などの
攻撃が発生すると、1 分単位でトラフィックの分析したデータを基にしてイベントを検知す
ることができます。自動または手動で設定することも可能です。
2.6 ウェブベースの管理
暗号通信ポート(443)を使って Sniper IPS に接続して、モニタリングからコンフィギュレ
ーションできます。さらに、Sniper IPS に接続可能な管理者の IP アドレスを限定して運用
することも可能です。
2.7 False Positiveの最小化
Sniper IPS では False Positive を最小化するために次のようなメカニズムで運用されてい
ます。
内部・外部のネットワークを設定することによって、ネットワークの状況を正確に切
り分けることができます。
Raw データをキャプチャすることによって、管理者はパケット情報の詳細を確認する
ことができます。(Hacking Proof)
例外設定機能を使うことによって、正常なネットワークポイントを検知しない例外処
理をすることができます。
一つの攻撃を検知する条件として回数、時間を管理者がチューニングすることができ
ます。
新たな攻撃に対して管理者は任意の検知ポリシーを登録することができます。
SecureSoft Sniper IPS White Paper
5
2.8 ライブアップデート
次々と発生する新たな攻撃に対応するために独自の CERT チームを
組織し、Sniper IPS のお客様が迅速に対応できるためのライブアッ
プデートを提供しています。
定期的なライブアップデート対応に加え、致命的な攻撃が発生しても
24 時間以内に対応できる緊急対応システムを構築しています。
2.9 使いやすいユーザインタフェース
すべてのインタフェースを日本語化して様々な状況を可視化できるようにしています。
3. Sniper IPSのインタフェース
3.1 リアルタイムモニター
トラフィック
Sniper IPS を経由するトラフィック情報をリアルタイムで表示します。全体トラフィック
の履歴及び IP Pool で分類したオブジェクト単位の履歴に対して、テーブルやチャートで表
示します。
SecureSoft Sniper IPS White Paper
6
検知/防御/警報
Sniper IPS が検知した攻撃(Worm, DoS, Hacking 等)をリアルタイムで表示します。攻撃
に関する攻撃元、攻撃対象、ポート、プロトコル、開始及び終了時間などが表示されます。
また、攻撃に対する結果(検知、防御)も確認することができます。テーブルのデータは
グラフ化して確認することも可能です。
遮断
Sniper IPS がブロッキングした履歴をリアルタイムで表示します。自動に設定したブロッ
キング情報、または管理者が手動で設定したブロッキング情報が表示されます。その内容
としてはブロッキングする時間、開始時間、終了時間、攻撃元、攻撃対象などの情報が表
示されます。
3.2 総合報告書
Sniper IPS が収集したデータをデータベースとして管理する機能で、IPS が検知/遮断した
攻撃情報(イベント)及びモニタリングしたトラフィック情報を照会することができます。リ
アルタイムで収集した検知情報は攻撃が終了した約 1 分後に、このメニューで照会するこ
とができます。
3.3 システム監査
システム監査ではシステムの全般的な情報を管理します。システムの起動、接続管理、時
間同期化(サーバとクライアントの時間を合わせる)、保存したデータをバックアップ、バッ
クアップしたデータを復旧することなどができます。
3.4 環境設定
Sniper IPS 全体のシステム設定を管理します。ユーザ管理、ネットワーク設定、連動設定、
IP POOL 管理、ライブアップデートなどを設定します。特にネットワーク設定では、内部
IP アドレスの設定及び例外 IP を設定することができます。
3.5 セキュリティ設定
Sniper IPS に対する重要な検知ポリシーを設定することができます。登録されている攻撃
(シグネチャ)に対して検知、防御、閾値、攻撃回数などをユーザがチューニングすることが
できます。ファイアウォールでは、パケットを ACCEPT/DROP することができます。この
機能を使用するためには[システム監査]-[運用モード]でファイアウォール設定を’使用する
'に設定します。
SecureSoft Sniper IPS White Paper
7
4. Sniper IPSの仕様
4.1 ファミリー
区分 NE1000 NE2000 NE4000 備考
System
CPU
Intel Xeon
Quad Core
2.4GHz x 1
Intel Xeon
Quad Core
2.4GHz x 2
Intel Xeon
Quad Core
2.4GHz x 2
Memory 6GB 8GB 12GB
CF 2GB 2GB 2GB
HDD S-ATA2 500GB S-ATA2 500GB S-ATA2 1TB x 2
OS Embedded OS Embedded OS Embedded OS
Interface
Monitoring Interface 2 × 10/100
2 ×
10/100/1000
or 2 ×
Fiber(SX)
2 ×
10/100/1000
or 2 ×
Fiber(SX)
※1 追加
最大 2Seg
Management Interface 1 ×
10/100/1000
1 ×
10/100/1000
1 ×
10/100/1000
1 ×
Serial(RJ45)
1 ×
Serial(RJ45)
1 ×
Serial(RJ45)
HA Interface 1 ×
10/100/1000
1 ×
10/100/1000
1 ×
10/100/1000
SecureSoft Sniper IPS White Paper
8
Network Control
※ Bypass ○ ○ ○
TAP(IDS Mode) ○ ○ ○
HA
Fail-Over ○ ○ ○
Fail-Down × ○ ○
手動制御 × ○ ○
Etc.
