ネットワークにおける情報漏えい対策のための製品として、ジュニパーネットワークスはネットワーク本体に対する侵入検知・防御ソリューションNetScreen
IDPシリーズとリモートアクセスのためのSSL-VPNソリューションNetScreen Secure Accessシリーズを提供する。
一般に、外部からの不正アクセスを防止するために、ファイアウォールを設置する。しかし、ファイアウォールはアクセスコントロールによる防御手段であり、DoS攻撃などネットワークレイヤでのアタックは防御できるが、それ以外のアタックをブロックすることはできない。また、IDS Intrusion Detection System)はアプリケーション層までチェックすることができるが、アタックをモニタリングして検知することが目的だ。そのため、アラームが上がった後に、管理者は後追いする形になり、アタックはサーバーなどの目標に到達してしまう危険性が高い。
一方、『NetScreen IDPシリーズ』は侵入検知・防御システム=IPS(Intrusion Protection System)であり、アプリケーション層までのアタックの検知だけでなく、即座に防御することが可能だ。これによって、ファイアウォールでは防ぐことのできない攻撃を防御し、ネットワークをセキュアに維持する。
この製品の特長は、(1)高い検知精度を実現した統合されたセキュリティ機能、(2)環境に応じた動作モードと多彩な防御方法とアクション、(3)ルールベースコントロールや集中的なマネジメントを実現したシンプルな管理、の3つだ。
「アタックを防ぐためには、パケットを完全に止めてしまうことが最良の方法です。しかし、それではネットワークそのものも止まってしまいます。そこで、安全なパケットは通すようにすることが必要です。IDPでは8つの高精度なアタック検出メソッドを用いて、アタックを検知します。さらに、9つ目の機能としてESPがあります。これを使えば、ネットワークの特性に応じて、ネットワーク管理者がパケットの良否判定をすることができます。こうして、誤検知を減らして、多くのアタックを検知・ブロックすることが可能になります」と小澤氏は説明する。
NetScreen IDPによるアタックの検知と防御 |
8つの高精度なアタック検出メソッド |
続いて、8つのアタック検出メソッドの中から、ステートフルシグネチャー、Protocol Anomaly(プロトコル異常)、Backdoor
detection(バックドアの検知)の3つについて見ていくことにしよう。
一般に、テキストパケットデータの中にはアタックシグネチャーと同じコマンドがたくさん含まれるため、単純にシグネチャーでチェックすると、多くの誤検知が発生してしまう。そこで、NetScreen
IDPではアタックシグネチャーが発行するステートを判断、関連するトラフィックの中でのみシグネチャーを検索、実際に影響を与えるアタックを見つけ出し、誤検知を大幅に減らす。これがステートフルシグネチャーだ。
例えば、アタッカーが標的となるメールサーバに接続、コントロール部で、expn rootコマンドを使って、メーリングリストの情報を採取したとする。NetScreen
IDPではコントロール部のみをシグネチャーとマッチングさせることで、実際のアタックを検出する。もし、expn rootが他の場所で使われていれば、それはアタックではないと判断し、検出しない。このようにして、誤検知をなくすことができる。
2つ目のProtocol Anomalyは複雑なアタックや新しいアタックにも適用できるメソッドだ。具体的には、プロトコル標準からの逸脱や特性を比較し、それらの影響に応じてプロトコルの異常を分類し、大きな影響がある異常をアタックとして扱う。ジュニパーネットワークスは2001年以来、IDPを提供するこの分野におけるパイオニアであり、ワールドワイドで大学や研究機関に機器を貸し出している。そして、各エリアのテクニカルアシスタントセンター(TAC)に誤検知した場合も含めて情報を集め、誤検知をなくし、Protocol
Anomalyをより実際に近づけるための努力を日々続けている。
3つ目のBackdoor Detectionはバックドアを検知する新しいアプローチだ。バックドアが作成されると、インタラクティブがランダムになるという特性がある。そこで、発生するインタラクティブなトラフィックを検知し、バックドアを発見する。この方法では、暗号化されていたり、プロトコルがわからなくても、バックドアを検知することができる。
NetScreen IDPはネットワークの事情に合わせて導入できるように、多彩な動作モードをサポートしている。「今までIDPを利用していない企業がIDPを導入する際に、誤検知などによるネットワークの停止リスクを考えることも必要です。そこで、IDPをいきなり導入するのではなく、まずIDSとして動作させて自社のネットワークのトラフィックの特長をつかみ、誤検知がないことを確認した上でIDPを動作させる方がリスクも少なくて済みます」と、小澤氏。
そのために、NetScreen IDPは一つのパッシブモードと4つのインラインモードをサポートする。まず、パッシブモードのSnifferモードはインラインモード移行前の調査に最適であり、既存のネットワークの状態を把握することができる。その上で、IDP上に自分たちのネットワークに合致したポリシーを作成し、その後、インラインとして動作させるようにする。
インラインモードは、(1)ネットワークの区分けが可能で、外部機器を必要としない冗長化構成のRouter、(2)余分なAPRパケットを抑制でき、外部機器を必要としない冗長化構成のProxy-ARP、(3)ネットワークの変更が必要なく導入でき、キャスティング(一斉同報)を透過できるbridge、(4)ネットワークの変更が必要なく導入でき、IPトラフィックのみを精査し、他のトラフィックは透過的に通過させるTransparent、の4つである。こうして、ユーザー企業は段階的な導入を行うとともに、そのネットワークに最適なモードを選ぶことができる。
|