IPSの保護設定

UTX100/UTX200でIPSの保護設定を変更するための手順になります。

■IPS(Intrusion Prevention System) とは
不正侵入防御システムの略称です。サーバーやネットワークの外部との通信を監視し、侵入の試みなど不正な アクセスを検知して攻撃を未然に防ぎます。

例えば下記のような状況の場合、本資料の設定を行う必要があります。

• IPSブレードの検知によってブロックされた通信を、例外的に許可して通過させたい。

1. 構成例
2. セキュリティーログの確認
3. 対処方法の検討
4. 方法1 - IPS保護の設定変更
5. 方法2 - IPSの例外として登録

※ UTX100、UTX200で同じ手順になります。以下の説明では「UTX」と称します。
※ GUIの画面は、ファームウェアバージョンR80.20.15 (992001680) のキャプチャーになります。

1. 構成例

以下の例に基づいて設定を行います。

• 本社（アクセス先）側構成
  • 支社との間に VPN を構築しています
  • UTXがルーターとして入っています

  構成モード	ルーターモード ※
  WAN側IPアドレス	111.111.10.10
  LAN 側IPアドレス	192.168.20.254
  アクセス先サーバー	192.168.20.29

• 支社（アクセス元）側構成

  WAN側IPアドレス	222.222.20.20
  LAN 側IPアドレス	192.168.10.1
  アクセス元 PC	192.168.10.249

  ※ 操作手順はルーター／ブリッジモードで共通です
  ※ 本書に掲載するUTXのGUI画面は、一部を除きファームウェアバージョン R77.20.87(990172960) が稼働するUTXのものです

  

2. セキュリティーログの確認

1. 左のメニューから【ログ＆モニタリング】> 【セキュリティログ】とメニューを開きます。
2. アクセス先サーバー（192.168.20.29）宛のログをダブルクリックし、詳細情報を確認します。

   ブレード	IPS
   アクション	Prevent ※ 検知した脅威によっては【Block】となります
   ソース	192.168.10.249
   宛先	192.168.20.29
   攻撃名	Large ping
   Protection Name	Max Ping Size

   

3. 対処方法の検討

IPSブレードは、危険性（脆弱性）がある判断とした通信をブロックし、「Protection Name」欄にその内容を記します。

通常、こうした場合は修正プログラムを適用して脆弱性の問題を回避する対処法が最良の方法です。例えば右記の例では Microsoft がセキュリティパッチを公開済みであるため、Windows Update を適用することで対処ができます。

※ 参考： マイクロソフト セキュリティ情報 MS12-020 - 緊急
（https://docs.microsoft.com/ja-jp/security-updates/securitybulletins/2012/ms12-020）

しかし、なんらかの理由でそのような対処ができない場合、IPSブレードによるブロックを回避する設定を行う方法があります。この方法は、セキュリティーレベルが低下することを認識した上で利用してください。

4. 方法1 - IPS保護の設定変更

指定したIPS保護を検知した際の処理内容を変更する方法です。

1. IPS保護の上書き
   1. 左のメニューから【脅威対策】 > 【IPS保護】 とメニューを開きます
      
   2. 検索欄に該当する保護名（ログの「Protection Name」の内容）を入力し、検索します
   3. 表示された保護名をダブルクリックします
   4. 【IPSポリシーアクションの上書き】にチェックを入れます
      
   5. アクションを【検出】に変更します

      ※ 各アクションの内容は次の通りです

      ブロック	通信ブロック・ログ出力
      検出	通信許可・ログ出力可能
      非アクティブ	通信許可・ログ出力不可

   6. 「追跡」を【ログ記録】にします

      ※ ログが不要であれば【なし】に変更します

   7. 【適用】をクリックします
2. 通信の確認
   
   1. 実際にアクセスを行い、接続が可能となったことを確認します
   2. ログの内容が【Detect （検出）】へ変わったことを確認します
      

5. 方法2 - IPSの例外として登録

ソース、宛先、保護名などで条件を指定し、IPSの例外ポリシーを登録します。今回の例では、「支社から本社サーバーへの全アクセス」をIPSの例外として登録します。

1. ソースの確認
   
   1. 左のメニューから【ユーザ＆オブジェクト】タブ > 【ネットワークオブジェクト】 とメニューを開きます
   2. 【新規】をクリックします
   3. ソースの情報を登録します

      タイプ	ネットワーク
      IPv4 アドレス	192.168.10.0
      サブネットマスク	255.255.255.0
      オブジェクト名	任意（例： Shisha）

   4. 【適用】をクリックして登録します
      
2. 宛先の登録
   
   1. 前ページに続き、【新規】をクリックします
   2. 宛先の情報を登録します

      タイプ 単一	IP
      IPv4アドレス	192.168.20.29
      オブジェクト名	任意（例： Server）
      DNSサーバーをこのオブジェクト名に解決	任意（例： チェックを外す）
      DHCPサービスから除外	チェックを入れる

   3. 【適用】をクリックして登録します
      
3. 例外ポリシーの追加
   
   1. 左のメニューから【脅威対策】タブ > 「脅威対策」の【例外】とメニューを開きます
   2. 「IPSの例外」の【新規】をクリックします
   3. 各項目を次のように変更します

      ソース	登録したソースのオブジェクト (Shisha)
      宛先	登録した宛先のオブジェクト (Server)
      保護	任意のIPS
      サービス	任意
      アクション	非アクティブ
      ログ記録	ログ記録

   4. 【適用】をクリックし、IPSの例外が登録されたことを確認します
      
4. 通信の確認
   1. 実際にアクセスを行い、接続が可能となったことを確認します
   2. Allow ログが出力されていることを確認します

      ブレード	Firewall ※
      アクション	Accept
      ソース	192.168.10.249
      宛先	192.168.20.29

      ※IPSによるブロックがなくなるため、Firewall によって処理されるようになります