proventia network intrusion prevention system user … proventia network intrusion prevention system...

®

Proventia NetworkIntrusion Prevention System

User Guide

Internet Security Systems, Inc.6303 Barfield RoadAtlanta, Georgia 30328-4233United States(404) 236-2600http://www.iss.net

インターネットセキュリティシステムズ株式会社〒 141-0021東京都品川区上大崎 3-1-1JR 東急目黒ビル 16F03-5740-4050http://www.isskk.co.jp

© Internet Security Systems, Inc. 2003-2006 All rights reserved worldwide. この出版物の適切な数のコピーの作成は内部で使用する場合だけ許可されています。それ以外の場合のこの出版物のすべてまたは一部のコピーまたは複製は、 Internet Security Systems, Inc. の事前の書面による同意なしにいかなる人物または企業にも許可されていません。

特許出願中。

Internet Security Systems、 System Scanner、 Wireless Scanner、 SiteProtector、 Proventia、 Proventia Web Filter、 Proventia Mail Filter、 Proventia Filter Reporter、 ADDME、 AlertCon、 ActiveAlert、 FireCell、 FlexCheck、 Secure Steps、 SecurePartner、 SecureU、および X-Press Update は Internet Security Systems, Inc. の商標およびサービスマーク、 Internet Security Systems のロゴ、 X-Force、 SAFEsuite、 Internet Scanner、 Database Scanner、Online Scanner、および RealSecure は同社の登録商標です。 Network ICE、 Network ICE のロゴ、および ICEpac は Internet Security Systems, Inc. の完全所有子会社である Network ICE Corporation の商標、 BlackICE は同社の許諾を受けた登録商標、および ICEcap は同社の登録商標です。SilentRunner は Raytheon Company の登録商標です。 Acrobat および Adobe は Adobe Systems Incorporated の登録商標です。 Certicom は Certicom Corp の商標、 Security Builder は Certicom Corp の登録商標です。 Check Point、 FireWall-1、 OPSEC、 Provider-1、および VPN-1 は、 Check Point Software Technologies Ltd. またはその関連会社の登録商標です。 Cisco および Cisco IOS は Cisco Systems, Inc. の登録商標です。 HP-UX および OpenView は、 Hewlett-Packard Company の登録商標です。 IBM および AIX は IBM Corporation の登録商標です。 InstallShield は、米国またはその他の国あるいはその両方における InstallShield Software Corporation の登録商標およびサービスマークです。 Intel および Pentium は Intel の登録商標です。 Lucent は Lucent Technologies, Inc. の商標です。 ActiveX、 Microsoft、 Windows、および Windows NT は Microsoft Corporation の登録商標または商標です。 Net8、 Oracle、 Oracle8、 SQL*Loader、および SQL*Plus は Oracle Corporation の登録商標または商標です。 Seagate Crystal Reports、 Seagate Info、 Seagate、 Seagate Software、および Seagate の logo は Seagate Software Holdings, Inc. または Seagate Technology, Inc. ( あるいはその両方 ) の商標または登録商標です。 Secure Shell および SSH は SSH Communications Security の商標または登録商標です。iplanet、 Sun、 Sun Microsystems、 Sun のロゴ、 Netra、 SHIELD、 Solaris、 SPARC、および UltraSPARC は米国およびその他の国における Sun Microsystems, Inc. の商標または登録商標です。すべての SPARC 商標は、許可の下に使用され、米国またはその他の国における SPARC International, Inc. の商標または登録商標です。 Adaptive Server、 SQL、 SQL Server、および Sybase は Sybase, Inc.、その関連会社とライセンサーの商標です。 Tivoli は Tivoli Systems, Inc. の登録商標です。 Unix は米国およびその他の国において、 X/Open Company, Ltd. が独占的にライセンスを管理している登録商標です。この文書で言及されているその他の名称はすべて、各所有者のブランド名、製品名、商標または登録商標であり、権利侵害の意図なしに編集上の理由で使用されているものです。明細事項は予告なしに変更されることがあります。

免責：免責：免責：免責：この文書に記載されている情報は予告なしに変更されることがあります。この文書を ISS または X-Force 以外のソースから入手した場合は、改変または変更されている可能性があります。この情報を使用することにより、いかなる種類の保証もなく「現状」のまま、ユーザーの自己責任において使用することに同意したものとみなされます。 ISS と X-Force は、市場性および特定目的への適合性の保証をはじめとするいかなる保証も、明示的にも暗黙的にも行いません。 ISS または X-Force は、いかなる場合も、本文書の使用または配布から生じる直接的、間接的、付随的、結果的、あるいは特別な損害について、たとえ ISS または X-Force がそのような損害の可能性について忠告を受けたとしても、責任を負いません。州によっては、結果的または付随的な損害の責任を除外または限定することが許可されていないため、前述の限定事項は適用されません。

ここに記されている商標名、商標、製造業者、またはそれ以外による、特定の商品、プロセス、またはサービスなどの引用は、必ずしも Internet Security Systems, Inc による保証や推奨、または支持を表明したり暗示したりするものではありません。ここに示されている作者の見解および意見は、必ずしも Internet Security Systems, Inc. の主張、または同社の見解および意見を反映するものではなく、製品の保証や広告の目的で使用されてはなりません。

インターネットリソースへのリンクとアドレスは、リリース前に十分調査されていますが、刻々と変化するインターネットの性質上、Internet Security Systems はリソースの内容やその存在について保証することはできません。可能な場合には、参照セクションには、他の方法で目的の情報が獲得できる代わりのサイトやキーワードが記載されています。リンクの破損や不適切なリンクにお気づきの場合は、トピック名、リンク、その動作状況を [email protected] まで電子メールでご連絡ください。

2006 年 8 月 9 日

http://www.iss.net

mailto:[email protected]

http://www.isskk.co.jp

目次目次目次目次

前書き前書き前書き前書き . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . vii概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . vii

Proventia アプライアンスのマニュアルについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ix本書で使用する表記規則 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xテクニカルサポートについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xii . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xiv

第第第第 1 章章章章 : Proventia Network Intrusion Prevention System の概要の概要の概要の概要 . . . . . . . . . . . . . . . . . . . . . . . 13概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

不正侵入防御 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14インラインアプライアンスのアダプタモード . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17ハイアベイラビリティモード . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

第第第第 2 章章章章 : アプライアンスの接続アプライアンスの接続アプライアンスの接続アプライアンスの接続 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

始める前に . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20一般的な配置シナリオの確認 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21ケーブルの接続とアプライアンスの起動 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

第第第第 3 章章章章 : アプライアンス設定の指定アプライアンス設定の指定アプライアンス設定の指定アプライアンス設定の指定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

始める前に . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26LCD パネルを使用したネットワーク接続 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28Proventia Setup の使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30その他アプライアンス設定の指定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33アプライアンスファームウェアの再インストール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38

第第第第 4 章章章章 : ネットワーク可用性の維持ネットワーク可用性の維持ネットワーク可用性の維持ネットワーク可用性の維持 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43

ハイアベイラビリティについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44ハイアベイラビリティ設定の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46ハイアベイラビリティ実装. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47

第第第第 5 章章章章 : Proventia Manager の使用の使用の使用の使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49

始める前に . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50Proventia Manager へのアクセス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52Proventia Manager でのナビゲーション . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53ライセンスファイルのインストール. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56Proventia Manager での作業 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57

第第第第 6 章章章章 : アプライアンスのアップデートアプライアンスのアップデートアプライアンスのアップデートアプライアンスのアップデート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59

アプライアンスのアップデート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60アプライアンスの自動アップデート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62手動によるアプライアンスのアップデート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65アップデートツールの使用. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66アップデートの高度なパラメータの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67

iiiProventia Network Intrusion Prevention System User Guide


第第第第 7 章章章章 : SiteProtector を通じたアプライアンスの管理を通じたアプライアンスの管理を通じたアプライアンスの管理を通じたアプライアンスの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71

SiteProtector による管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72SiteProtector による管理の設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74SiteProtector でのナビゲーション . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77

第第第第 8 章章章章 : セキュリティセキュリティセキュリティセキュリティイベントでの作業イベントでの作業イベントでの作業イベントでの作業 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81

プロテクションドメインの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82セキュリティイベントの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84複数のセキュリティイベントへのプロテクションドメイン割り当て . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88セキュリティイベント情報の表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89レスポンスフィルタの設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91レスポンスフィルタ情報の表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96

第第第第 9 章章章章 : レスポンスの設定レスポンスの設定レスポンスの設定レスポンスの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97

レスポンスについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98Email レスポンスの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99Log Evidence レスポンスの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101Quarantine レスポンスの設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102SNMP レスポンスの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104ユーザー指定レスポンスの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106

第第第第 10 章章章章 : その他の不正侵入防御設定の指定その他の不正侵入防御設定の指定その他の不正侵入防御設定の指定その他の不正侵入防御設定の指定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109

検疫済み不正侵入の管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110接続イベントの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111ユーザー定義イベントの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115ユーザー定義イベントのコンテキスト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117ユーザー定義イベントでの正規表現 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122ユーザー定義イベント情報の表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124Trons イベントの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125グローバル調整パラメータの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127X-Force デフォルトブロッキングの設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129

第第第第 11 章章章章 : ファイアウォール設定の指定ファイアウォール設定の指定ファイアウォール設定の指定ファイアウォール設定の指定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131

ファイアウォールルールの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132ファイアウォールルール言語 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136ファイアウォールのログ機能の調整 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139

第第第第 12 章章章章 : ローカル調整パラメータの設定ローカル調整パラメータの設定ローカル調整パラメータの設定ローカル調整パラメータの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141

アラートの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142ネットワークアダプタカードの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144アラートキューの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147高度なパラメータの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148TCPReset の設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152ネットワークフレーム大サイズの増加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153

第第第第 13 章章章章 : システム設定の管理システム設定の管理システム設定の管理システム設定の管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155

システムステータスの表示. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156ログファイルの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157システムツールを使った作業 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158ユーザーアクセスの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159

iv


新ライセンスのインストールと表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160

第第第第 14 章章章章 : アラートとシステム情報の表示アラートとシステム情報の表示アラートとシステム情報の表示アラートとシステム情報の表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161

アラートの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162保存されたアラートファイルの管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165通知ステータスの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166統計値の表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167

索引索引索引索引 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169

vProventia Network Intrusion Prevention System User Guide


vi

前書き前書き前書き前書き

概要概要概要概要

目的目的目的目的本書は、 Proventia® Network Intrusion Prevention System (IPS) アプライアンスの接続と設定を行うことを目的としています。ここで扱うアプライアンスモデルは GX4002、 GX4004、 GX5008、GX5108 です。また、 Proventia Manager ソフトウェアを使用したアプライアンスの管理方法についても説明します。

取り扱い範囲取り扱い範囲取り扱い範囲取り扱い範囲本書では、 Proventia Manager の機能、アプライアンスの設定方法、ポリシーの設定方法、アプライアンスの管理方法について説明します。

対象読者対象読者対象読者対象読者本書は、ネットワーク環境での Proventia Network IPS の設定と管理を担当するネットワークセキュリティシステム管理者を対象としています。ネットワークセキュリティポリシーおよび IP ネットワーク設定の基本知識が参考になります。

vii

Proventia Network Intrusion Prevention System User Guide


このリリースの新機能このリリースの新機能このリリースの新機能このリリースの新機能このリリースは、 Proventia Network Intrusion Prevention System の 1.3 ファームウェアリリースに対応しています。該当するモデルは GX4002、 GX4004、 GX5008、および GX5108 です。新の説明は、「Proventia Network Intrusion Prevention System User Guide」、オンラインヘルプ、および各ファームウェアリリースに付属している Readme ファイルで確認することができます。このリリースには、いくつかのバグ修正と簡単な拡張機能に加え、次の新機能が備わっています。

� 新しいハードウェア新しいハードウェア新しいハードウェア新しいハードウェアプラットフォーム。プラットフォーム。プラットフォーム。プラットフォーム。新しい Proventia IPS アプライアンスモデルには、次

のものが含まれています。

� ネットワーク中心のルックアンドフィール

� アプライアンス前面に配置されてアクセスしやすくなったポート

� アプライアンスの設定、監視、再起動が可能な LCD パネル

� LCD 設定。設定。設定。設定。アプライアンス前面の LCD パネルを使用して必要なネットワーク情報を指定し、

アプライアンスへリモート接続して高度な設定を行うことができます。また、 XPU やファー

ムウェアのバージョン表示、アプライアンスの再起動、アプライアンスのシャットダウンを LCD のメニューから行うこともできます。

� セキュリティセキュリティセキュリティセキュリティイベントおよびレスポンスイベントおよびレスポンスイベントおよびレスポンスイベントおよびレスポンスフィルタで、フィルタで、フィルタで、フィルタで、 Ignore レスポンスを利用可能レスポンスを利用可能レスポンスを利用可能レスポンスを利用可能。 Ignore レスポンスを手動で設定して、ネットワークにとって脅威とならないイベントを無視するようにアプライアンスへ指示し、追跡の必要があるイベントの数を減らします。

� 診断と統計値の拡張。診断と統計値の拡張。診断と統計値の拡張。診断と統計値の拡張。ドライバ、パケット分析、プロテクションの統計値を使用して、重要な

傾向の見極めやネットワークまたはアプライアンスの問題点に関するトラブルシューティングを行うために、アプライアンスが処理したネットワークトラフィックを参照します。

� モデル別のモデル別のモデル別のモデル別の Quick Start Card。。。。 Proventia Network IPS のモデルそれぞれには、アプライアンス

をネットワークへ簡単に導入できるように、モデル別の Quick Start Card が付属しています。

viii

Proventia アプライアンスのマニュアルについてアプライアンスのマニュアルについてアプライアンスのマニュアルについてアプライアンスのマニュアルについて

Proventia アプライアンスのマニュアルについてアプライアンスのマニュアルについてアプライアンスのマニュアルについてアプライアンスのマニュアルについて

はじめにはじめにはじめにはじめに本書では、 Proventia Network IPS の不正侵入防御、ファイアウォール設定、およびその他ポリシー設定を Proventia Manager ソフトウェア ( ローカル管理インターフェース ) を使用して指定する方法について説明します。また、 Proventia Configuration Menu と Proventia Manager の両方を使用したアプライアンス管理についても説明します。

その他マニュアルの場所その他マニュアルの場所その他マニュアルの場所その他マニュアルの場所このトピックで説明されるその他のマニュアルは、 ISS の Web サイト (http://www.isskk.co.jp/document/manuals.html または http://www.iss.net/support/documentation/ ) で入手可能です。

関連マニュアル関連マニュアル関連マニュアル関連マニュアルアプライアンスの詳細については、次のものを参照してください。

マニュアルマニュアルマニュアルマニュアル内容内容内容内容

Proventia Network Intrusion Prevention System Quick Start Card

Proventia Network Intrusion Prevention System GX4000 シリーズお

よび GX5000 シリーズアプライアンスのインストールと初期設定

の手順。

Proventia Network Intrusion Prevention System Help

Proventia Manager および SiteProtector の Proventia Network IPS Policy Editor に備わっているヘルプ。

Proventia Network Intrusion Prevention System Data Sheet

以前の Proventia Network IPS ( 以前の G シリーズ ) アプライアンス

の機能に関する全般的な情報。

Proventia Network Intrusion Prevention System Frequently Asked Questions

アプライアンスとその機能に関してよくある質問。

Readme ファイル製品の問題点やアップデート、およびテクニカルサポートの受け方

に関する新情報は、 http://www.iss.net/download/ にあり

ます。

表表表表 1: 参考資料

ixProventia Network Intrusion Prevention System User Guide

http://www.iss.net/download/


http://www.isskk.co.jp/document/manuals.html


http://www.iss.net/support/documentation/




本書で使用する表記規則本書で使用する表記規則本書で使用する表記規則本書で使用する表記規則

はじめにはじめにはじめにはじめにこのトピックでは、手順やコマンドをよりわかりやすくするために、本書で使われている印刷上の表記規則を説明します。

手順手順手順手順操作手順の説明の中で使用される表記規則は、次のとおりです。

コマンドの表記規則コマンドの表記規則コマンドの表記規則コマンドの表記規則コマンドラインで使用される表記規則は、次のとおりです。

表記規則表記規則表記規則表記規則内容内容内容内容例例例例

太字太字太字太字 (Bold) グラフィカルユーザーイン

ターフェースの要素。

[IP Address] ボックスに、コンピュータのアドレスを入力します。[Print] チェックボックスをオンにします。 [OK] をクリックします。

小型英大文字 (SMALL CAPS)