Redundant Power ○ ○ ○
Lockable Front Bezel ○ ○ ×
Dimensions
(mmW x mmD x mmH) 494 x 562 x 87 494 x 562 x 87 494 x 562 x 132
Rack Type 2U 2U 3U
BTU 1432 BTU/hr 1432 BTU/hr 1705 BTU/hr
重さ 21.7Kg 21.7Kg 23.3Kg
電圧 100/240V
47/63Hz
100/240V
47/63Hz
100/240V
47/63Hz
電源最大容量 420W 420W 500W
消費電力 280W 280W 330W
動作温度 0℃ to 40℃ 0℃ to 40℃ 0℃ to 40℃
保管温度 -20℃ to 75℃ -20℃ to 75℃ -20℃ to 75℃
※ Bypass機能は全ての機種で標準実装されています。
※上記の情報は 2012年 05月リリース時のハードウェア仕様です。
SecureSoft Sniper IPS White Paper
9
4.2 多様な攻撃に対応
Winny検知について
① Winny とは
日本で開発されたファイル交換ソフトの一つで、高い匿名性と、独自の P2P 型匿名掲示板
システムが特徴です。
Winny は、ノード情報を共有して接続しているノードへア
クセスし相手の情報を取得することができます。
Winny は中央サーバを持たない純粋型の P2P ソフトで、
所持ファイルのリスト情報などは利用者間をバケツリレ
ー式に転送されます。
今回のリリースから Winny を利用するネットワーク通信
を全モデルで検知・防御することが可能になります。
② 検知方法
Winnyの通信は上記のように最初からノード情報を確認しますがSniper IPSでは暗号化さ
れたパケットを複合化し、Step1 と Step2 のパケットを分析して Winny のバージョン情報
を確認し、検知・防御することができます。
SecureSoft Sniper IPS White Paper
10
[セキュリティ設定]→[検知ポリシー]→[サービス攻撃]のカテゴリの中に Winny の検知が
可能なシグネチャが登録されています。
③ 防御方法
Sniper IPS では Winny 通信を検知することに成功したら下記のように防御します。
Winnyを使用するユーザの IPをブロ
ッキング(SN_SRC_IP 1:N)します。
Winny は多数のノードへアクセスす
るため、1:1 関係で検知したら多くの
検知イベントが発生してしまい、検
知効率がよくありません。これを避
けるために Sniper IPS では Winny
を利用するユーザのみブロッキング
するだけで一つのイベントで管理で
きます。
Sniper IPS で防御設定すると、Winny を使用しているユーザの PC はインターネットへ接
続することができなくなります。Winny の使用を中止して一定の時間が過ぎると、再びイ
ンターネット通信は可能になります。
SecureSoft Sniper IPS White Paper
11
DHCPの脆弱性を利用する攻撃について
攻撃者は DHCP 通信で利用する Discover, Discover
Offer, Request, Decline, ACK, NACK などのメッセー
ジを大量のパケットで送り DHCP サーバが正常に動作
できないようにします。DHCP 通信が成立される前まで
は IP アドレスがないため、Sniper IPS では MAC アド
レスを基準にして閾値を超えた攻撃に対して検知、防御
を 行 い ま す 。 (Discover Flooding, ACK Flooding,
Request Flooding, Decline Flooding…)
Sniper IPSではDHCPの通信で、MACアドレスやDHCP
タイプに誤りが存在した場合、検知・防御することがで
きます。(Invalid DHCP Type, Invalid MAC Address)
また、DHCP での Buffer Overflow の攻撃にも対応しま
す。
・検知方法
