-
Sniper IPS取扱開始2010/09/07
- Sniper IPSとは
Sniper IPSは、ネットワークを通過するパケットに対して、様々な角度から繊細な分析を行い、本当の攻撃を検知・防御する事ができる「防御」のための不正侵入検知・防御システムです。
通信手段の発達した現在の高速なネットワーク環境や、携帯電話を使ったショートパケットによるインターネット環境であっても、
スループットダウンを最小限に維持し、現在のネットワーク環境を快適に実現しながら高度なセキュリティ環境を実現する事ができます。
IPS:Intrusion Prevention System [侵入検知・防御システム]とはサーバやネットワークへの不正侵入を阻止するツールです。
ネットワークの境界に設置する専用の機器(アプライアンス)により提供されます。
ネットワーク型のIPSは、侵入を検知するIDSの機能を拡張し、侵入を検知したら接続の遮断をリアルタイムに
行なう機能を持っています。
ワームやサービス拒否攻撃(DoS)などのパケットが持つ特徴的なパターンを保有し、該当する接続を検知するとこれを遮断し、管理者へ通知(アラート)したり記録(ログ)を取ります。
- 設置構成例
- VIPS:Virtual IPS
IP PoolとはIPアドレスの領域ごとに区分して(Subneting)グルーピングすることです。Sniper IPSでのIP Poolは3レベル(全体、グループ、オブジェクト)でグルーピングされます。この機能を利用することによりてIP別のVirtual IPSを作成してVIPSごとの検知ポリシーを設定することが可能です。
・センサーごとに多数のポリシーを設定することによって、費用を削減します。
・IP Pool(IPアドレス領域)ベースにVIPSを定義します。
・最大、256個のVIPSを作成することが可能です。
・VIPSごとのホスト/サブネットに個別的なポリシーを設定します。
- QoS(Quality of Service)
QoSとは、トラフィックの制御という観点からネットワーク上の有害トラフィック(ワーム、DoSなど)によって正常なサービスまで影響を与えることを避けるためにトラフィックをパケットの数およびサイズごとに制限することです。
・ネットワークインタフェースごとの転送帯域を制限することが可能です。
・Sniper IPSではbps(サイズ)、 pps(パケット数)を基にして制限します。
・プロトコル、ポートごとのフィルタリング機能をサポートします。
・制限されたパケットはドロップされます。
- Real Time Monitoring
Sniper IPSを経由するトラフィックの通信内容をリアルタイムで確認および分析することができます。
リアルタイムセッション情報の表示(HTTP、FTP、Telnetなど)及びネットワークトレンドの確認
リアルタイム検知/防御情報(ハッキング、ユーザー定義、ネットワーク)及び防御状況の確認
- Dynamic Blocking List
Filtering & Matchingでブロッキングされる同時にBlocking List へ登録します。Blocking Listで満了されたリストを削除することによって防御の状態を解除することが可能です。手動で登録することもサポートします。
- 冗長構成(HA:High Availability)
Sniper IPSは安定的なHA機能をサポートしてネットワークサービスの継続性を保証します。
冗長構成で2台のSniper IPSは常にActive状態のまま動作してActive-Standby、Active-Activeなどの環境にかかわらずネットワーク通信に影響を与えません。(特許:10-2005-0061064)
・Router#1⇔IPS区間の切断時
Sniper IPSはL4スイッチにつながっているIPSのインタフェースを強制的にダウンさせて全てのサービスがStandbyシステム(Router#2- IPS-L4#2)へ転送するようにします。(A2000、A4000で適用)
・IPS⇔Active L4区間の切断時
Sniper IPSはRouter#1とつながっているIPSのインタフェースを強制的にダウンさせて全てのサービスがStandbyシステム(Router#2- IPS - L4#2)へ転送するようにします。(A2000、A4000で適用)
- Fail Over
- イベント集約
複数の攻撃パターンに対する対応策としてイベント発生の集約機能を使うことにより、検知・防御のポリシーを決定するに効率性を確保します。同一の攻撃を検知した時にイベント数だけカウントすることによって簡単に検知イベントを管理します。