キーボードのキー。 [ENTER] キーを押します。

等幅 (Constant width)

ファイル名、フォルダ名、パス名など、表記どおりに入力する必要のある情報。

User.txt ファイルを [Addresses] フォルダに保存します。[Username] ボックスに「IUSR__SMA」と入力します。

等幅斜体 (Constant width italic)

ファイル名、フォルダ名、パス名など、ユーザーが指定する必要のある情報。

[Identification information] ボックスに Version number (バージョン番号) を入力します。

→ タスクバーまたはメニューバーからのコマンド実行順序。

タスクバーから、 [ スタートスタートスタートスタート] → [ ファイル名を指定してファイル名を指定してファイル名を指定してファイル名を指定して実行実行実行実行 ] の順に選択します。[File] メニューで、 [Utilities] → [Compare Documents] の順に選択します。

表表表表 2: 操作手順に関する表記規則


等幅太字等幅太字等幅太字等幅太字 (Constant width bold)

表記どおりに入力する情報。 md ISS

斜体 (Italic) 状況によって異なる情報。 md フォルダ名

[ ] オプションとしての情報。 dir [ ドライブ :][パス ] [

ファイル名 ] [/P][/W] [/D]

| どちらか一方を選択する必要のある情報。

verify [ON|OFF]

表表表表 3: コマンドに関する表記規則

x

本書で使用する表記規則本書で使用する表記規則本書で使用する表記規則本書で使用する表記規則

{ } 複数あるうちから 1 つ選択す

る必要のある情報。

% chmod {u g o a}=[r][w][x] file


表表表表 3: コマンドに関する表記規則 ( 続き )

xiProventia Network Intrusion Prevention System User Guide


テクニカルテクニカルテクニカルテクニカルサポートについてサポートについてサポートについてサポートについて

はじめにはじめにはじめにはじめに ISS では、 Web サイトおよび電子メールまたは電話を通じてテクニカルサポートを提供しています。

ISS のののの Web サイトサイトサイトサイト Internet Security Systems (ISS) の Web サイト (http://www.isskk.co.jp/support.html または http://www.iss.net/support/) では、よくある質問 (FAQ)、ホワイトペーパー、オンラインマニュアル、新バージョン一覧、詳細な製品資料、テクニカルサポートナレッジベース (http://www.isskk.co.jp/support/index_KB.html または http://www.iss.net/support/knowledgebase/) など、役立つ豊富な情報を直接入手することができます。

サポートサポートサポートサポートレベルレベルレベルレベル ( 米国米国米国米国 ) 米国 ISS では、 3 つのレベルのサポートを提供しています。

� Standard

� Select

� Premium

どのレベルでも、電話および電子的手段によるサポートを 24 時間体制で提供しています。 Select サービスと Premium サービスは、 Standard サービスよりも優れた機能とメリットを提供します。企業のサポートレベルをご存知ない場合は、顧客サービス窓口 ([email protected]) にお問い合わせください。

営業時間営業時間営業時間営業時間北南米およびその他の地域におけるテクニカルサポートの営業時間は次のとおりです。

問い合わせ窓口問い合わせ窓口問い合わせ窓口問い合わせ窓口テクニカルサポート用の連絡先は次のとおりです。

地域地域地域地域営業時間営業時間営業時間営業時間

北南米 24 時間体制

日本国内月曜から金曜までの午前 10 時から午後 5 時までです。ただ

し、 ISS の休業日は除きます。

注記注記注記注記 : 寄りのサポートオフィスが南北アメリカ以外にあ

る場合は、その営業時間外におけるご質問・ご相談は、北南米オフィスに電話または電子メールでお問い合わせいただくことができます。日本国内における ISS 製品に関する技術的

なお問い合わせは、本製品の保守契約を締結されている販売代理店を通じてご連絡ください。

表表表表 4: テクニカルサポート営業時間

地域オフィス地域オフィス地域オフィス地域オフィス電子的手段によるサポート電子的手段によるサポート電子的手段によるサポート電子的手段によるサポート電話番号電話番号電話番号電話番号

北米 ISS Web サイトの MYISS セクションをご覧ください。

www.iss.net

Standard:(1) (888) 447-4861 ( フリーダイヤル )(1) (404) 236-2700

Select およびおよびおよびおよび Premium:Welcome Kit を参照してくだ

さい。

表表表表 5: テクニカルサポート窓口

xii

http://www.iss.net

http://www.iss.net/support/

http://www.iss.net/support/knowledgebase

http://www.iss.net/support/knowledgebase


http://www.isskk.co.jp/support.html

http://www.isskk.co.jp/support/index_KB.html

テクニカルテクニカルテクニカルテクニカルサポートについてサポートについてサポートについてサポートについて

南米 [email protected] (1) (888) 447-4861 ( フリーダイヤル )(1) (404) 236-2700

ヨーロッパ、中東、アフリカ

[email protected] (44) (1753) 845105

アジア太平洋、オーストラリア、フィリピン

[email protected] (1) (888) 447-4861 ( フリーダイヤル )(1) (404) 236-2700

日本本製品の保守契約を締結されている販売代理店を通じてご連絡ください。

本製品の保守契約を締結されている販売代理店を通じてご連絡ください。

地域オフィス地域オフィス地域オフィス地域オフィス電子的手段によるサポート電子的手段によるサポート電子的手段によるサポート電子的手段によるサポート電話番号電話番号電話番号電話番号

表表表表 5: テクニカルサポート窓口 ( 続き )

xiiiProventia Network Intrusion Prevention System User Guide





xiv

第第第第 1 章章章章

Proventia Network Intrusion Prevention System の概要の概要の概要の概要


はじめにはじめにはじめにはじめにこの章では Proventia Network Intrusion Prevention System (IPS) を紹介し、アプライアンスの各機能が低限の設定でどのようにネットワークを防御するのかについて説明します。また、ネットワーク

のセキュリティをカスタマイズするために実装可能なその他 Proventia Network IPS 機能についても説明します。

この章の内容この章の内容この章の内容この章の内容この章では、次のトピックについて説明します。

トピックトピックトピックトピックページページページページ

不正侵入防御 14

インラインアプライアンスのアダプタモード 17

ハイアベイラビリティモード 18

13Proventia Network Intrusion Prevention System User Guide

第第第第 1 章章章章 : Proventia Network Intrusion Prevention System の概要の概要の概要の概要

不正侵入防御不正侵入防御不正侵入防御不正侵入防御

はじめにはじめにはじめにはじめに Proventia Network Intrusion Prevention System (IPS) は、ネットワークの帯域幅と可用性を保ちながら悪意のある攻撃を自動的にブロックします。 Proventia Network IPS アプライアンスは、レイヤ 2 ネットワークセキュリティ専用のアプライアンスです。ゲートウェイまたはネットワークのいずれかに配置可能であり、ネットワークの再構成を必要とすることなく、侵入の試みやサービス不能 (DoS) 攻撃、悪意のあるコード、バックドア、スパイウェア、ピアツーピアアプリケーション、そして増え続ける脅威を、ブロックすることができます。

図図図図 1: 不正侵入防御の概要

図 1 は、 Proventia Network IPS がどのようにネットワークを保護するのかを示します。これらのアプライアンスは、柔軟性のある配置オプションと追加設定不要な機能性を備え、ネットワーク境界、また内部ネットワークと内部ネットワークセグメントの全体とにおいて、正確でパフォーマンスの高い防御を保証します。

防御機能防御機能防御機能防御機能 Proventia 不正侵入防御アプライアンスの機能には、折り紙付きの検出技術と防御技術が、新のセキュリティアップデートと共に含まれます。これらのアプライアンスは論理フローとトラフィックの状態を理解するため、トロイの木馬やバックドア、ワームなどのネットワーク脅威に対して卓越した防御が提供されます。

Proventia Network IPS は、脅威からネットワークを防御するための次の機能を備えています。

� ダイナミックダイナミックダイナミックダイナミックブロッキングブロッキングブロッキングブロッキング

Proventia Network IPS では、脆弱点に基づく攻撃認識を使用して、正当なトラフィックを妨害

せず通過させる一方で、不要なトラフィックに対して Blocking レスポンスを直ちに確実に送

信可能としています。また、検知ベースのブロッキングを使用する詳細なトラフィック検査プロセスを採用して、既知の攻撃とこれまでに知られていない脅威の両方を阻止します。

� ファイアウォールファイアウォールファイアウォールファイアウォールルールルールルールルール

特定の IP アドレス、ポート番号、プロトコル、または VLAN からの着信パケットをブロック

するファイアウォールルールを作成することができます。このようなルールによって、ネッ

トワークに影響が及ぶ前に数多くの攻撃をブロックすることができます。

� 新のセキュリティ調査に基づいたセキュリティ新のセキュリティ調査に基づいたセキュリティ新のセキュリティ調査に基づいたセキュリティ新のセキュリティ調査に基づいたセキュリティコンテンツの自動アップデートコンテンツの自動アップデートコンテンツの自動アップデートコンテンツの自動アップデート

Protected Network

attack traffic

permitted traffic

000111000101110001110001110001

101010100

00111000111100011100011100011010101000 payload

header

payload

header

HTTP

HTTP

Proventia inspectsHTTP packet

Protects againstattack

Firewall inspects header

Allows web trafficto pass

14

不正侵入防御不正侵入防御不正侵入防御不正侵入防御

更新されたセキュリティコンテンツを自動的にダウンロードしてアクティブ化することがで

きます。お手元に届けられるセキュリティアップデートは、既知および未知の脅威に対する

新の防御を提供するために ISS のセキュリティ調査研究チームである X-Force が継続的に力

を注いできた成果です。

� Quarantine レスポンスとレスポンスとレスポンスとレスポンスと Block レスポンスレスポンスレスポンスレスポンス

インラインアプライアンスでは、初に攻撃があってからの指定期間、 Quarantine レスポンス

を使用してトラフィックをブロックします。また、 Block レスポンスを使用して、イベントが

発生した接続またはイベントをトリガした接続をブロックしてリセットします。

� Virtual Patch™ による防御による防御による防御による防御

Proventia の Virtual Patch ( バーチャルパッチ ) 機能によって、貴重な時間的余裕が生まれ、脆

弱点を持つすべてのシステムへ直ちに防御を講じる必要がなくなります。パッチをあててシステムを再起動することでネットワークダウンの危険をおかすのではなく、アプライアンスを

手動でアップデートする準備が整うかまたはスケジューリング済みのアップデートが発生するまで待つことができます。

� SNMP のサポートのサポートのサポートのサポート

SNMP ベースのトラップを使用して、システムの主な問題点を監視したり、 SNMP レスポンス

を使用してセキュリティイベントまたはその他アプライアンスイベントに応答したりするこ

とができます。

管理機能管理機能管理機能管理機能アプライアンスに関するセキュリティポリシーの作成と配備、アラートの管理、アップデートの適用を、ローカルで行うかまたは中央のアプライアンス管理システムを通じて行うことができます。

Proventia Network IPS には、次のような管理機能が備わっています。

� Proventia Configuration Menu

Proventia Configuration Menu は、ローカルの設定インターフェースです。アプライアンス設定

を指定するには、このツールを使用します。

� Proventia Manager

Proventia Manager は、ローカルで 1 つのアプライアンスを管理するために、ブラウザベースの

グラフィカルユーザーインターフェース (GUI) を備えています。 Proventia Manager を使用し

て、次の機能を管理することができます。

� アプライアンスのステータスの監視

� 動作モードの設定

� ファイアウォールの設定

� アプライアンスの設定とアクティビティの管理

� アラート詳細のレビュー

� ハイアベイラビリティの設定

� プロテクションドメインを使用したセキュリティポリシーの管理



� Proventia® Management SiteProtector

SiteProtector は、 ISS のマネージメントコンソールです。 SiteProtector を使用して、コンポーネ

ントとアプライアンスの管理、イベントの監視、レポートのスケジューリングを行うことができます。アプライアンスは Proventia Manager を通じて管理するようにデフォルト設定されて

いますが、アプライアンスのグループを別のセンサーと共に管理している場合は、SiteProtector の中央管理機能を使った方がよい場合があります。

アプライアンスを SiteProtector に登録すると、 SiteProtector はアプライアンスの次の管理機能

を制御します。

� ファイアウォール設定

� 不正侵入防御設定

� アラートイベント

� アプライアンスとセキュリティコンテンツのアップデート

参照参照参照参照 : SiteProtector を通じたアプライアンス管理の手順については、 http://

www.isskk.co.jp/document/manuals.html または http://www.iss.net/support/documentation/ にある SiteProtector のユーザーマニュアルか、 SiteProtector のヘ

ルプを参照してください。

16





インラインインラインインラインインラインアプライアンスのアダプタアプライアンスのアダプタアプライアンスのアダプタアプライアンスのアダプタモードモードモードモード

インラインインラインインラインインラインアプライアンスのアダプタアプライアンスのアダプタアプライアンスのアダプタアプライアンスのアダプタモードモードモードモード

はじめにはじめにはじめにはじめにこのインラインアプライアンスには、次のような 3 つのアダプタモードがあります。

� インラインプロテクション

� インラインシミュレーション

� パッシブモニタリング

アプライアンスソフトウェアをインストールするときに、これら動作モードのうち 1 つを選択します。好みに応じて、デフォルトの動作モードを使用し、後で別のモードのソフトウェアをインストールすることができます。

アダプタアダプタアダプタアダプタモードモードモードモードインラインインラインインラインインラインプロテクションプロテクションプロテクションプロテクション

このモードでは、アプライアンスをネットワーク基盤に完全に統合することができます。 Block レスポンスと Quarantine レスポンスに加え、すべてのファイアウォールルールが有効化され、アプライアンスに適用するセキュリティポリシーが完全に有効化されます。

インラインインラインインラインインラインシミュレーションシミュレーションシミュレーションシミュレーション

このモードでは、トラフィックパターンに影響することなく、アプライアンスを使用してネットワークを監視することができます。従来の Block レスポンスに加え、 Quarantine レスポンスも使用されます。デフォルトでは、これらレスポンスが送信されてもパケットはドロップされず、 TCP 接続もリセットされません。このモードは、ネットワークトラフィックに影響することなく、セキュリティオプションのベースラインとテストを行う場合に役立ちます。

パッシブパッシブパッシブパッシブモニタリングモニタリングモニタリングモニタリング

このモードは従来のパッシブな IDS 機能を再現したもので、インラインに配置されない状態で、問題がないかどうかネットワークトラフィックの監視を行います。主に、不正侵入に対して従来の Block レスポンスで対応します。アプライアンスは、問題に遭遇するとリセットパケットを送信して TCP 接続をブロックします。このモードは、ネットワークに必要なインラインプロテクションのタイプを見極める場合に役立ちます。

アプライアンスアプライアンスアプライアンスアプライアンスアダプアダプアダプアダプ

タタタタモードの変更モードの変更モードの変更モードの変更

パッシブモニタリングモードからインラインシミュレーションモードまたはインラインプロテクションモードに変更する場合は、アプライアンスに対するネットワーク接続も変更する必要があります。パッシブモニタリングモードで動作するアプライアンスは、タップ、ハブ、または SPAN ポートに接続する必要があります。

アプライアンスのアダプタモードをインラインシミュレーションからインラインプロテクションに変更した場合は、インラインプロテクションに適した設定となるように、いくつかの高度なパラメータを調整する必要があります。詳細については、「ネットワークアダプタカードのプロパティの編集」 (144 ページ ) を参照してください。



ハイハイハイハイアベイラビリティアベイラビリティアベイラビリティアベイラビリティモードモードモードモード

はじめにはじめにはじめにはじめに Proventia Network IPS のハイアベイラビリティ機能 (HA) によって、アプライアンスは既存のハイアベイラビリティ環境で動作することができます。両アプライアンスは、アプライアンス間のすべてのトラフィックをミラーリンク経由で通過させ、ネットワーク上のすべてのトラフィックを監視して確実に状態を維持します。これによってアプライアンスは、非対称的にルーティングされたトラフィックを監視し、ネットワークを完全に防御することも可能になります。

