プロアクティブなセキュリティ対策を実現する2つの新製品
【国内記事】 | 2002.2.25 |
攻撃を受けた後の事後対策ではなく,攻撃の兆候をキャッチし,実際にシステムに被害を及ぼす前にブロックする製品を,米フォアスカウト・テクノロジーズがリリースした。
RedHat Linux 7.2をベースとした「ActiveScout」は,同社が独自に開発し,特許出願中の技術「ActiveResponse」によって,攻撃者が事前に仕掛けてくるプローブやポートスキャンといった兆候を検知し,その後の接続をブロックする機能を提供する。
具体的に説明すると,ActiveScoutはプローブなどの攻撃の兆候を検知すると,攻撃者に向けて,特定の「タグ」を付けてレスポンスを返す。つまり,攻撃者本人には分からないような形で,目印を付けてしまうわけだ。その後,攻撃者が実際に攻撃を仕掛けようと再度アクセスしてきた際には,この目印を元に,通信がファイアウォールに到達する前にブロックしてしまうという。
ActiveScoutは,主にエンタープライズをターゲットとした製品で,ルータとファイアウォールの間に設置される本体と管理コンソールから構成される。したがって,既存のネットワーク構成に変更を加える必要はない。
また,異なる場所に配置された複数のActiveScoutがコミュニケーションを取り,互いに警告を伝え合うこともできる。これにより,ある場所が受けた兆候の情報を元に,他の場所でも警戒体制を取り,攻撃をブロックすることができる。
ただしActiveSouctは,攻撃兆候の判断にシグネチャは利用せず,パケット1つひとつを検査するわけでもない。あくまでアクティビティを元に,攻撃源を見つけ出そうとする。このため,既知の手法だけでなく,新たに登場した攻撃手法もブロックできるだけでなく,T1回線をサポートできるだけの高いパフォーマンスを実現し,しかもシグネチャのアップデートといった作業を行う必要がないと同社は説明する。
さらに,同製品はファイアウォールや侵入検知システム(IDS)との連携が可能となっており,より効果的なシステム保護を実現できる。既に,チェック・ポイント・ソフトウェア・テクノロジーズのOPSEC認定を取得し,Firewall-1/VPN-1との連携が可能だ。同社は今後も,連携可能なファイアウォール/IDS製品を拡大していく計画で,ネットスクリーン・テクノロジーズなどと話し合いを進めているという。
同社のマーケティング担当上級副社長を務めるナンシー・ブレア氏は,「われわれはこのRSA Conference 2002で初めてActiveScoutを紹介したが,来場者からは“非常にユニークな製品だ”という好意的な評価を受けている」と語った。「既存の事後対策型の製品とは異なり,ActiveScoutは攻撃を未然に防ぐプロアクティブな防御を実現する。システムを脅威から“アクティブに保護する(Active Deffence)”唯一の製品だ」(ブレア氏)
ActiveScoutは北米では既に出荷済みだ。価格は8995ドルからとなっている。
OC-48回線に対応したDDoS対策製品
米リアクティブ・ネットワークスは,正当なアクセスを許可しながら,DDoS(分散型サービス拒否攻撃)を検知し,システムを保護するためのアプライアンス製品「FloodGuard 1.5」を紹介した。
FloodGuard 1.5では,TCP Flood(SYN/ACK/NUL)やUDP Flood,ICMP FloodによるDoS/DDoS攻撃を検知し,ブロックすることができる。また,SmurfやTFN2Kに代表されるツールを用いた攻撃からも,システムを保護できるという。
ただ,これもシグネチャベースの製品ではない。ルータやファイアウォールの上流に置かれたFloodGate 1.5は,ミラーポートからトラフィックを取り込み,アノーマリ技術をベースとしたパターンチェックとトラフィックの振る舞いを元に,DoS/DDoS攻撃を検知し,攻撃元を特定する。
新バージョンである1.5では,ユーザーインタフェースが改良されたほか,パフォーマンスも向上し,最大2.5Gbpsの速度でトラフィックを検査できるという。WANインタフェースとして,ギガビットイーサネットのほかOC-3/OC-48をサポートしており,さらに現在,OC-192版のテストも進められているという。トップレイヤー・ネットワークスでも同様に,DoS攻撃からシステムを保護するための製品を提供しているが,リアクティブでは,極めて高いパフォーマンスを実現している点で差別化を図れるとしている。
FloodGate 1.5も北米では既に出荷済みだ。価格はネットワーク構成によって異なるという。
関連リンク
[高橋睦美,ITmedia]