UTX100/UTX200でIPSの保護設定を変更するための手順になります。
■IPS(Intrusion Prevention System) とは
不正侵入防御システムの略称です。サーバーやネットワークの外部との通信を監視し、侵入の試みなど不正な
アクセスを検知して攻撃を未然に防ぎます。
例えば下記のような状況の場合、本資料の設定を行う必要があります。
※ UTX100、UTX200で同じ手順になります。以下の説明では「UTX」と称します。
※ GUIの画面は、ファームウェアバージョンR80.20.15 (992001680) のキャプチャーになります。
以下の例に基づいて設定を行います。
構成モード | ルーターモード ※ |
---|---|
WAN側IPアドレス | 111.111.10.10 |
LAN 側IPアドレス | 192.168.20.254 |
アクセス先サーバー | 192.168.20.29 |
WAN側IPアドレス | 222.222.20.20 |
---|---|
LAN 側IPアドレス | 192.168.10.1 |
アクセス元 PC | 192.168.10.249 |
※ 操作手順はルーター/ブリッジモードで共通です
※ 本書に掲載するUTXのGUI画面は、一部を除きファームウェアバージョン R77.20.87(990172960) が稼働するUTXのものです
ブレード | IPS |
---|---|
アクション | Prevent ※ 検知した脅威によっては【Block】となります |
ソース | 192.168.10.249 |
宛先 | 192.168.20.29 |
攻撃名 | Large ping |
Protection Name | Max Ping Size |
IPSブレードは、危険性(脆弱性)がある判断とした通信をブロックし、「Protection Name」欄にその内容を記します。
通常、こうした場合は修正プログラムを適用して脆弱性の問題を回避する対処法が最良の方法です。例えば右記の例では Microsoft がセキュリティパッチを公開済みであるため、Windows Update を適用することで対処ができます。
※ 参考: マイクロソフト セキュリティ情報 MS12-020 - 緊急
(https://docs.microsoft.com/ja-jp/security-updates/securitybulletins/2012/ms12-020)
しかし、なんらかの理由でそのような対処ができない場合、IPSブレードによるブロックを回避する設定を行う方法があります。この方法は、セキュリティーレベルが低下することを認識した上で利用してください。
指定したIPS保護を検知した際の処理内容を変更する方法です。
※ 各アクションの内容は次の通りです
ブロック | 通信ブロック・ログ出力 |
---|---|
検出 | 通信許可・ログ出力可能 |
非アクティブ | 通信許可・ログ出力不可 |
※ ログが不要であれば【なし】に変更します
ソース、宛先、保護名などで条件を指定し、IPSの例外ポリシーを登録します。今回の例では、「支社から本社サーバーへの全アクセス」をIPSの例外として登録します。
タイプ | ネットワーク |
---|---|
IPv4 アドレス | 192.168.10.0 |
サブネットマスク | 255.255.255.0 |
オブジェクト名 | 任意(例: Shisha) |
タイプ 単一 | IP |
---|---|
IPv4アドレス | 192.168.20.29 |
オブジェクト名 | 任意(例: Server) |
DNSサーバーをこのオブジェクト名に解決 | 任意(例: チェックを外す) |
DHCPサービスから除外 | チェックを入れる |
ソース | 登録したソースのオブジェクト (Shisha) |
---|---|
宛先 | 登録した宛先のオブジェクト (Server) |
保護 | 任意のIPS |
サービス | 任意 |
アクション | 非アクティブ |
ログ記録 | ログ記録 |
ブレード | Firewall ※ |
---|---|
アクション | Accept |
ソース | 192.168.10.249 |
宛先 | 192.168.20.29 |
※IPSによるブロックがなくなるため、Firewall によって処理されるようになります