ハイアベイラビリティのサポートは、連動する 2 アプライアンスに限定されています。どちらのアプライアンスも、パケットをインラインで処理し、インライン監視ポートに到着するトラフィックをブロックし、インライン監視ポートで受信したイベントを管理コンソールへレポートします。

注記注記注記注記 : HA モードで動作できるのは GX5000 シリーズのアプライアンスだけです。

HA アプライアンス向けに、次のうちいずれかのモードを選択することができます。

� 通常モード

� HA プロテクションモード

� HA シミュレーションモード

HA のモードについてのモードについてのモードについてのモードについて通常モード通常モード通常モード通常モード

通常の動作モードの場合、アプライアンスは HA にあるもう一方のアプライアンスと連動することができません。アプライアンスは、アダプタレベルに限り、インラインプロテクション、インラインシミュレーション、パッシブモニタリングの各モードで実行するように設定することができます。

HA プロテクションプロテクションプロテクションプロテクションモードモードモードモード

プロテクションモードの場合、 HA パートナーアプライアンスは両方ともトラフィックをインラインで監視し、それぞれ自分のインラインポートで受信した攻撃をレポートおよびブロックします。アプライアンスはまた、ネットワークのフェールオーバが万が一発生した場合にはレポートと防御を引き受けられるように、互いのセグメント上のトラフィックをミラーリンク経由で監視します。

HA シミュレーションシミュレーションシミュレーションシミュレーションモードモードモードモード

HA シミュレーションモードの場合、 HA パートナーアプライアンスは両方ともトラフィックをインラインで監視しますが、トラフィックのブロックは行いません。その代わり、パッシブ通知レスポンスを生成します。アプライアンスはまた、ネットワークのフェールオーバが万が一発生した場合には通知を引き受けられるように、互いのセグメント上のトラフィックをミラーリンク経由で監視します。

18


アプライアンスの接続アプライアンスの接続アプライアンスの接続アプライアンスの接続


はじめにはじめにはじめにはじめにこの章では、 Proventia Network Intrusion Prevention System (IPS) GX4000 シリーズおよび GX5000 シリーズモデルのアプライアンスの接続手順について説明します。また、ネットワークにも適した構成を決定する際に役立つように、共通のインライン配置シナリオについても説明します。



始める前に 20

一般的な配置シナリオの確認 21

ケーブルの接続とアプライアンスの起動 23


第第第第 2 章章章章 : アプライアンスの接続アプライアンスの接続アプライアンスの接続アプライアンスの接続

始める前に始める前に始める前に始める前に

はじめにはじめにはじめにはじめにアプライアンスをネットワークに接続する前に、正しい機材を集めておく必要があります。また、アプライアンスの実行モードも考慮する必要があります。たとえば、フルプロテクションモードで実行する準備はできているでしょうか。または、フルセキュリティポリシーの実装前にトラフィックパターンを監視する必要はないでしょうか。次に示すセクションを確認して、必要な機材を確保し、アプライアンスのネットワークへの接続方法を把握してください。

必要なもの必要なもの必要なもの必要なもの次の機材を揃えます。

モニタリングモニタリングモニタリングモニタリングモードにモードにモードにモードに

ついてついてついてついて

ネットワークへのアプライアンスの接続方法は、アプライアンスをどのモードで実行するかによって異なります。インラインアプライアンスには、次のアダプタモードが備わっています。

項目項目項目項目

Proventia Network IPS GX4000 または GX5000 シリーズモデルのアプライアンス

Proventia のシリアルコンソールケーブル ( 青 )

イーサネットクロスオーバケーブル ( 黄 )

各インラインセグメントでは次のものが必要です。

• 一対のイーサネットケーブル ( ネットワークに応じ、直流またはクロスオーバ )

• クロスオーバアダプタ

• 追加のイーサネットケーブル ( 必要に応じて )

注記注記注記注記 : ISS からは、セグメントごとにクロスオーバアダプタ x 1、ワンフットイーサネッ

トケーブル ( 緑 ) x 2 が提供されています。

電源コード (GX5000 シリーズアプライアンスでは 2 本必要 )

表表表表 6: アプライアンス接続用の機材

モードモードモードモードレスポンスレスポンスレスポンスレスポンス利点利点利点利点

インラインプロ

テクション

Block、Quarantine、Firewall

• ネットワークを監視し、悪意のあるトラフィックを積極的にブロックする

• IPS の利点を十分に実現することができる

インラインシミュレーション

Block、 Quarantine ( シミュレート )

• トラフィックパターンに影響を与えることなくネッ

トワークを監視する

• セキュリティポリシーのベースラインとテストに役

立つ

パッシブモニタ

リング

Block • 従来の IDS 技術を再現する

• インラインに配置されない状態でトラフィックを監視する

表表表表 7: モニタリングモード

20

一般的な配置シナリオの確認一般的な配置シナリオの確認一般的な配置シナリオの確認一般的な配置シナリオの確認

一般的な配置シナリオの確認一般的な配置シナリオの確認一般的な配置シナリオの確認一般的な配置シナリオの確認

はじめにはじめにはじめにはじめに Proventia Network IPS アプライアンスをネットワークに接続する前に、次の一般的なアプライアンス配置シナリオを検討してください。

クロスオーバ接続が必要な箇所では、お手持ちのイーサネットケーブルを使用することができます。 ISS からは、セグメントごとにクロスオーバアダプタ x 1、ワンフットイーサネットケーブル x 2 が提供されています。アプライアンスが動作中ではない場合、監視ポートはクロスオーバとして機能します。次のシナリオは、使用する監視ポートとは関係なく機能します。

参照参照参照参照 : 2 つのアプライアンスをハイアベイラビリティ用に設定する場合は、「ネットワーク可用性の維持」 (43 ページ ) を確認してください。

ルーター→ルータールーター→ルータールーター→ルータールーター→ルーター 2 つのルーター間にアプライアンスを配置する場合は、図 2 のように接続します。

� イーサネットクロスオーバケーブルを使用して、ルーター 1 とアプライアンスを接続します。

� イーサネットクロスオーバケーブルを使用して、アプライアンスとルーター 2 を接続します。

図図図図 2: ルーター→ルーター

ルーター→スイッチルーター→スイッチルーター→スイッチルーター→スイッチまたはハブまたはハブまたはハブまたはハブ

ルーターとスイッチ / ハブの間にアプライアンスを配置する場合は、図 3 のように接続します。

� イーサネットクロスオーバケーブルを使用して、ルーターとアプライアンスを接続します。

� 直流イーサネットケーブルを使用して、アプライアンスとスイッチまたはハブを接続します。

図図図図 3: ルーター→スイッチまたはハブ

スイッチまたはハブ→別スイッチまたはハブ→別スイッチまたはハブ→別スイッチまたはハブ→別のスイッチまたはハブのスイッチまたはハブのスイッチまたはハブのスイッチまたはハブ

2 つのスイッチまたはハブ間にアプライアンスを配置する場合は、図 4 のように接続します。

� 直流イーサネットケーブルを使用して、スイッチまたはハブ 1 とアプライアンスを接続しま

す。

� 直流イーサネットケーブルを使用して、アプライアンスとスイッチまたはハブ 2 を接続しま

す。

図図図図 4: スイッチまたはハブ 1 →スイッチまたはハブ 2



ワークステーション→スワークステーション→スワークステーション→スワークステーション→スイッチイッチイッチイッチ

ワークステーションとスイッチの間にアプライアンスを配置する場合は、図 5 のように接続します。

� イーサネットクロスオーバケーブルを使用して、ワークステーションとアプライアンスを接

続します。

� 直流イーサネットケーブルを使用して、アプライアンスとスイッチを接続します。

図図図図 5: ワークステーション→スイッチ

ワークステーション→ワークステーション→ワークステーション→ワークステーション→ルータールータールータールーター

ワークステーションとルーターの間にアプライアンスを配置する場合は、図 6 のように接続します。

� イーサネットクロスオーバケーブルを使用して、ワークステーションとアプライアンスを接

続します。

� イーサネットクロスオーバケーブルを使用して、アプライアンスとルーターを接続します。

図図図図 6: ワークステーション→ルーター

22

ケーブルの接続とアプライアンスの起動ケーブルの接続とアプライアンスの起動ケーブルの接続とアプライアンスの起動ケーブルの接続とアプライアンスの起動

ケーブルの接続とアプライアンスの起動ケーブルの接続とアプライアンスの起動ケーブルの接続とアプライアンスの起動ケーブルの接続とアプライアンスの起動

はじめにはじめにはじめにはじめにこのトピックでは、ケーブルの接続方法と、アプライアンスを初めて起動する場合の方法について説明します。詳しいアプライアンス図については、アプライアンスのパッケージに同梱されている Quick Start Card を参照してください。

ケーブルの接続ケーブルの接続ケーブルの接続ケーブルの接続ケーブルをアプライアンスに接続するには :

1. 電源コードをアプライアンスに接続します。

重要重要重要重要 : GX5000 シリーズモデルを接続する場合は、アプライアンスの警告シグナルが鳴らない

ように、両方の電源コードを接続する必要があります。

2. 直流イーサネットケーブルを、ネットワークから管理 (Management) ポート 1 ( 左側 ) に接続し

ます。この接続によって、アプライアンスを SiteProtector または Proventia Manager から管理で

きるようになります。

注記注記注記注記 : 管理ポート 2 ( 右側 ) は、 TCPReset (Kill) ポートです。

3. イーサネットケーブルを、ネットワークから、一対の保護された (Protected) ポートに指示ど

おりに接続します。

アプライアンスをインラインプロテクションまたはシミュレーションモードで実行する予定

である場合は、両方のポートにケーブルを差し込む必要があります。パッシブモードで実行

する予定の場合は、 1 本のケーブルをポートペアのうち片方のポート ( 例 : ポート 1A) に差し

込みます。もう一方のポートはそのままにしておきます。

注記注記注記注記 : 利用できるセグメントは、アプライアンスモデルによって異なります。



4. ( オプション ) シリアルコンソールケーブルを、アプライアンスからコンピュータに接続しま

す。この手順は、アプライアンスを直接コンピュータに接続して高度な設定を行う場合に限って行ってください。

5. アプライアンスの電源を入れます。

ISS Proventia の画面が LCD パネルに表示されます。

6. 第 3 章「アプライアンス設定の指定」 (25 ページ ) に進み、手順に従ってアプライアンスを

ネットワークに接続し、高度な設定を指定します。

24


アプライアンス設定の指定アプライアンス設定の指定アプライアンス設定の指定アプライアンス設定の指定


はじめにはじめにはじめにはじめにこの章では、 Proventia Network Intrusion Prevention System (IPS) アプライアンスをネットワーク接続するための設定方法について説明します。また、バックアップと復元の設定や SNMP 設定など、その他アプライアンス設定の概要についても説明します。



始める前に 26

LCD パネルを使用したネットワーク接続 28

Proventia Setup の使用 30

その他アプライアンス設定の指定 33

アプライアンスファームウェアの再インストール 38


第第第第 3 章章章章 : アプライアンス設定の指定アプライアンス設定の指定アプライアンス設定の指定アプライアンス設定の指定


はじめにはじめにはじめにはじめにアプライアンスケーブルを接続した後は、アプライアンスをネットワークに接続して設定を行います。これには 2 つのオプションがあります。お使いのネットワーク環境にどちらが適であるかを検討してください。

� アプライアンス前面の LCD パネルを使用して、 IP アドレス、 IP サブネットマスク、ゲート

ウェイなどの基本的なネットワーク設定を指定し、アプライアンスを直接ネットワークに接続することができます。アプライアンスの設定は、 Proventia Setup を使用してリモートコン

ピュータから引き続き行います。

� Proventia Setup を使用して、基本的なネットワーク設定に加えてパスワード、 DNS 名とホスト

名、アダプタモード、ポートリンク設定、日時、バックアップと復元の設定、 SNMP 設定を

指定することができます。

重要重要重要重要 : アプライアンスのネットワーク接続には、 1 つの方法しか使用できません。アプライアンス

のネットワーク接続を LCD パネルを使って開始した場合は、すべての手順を完了してから、

Proventia Setup を使って設定を継続する必要があります。

設定のチェックリスト設定のチェックリスト設定のチェックリスト設定のチェックリスト LCD パネルまたは Proventia Setup のどちらを使ってアプライアンスを設定する場合でも、始めるにあたって関連情報をいくつか集めておく必要があります。 LCD パネルを使用してアプライアンスをネットワーク接続し、設定を行う場合は、初に IP アドレス、サブネットマスク、ゲートウェイの情報を入力します。この情報は、 Proventia Setup フェーズで必要に応じて変更可能です。

表 8 のチェックリストを使用して、 Proventia Network IPS アプライアンスの設定に必要な情報を入手してください。

設定設定設定設定説明説明説明説明

Hostname アプライアンスの固有のコンピュータ名

例例例例 : myappliance

設定設定設定設定 :

Domain name ネットワークのドメインサフィックス

例例例例 : mydomain.com


Domain name server ドメイン名参照 (DNS 検索パス ) 用のサーバー IP アドレス ( オプション )。

例例例例 : 10.0.0.1


Management Port IP Address

管理用ネットワークアダプタの IP アドレス


Management port subnet mask

管理ポートに接続されたネットワークのサブネットマスク値。


表表表表 8: 設定情報のチェックリスト

26


Management port default gateway (IP address)

管理ゲートウェイの IP アドレス


Adapter mode アプライアンスで使用するアダプタ ( 動作 ) モー

ドを決定します。

注記注記注記注記 : 使用予定のアダプタモードは、ネット

ワークケーブルの接続方法に対応している必要

があります。



表表表表 8: 設定情報のチェックリスト ( 続き )



LCD パネルを使用したネットワーク接続パネルを使用したネットワーク接続パネルを使用したネットワーク接続パネルを使用したネットワーク接続

はじめにはじめにはじめにはじめにアプライアンスのインストール後すぐにネットワークに接続する場合は、ネットワークの防御を開始するためにアプライアンスが必要とするも重要な情報を、 LCD パネルを使用して入力することができます。 LCD を使用してアプライアンスを設定する場合は、次の情報を入力する必要があります。

� IP アドレス

� サブネットマスク

� ゲートウェイ

GX4000 シリーズのシリーズのシリーズのシリーズの LCD パネルについてパネルについてパネルについてパネルについて

GX4000 シリーズモデルアプライアンスの LCD パネルには、次のボタンがあります。

GX5000 シリーズのシリーズのシリーズのシリーズの LCD パネルについてパネルについてパネルについてパネルについて

GX5000 シリーズモデルアプライアンスの LCD パネルには、次のボタンがあります。

ネットワーク情報の入力ネットワーク情報の入力ネットワーク情報の入力ネットワーク情報の入力 LCD パネルを使用してネットワーク情報を入力するには :

1. LCD パネルでボタンを押します。

2. 設定を行うかどうかたずねるメッセージが表示されます。 [OK] を選択し、ボタンを押しま

す。

重要重要重要重要 : LCD パネルを使用してアプライアンスのネットワークアクセスを設定する場合は、関

連ネットワーク情報を LCD パネルから入力する必要があります。 Proventia Setup の使用は、詳

細設定の場合に限られます。 Proventia Setup を使用してネットワークアクセスを設定する場合

は、 [Cancel] を選択し、「Proventia Setup の使用」 (30 ページ ) を参照してください。

3. 初に表示される画面は、 IP アドレスの画面です。

ボタンボタンボタンボタン目的目的目的目的

フィールド内で数値を選択します。または、 ISS Proventia Menu を移動します。


画面上の次のフィールドに移動します。または、選択内容を確認して新しい画面に移動します。

ESC 前のフィールドに戻ります。




画面上の次のフィールドに移動します。

前のフィールドに戻ります。

選択内容を確認して新しい画面に移動します。

28

LCD パネルを使用したネットワーク接続パネルを使用したネットワーク接続パネルを使用したネットワーク接続パネルを使用したネットワーク接続

アプライアンスモデルに従って、次のいずれかを行います。

� GX4000 シリーズアプライアンスの場合は、ボタンとボタンを押して数値を選択

し、ボタンを押して次のフィールドに移動します。

� GX5000 シリーズアプライアンスの場合は、ボタンとボタンを押して数値を選択し、ボタンを押して次のフィールドに移動します。

4. アドレスを入力したら、ボタンを押します。

5. [OK] を選択して先へ進むか、 [Cancel] を選択してすべてのフィールドをクリアします。

6. ボタンを押して内容を承認します。

7. 手順手順手順手順 3 ～～～～ 6 を繰り返し、サブネットマスクとデフォルトゲートウェイを入力します。

ネットワーク情報の保存ネットワーク情報の保存ネットワーク情報の保存ネットワーク情報の保存すべてのネットワーク情報を入力したら、終確認画面が表示されます。

次のいずれかを行います。

� [OK] を選択し、ボタンを押して内容を承認します。入力した情報がアプライアンスに保存

されます。

� [Cancel] を選択し、ボタンを押して承認します。入力した情報は削除され、 ISS Proventia の画面に戻ります。ネットワーク情報を、もう一度入力できるようになります。

