IPSの保護設定

UTX100/UTX200でIPSの保護設定を変更するための手順になります。

■IPS(Intrusion Prevention System) とは
不正侵入防御システムの略称です。サーバーやネットワークの外部との通信を監視し、侵入の試みなど不正な アクセスを検知して攻撃を未然に防ぎます。

例えば下記のような状況の場合、本資料の設定を行う必要があります。

  1. 構成例
  2. セキュリティーログの確認
  3. 対処方法の検討
  4. 方法1 - IPS保護の設定変更
  5. 方法2 - IPSの例外として登録

※ UTX100、UTX200で同じ手順になります。以下の説明では「UTX」と称します。
※ GUIの画面は、ファームウェアバージョンR80.20.15 (992001680) のキャプチャーになります。


1. 構成例

以下の例に基づいて設定を行います。


2. セキュリティーログの確認

  1. 左のメニューから【ログ&モニタリング】> 【セキュリティログ】とメニューを開きます。
  2. アクセス先サーバー(192.168.20.29)宛のログをダブルクリックし、詳細情報を確認します。
    ブレードIPS
    アクションPrevent
    ※ 検知した脅威によっては【Block】となります
    ソース192.168.10.249
    宛先192.168.20.29
    攻撃名Large ping
    Protection NameMax Ping Size

3. 対処方法の検討

IPSブレードは、危険性(脆弱性)がある判断とした通信をブロックし、「Protection Name」欄にその内容を記します。

通常、こうした場合は修正プログラムを適用して脆弱性の問題を回避する対処法が最良の方法です。例えば右記の例では Microsoft がセキュリティパッチを公開済みであるため、Windows Update を適用することで対処ができます。

※ 参考: マイクロソフト セキュリティ情報 MS12-020 - 緊急
https://docs.microsoft.com/ja-jp/security-updates/securitybulletins/2012/ms12-020

しかし、なんらかの理由でそのような対処ができない場合、IPSブレードによるブロックを回避する設定を行う方法があります。この方法は、セキュリティーレベルが低下することを認識した上で利用してください。


4. 方法1 - IPS保護の設定変更

指定したIPS保護を検知した際の処理内容を変更する方法です。

  1. IPS保護の上書き
    1. 左のメニューから【脅威対策】 > 【IPS保護】 とメニューを開きます
    2. 検索欄に該当する保護名(ログの「Protection Name」の内容)を入力し、検索します
    3. 表示された保護名をダブルクリックします
    4. 【IPSポリシーアクションの上書き】にチェックを入れます
    5. アクションを【検出】に変更します

      ※ 各アクションの内容は次の通りです

      ブロック通信ブロック・ログ出力
      検出通信許可・ログ出力可能
      非アクティブ通信許可・ログ出力不可
    6. 「追跡」を【ログ記録】にします

      ※ ログが不要であれば【なし】に変更します

    7. 【適用】をクリックします
  2. 通信の確認
    1. 実際にアクセスを行い、接続が可能となったことを確認します
    2. ログの内容が【Detect (検出)】へ変わったことを確認します

5. 方法2 - IPSの例外として登録

ソース、宛先、保護名などで条件を指定し、IPSの例外ポリシーを登録します。今回の例では、「支社から本社サーバーへの全アクセス」をIPSの例外として登録します。

  1. ソースの確認
    1. 左のメニューから【ユーザ&オブジェクト】タブ > 【ネットワークオブジェクト】 とメニューを開きます
    2. 【新規】をクリックします
    3. ソースの情報を登録します
      タイプネットワーク
      IPv4 アドレス192.168.10.0
      サブネットマスク255.255.255.0
      オブジェクト名任意(例: Shisha)
    4. 【適用】をクリックして登録します
  2. 宛先の登録
    1. 前ページに続き、【新規】をクリックします
    2. 宛先の情報を登録します
      タイプ 単一IP
      IPv4アドレス192.168.20.29
      オブジェクト名任意(例: Server)
      DNSサーバーをこのオブジェクト名に解決任意(例: チェックを外す)
      DHCPサービスから除外チェックを入れる
    3. 【適用】をクリックして登録します
  3. 例外ポリシーの追加
    1. 左のメニューから【脅威対策】タブ > 「脅威対策」の【例外】とメニューを開きます
    2. 「IPSの例外」の【新規】をクリックします
    3. 各項目を次のように変更します
      ソース登録したソースのオブジェクト (Shisha)
      宛先登録した宛先のオブジェクト (Server)
      保護任意のIPS
      サービス任意
      アクション非アクティブ
      ログ記録ログ記録
    4. 【適用】をクリックし、IPSの例外が登録されたことを確認します
  4. 通信の確認
    1. 実際にアクセスを行い、接続が可能となったことを確認します
    2. Allow ログが出力されていることを確認します
      ブレードFirewall ※
      アクションAccept
      ソース192.168.10.249
      宛先192.168.20.29

      ※IPSによるブロックがなくなるため、Firewall によって処理されるようになります


[EOF]