Sniper IPS には、DHCP 脆弱性に対応するシグネチャがカテゴリ「サービス拒否」に 11
個がありますが、それらのシグネチャには、DHCP のトラフィックを調節する QoS 機能が
あります。当該シグネチャに対して閾値の設定及び検知の有効化設定により、トラフィッ
ク量を調節することができます。
DNS脆弱性について
DNS サーバにおいて、DoS 又は DDoS 攻撃などによる DNS サーバの障害が発生する可能
性があります。その障害により、インターネットができない状況になります。このように
攻撃の被害が最も大きい DNS サーバへ不正の DNS クエリを投げ、DNS サーバの処理に負
荷をかけます。
SecureSoft Sniper IPS White Paper
12
Sniper IPS では、DNS トラフィックを検知及び遮断する機能や DNS トラフィック量を調
節する QoS 機能があります。 この機能により DNS サービスの継続性及びシステムの安定
性を確保することができます。
・検知方法
「サービス拒否」にある DNS 向けのシグネチャ 11 個を利用してネットワーク特性に合わ
せて検知ポリシーを設定します。さたに、DNS 向けのシグネチャに適用された QoS 機能を
利用すると DNS サーバに対するトラフィックを調節することができます。
VoIP脆弱性について
① 不正メッセージ攻撃
SIP のヘッダとボディの内容がプレーンテキスト
で作成されていることを利用して他の文字列を挿
入または削除します。例えば、大量の空白文字列
を入力して Overflow を発生させ、特殊文字を入力
して処理範囲を超えるようにするなどサービスに
影響を与えることができます。
② SIP Flooding 攻撃
大量の SIP メッセージを送り込んで該当サービス
を利用しているユーザに正常なサービスを利用す
ることができないようにする攻撃で、通常のネッ
トワーク上で発生する DoS(Denial of Service)と
似ています。しかし、コネクションのリクエスト
つまり INVITE メッセージの Flooding 攻撃が発生
した場合は、受信者の電話機が使えなくなるだけ
ではなく、 電話ベルが鳴りっ放しの状態になるな
ど、非常に深刻な状況になる可能性が高くなりま
す。
③ Spoofing 攻撃
送信先 IP や URI(Uniform Resource Identifiers, サービスでは ID と同等の意味)を変造し
て攻撃者の身元を隠したり、偽装したりすることができます。この脅威に対しては IP を利
用する全てのサービスに影響します。
SecureSoft Sniper IPS White Paper
13
Sniper IPS は VoIP サービスを安定的に提供するために、サービス網を下記のように保護
しています。
- 送信先/受信先のスイッチの間に設置して通話コントロールのセッションを分析
- INVITE/ACK/RINGING/BYE コントロールパケット及びセッション ID の分析
- 送信先/受信先の電話番号及び通話開始時間/終了時間, 通話状態のリアルタイムモニタ
リング
- 過剰な通話を発生させた加入者の検知及び制限
- 特定加入者の SIP INVITE トラフィック遮断機能
BoT攻撃について
BoT とは Robot の略で、特定のサーバとのやり取りを自動化させるプログラムです。特に
インターネット上でよく使われるチャットプログラムなどを利用して BoT 攻撃を行う場合
がふえています。IRC(Internet Relay Chat)というサービスがありますがインターネット
へアクセス可能なら誰でも利用できるチャットサービスです。攻撃者はこの IRC を利用し
て DDoS 攻撃、Backdoor のインストー
ル、感染システムのコントロール、情報
漏えいなどの不正行為を行います。BoT
攻撃は単純な一つの行為で構成される
のではなく様々な手法を利用するため、
対応するためにはより精度の高い検知
能力が必要です。Sniper IPS では 180
種類以上の BoT 攻撃に対応しています。