パスワードの記録パスワードの記録パスワードの記録パスワードの記録設定を承認すると、アプライアンスは情報を保存し、大文字と小文字が区別される英数字の固有のパスワードを生成します。このパスワードを覚えておいてください。 Proventia Setup へのログインで使用します。このパスワードは、管理用、 root、 Proventia Manager 用のパスワードであるデフォルトの「admin」を上書きします。

次の作業次の作業次の作業次の作業これでアプライアンスはネットワークに接続され、アプライアンスにログオンして DNS 名やホスト名、アダプタモード、ポートリンク設定、日時、バックアップと復元の設定、 SNMP 設定を指定などの詳細設定を指定する準備ができました。

アプライアンスがシリアルコンソールを通じて直接コンピュータに接続されている場合は、そのコンピュータからアプライアンスへ直接ログインすることができます。また、アプライアンスへリモート接続することもできます。詳細については、「アプライアンスへのリモート接続」 (30 ページ ) を参照してください。

リモート接続を確立したら、「初期設定の完了」 (30 ページ ) の手順に従ってアプライアンスの設定を完了します。



Proventia Setup の使用の使用の使用の使用

はじめにはじめにはじめにはじめに Proventia Setup は、アプライアンスの初期設定を指定するのに使用するプログラムです。 LCD パネルを通じてアプライアンスをネットワークに接続した場合でも、ポートリンク速度の設定やアダプタモードの設定などの詳細設定については、 Proventia Setup で行う必要があります。

アプライアンスがシリアルコンソールを使用して直接コンピュータに接続されている場合は、ログインして設定を開始する準備ができています。初期設定の完了を参照してください。

リモートコンピュータからアプライアンスを設定する場合は、次に示す手順に従います。ここでは、ハイパーターミナルを使用したアプライアンスへの接続方法について説明します。別の端末エミュレーションプログラム (PuTTY など ) を使用してアプライアンスに接続することもできますが、その手順についてはここで扱いません。お使いのプログラムのマニュアルに記載された手順に従ってください。

アプライアンスへのリアプライアンスへのリアプライアンスへのリアプライアンスへのリモート接続モート接続モート接続モート接続

ハイパーターミナルを使用してアプライアンスへリモート接続するには :

1. コンピュータで [ スタートスタートスタートスタート ] → [ プログラムプログラムプログラムプログラム ] → [ アクセサリアクセサリアクセサリアクセサリ ] → [ 通信通信通信通信 ] の順に選択します。

2. [ ハイパーターミナルハイパーターミナルハイパーターミナルハイパーターミナル ] を選択します。

3. 次の設定を使用した新規接続を作成します。

4. [ENTER] キーを押して接続を確立します。

接続が確立されると、 [Proventia Setup Configuration Menu] が表示されます。

ヒントヒントヒントヒント : 接続を確立できなかった場合は、アプライアンスの電源が入っているかどうか、アプライアンスを起動してあるかどうかを確認します。

初期設定の完了初期設定の完了初期設定の完了初期設定の完了アプライアンスの初期設定を完了するには :

1. ログインプロンプトでユーザー名「admin」を入力し、 [ENTER] キーを押します。

2. パスワードを入力するには、次のいずれかを行います。

� LCD パネルを使用してネットワークに接続する場合は、アプライアンスによって生成され

た、大文字と小文字が区別されるパスワードを入力します。

� Proventia Setup を使用してネットワークに接続する場合は、デフォルトパスワード

「admin」を入力します。

3. [Start] を選択し、 [ENTER] キーを押します。

4. ソフトウェアライセンス契約を読み、 [Accept] を選択して続行します。

5. 画面に表示される手順に従います。

設定設定設定設定値値値値

通信ポート通常は COM1 ( コンピュータの設定によって異

なる )

エミュレーション VT100

ビット / 秒 9600

データビット 8

パリティなし

ストップビット 1

フロー制御なし

30

Proventia Setup の使用の使用の使用の使用

次の表では、必須情報について説明します。

情報情報情報情報説明説明説明説明

Change Password • Admin Password ( 管理パスワード管理パスワード管理パスワード管理パスワード ) - アプライアンスにアク

セスする場合は、このパスワードを入力する必要があります。このパスワードには、 root パスワードと同じものを使用する

ことができます。

• Root Password (root パスワードパスワードパスワードパスワード ) - コマンドラインからア

プライアンスにアクセスする場合は、このパスワードを入力する必要があります。

• Proventia Manager Password (Proventia Manager パスパスパスパス

ワードワードワードワード ) - Proventia Manager にアクセスする場合は、このパ

スワードを入力する必要があります。このパスワードには、root パスワードと同じものを使用することができます。

Network Configuration Information

• IP Address (IP アドレスアドレスアドレスアドレス ) - 管理ネットワークアダプタの IP アドレス。

• Subnet Mask ( サブネットサブネットサブネットサブネットマスクマスクマスクマスク ) - 管理インターフェース

に接続するネットワークのサブネットマスク値。

• Default Gateway ( デフォルトデフォルトデフォルトデフォルトゲートウェイゲートウェイゲートウェイゲートウェイ ) - 管理ゲート

ウェイの IP アドレス。

注記注記注記注記 : アプライアンスが LCD パネルを通じて初期設定されてい

る場合、入力した情報はここに表示されます。この情報は、必要に応じて変更することができます。

Host Configuration このアプライアンスは、 Email レスポンスと SNMP レスポンス

を送信するのにドメイン名と DNS 情報を使用します。セット

アップ時にこの情報を設定しなかった場合は、 SNMP レスポン

スを定義するたびに、アプライアンスのメールサーバーの IP アドレスを指定する必要があります。

• Hostname ( ホスト名ホスト名ホスト名ホスト名 ) - アプライアンスのコンピュータ名。

例 : myappliance.

• Domain Name ( ドメイン名ドメイン名ドメイン名ドメイン名 ) - ネットワーク用のドメインサフィックス (DNS 検索パス )。例 : mycompany.com.

• Primary Name Server ( プライマリプライマリプライマリプライマリネームネームネームネームサーバーサーバーサーバーサーバー ) - ドメ

イン名参照を実行するために使用する DNS の IP アドレス。

例 : 10.0.0.1

• Secondary Name Server ( セカンダリセカンダリセカンダリセカンダリネームネームネームネームサーバーサーバーサーバーサーバー ) - ドメイン名参照を実行するために使用する第 2 の DNS の IP アドレス。

Time Zone Configuration これらの設定は、アプライアンスのタイムゾーンを決定します。

Date/Time Configuration ネットワーク上で発生するイベントを正確に追跡できるように、管理インターフェースに表示されるアプライアンスの日時を設定する必要があります。

Agent Name Configuration

エージェント名は、管理インターフェースに表示されるアプライアンス名です。この名前は、ネットワークの枠組みにおける意味のある分類 ( 地理的な位置、事業単位、所在地など ) と対応して

いる必要があります。



6. すべての情報を入力すると、アプライアンスはその設定を適用します。

確認メッセージが表示されたら、 [ENTER] キーを押してアプライアンスをログオフします。

Port Link Configuration ポートリンク設定は、アプライアンスのパフォーマンスモード、

またはアプライアンスが自らのネットワーク接続を処理する場合の方法を決定します。

速度 ( アプライアンスとネットワークの間でのトラフィックの通

過レート ) と二重モード ( 情報の流れる方向 ) を選択することが

できます。お使いの特定ネットワークに対応し、 Proventia Network IPS アプライアンスを一括するその他デバイスに関連し

たリンク速度と設定を選択してください。ネットワーク設定が不明である場合は、速度と二重モードに関してアプライアンスが自動的にネットワークとネゴシエートできるように [Auto] を選択し

ます。

注記注記注記注記 : アプライアンスの初期設定後は、 Proventia Manager を通

じてインライン監視ポートと Kill ポートのリンク速度と二重モー

ドの設定しか変更できません。詳細については、「ネットワークアダプタカードの管理」 (144 ページ ) を参照してください。

Adapter Mode Configuration

[Adapter Mode] は、アプライアンスがネットワークを防御するた

めにネットワーク内でどのように振る舞うのかを決定します。どのモードを選択すべきかについては、「インラインアプライアン

スのアダプタモード」 (17 ページ ) を確認してください。

ポートペアごとに異なるアダプタモードを選択できますが、ア

プライアンスの物理的なネットワーク接続に合ったアダプタモードを選択してあるかどうか確認する必要があります。この設定が正しくないと、ネットワークに大きな影響が及ぶ可能性があります。

注記注記注記注記 : 2 台のアプライアンスをハイアベイラビリティモードで実

行する予定である場合は、初期設定の間にアダプタモードを選

択する必要があります。初期設定を完了すると、管理インターフェースを通じて対応する HA モードを設定できるようになりま

す。詳細については、「ネットワーク可用性の維持」 (43 ページ ) を参照してください。

情報情報情報情報説明説明説明説明

32

その他アプライアンス設定の指定その他アプライアンス設定の指定その他アプライアンス設定の指定その他アプライアンス設定の指定


はじめにはじめにはじめにはじめに設定メニューを通じて、初期設定時に指定したアプライアンス設定を表示または編集することができます。また、次のような重要なアプライアンス設定を管理することもできます。

Appliance Information アプライアンス設定に関する次の情報を表示することができます。

メニューメニューメニューメニューオプションオプションオプションオプション目的目的目的目的

Appliance Information アプライアンスに関する情報を表示します。

Appliance Management • 現在の設定をバックアップします。

• 現在の設定または工場出荷時のデフォルト設定を復元します。

• アプライアンスへのリモート root アクセスを無効にします。

• アプライアンスを再起動またはシャットダウンします。

Agent Management • エージェント、エンジン、またはデーモンのバージョンあるいはステータス情報を表示します。

• エージェント名を変更します。

Network Configuration • IP アドレス、サブネットマスク、またはゲートウェイを変更

します。

• ホスト名、ドメイン名、またはプライマリおよびセカンダリ DNS を変更します。

• 管理ポートリンク設定を変更します。

• Kill ポートリンク設定を指定します。

Time Configuration • アプライアンスのタイムゾーン、日付、または時刻を変更し

ます。

• Network Time Protocol を変更します。

Password Management 管理パスワード、 root パスワード、または Proventia Manager パスワードを変更します。

SNMP Configuration アプライアンスシステム関連のイベントが発生した場合にアプ

ライアンスが SNMP トラップを送信できるようにします。

表表表表 9: 設定メニュー

項目項目項目項目説明説明説明説明

Serial Number アプライアンスのシリアル番号。

Base Version アプライアンスが工場から出荷された時点のファームウェアバー

ジョン。

XPU Version アプライアンスにインストールされている、新の X-Press Update (XPU) またはセキュリティコンテンツアップデート。

Firmware Version アプライアンスにインストールされている新のファームウェアバージョン。

Agent Name エージェントモデル名 ( 例 : Proventia_GX4004)。

表表表表 10: アプライアンス情報



Appliance Management

[Appliance Management] メニューから、次のタスクを実行することができます。

Host Name アプライアンスのインストール時にアプライアンスに付けられた名前 ( ネットワーク上で表示される名前 )。これは、管理インター

フェースに表示される名前です。

IP Address この IP アドレスは、 Proventia Manager と SiteProtector を通じてア

プライアンスを管理するために使用します。

Netmask 管理ポートに接続するネットワークのサブネットマスク値。

Gateway 管理ゲートウェイの IP アドレス。

Primary DNS ドメイン名参照 (DNS 検索パス ) を実行するために使用するプライマ

リサーバーの IP アドレス。

Secondary DNS ドメイン名参照 (DNS 検索パス ) を実行するために使用するセカンダ

リサーバーの IP アドレス。


表表表表 10: アプライアンス情報 ( 続き )

作業作業作業作業説明説明説明説明

現在の設定をバックアップする

現在の設定をバックアップする場合は、すべてのカスタム情報がイメージファイルに保存され、アプライアンスのハードディス

ク上の特別なバックアップ用パーティションに置かれます。現在のバックアップファイルからイメージを復元する場合は、保存

されている情報でハードドライブが再度イメージ化され、特別

なバックアップ用パーティション以外のすべてが上書きされます。

設定を復元する設定の復元には、 2 つのオプションがあります。

• Backup configuration - アプライアンス設定をも新しい

バックアップ設定に戻します。

• Factory default - 新のファームウェアバージョンまたは

アップデートがインストール済みのアプライアンス設定をデフォルト設定に戻します。

注記注記注記注記 : このオプションでは、現在のホスト、ネットワーク、

タイムゾーン、パスワードの設定が保持されます。

リモート root アクセスを無

効にする

root ユーザーへのリモートアクセスを無効にすることができま

す。リモートアクセスを無効にすると、 root ユーザーはローカ

ルコンソールからでないとアプライアンスにログオンできませ

ん。アクセスを無効にした後は、管理ユーザーだけがリモートアクセス権限を持ちます。

リモート root アクセスは、端末エミュレーションセッションを

通じて root ユーザーとしてアプライアンスにログインし、コマ

ンドプロンプトで「enable-root-access」と入力すること

で再度有効にすることができます。

アプライアンスを再起動またはシャットダウンする

LCD パネルまたは Proventia Setup からアプライアンスを再起動

またはシャットダウンすることもできます。

表表表表 11: アプライアンス管理のタスク

34


Agent Management [Agent Management] メニューから、次のタスクを実行することができます。

Network Configuration [Network Configuration] メニューから、次のタスクを実行することができます。

Time Configuration [Time Configuration] メニューから、次のタスクを実行することができます。


エージェントステータスを

表示する

エージェント、エンジン、およびデーモンのステータスを表示することができます。

エージェント名を変更するエージェント名は、マネージメントコンソール (SiteProtector または Proventia Manager) に表示されるアプライアンス名です。

エージェント名を変更した場合、新しい名前は、次回ハートビートの後に SiteProtector に表示されます。

表表表表 12: エージェント管理のタスク


IP 設定を変更するアプライアンスの IP アドレス、サブネットマスク、またはゲー

トウェイを変更することができます。たとえば、アプライアンスを別の場所またはネットワーク領域に移動した場合に、これら設定の変更が発生する場合があります。

ホスト名設定を変更するアプライアンスのホスト名、ドメイン名、プライマリおよびセカンダリネームサーバーを変更することができます。たとえば、

アプライアンスは Email および SNMP レスポンスの送信にドメ

イン名や DNS 名を使用するので、新しいメールサーバーまたは SNMP マネージメントコンソールを追加した場合に、これら設

定の変更が発生する場合があります。

管理ポートリンク設定を変

更する

管理ポートのリンク速度と二重モードを変更することができます。お使いの特定ネットワークに対応し、 Proventia Network IPS アプライアンスを一括するその他デバイスに関連したリンク速度と設定を選択してください。

注記注記注記注記 : 初期設定後は、 Proventia Manager または SiteProtector を通じて監視対象の (Protected) ポートのリンク速度と二重モード

