DoS攻撃を防ぐアプライアンス製品,「Attack Mitigator」
| 【国内記事】 | 2002.01.17 |
トップレイヤーネットワークスは1月17日,DoSやDDoS攻撃対策に特化したアプライアンス製品「Attack Mitigator」を発表した。
これは,同社が提供するレイヤ7ベースのセキュアコンテンツスイッチ,「AppSwitch」の中からDoS攻撃への対策機能を取りだし,アプライアンスとして提供するもの。これまで発表された「IDS Balancer」や「Secure Edge Controller」と同じく,AppSwitchのハードウェアをベースにした製品だ。
AppSwitchの持つロードバランシング機能や帯域管理,ゾーン設定機能などは省かれているが,DoS/DDoS対策に機能を絞った分,コストメリットを高めた。また,設定や運用が容易で,ほぼプラグ・アンド・プレイで利用できることも特徴だ。
Attack Mitigatorには,10/100BASE-Tポートを12個搭載した「Attack Mitigator 3541」と,これにギガビットイーサネットポート2個が加わった「Attack Mitigator 3542」の2タイプがある。価格はいずれもオープンプライスだが,参考価格はそれぞれ160万円,280万円だ。なおAppSwitchの参考価格は,AppSwitch 3502は380万円,同3512は490万円となっている。
毎秒2万2000のSYN Floodをブロック
Attack Mitigatorはルータとファイアウォールの間に配置して利用する。これにより,システム内のWebサーバやメールサーバのみならず,システムを保護するファイアウォール自体もDoS攻撃から守り,ネットワークダウンの可能性を減らすという。
米テック・メイビンスが行ったテストでは,Attack Mitigatorは毎秒2万2000のSYN Flood攻撃にも耐えるという結果が出た。トップレイヤーによる内部テストの結果では,毎秒3万のSYN Flood攻撃でも防御できることが分かったという。これに対しソフトウェアベースのフィルタリングソフトウェアでは,程遠い数値しか出ない。
SYN Flood以外にも,あらかじめ多数のDoS攻撃パターンを認識するよう設定がなされている。著名なところではPinf of DeathやUDP Flood,Smurfなどを認識し,フィルタリングによってシステムを保護する。
さらにAttack Mitigatorは,ユーザーやユーザーグループ,あるいはアプリケーションごとに同時コネクション数を制限する機能も備えている。あらかじめ指定した一定のセッション数に達すれば,それ以降のリクエストは拒否する仕組みだ。サーバに無用の負荷をかけずに済むだけでなく,スパムメールのブロックにも利用できる。
またURIフィルタリング機能では,NimdaのようにWebブラウザのセキュリティホールを突いて感染するワームを,HTTPパケット中の文字列マッチングによってはじくことができる。同社では今後顧客向けに,フィルタリング用の情報を定期的に提供していく予定だ。
もちろん,ログ機能やSNMPもサポートするほか,同社が提供するセキュリティ情報収集ソフトウェア「SecureWatch」との連携が可能だ。
なおAttack Mitigatorはレイヤ2で動作するため,既存のネットワーク設定に変更を加える必要はない。また各ポートはあらかじめ,内部ネットワーク用,外部ネットワーク用,管理用といった具合に固定的に役割を割り当てられているため,設定作業は最低限で済む。
 |
| Attack Mitigatorの設定・管理はWebブラウザから行う。ポートの割り当ても分かりやすい |
同社ネットワークエンジニアの佐々木潤世氏によれば,「Attack Mitigatorは今あるセキュリティを補完し,さらに強化する製品」という。工夫すればファイアウォールでDoS攻撃を防ぐことも可能だろうが,それではパフォーマンスに影響が出てしまう。Attack Mitigatorを組み合わせることで,安全で,しかもボトルネックのないネットワークシステムを実現できるという。今後は,Attack Mitigatorの冗長構成も検討しているそうだ。
「DoS攻撃を100%防ぐことは難しい。だがAttack Mitigatorは確実に,かなりの程度DoS攻撃を緩和し,必要なサービスを継続できるようにする」(佐々木氏)
関連記事
トップレイヤー,レイヤ7ベースのユーザー認証を実現するアプライアンスを発表
トップレイヤーがIDS専用の負荷分散装置「IDS Balancer」をリリース
関連リンク
[高橋睦美 ,ITmedia]