SecureSoft Sniper IPS White Paper
14
IRCBot : IRC の機能を利用してコントロールするシステム(PC)
BoTNet : Bot に感染された PC, IRC Server などで構成されたネットワーク
① プライベート IRC チャネルの open
② Bot 感染(ハッキング/Worm)
③ IRC サーバへアクセスし、コマンドの待機
④ リモートコントロールの実行
⑤ DDoS 攻撃/違法行為
Sniper IPS では BoT 攻撃に対応するために、1 次エンジンと 2 次エンジンに分けて対応し
ています。Sniper IPS の1次エンジン(パターンブロック/WEB CGI)では下記のように対
応します。
② Bot が感染するとき
③ Bot で利用されるサーバへアクセスするとき
④ 攻撃者によるリモートでコントロールするとき
Sniper IPS の2次エンジン(サービス攻撃) では、Bot が最終的に行うハッキングや DDoS
攻撃に対応します。複雑な Bot 攻撃過程を記憶しつつ、定められた条件を満たしたときに
検知します。
SecureSoft Sniper IPS White Paper
15
4.3 シグネチャリスト(2700個、2012年 5月現在)
シグネチャは、その数も重要ですが、如何にして攻撃を正確に検知・防御するかが最も重
要です。そのためシグネチャのチューニングによる検知精度の見直しは運用上必須行為で
すが、Sniper IPS では下記のように攻撃を分類して、設定を容易にしています。
#1 サービス拒否 攻撃者が偽造・変造したパケットを送って、対象サーバが正常なサー
ビスが出来ないようにする攻撃手法です。ネットワークトラフィック
を増大させ、システム資源(CPU、メモリ等)に負荷をかけたりして、
システムの性能を低下させることが特徴です。
#2 情報収集
攻撃者が特定のサーバやシステムを攻撃する前に対象サーバの脆弱
性、ネットワークパス、ファイアウォールの有無等の情報を調べる攻
撃手法です。
#3 プロトコル脆弱性
TCP/IP プロトコル規約上の問題点を悪用して、ネットワーク及びシ
ステムに過負荷を発生させたり、サーバをダウンしたりして正常なサ
ービスが出来ないようにする攻撃手法です。
#4 サービス攻撃
ソフトウェア変数管理上の問題であるオーバー・フローのバグ及び各
種サービスの脆弱性を利用して、サーバにアクセスしてコマンドを実
行したり、権限を獲得したりする攻撃手法です。
#5 WEB CGI
ウェブ上の CGI のバグを利用してコマンドを実行したり権限を獲得
したりする攻撃手法です。
#6 Backdoor
悪意的な目的で対象システムにあるプログラムを設置して情報を獲
得したり、システムをクラッシュしたりする攻撃手法です。
#7 ユーザ定義
管理者はプロトコル、ポートなどの情報を入力して、攻撃として登録
することが可能です。
<詳細な検知・防御条件>
検知文字列(テキスト、バイナリー)
OFFSET の指定
ネットワーク領域の区分: *1 RCLS, LCRS, LCLS *1 RCLS:RemoteClient-LocalServer, LCRS:LocalClient-RemoteServer,
LCLS:LocalClient-LocalServer
検知の例外メカニズム
攻撃回数/攻撃時間の調整
防御する時間の制限
攻撃方向の指定(Request, Response)
# 8 パターンブロック パターンブロックはあるパケットに対してシグネチャとの比較する
処理をせず、すぐブロッキングすることができます。致命的なワーム
である DoS、DDoS または DRDos.のような攻撃(Mydoom など)
を登録しておくことによって、素早くブロッキングすることができま
す。
SecureSoft Sniper IPS White Paper
16
本レポートに関するお問い合わせは以下までお願いします。
株式会社セキュアソフト
〒150-0011 東京都渋谷区東3-14-15 MOビル2F
TEL:03-5464-9966 FAX:03-5464-9977
E メール:[email protected]