の設定しか変更できません。詳細については、「ネットワークアダプタカードの管理」 (144 ページ ) を参照してください。

TCPReset (kill) ポートリン

ク設定を指定する

TCPReset (kill) ポートに接続する場合は、リンクと二重の設定を

ここで変更することができます。 Kill ポートを設定した後は、

Proventia Manager または SiteProtector を通じてリンクと二重の

設定を変更することができます。詳細については、「ネットワークアダプタカードの管理」 (144 ページ ) を参照してください。

Kill ポートの初期設定については、「TCPReset の設定」

(152 ページ ) を参照してください。

表表表表 13: ネットワーク設定のタスク


日付と時刻を変更するアプライアンスに設定した日時は、アプライアンスイベントが

記録される時刻と、記録されたイベントが管理インターフェースに表示される方法を決定します。

表表表表 14: 日時設定のタスク



タイムゾーンを変更するアプライアンス用にタイムゾーンが正しく設定されていること

を確認します。いったん設定したら、アプライアンスを物理的に移動した場合を除き、この設定を変更しないでください。

Network Time Protocol を設

定する

Network Time Protocol (NTP) は、ローカルの日付と時刻をネッ

トワークタイムサーバーと同期します。 1 つ以上のタイムサー

バーを指定すると、アプライアンスは、指定された各サーバーから多数のサンプルを入手して正しい時刻を判断します。


表表表表 14: 日時設定のタスク

36


Password Management

[Password Management] メニューから、次のタスクを実行することができます。

SNMP Configuration [Configuration] メニューから SNMP を有効にすると、ディスク容量の低下、スワップ容量の低下、非常に高い CPU 使用率、物理的な侵入など、システム健全性関連のイベントに関する情報をアプライアンスが送信できるようになります。これらの設定は、ネットワーク上で発生したイベントに割り当てられている SNMP レスポンスには影響しません。イベントに対する SNMP レスポンスについては、「SNMP レスポンスの設定」 (104 ページ ) を参照してください。

[SNMP Configuration] メニューから、次のタスクを実行することができます。


管理パスワード、 root パス

ワード、または Proventia Manager パスワードを変更

する

Proventia Manager を通じてパスワードを変更することもできま

す。「ユーザーアクセスの設定」 (159 ページ ) を参照してくださ

い。

ブートローダパスワードを

無効にする

ブートローダパスワードは、起動プロセスの間にアプライアン

スを不正なユーザーアクセスから保護します。 root パスワード

を設定した場合は、ブートローダパスワードが自動的に有効に

なります。ブートローダパスワードは無効化できますが、 root パスワードは引き続きアクティブなままです。

表表表表 15: パスワード管理のタスク


SNMP を有効にする SNMP マネージャとの通信でアプライアンスが必要とする情報

の入力をガイドします。次の情報の入力が要求されます。

• システムの位置、連絡先、名前

• メインのトラップ受信者の IP アドレス

• 通信ポートの番号 ( デフォルトではポート 162)

• コミュニティ文字列 ( 「public」または「private」 )

• トラップのバージョン

SNMP を無効にするアプライアンスによる SNMP マネージャへのシステム関連情報

の送信を停止します。

SNMP デーモンを起動また

は停止する

SNMP サービスとの通信をリセットできるようにします。

SNMP システム情報を表示

する

アプライアンスの現在の SNMP 設定を表示します。

トラップ受信者を追加または削除する

トラップ受信者の IP アドレスは、 SNMP Manager が動作してい

るサーバーのアドレスです。 SNMP トラップを送信するには、

SNMP ホストがアプライアンスからアクセス可能である必要が

あります。

アプライアンスからメッセージを受け取るトラップ受信者を追加するか、またはメッセージを今後受信させないトラップ受信者を削除することができます。

トラップ受信者の読み取りアクセス権を有効にする

トラップ受信者がシステム関連イベントに関する情報を収集できるようにします。

注意注意注意注意 : SNMP 読み取りアクセスの許可を選択すると、防御ファイ

アウォールで UDP ポート 161 が開きます。

表表表表 16: SNMP の設定作業



アプライアンスアプライアンスアプライアンスアプライアンスファームウェアの再インストールファームウェアの再インストールファームウェアの再インストールファームウェアの再インストール

はじめにはじめにはじめにはじめにアプライアンスのパッケージに同梱されているリカバリ用 CD には、工場でアプライアンスにインストールされたソフトウェアが含まれています。この CD から、アプライアンスにソフトウェアを再インストールすることができます。

結果結果結果結果このプロセスによって、次のような結果が生じます。

� アプライアンスを初にインストールして以来ソフトウェア設定に対して行った変更が、上書

きされます。

� 元のデフォルトログイン資格情報が復元されます。

� ユーザー名 = admin

� パスワード = admin

38


始める前に始める前に始める前に始める前にアプライアンスファームウェアの再インストールを開始する前に、次の作業を完了しておく必要があります。

説明説明説明説明

アプライアンスにアクセスしてソフトウェアを再インストールするコンピュータを選択します。このコンピュータは、 Pre-boot eXecution (PXE) サーバーとい

います。

要件要件要件要件

• コンピュータの BIOS 設定は、 CD から再起動できるように設定する必要

があります。詳細については、コンピュータのマニュアルを参照してください。

• Pentium II またはこれに準拠した CPU

• 64M RAM

• IDE CD-ROM ドライブ

• COM1 シリアルポート

また、次のうちいずれかのネットワークカードが必要です。

重要重要重要重要 : ISS では、ここに挙げるネットワークカードだけをサポートしています。

• e1000—Intel PRO/1000

• e100—Intel PRO/100

• 3c59x—3Com 3c590, 3c595, 3c905, 3c575

• bcm5700— Broadcom 57xx Gigabit

• sk98lin—SysKonnect and Marvell Gigabit

• tulip—Digital/Intel 21x4x “Tulip”

• eepro100—Intel PRO/100

• 8139too—RealTek 8139

• ne2k-pci—NE2000-compatible PCI cards

• pcnet32—AMD PCnet32, VMWare

• sis900—SiS 900, 7016

• via-rhine—Via Rhine VT86C100A, 6102, 6105

• 8139cp—RealTek 8139C+

• epic100—SMC83c170, SMC83c175

• xircom_cb—Xircom CardBus

• 3c574_cs—3Com 3c574

• axnet_cs—Asix AX88190

• nmclan_cs—AMD Am79C940

• smc91c92_cs—SMC 91c92

• xirc2ps_cs—Xircom CE2, CE IIps, RE-10, CEM28, CEM33, CEM56, CE3-100, CE3B, RE-100, REM10BT, REM56G-100

• 3c589_cs—3Com 3c589

• fmvjl8x_cs—FMV J181, FMV J182, TDK LAK-CD021, ConTec C-NET (PC) C, Ungermann Access/CARD

• pcnet_cs/NE2000 compatible cards—D-Link DE-650, Linksys PCMCIA, Accton EN2212, RPTI EP400, PreMax PE-200, IBM Credit Card Adapter, Novell NE4100, Kingston KNE-PCM/x, Allied Telesis LA-PCM, ASANTE FriendlyNet

表表表表 17: アプライアンスファームウェアの再インストール前に



アプライアンスパッケージに付属している次のものを探しておきます。a

• Proventia Network Intrusion Prevention System のリカバリ用 CD

• イーサネットクロスオーバケーブル

• シリアル ( ヌルモデム ) ケーブル

現在のシステムのバックアップを、 Proventia Manager 内で作成します。

アプライアンスファームウェアを再インストールした後に、このバックアップか

らシステム設定を復元することができます。

詳細については、「Appliance Management」 (34 ページ ) を参照してくださ

い。

管理インターフェースの次のアプライアンス設定を記録します。

• IP アドレス、サブネットマスク、およびデフォルトゲートウェイ

• ホスト名、ドメイン名、および DNS ネームサーバー

アプライアンスの電源を切り、付属のケーブルを使用してコンピュータ (PXE サーバー ) を直接アプライアンスに接続します。次の図を参照してください。

ヌルヌルヌルヌルモデムモデムモデムモデムケーブルは、次のようにデバイスへ接続してください。ケーブルは、次のようにデバイスへ接続してください。ケーブルは、次のようにデバイスへ接続してください。ケーブルは、次のようにデバイスへ接続してください。

• コンピュータ (PXE サーバー ) 上で、 COM1 というポートを使用する。

• アプライアンス上で、 Console というポートを使用する。

イーサネットイーサネットイーサネットイーサネットケーブルは、次のようにデバイスへ接続してください。ケーブルは、次のようにデバイスへ接続してください。ケーブルは、次のようにデバイスへ接続してください。ケーブルは、次のようにデバイスへ接続してください。

• コンピュータ (PXE サーバー ) 上で、イーサネットポートを使用する。

• アプライアンス上で、 1 という左側の管理管理管理管理ポートを使用する。

注記注記注記注記 : コンピュータ (PXE サーバー ) をアプライアンスに接続すると、アプライ

アンスのインターネット接続が無効になります。再インストールプロセスが終

了したら、インターネット接続を再度確立してアプライアンスアップデートを入

手してください。

重要重要重要重要 : ネットワーク上で複数の PXE サーバーが動作している場合は、

Proventia Network IPS の再インストールを開始する前に接続を切断する必

要があります。手順 3 で表示されたメッセージから、正しい PXE サーバーに

接続していることが確認できます。


表表表表 17: アプライアンスファームウェアの再インストール前に ( 続き )

40


アプライアンスアプライアンスアプライアンスアプライアンスソフトソフトソフトソフト

ウェアの再インストールウェアの再インストールウェアの再インストールウェアの再インストール

アプライアンスソフトウェアを再インストールするには :

1. Proventia Network Intrusion Prevention System Recovery CD を PXE ブートサーバーの CD-ROM ドライブに挿入し、 PXE ブートサーバーを再起動します。

PXE ブートサーバーは次のメッセージを表示します。

***You may now boot your Proventia GXxxxx via the network***

***Starting Terminal Emulator***

***Press Control-G to Exit and Reboot***

注記注記注記注記 : ここで、 PXE ブートサーバーはアプライアンスの端末エミュレータとして機能し、ア

プライアンスのコンソール出力を表示します。

2. アプライアンスの電源を入れます。

PXE ブートサーバーはブートプロセスメッセージを表示し、その後、次のプロンプトを表示

します。

Press L to boot from LAN, or press any other key to boot normally.

重要重要重要重要 : LAN から起動するには、 5 秒以内に「L」を押す必要があります。時間内に「L」を押

さないと、アプライアンスは通常どおりに起動するので、もう一度再インストールを開始する必要があります。

3. [L] キーを押します。

次のメッセージが表示されます。

Internet Security SystemsProventia GXxxxx Recovery Boot

PXE ブートサーバーにアプライアンスからのステータスメッセージが表示され、ネットワー

ク経由でインストーラが起動します。

4. プロンプトで「reinstall」と入力し、 [ENTER] キーを押します。

インストーラがオペレーティングシステムを再ロードします。

a. ISS では、その他ケーブルの使用をサポートしていません。

図図図図

次の図は、再インストールプロセスにおけるコンピュータとアプライアンスの正常な接続を示したものです。

図図図図 7: 再インストールでのコンピュータとアプライアンスの正常な接続



注記注記注記注記 : 再インストールが完了すると、アプライアンスが自動的に再起動します。アプライアンスが起動している間は、中断させないようにします。

5. アプライアンスが再起動したら、「unconfigured.appliance login」というプロンプト

が表示されます。

デフォルトのユーザー名およびパスワード (admin/admin) でログインして設定メニューを使っ

てアプライアンスを設定するか、アプライアンス前面の LCD パネルを使用してアプライアン

スを設定することができます。

アプライアンスの再設定アプライアンスの再設定アプライアンスの再設定アプライアンスの再設定ソフトウェアとデータベースを再インストールした後にアプライアンスを再設定するには、「Proventia Setup の使用」 (30 ページ ) の設定手順に従います。

バックアップを作成してあれば、アプライアンスを再設定した後でシステム設定を復元することができます。「Appliance Management」 (34 ページ ) を参照してください。

注記注記注記注記 :

� アプライアンスの設定は、 PXE ブートサーバーに接続している間に完了してください。再イ

ンストール手順と再設定手順をすべて完了したら、 [CTRL] + [G] キーを押して PXE サーバーを

シャットダウンします。

� ファームウェアおよびデータベースのアップデートにアクセスするには、インターネットアクセスが必要です。 PXE ブートサーバーを切断し、内部インターフェースをネットワークに

再接続してインターネットにアクセスしてください。

42


ネットワーク可用性の維持ネットワーク可用性の維持ネットワーク可用性の維持ネットワーク可用性の維持


はじめにはじめにはじめにはじめにこの章では、 Proventia Network IPS アプライアンスの GX5008 および GX5108 モデルが既存のハイアベイラビリティ環境で機能するように設定する方法について説明します。



ハイアベイラビリティについて 44

ハイアベイラビリティ設定の概要 46

ハイアベイラビリティ実装 47


第第第第 4 章章章章 : ネットワーク可用性の維持ネットワーク可用性の維持ネットワーク可用性の維持ネットワーク可用性の維持

ハイハイハイハイアベイラビリティについてアベイラビリティについてアベイラビリティについてアベイラビリティについて

はじめにはじめにはじめにはじめに Proventia Network Intrusion Prevention System (IPS) のハイアベイラビリティ機能 (HA) によって、アプライアンスは既存のハイアベイラビリティ環境で動作することができます。 IPS は、アプライアンス間のすべてのトラフィックをミラーリンク経由で通過させ、ネットワーク上のすべてのトラフィックを監視して確実に状態を維持します。これによってアプライアンスは、非対称的にルーティングされたトラフィックを監視し、ネットワークを完全に防御することも可能になります。

Proventia Network IPS における HA のサポートは、連動する 2 アプライアンスに限定されています。どちらのアプライアンスも、パケットをインラインで処理し、インライン監視ポートに到着するトラフィックをブロックし、インライン監視ポートで受信したイベントを管理コンソールへレポートします。

HA の有効化については、「HA の有効化」 (146 ページ ) を参照してください。

サポート対象のネットサポート対象のネットサポート対象のネットサポート対象のネットワーク構成ワーク構成ワーク構成ワーク構成

ハイアベイラビリティネットワークは一般的に、次のいずれかの方法で構成されます。

Proventia の HA 機能では、両方のネットワーク設定がサポートされています。そのためには、両方の Proventia アプライアンスが同じ状態を保っている必要があります。アプライアンスは、複数ポートを通じた複数の接続で構成されたミラーリンクによって接続されます。両アプライアンスのプロトコル分析モジュールがネットワークトラフィックを確実にすべて処理するように、これらのミラーリンクはアプライアンスがインラインポートで受信したすべてのトラフィックをもう一方のアプライアンスに渡します。さらに、両アプライアンスは、非対称的にルーティングされたトラフィックも処理します。このため、フェールオーバー中も防御が途切れることはありません。

注記注記注記注記 : HA 機能が有効になっている場合に Proventia Setup を使用しても、ネットワーク設定を変更

することができません。

HA とととと SiteProtector にににによる管理よる管理よる管理よる管理

HA を、 SiteProtector Agent Manager を通じて管理することができます。アプライアンスアップデート (XPU、ポリシーアップデートなど ) を同期させるために、 HA 設定でペアになっているアプライアンスを同一の SiteProtector グループに置く必要があります。両方のアプライアンスは、固有の ID を使用して SiteProtector にレポートを行います。

レスポンスの処理レスポンスの処理レスポンスの処理レスポンスの処理アプライアンスは両方とも、すべての冗長セグメントから受信したパケットを処理しますが、適切であればインラインポートに着信するトラフィックだけをブロックすることができます。両方のアプライアンスは、マネジメントコンソールへイベントを常にレポートします。ただし、インラインポートに着信したパケットによって生成されたイベントに対するレスポンスしか処理しません。ミラーリングポートに着信したトラフィックによって生成されたイベントについては、処理は行いますが、ブロックやレポートは行いません。

両方のアプライアンスがすべてのトラフィックを常に監視するので、レスポンス処理のフェールオーバー時間がなくなります。アプライアンスは両方とも現在の状態を維持するので、一方の HA

既存の既存の既存の既存の HA 設定設定設定設定説明説明説明説明

プライマリ / セカンダリこの設定では、トラフィックが冗長ネットワークセグメ

ントの一方でしか流れず、一方のデバイスに障害が発生するまでの間はネットワーク上のプライマリデバイスが

すべてのトラフィックを処理します。障害発生の時点で、トラフィックはセカンダリセグメントへフェールオー

バーし、セカンダリデバイスが後を引き継ぎます。

クラスタリングこの設定では、トラフィックの負荷が分散され、両方のデバイスセットがアクティブになり、トラフィックが常

時監視されます。

表表表表 18:

44

ハイハイハイハイアベイラビリティについてアベイラビリティについてアベイラビリティについてアベイラビリティについて

ネットワークセグメントが機能を停止しても、もう一方のアプライアンスがインラインポートですべてのパケットを受信するため、ネットワークがフェールオーバーするとすぐにイベントが生成されます。

注記注記注記注記 : ポートスキャンのような少数のシグネチャは、クラスタ構成中の各アプライアンスにつき 1 つの重複イベントを生成する可能性があります。

ハイハイハイハイアベイラビリティアベイラビリティアベイラビリティアベイラビリティモードモードモードモード

HA 設定では、アプライアンスはインラインシミュレーションモードがインラインプロテクションモードのいずれかでしか機能できません。パッシブモニタリングモードはサポートされていません。 HA モードを選択すると、すべての監視アダプタが、対応するアダプタモードに自動的に切り替わります。

HA は、アプライアンス自体の可用性または耐故障性には対応しません。また、パッシブモニタリングモード向けに設定および配線されたアプライアンスに対するハイアベイラビリティソリューションは、ありません。表 19 に挙げられたハイアベイラビリティモードを使用して、アプライアンスを設定することができます。


HA シミュレーショ

ンモード

HA パートナーアプライアンスは両方ともトラフィックをインラインで

監視しますが、トラフィックのブロックは行いません。その代わり、トラフィックを監視してパッシブ通知レスポンスを返します。アプライアンスはまた、ネットワークのフェールオーバーが万が一発生した場合には通知を引き受けられるように、互いのセグメント上のトラフィックをミラーリンク経由で監視します。

HA プロテクションモード

HA パートナーアプライアンスは両方ともトラフィックをインラインで

監視し、それぞれが Block レスポンス、 Quarantine レスポンス、ファイ

アウォールルールの設定されている攻撃のレポートとブロックを行いま

す。アプライアンスはまた、ネットワークのフェールオーバが万が一発生した場合にはレポートと防御を引き受けられるように、互いのセグメント上のトラフィックをミラーリンク経由で監視します。

表表表表 19: HA アプライアンスモード



ハイハイハイハイアベイラビリティ設定の概要アベイラビリティ設定の概要アベイラビリティ設定の概要アベイラビリティ設定の概要

はじめにはじめにはじめにはじめに HA を設定する前に、各アプライアンス上でファイアウォールアクセスポリシーを作成します。ファイアウォールアクセスポリシーを作成してあれば、指定されたプライマリアプライアンスのみでハイアベイラビリティを有効にして設定することができます。アプライアンスを設定する前に、「ハイアベイラビリティ実装」 (47 ページ ) の情報を確認してください。

ファイアウォールポリシー設定の詳細については、「ファイアウォールルールの設定」 (132 ページ ) を参照してください。

ライセンスライセンスライセンスライセンスハイアベイラビリティ構成のライセンスは、 HA アプライアンス以外のライセンスと同じものです。アプライアンスはそれぞれ、 SiteProtector からライセンスを 1 つ要求します ( アプライアンスの管理に SiteProtector を使用している場合 )。

制約事項制約事項制約事項制約事項 HA モードでは、ファイアウォールルールの一部としてアダプタパラメータを使用することができません。プロテクションドメインは定義できません。 HA 環境では同一のトラフィックが異なるアダプタを流れる場合があるため、アダプタパラメータを使用すると 2 台の HA パートナーアプライアンスが同期しなくなる可能性があります。

重要重要重要重要 : プロテクションドメインの定義では、 [Adapter] オプションを「Any」に設定してください。

構成済みのファイアウォールルール定義では、すべてのアダプタを選択する必要があります。手

動で作成したファイアウォールルール定義では、アダプタキーワードを使用できません。たとえ

ば「adapter A,B,G Portia top」というファイアウォールルールは、通常モードでは有効ですが、 HA モードではサポートされません。

Proventia Manager Proventia Manager では、ポリシーやアップデートの管理を行うだけではなく、 HA 構成を見ることもできますが、インライン HA 構成では SiteProtector を使用してアプライアンスの管理を行うことをお薦めします。

注記注記注記注記 : 両方の HA パートナーアプライアンスを、同じポリシーを使用するように設定することを

お勧めします。

1 台のアプライアンスが常に動作してネットワークの接続性を保つように ( 特に両アプライアンスがフェールクローズするように構成されている場合 )、コンテンツアップデートとファームウェアアップデートを連続して適用することができます。

46

ハイハイハイハイアベイラビリティ実装アベイラビリティ実装アベイラビリティ実装アベイラビリティ実装

ハイハイハイハイアベイラビリティ実装アベイラビリティ実装アベイラビリティ実装アベイラビリティ実装

はじめにはじめにはじめにはじめにこのトピックでは、ハイアベイラビリティ環境での IPS に関する一般的な実装シナリオについて説明します。次の内容が含まれます。

� 標準的な HA 実装の論理図

� 標準的な実装の物理ネットワーク図

論理図論理図論理図論理図 HA アプライアンスのクラスタを、 Proventia Manager から管理することができます。 SiteProtector を使用してアプライアンスを管理している場合は、 SiteProtector Agent Manager から HA クラスタを管理することができます。 HA 実装論理図は、図 7 のとおりです。

図図図図 7: 標準的な HA 実装論理図



HA 物理ネットワーク図物理ネットワーク図物理ネットワーク図物理ネットワーク図図 8 では、一般的な HA 実装シナリオの物理ネットワーク図を示します。

図図図図 8: HA 物理ネットワーク図

48


Proventia Manager の使用の使用の使用の使用


はじめにはじめにはじめにはじめにこの章では、 Proventia Manager ( ローカル管理インターフェース ) を使用したアップデート、調整、および設定強化の方法について説明します。



始める前に 50

Proventia Manager へのアクセス 52

Proventia Manager でのナビゲーション 53

ライセンスファイルのインストール 56

Proventia Manager での作業 57


第第第第 5 章章章章 : Proventia Manager の使用の使用の使用の使用


はじめにはじめにはじめにはじめにアプライアンスをインストールして設定すると、 Proventia Manager にログインし、終的な設定手順を完了してアプライアンスの管理をセットアップできるようになります。次の表では、これら手順の概要を説明します。

セットアップの確認セットアップの確認セットアップの確認セットアップの確認次の作業を行ったことを確認してください。

1. ハードウェアの取り付けとケーブルの接続を正しく行った。

2. ハイパーターミナル ( または VT100 と互換性のある端末エミュレーションプログラム ) を使った接続を、推奨設定で作成した。

3. 次の内容を含むすべての初期設定を完了した。

� Proventia Setup Utility を使用してアプライアンスへログオンした。

� 管理パスワード、 root パスワード、または Proventia Manager パスワードを設定した。

� ネットワーク設定を指定した。

� 日付と時刻を設定した。

� 設定を適用した。

4. アプライアンスを使用する前に、ライセンスファイルをインストールする必要があります。

さらに、 ISS では次の作業をお勧めします。

手順手順手順手順説明説明説明説明参照先参照先参照先参照先

1 ライセンス登録番号について販売代理店に問い合わせます。

次の作業を行います。

1. 販売代理店からライセンスキーを入手する。

2. ISS の登録センターから、ライセンスキーをコン

ピュータにダウンロードする。

注記注記注記注記 : アプライアンスが新のアップデートを自

動的にダウンロードおよびインストールできるように、ライセンスキーファイルを指定のディレ

クトリにアップロードすることをお勧めします。

ライセンスのアップロードは、 Proventia Manager にアクセスするときに行います。

「ライセンスファイルのインス

トール」 (56 ページ )

2 次のものがあることを確認します。

• Internet Explorer バージョン 6.0 以降

• Java2 Runtime Environment (JRE) バージョン 1.4.2。インストールされていない場合は、インス

トール用のリンクが表示されます。

3 Internet Explorer を開き、ユーザー名「admin」と Proventia のセットアップ中に設定したパスワードを

使用して Proventia Manager にログインします。

「Proventia Manager へのログオ

ン」 (52 ページ )

4 ライセンスをインストールします。「ライセンスファイルのインス

トール」 (56 ページ )

5 アップデートを適用します。「アプライアンスのアップデート」 (60 ページ )

表表表表 20: Proventia Manager の設定

50

https://www1.iss.net/cgi-bin/lrc


� Home ページでコンポーネントのステータスを見る

� ファームウェアをアップデートする

� アップデート設定を指定する

� 不正侵入防御設定を指定してアップデートする

� ファイアウォールを設定する



Proventia Manager へのアクセスへのアクセスへのアクセスへのアクセス

はじめにはじめにはじめにはじめに Proventia Manager は、アプライアンスに対応する Web ベースの管理インターフェースです。

Proventia Manager を使用して、次の作業を行います。

� アプライアンスの状態を監視する

� 設定の指定と監視を行う

� 検疫テーブルの表示と変更内容の適用を行う

� アプライアンスアクティビティのレビューと管理を行う

Proventia Manager へへへへのログオンのログオンのログオンのログオン

Proventia Manager インターフェースにログオンするには :

1. Internet Explorer 6 を起動します。

2. 「https:// < アプライアンスの IP アドレス >」と入力します。

3. ユーザー名「admin」と Proventia Manager パスワードを使用してログインします。

4. Java Runtime Environment (JRE) がインストールされていないことを示すメッセージが表示され

たら、直ちにインストールし、この手順に戻ります。

5. [Yes] を選択して、 Getting Started 手順を使用します。

注記注記注記注記 : アプライアンス設定のカスタマイズを手助けする「Getting Started」手順を使用するこ

とをお勧めします。このウィンドウが表示されない場合は、ヘルプから Getting Started 手順に

アクセスすることもできます。

6. [Launch Proventia Manager] をクリックします。

52

Proventia Manager でのナビゲーションでのナビゲーションでのナビゲーションでのナビゲーション


はじめにはじめにはじめにはじめに Proventia Manager を使用してアプライアンスを管理する場合は、ナビゲーション機能に慣れておく必要があります。

ナビゲーション用ボタンナビゲーション用ボタンナビゲーション用ボタンナビゲーション用ボタンについてについてについてについて

次のボタンは、 Proventia Manager のすべてのページに表示されます。

左側のナビゲーション左側のナビゲーション左側のナビゲーション左側のナビゲーションウィンドウ枠についてウィンドウ枠についてウィンドウ枠についてウィンドウ枠について

左ウィンドウ枠では、設定する項目をツリー内で選択します。一部の項目は、設定対象となるコンポーネントが 1 つ以上あります。ツリーを展開し、該当する領域内で設定可能な要素のサブリストを表示します。

次の表では、 Proventia Manager の各領域について説明します。


[System Logs] ページにアクセスします。

左ウィンドウ枠で選択した領域に対応する [Alerts] ページにアクセスしま

す。

オンラインヘルプにアクセスします。

ナビゲーションウィンドウ枠を小化または大化します。

表表表表 21: ナビゲーション用ボタン

項目項目項目項目表示または設定の内容表示または設定の内容表示または設定の内容表示または設定の内容

Notifications [Notifications] 領域では、概要的なアラートイベントログ情報、システムログ、システム ( アプライアンス ) アラート情報を見ることができます。

詳細については、「アラートとシステム情報の表示」 (161 ページ ) を参照

してください。

Intrusion Prevention [Intrusion Prevention] 領域では、ネットワークを侵入から保護された状態

を保つために役立つレスポンス、プロテクションドメイン、およびイベ

ントタイプを設定することができます。また、重要なセキュリティアラートおよび検疫済み不正侵入の表示や、検出された不正侵入に対するアプライアンスの対応方法の決定を行うこともできます。

詳細については、次のトピックを参照してください。

• 「セキュリティイベントでの作業」 (81 ページ )

• 「レスポンスの設定」 (97 ページ )

• 「その他の不正侵入防御設定の指定」 (109 ページ )

Firewall Settings [Firewall Settings] 領域では、攻撃をブロックするファイアウォールルー

ルの作成と編集を行うことができます。

詳細については、「ファイアウォールルールの設定」 (132 ページ ) を参照


表表表表 22: 左側のナビゲーションウィンドウ枠



アイコンについてアイコンについてアイコンについてアイコンについて次の表では、作業中に Proventia Manager に表示されるアイコンについて説明します。

System [System] 領域では、アプライアンスのさまざまな側面に関する情報の構

成および表示を行うことができます。アプライアンスの監視に役立つユーザーアクセス、ネットワークアダプタカード、アラート、および高

度なパラメータを設定することができます。また、重要なシステムログ

の表示とダウンロード、ライセンスの管理、アプライアンスの再起動をこの領域から行うこともできます。


• 「ローカル調整パラメータの設定」 (141 ページ )

• 「システム設定の管理」 (155 ページ )

Statistics [Statistics] 領域では、アプライアンスのアクティビティに関する重要な統

計値 ( プロテクション、パケット、ドライバの情報など ) を見ることがで

きます。

詳細については、「統計値の表示」 (167 ページ ) を参照してください。

Updates [Updates] 領域を使用して、ネットワークに対する利用可能な新のプロ

テクションを入手できるように、アプライアンスのアップデートを設定および管理します。

詳細については、「アプライアンスのアップデート」 (59 ページ ) を参照


Support [Support] 領域には、テクニカルサポートに関する問い合わせ先情報のほ

か、アプライアンスに関する有益なリンクがあります。

詳細については、「テクニカルサポートについて」 (xii ページ ) を参照し

てください。

項目項目項目項目表示または設定の内容表示または設定の内容表示または設定の内容表示または設定の内容

表表表表 22: 左側のナビゲーションウィンドウ枠 ( 続き )

アイコンアイコンアイコンアイコン説明説明説明説明

項目をリストに追加するには、このアイコンをクリックします。

リスト内の項目を編集するには、このアイコンをクリックします。

項目 (1 つまたは複数 ) をリストから削除するには、このアイコンをクリックします。

標準的な [SHIFT] キー + クリック、または [CTRL] キー + クリックの方法を使用し

て、リスト内の隣接する ( または隣接しない ) 項目を選択することができます。

注記注記注記注記 : 削除アイコンをクリックしても項目がリストから削除されない場合があります

が、その場合でも項目は無効化されてデフォルト状態にリセットされます。

表内の列によって項目をグループ化するには、このアイコンをクリックします。

たとえば、危険度別にセキュリティイベントをグループ化することができます。つ

まり、高危険度、中危険度、低危険度のセキュリティイベントがそれぞれのグルー

プを持つこととなり、イベントを検索しやすくなります。

表のグループ分けをデフォルト設定に戻すには、このアイコンをクリックします。

ページに表示する列を選択するには、このアイコンをクリックします。

表表表表 23: Proventia Manager のポリシーアイコン

54


保存アイコンについて保存アイコンについて保存アイコンについて保存アイコンについて Proventia Manager のある場所から別の場所に移動するたびに、 [Save Changes] ボタンをクリックして変更内容を確実に適用する必要があります。別のページへ移動する前に情報を保存していない場合は、情報を保存するように促すメッセージが表示されます。変更内容を保存しないで別のページに移動する場合は、リンクをクリックしたときに情報の保存を促されることのないように、[Cancel Changes] ボタンをクリックしてください。

リスト内の項目をリストの上に移動するには、項目を選択してこのアイコンをクリックします。

リスト内の項目をリストの下に移動するには、項目を選択してこのアイコンをクリックします。

リスト内の項目をクリップボードにコピーするには、項目を選択してこのアイコンをクリックします。

ヒントヒントヒントヒント : 標準的な [SHIFT] キー + クリック、または [CTRL] キー + クリックの方法を

使用して、リスト内の隣接する ( または隣接しない ) 項目を選択することができます。

コピーした項目をクリップボードからリストに貼り付けるには、このアイコンをクリックします。項目を貼り付けた後は、それを編集することができます。

このアイコンがページまたはページ上のフィールドの横に表示された場合は、必要なデータをフィールドに入力する必要があるか、またはフィールドに入力したデータが無効です。


表表表表 23: Proventia Manager のポリシーアイコン ( 続き )



ライセンスライセンスライセンスライセンスファイルのインストールファイルのインストールファイルのインストールファイルのインストール

はじめにはじめにはじめにはじめに Proventia Network IPS アプライアンスには、正しく設定されたライセンスファイルが必要です。適切なライセンスキーファイルがインストールされていないと、アプライアンスを管理することができません。

ハイアベイラビリティ構成のライセンスは、 HA アプライアンス以外のライセンスと同じものです。アプライアンスはそれぞれ、 SiteProtector からライセンスを 1 つ要求します。

ライセンスを購入するには、お近くの販売代理店までお問い合わせください。

次の手順でライセンスファイルをインストールします。これは、アプライアンスを完全に機能させるために必要です。インストールでは、 Proventia Manager ソフトウェアが特定して認識できる場所にライセンスファイル情報を保存する必要があります。

前提条件前提条件前提条件前提条件ライセンスファイルをインストールする前に、次の作業を完了してください。

� ライセンスを登録する

� 販売代理店からライセンスキーを入手する

Licensing ページについページについページについページについ

てててて

[Licensing] ページには、ライセンスファイルの現在のステータスに関する重要な情報 ( 有効期限など ) が表示されます。さらに、このページから、新ライセンスの入手方法に関する情報が記載された [License Information] ページにアクセスすることができます。

ライセンスライセンスライセンスライセンスファイルのファイルのファイルのファイルの

インストールインストールインストールインストール

ライセンスファイルをインストールするには :

1. Proventia Manager で、 [System] → [Local Tuning Parameters] の順に選択します。

2. [ 参照参照参照参照 ] をクリックします。

3. ダウンロードしたライセンスファイルを探します。

4. [OK] をクリックします。

5. [Upload] をクリックします。

56

Proventia Manager での作業での作業での作業での作業

Proventia Manager での作業での作業での作業での作業

はじめにはじめにはじめにはじめに Proventia Manager を開くと、 Home ページにアプライアンスの現状を示すスナップショットが表示されます。このページには、次のようなナビゲーション、情報、およびレポートのオプションが含まれています。

� デバイス名 ( セットアップ時に設定したアプライアンスのドメイン名 )

� 防御ステータス

� システムステータス

� 各モデルに関するアラート

� 重要なメッセージ

防御ステータスの表示防御ステータスの表示防御ステータスの表示防御ステータスの表示 [Protection Status] 領域では、不正侵入防御コンポーネントの現状が説明されています。コンポーネント名を選択すると、コンポーネントのステータスページにリンクします。

次のステータスアイコンは、コンポーネントの現在のステータスを示します。

システムシステムシステムシステムステータスのステータスのステータスのステータスの

表示表示表示表示

Home ページの [System Status] グループボックスは、システムの現在のステータスを示します。

次の表では、 [System Status] 領域で利用可能なデータについて説明します。

アイアイアイアイコンコンコンコン


コンポーネントがアクティブであることを示します。

コンポーネントが停止していることを示します。

コンポーネントのステータスが不明であることを示します。このステータスについては、直ちに対処する必要があります。

表表表表 24: 防御ステータスのアイコン

統計値統計値統計値統計値説明説明説明説明

Model Number アプライアンスのモデル番号。

Base Version Number アプライアンスソフトウェアの基本バージョン。

íçãL: 基本バージョンとは、アプライアンスに付属しているソフト

ウェアバージョンのこと、またはも新しいファームウェアアップ

デートのソフトウェアバージョンのことです。

Uptime アプライアンスがオンラインになっている時間の長さ。次の形式で表示されます。

x 日、 x 時、 x 分

Last Restart アプライアンスが後に再起動された日時。次の形式で表示されます。

yyyy-mm-dd hh:mm:ss

例例例例 : 2004-05-04 16:24:37

表表表表 25: システムステータスの統計値



重要なメッセージの表示重要なメッセージの表示重要なメッセージの表示重要なメッセージの表示 Home ページには、ライセンスとアップデートに関する重要なメッセージが表示されます。アップデートを自動的にダウンロードするようにアプライアンスを設定していないと、メッセージ中に Proventia Manager の該当ページへのリンクが表示される場合があります。

Last Firmware Update アプライアンスファームウェアが後にアップデートされた日時。

次の形式で表示されます。

yyyy-mm-dd hh:mm:ss - version: x.x

例例例例 : 2004-05-04 16:25:56- version: 1.7

Last Intrusion Prevention Update

アプライアンスのセキュリティコンテンツが後にアップデートさ

れた日時。次の形式で表示されます。

yyyy-mm-dd hh:mm:ss - version: x.x

例例例例 : 2004-01-25 12:34:36 - version: 1.7

Last System Backup 後のシステムバックアップが作成された日時。次の形式で表示さ

れます。

yyyy-mm-dd hh:mm:ss

例例例例 : 2004-05-04 15:49:01

Backup Description アプライアンス上のバックアップの種類。

• Factory Default ( 工場出荷時のデフォルト )

• Full System Backup ( 完全なシステムバックアップ )


表表表表 25: システムステータスの統計値 ( 続き )

58


アプライアンスのアップデートアプライアンスのアップデートアプライアンスのアップデートアプライアンスのアップデート


はじめにはじめにはじめにはじめにこの章では、 Proventia Manager を使用したアプライアンスのアップデート方法について説明します。ファームウェアのアップデートやセキュリティのアップデート、データベースのアップデートを、手動でダウンロードしてインストールすることも、一部またはすべてのアップデートを指定時期に自動的にダウンロードおよびインストールするように設定することもできます。



アプライアンスのアップデート 60

アプライアンスの自動アップデート 62

手動によるアプライアンスのアップデート 65

アップデートツールの使用 66

アップデートの高度なパラメータの設定 67


第第第第 6 章章章章 : アプライアンスのアップデートアプライアンスのアップデートアプライアンスのアップデートアプライアンスのアップデート


はじめにはじめにはじめにはじめにアプライアンスが常に新のファームウェアアップデートおよび不正侵入防御アップデートがインストールされた状態で動作するようにしてください。アプライアンスは、インターネットを通じてアクセス可能な ISS のダウンロードページからアップデートを取得します。

次の 2 通りの方法で、アプライアンスをアップデートすることができます。

� 自動アップデートを設定する

� アップデートを手動で検索、ダウンロード、インストールする

アップデートの種類アップデートの種類アップデートの種類アップデートの種類次のようなアップデートをインストールすることができます。

� ファームウェアのアップデートファームウェアのアップデートファームウェアのアップデートファームウェアのアップデート。このアップデートには、プログラムファイル、修正または

パッチ、拡張機能、オンラインヘルプのアップデートが含まれます。

� 不正侵入防御のアップデート不正侵入防御のアップデート不正侵入防御のアップデート不正侵入防御のアップデート。このアップデートには、 ISS X-Force によって提供された新

のセキュリティコンテンツが含まれます。

アップデートは、 [Updates to Download] ページで検索することができます。また、アップデートの自動的なダウンロードとインストールを [Automatic Update Settings] ページでスケジューリングすることもできます。

注記注記注記注記 : 一部のファームウェアアップデートでは、アプライアンスの再起動が必要です。製品の問

題とアップデートの詳細については、 ISS のダウンロードページ (http://www.iss.net/download/) にある「Proventia Network Intrusion Prevention System (IPS) Readme」を参照してくださ

い。

利用可能なアップデート利用可能なアップデート利用可能なアップデート利用可能なアップデートの検索の検索の検索の検索

[Update Status] ページの [Find Updates] ボタンをクリックすると、アプライアンスは次のものをチェックします。

� アプライアンスへ既にダウンロードされ、インストールの準備ができたアップデート

� ISS のダウンロードページからダウンロード可能なアップデート

ダウンロードまたはインストールの対象となるアップデートが見つかった場合は、該当するページ ([Download Updates] ページまたは [Install Updates] ページ ) へのリンクを含むメッセージが表示されます。

アップデートアップデートアップデートアップデートパッケーパッケーパッケーパッケー

ジとロールバックジとロールバックジとロールバックジとロールバック

ロールバックを行うと、アプライアンスにインストールされている新の不正侵入防御のアップデートが削除されます。ファームウェアアップデートはロールバックできません。

注記注記注記注記 : ファームウェアアップデートをインストールする前に、完全なシステムバックアップを作

成しておくことをお勧めします。ファームウェアの自動アップデートを有効にした場合は、[Perform Full System Backup Before Installation] オプションを有効にする必要があります。

アップデートがインストールされると、アップデートパッケージは削除されるので、ダウンロードされたパッケージはアプライアンスに存在しなくなります。アップデートをロールバックすると、次回にアップデートが入手可能になったときや次回の自動アップデート時に、アップデートのダウンロードとインストールを行えるようになります。

SiteProtector による管による管による管による管

理理理理

SiteProtector を使用してアプライアンスを管理する場合は、アプライアンスが SiteProtector Agent Manager に登録されている間にアップデートをインストールすることができます。また、利用可能なアップデートのダウンロードとインストールに SiteProtector X-Press Update Server を使用するように設定することもできます。

60




次のような場合には、 X-Press Update Server の使用を検討してください。

� 多数のアプライアンスを配置してある場合は、帯域幅を節約することができます。各アプライ

アンスが個別に ISS ダウンロードセンターから同一のアップデートをダウンロードして帯域

幅を消費するのとは対照的に、 1 つの Update Server にアップデートを要求することができま

す。

� より安全な環境でのアップデートのダウンロードを希望し、アップデートダウンロードのた

めのインターネットアクセスをすべてのアプライアンスには許可したくない場合は、 Update Server にアップデートを要求することができます。この場合、インターネット接続が必要なの

は Update Server だけです。

X-Press Update Server の設定については、 SiteProtector のマニュアルまたはオンラインヘルプを参照してください。

Virtual Patch™ 技術技術技術技術自動セキュリティアップデートは、 Virtual Patch ( バーチャルパッチ ) 技術を使用して ISS X-Force から提供されます。バーチャルパッチプロセスは、脆弱性が発見されてからセキュリティパッチが手動で適用されるまでの間、攻撃からシステムを守ります。

バーチャルパッチは、 ISS の Dynamic Threat Protection プラットフォームの重要なコンポーネントです。脆弱性検出、不正侵入防御、管理、および高度な相関ツールの機能を組み合わせることで、既知および未知の脅威に対するシステム全体の不正侵入防御能力について統一的見解を得ることができます。

ダウンロードに関する問ダウンロードに関する問ダウンロードに関する問ダウンロードに関する問題点のトラブルシュー題点のトラブルシュー題点のトラブルシュー題点のトラブルシューティングティングティングティング

ファームウェアアップデートの適用後に Proventia Manager で問題が発生した場合は、次の手順を試してください。

1. Web ブラウザを閉じます。

2. Java キャッシュをクリアします。

3. Web ブラウザを再起動し、 Proventia Manager にログオンします。

Java キャッシュのクリアの詳細については、お使いのオペレーティングシステムのマニュアルを参照してください。



アプライアンスの自動アップデートアプライアンスの自動アップデートアプライアンスの自動アップデートアプライアンスの自動アップデート

はじめにはじめにはじめにはじめに [Update Settings] ページを使用して、アップデートを自動的にチェックしてインストールするようにアプライアンスを設定します。次の設定を定義して、アプライアンスの自動アップデートを設定します。

� アップデートをチェックする時期

� セキュリティアップデートのダウンロードとインストールの時期

� ファームウェアアップデートをダウンロードする時期

� ファームウェアアップデートのインストール方法とインストール時期

� インストールするファームウェアアップデートのバージョン

注記注記注記注記 : ファームウェアアップデートをインストールするときに、一時的にアプライアンスとリン

クできなくなる場合があります。

例例例例毎日午前 3 時にアップデートをチェックするようにアプライアンスを設定するとします。何かしらのアップデート ( ファームウェアまたはセキュリティのアップデート ) がある場合には、すべてのアップデートをダウンロードし、セキュリティアップデートをすぐにインストールするようにしたいと考えています。終手順としては、午前 5 時にシステムバックアップを自動的に行い、利用可能なファームウェアアップデートをインストールしたいと考えています。

次の表では、このような設定を反映したアプライアンスのアップデートプロセスについて説明します。

段階段階段階段階説明説明説明説明

1 午前 3 時、アプライアンスがアップデートの有無について ISS のダウンロードページをチェックします。

2 アプライアンスがセキュリティとファームウェアのアップデートをダウンロードします。

3 アプライアンスが、セキュリティのアップデートを直ちにインストールします。

4 午前 5 時 5 分、アプライアンスは次の作業を行います。

• 再起動し、システムバックアップを作成する

• ファームウェアのアップデートをインストールし、必要であれば再起動する

表表表表 26: アップデートプロセスの例

62

アプライアンスの自動アップデートアプライアンスの自動アップデートアプライアンスの自動アップデートアプライアンスの自動アップデート

手順手順手順手順アプライアンスを自動的にアップデートするには :

1. [Update Settings] ページで、次の表に示す設定を指定または変更します。

セクションセクションセクションセクション設定設定設定設定説明説明説明説明

Automatically Check For Updates

Check for updates daily or weekly

このオプションを有効にする場合は、アップデートのチェックを行う曜日と時刻を [Day of Week] と [Time of Day] で選択します。

注記注記注記注記 : スケジューリング済みの自動アップデートの少なく

とも 1 時間前にアップデートをチェックするようにアプ

ライアンスを設定し、必要なアップデートがすべて確実にダウンロードされるようにします。

Check for updates at given intervals

一日に何度かアップデートをチェックします。 [Interval (minutes)] ボックスに値を入力するか、スライドバーを

使用して値を選択します。

小期間は 60 分、大値は 1440 分です。

Security Updates

Automatically Download

セキュリティアップデートを自動的にダウンロードしま

す。

Automatically Install

セキュリティアップデートを自動的にインストールしま

す。

Firmware Updates

Automatically Download

ファームウェアアップデートを自動的にダウンロードし

ます。

Firmware Updates - Install Options

Perform Full System Backup Before Installation

アプライアンスがアップデートのインストール前に再起動し、完全なシステムバックアップを行えるようにしま

す。

注記注記注記注記 : アプライアンスがバックアップを行うたびに、それ

までのシステムバックアップが上書きされます。

Do Not Install ファームウェアアップデートをダウンロードするけれど

も、インストールはしません。

詳細については、「手動によるアプライアンスのアップデート」 (65 ページ ) を参照してください。

Automatically Install Updates

ファームウェアアップデートを自動的にインストールし

ます。

注記注記注記注記 : アプライアンスがアップデートを自動的にインス

トールする場合には、数分間オフラインになる可能性があります。

Firmware Updates - When To Install

Delayed 指定の曜日 (Day Of Week) と時刻 (Time Of Day) にアッ

プデートをインストールします。

注記注記注記注記 : アプライアンスがアップデートの自動ダウンロード

を完了した少なくとも 1 分後には自動インストールが発

生するように設定する必要があります。

Immediately 新しいアップデートがダウンロードされたらすぐにインストールします。

重要重要重要重要 : このオプションはお薦めしません。

Schedule One Time Install

指定の日付 (Date) と時刻 (Time) にアップデートを一度だ

けインストールします。



2. 変更内容を保存します。

Firmware Updates - Which Version To Install

All Available Updates

新バージョンを含むすべてのアップデートバージョン

をインストールします。

Up To Specific Version

指定した特定のバージョン (Version) 番号までのバージョ

ンをすべてインストールします。

セクションセクションセクションセクション設定設定設定設定説明説明説明説明

64

手動によるアプライアンスのアップデート手動によるアプライアンスのアップデート手動によるアプライアンスのアップデート手動によるアプライアンスのアップデート

手動によるアプライアンスのアップデート手動によるアプライアンスのアップデート手動によるアプライアンスのアップデート手動によるアプライアンスのアップデート

はじめにはじめにはじめにはじめにアプライアンスに対して自動アップデートが設定されていない場合、または利用可能なアップデートをスケジュール外でインストールしたい場合は、アップデートを手動で検索してインストールすることができます。アプライアンスを手動でアップデートするには、次の作業を行う必要があります。

� 利用可能なアップデートの検索とダウンロード

� アップデートのインストール

注記注記注記注記 : ファームウェアアップデートをインストールするときに、一時的にアプライアンスとリン

クできなくなる場合があります。

利用可能なアップデート利用可能なアップデート利用可能なアップデート利用可能なアップデートの検索とダウンロードの検索とダウンロードの検索とダウンロードの検索とダウンロード

利用可能なアップデートを検索してダウンロードするには :

1. Proventia Manager で、 [Updates] → [Available Downloads] の順に選択します。

2. アプライアンスモデルによっては、 [Export Administration] ウィンドウが表示されます。

輸出契約を見直し、 [Yes] を選択してから [Submit] をクリックします。

3. アップデートが利用可能であれば、 [Updates To Download] ウィンドウが表示され、次のメッ

セージが表示されます。「There are updates available.Click here to see details.」

メッセージ内のリンクをクリックします。

4. [Updates to Download] ページで、 [Download All Available Updates] をクリックします。

アップデートのインスアップデートのインスアップデートのインスアップデートのインストールトールトールトール

アップデートをインストールするには :

1. Proventia Manager で、 [Updates] → [Available Installs] の順に選択します。

2. アプライアンスモデルによっては、 [Export Administration Regulation] ウィンドウが表示されま

す。

輸出契約を見直し、 [Yes] を選択してから [Submit] をクリックします。

3. [Available Installs] ページでインストールするアップデートを選択し、 [Install Updates] をク

リックします。

注記注記注記注記 : 一部のファームウェアアップデートでは、アプライアンスの再起動が必要です。各

ファームウェアアップデートの詳細については、 ISS のダウンロードページ (http://www.iss.net/download/) にある「Proventia Network Intrusion Prevention System Readme」を

確認してください。

4. [Update Status] ページの [Update History] 表で、インストールのステータスを確認します。





アップデートアップデートアップデートアップデートツールの使用ツールの使用ツールの使用ツールの使用

はじめにはじめにはじめにはじめに [Update Tools] ページを使用して、アップデートの検索またはロールバックを行います。ロールバックを行うと、アプライアンスにインストールされている新のアップデートが削除されます。ファームウェアアップデートはロールバックできません。

累積アップデートとロー累積アップデートとロー累積アップデートとロー累積アップデートとロールバックルバックルバックルバック

XPU アップデートは累積的です。次の例では、累積アップデートをロールバックする場合のアプライアンス動作について説明します。

例例例例

バージョン 1.1 をインストールし、バージョン 1.2 はインストールせずにバージョン 1.3 をインストールすると、バージョン 1.2 はバージョン 1.3 とともにインストールされます。

ただし、バージョン 1.3 からロールバックしても、アプライアンスはバージョン 1.2 にロールバックしません。後に適用されたアップデートのロールバックを行うと、バージョン 1.1 に戻ります。

アップデートアップデートアップデートアップデートパッケーパッケーパッケーパッケー

ジとロールバックジとロールバックジとロールバックジとロールバック

アップデートがインストールされると、アップデートパッケージは削除されるので、ダウンロードされたパッケージはアプライアンスに存在しなくなります。アップデートをロールバックすると、次回にアップデートが見つかったときや次回の自動アップデート時に、当該アップデートはダウンロードおよびインストールが可能であると表示されます。詳細については、「アプライアンスの自動アップデート」 (62 ページ ) を参照してください。

利用可能なアップデート利用可能なアップデート利用可能なアップデート利用可能なアップデートの検索の検索の検索の検索

利用可能なアップデートを検索するには :

1. Proventia Manager で、 [Updates] → [Tools] の順に選択します。

2. [Find Updates] をクリックします。

3. ダウンロードまたはインストールの対象となるアップデートが見つかった場合は、 [Available Downloads] ページまたは [Available Installs] ページへのリンクを含むメッセージが表示されま

す。

適切なリンクをクリックして、新アップデートのダウンロードまたはインストールを行います。

アップデートのロールアップデートのロールアップデートのロールアップデートのロールバックバックバックバック

アップデートをロールバックするには :

1. Proventia Manager で、 [Updates] → [Tools] の順に選択します。

2. [Rollback Last Intrusion Prevention Update] をクリックし、 [OK] をクリックします。

3. [F5] キーを押してページを更新し、ロールバックの進行状況を確認します。

66

アップデートの高度なパラメータの設定アップデートの高度なパラメータの設定アップデートの高度なパラメータの設定アップデートの高度なパラメータの設定


はじめにはじめにはじめにはじめに [Update Settings] ページの [Advanced Parameters] タブを使用して、アップデート設定を調整します。

高度なパラメータについ高度なパラメータについ高度なパラメータについ高度なパラメータについてててて

高度なパラメータは、名前と値のペアで構成されています。各ペアには、デフォルト値が設定されています。

たとえば、 np.firewall.log というパラメータは、有効にしてあるファイアウォールルールと一致するパケットの詳細を記録するかどうかを決定するパラメータです。このパラメータは、デフォルトで有効になっています。

[Advanced Parameters] タブの表に表示されているパラメータの値を、編集することができます。パラメータがリストに表示されていない場合は、そのパラメータにデフォルト値がないことを意味します。表示するには、パラメータを新しい値と共に追加すればよいだけです。

高度なパラメータのアッ高度なパラメータのアッ高度なパラメータのアッ高度なパラメータのアップデートプデートプデートプデート

アプライアンスには、事前定義されたアップデートの高度なパラメータ ( 表 27) が含まれています。

注記注記注記注記 : Proventia Manager からアプライアンスを管理している場合は、 [Update Settings] ページの [Advanced Parameters] タブには初の 2 つのパラメータだけが表示されます。 SiteProtector による管

理を有効にしてある場合は、 SiteProtector の Update Server との通信に関するその他のデフォルトパラメータを設定することができます。

パラメータパラメータパラメータパラメータタイプタイプタイプタイプデフォルト値デフォルト値デフォルト値デフォルト値説明説明説明説明

Update.disable.remote.discovery Boolean ( ブーリ

アン )

False アプライアンスがインターネット上でアップデートを探すかどうかを指定します。

Update.preserve.update.files Boolean ( ブーリ

アン )

False 正常にインストールされたらアップデートファイルを

削除するかどうかを指定します。

Update.certificate.file String (文字列 )

etc/httpd/conf/ss.crt/ca-bundle.crt

Update Server に接続すると

きに使用する SSL Cert Authority ファイルを指定し

ます。

Update.proxy.auth Boolean ( ブーリ

アン )

False Update Server に接続すると

きの HTTP プロキシサー

バー使用を許可します。

Update.proxy.enable Boolean ( ブーリ

アン )

False Update Server に接続すると

きの HTTP プロキシサー

バー使用を有効にします。

Update.proxy.password String (文字列 )

なし Update Server に接続する場

合の HTTP プロキシサー

バーへのパスワードを指定します。

Update.proxy.port Number ( 数値 )



バーのポート番号を指定します。

表表表表 27: アップデートの高度なパラメータ



アップデートの高度なパアップデートの高度なパアップデートの高度なパアップデートの高度なパラメータの追加ラメータの追加ラメータの追加ラメータの追加

アップデートの高度なパラメータを追加するには :

1. [Update Settings] を選択します。

2. 必要であれば輸出契約を見直し、 [Yes] を選択してから [Submit] をクリックします。

3. [Advanced Parameters] タブを選択します。

4. [Add] をクリックします。

5. 次の表のように、設定を完了します。



Update.source.url String (文字列 )

https://www.iss.net/XPU

アプライアンスがインターネットに接続してない場合は、「https//:< アップ

デートサーバーの IP アドレスまたは

名前 >:3994/xpu」 (名前では大文字と小文字が区別される ) を使用します。

Update Server のアドレスを

指定します。

Update.proxy.user String (文字列 )



バーへのユーザー名を指定します。

パラメータパラメータパラメータパラメータタイプタイプタイプタイプデフォルト値デフォルト値デフォルト値デフォルト値説明説明説明説明

表表表表 27: アップデートの高度なパラメータ


Name パラメータ用の固有のファイル名を入力します。

Comment パラメータ用の固有の説明を入力します。

Value 次のいずれかの値を選択します。

• Boolean - [Enabled] チェックボックスをオンにして値を True に設定するか、オフにして値を False に設定します。

• Number - このオプションをオンにしたら、 [Value] に数値を

入力します。

• String - このオプションをオンにしたら、 [Value] に関連する

テキスト文字列を入力します。

68


アップデートの高度なパアップデートの高度なパアップデートの高度なパアップデートの高度なパラメータの作業ラメータの作業ラメータの作業ラメータの作業

アップデートの高度なパラメータを編集、コピー、または削除するには :

1. [Update Settings] を選択します。

2. [Advanced Parameters] タブを選択し、次のいずれかを行います。


実行内容実行内容実行内容実行内容手順手順手順手順

編集ヒントヒントヒントヒント : 変更したい項目を [Advanced Parameters] タブでダブ

ルクリックすることで、一部のプロパティを直接編集することができます。

1. パラメータを選択し、編集編集編集編集のアイコン ( ) をクリックし

ます。

2. [Enabled] チェックボックスをオンまたはオフにします。

3. このパラメータを編集し、 [OK] をクリックします。

コピー 1. パラメータを選択し、コピーコピーコピーコピーのアイコン ( ) をクリック

します。

2. 貼り付け貼り付け貼り付け貼り付けのアイコン ( ) をクリックします。

3. 必要に応じてパラメータを編集し、 [OK] をクリックしま

す。

削除 1. パラメータを選択します。

2. 削除削除削除削除のアイコン ( ) をクリックします。



70


SiteProtector を通じたアプライアンスのを通じたアプライアンスのを通じたアプライアンスのを通じたアプライアンスの

管理管理管理管理


はじめにはじめにはじめにはじめにこの章では、 SiteProtector Console を通じて管理できるようにアプライアンスを設定する方法について説明します。



SiteProtector による管理 72

SiteProtector による管理の設定 74

SiteProtector でのナビゲーション 77


第第第第 7 章章章章 : SiteProtector を通じたアプライアンスの管理を通じたアプライアンスの管理を通じたアプライアンスの管理を通じたアプライアンスの管理

SiteProtector による管理による管理による管理による管理

はじめにはじめにはじめにはじめに SiteProtector は、 ISS のマネージメントコンソールです。 SiteProtector を使用して、コンポーネントとアプライアンスの管理、イベントの監視、レポートのスケジューリングを行うことができます。アプライアンスは Proventia Manager を通じて管理するようにデフォルト設定されていますが、アプライアンスのグループを別のセンサーと共に管理している場合は、 SiteProtector の中央管理機能を使った方がよい場合があります。


理の対象理の対象理の対象理の対象

アプライアンスを SiteProtector に登録すると、 SiteProtector はアプライアンスの次の管理機能を制御します。

� ファイアウォール設定

� 不正侵入防御設定

� アラートイベント

ここに挙げる機能の設定を変更するには、 SiteProtector を使用する必要があります。

アップデートとインストールの設定は、 Proventia Manager または SiteProtector で管理することができます。

注記注記注記注記 : アプライアンスを SiteProtector に登録した場合は、 Proventia Manager の一部の領域が読み取

り専用となります。アプライアンスを SiteProtector から登録解除した場合は、 Proventia Manager の機能を再びすべて使用できるようになります。

Proventia Manager にににによる管理の対象よる管理の対象よる管理の対象よる管理の対象

次のローカル機能については、アプライアンスが SiteProtector に登録されている場合でも、直接アプライアンスで管理を行う必要があります。

� SiteProtector による管理の有効化または無効化

� 検疫済み不正侵入の表示

� 検疫ルールの削除

� 手動によるアップデート

SiteProtector Agent Manager の機能の機能の機能の機能

SiteProtector による管理を有効にする場合は、アプライアンスを Agent Manager に割り当てます。Agent Manager は、 SiteProtector に登録されたさまざまなエージェントおよびアプライアンスのコマンドアンドコントロールアクティビティを管理し、アプライアンスから受信するリアルタイムのイベントを管理する Event Collector へのデータ送信を助けます。

Agent Manager はまた、ポリシーサブスクリプショングループに基づいて、任意のポリシーアップデートをアプライアンスへ送信します。ポリシーサブスクリプショングループは、 1 つのポリシーを共有する一連のエージェントまたはアプライアンスです。そのため、 SiteProtector にアプライアンスを登録する前に、アプライアンスが所属するグループを決定する必要があります。終的には、グループのポリシーがアプライアンスと共有されます。

Agent Manager の詳細については、 SiteProtector のマニュアルまたはオンラインヘルプを参照してください。


理の機能理の機能理の機能理の機能

アプライアンスを SiteProtector に登録したときに、アプライアンスが初のハートビートを Agent Manager へ送信し、自分の存在を知らせます。ハートビートは、アプライアンスが自分がまだ実行中であること、また Agent Manager からのアップデート受け取りを許可していることを示すために使用する、暗号化された定期的な HTTP 要求です。アプライアンスを SiteProtector に登録するときに、ハートビート送信間隔 ( 秒単位 ) を指定します。

Agent Manager は、ハートビートを受信すると、登録時に指定したグループにアプライアンスを配置します。グループを指定していない場合は、 SiteProtector のバージョンに基づいて、デフォルト

72

SiteProtector による管理による管理による管理による管理

グループである「G-Series」または「Network IPS」に配置されます。アプライアンスを登録するときにグループボックスをオフにすると、アプライアンスは「Ungrouped Assets」に配置されます。

ローカルのアプライアンス設定がグループ設定より優先されるように指定してある場合は、初のハートビートが送信されたときにローカル設定が維持されます。ローカルのアプライアンス設定がグループ設定より優先されるように指定されていない場合は、グループのポリシー設定が定義されていなくても、 Agent Manager によってグループのポリシーファイルがアプライアンスへ直ちに「適用」されます。たとえば、アプライアンス上でファイアウォールルールを設定してあり、ファイアウォールルールが定義されていないグループにアプライアンスを登録した場合は、グループポリシーがローカルポリシーに優先され、アプライアンスのファイアウォールルールは有効ではなくなります。

2 回目以降のハートビートでは、 Agent Manager がグループポリシーをアプライアンスへ「適用」します。ただし、一部のローカルのアプライアンス設定は、 SiteProtector を通じて変更することができます。特定のアプライアンス上で変更したローカルのポリシー設定は、そのアプライアンス上に限ってグループのポリシー設定より優先されます。グループ内のその他アプライアンスについては、グループのポリシー設定が引き続き有効です。

SiteProtector でのアプでのアプでのアプでのアプ

ライアンスライアンスライアンスライアンスアップデーアップデーアップデーアップデー

トの機能トの機能トの機能トの機能

アプライアンスを SiteProtector に登録したら、アプライアンスが大限のパフォーマンスを得るように、また新のファームウェア、セキュリティコンテンツ、およびデータベースを確実に実行するように、アプライアンスを定期的にアップデートする必要があります。データベースの自動アップデート、セキュリティコンテンツの自動アップデート、ファームウェアアップデートの自動ダウンロードおよびインストールをスケジューリングすることをお勧めします。

注記注記注記注記 : アプライアンスが SiteProtector に登録されている場合でも、 Proventia Manager でファーム

ウェアアップデートをダウンロードしてインストールすることができます。

[Update Settings] ページを使用して、次の自動アップデートオプションをスケジューリングしてください。

� ファームウェアアップデートのダウンロードおよびインストール

� セキュリティコンテンツアップデートのダウンロードおよびインストール

� データベースのアップデート

SiteProtector でのアプでのアプでのアプでのアプ

ライアンスライアンスライアンスライアンスイベントのイベントのイベントのイベントの

処理処理処理処理

アラートを生成して SiteProtector へ送信するように、イベントを指定することができます。イベントが発生すると、アプライアンスは SiteProtector にアラートを送信します。このアラートに含まれるイベント情報を使用して、有用なレポートを作成することができます。これらのアラートが記録されるように設定されている場合は、 SiteProtector に送信されたアラートは Proventia Manager のアラートイベントログページにそのまま表示されます。


理のオプション理のオプション理のオプション理のオプション

アプライアンスを SiteProtector グループに登録すると、次の作業を行うことができます。

� アプライアンスがセンサーグループの設定を継承できるようにする

� グループ設定に関係なくアプライアンスが個別の設定を維持できるように、 SiteProtector 内で

グループ内の単一アプライアンスの設定の一部またはすべてを単独で管理する



SiteProtector による管理の設定による管理の設定による管理の設定による管理の設定

はじめにはじめにはじめにはじめに SiteProtector による管理を有効にすると、次の作業が自動的に行われます。

� アプライアンスを SiteProtector に登録する

� 指定の SiteProtector グループにアプライアンスを置く

� 指定の Agent Manager へレポートするようにアプライアンスへ指示する

Proventia Manager の [Management] ページを使用して、アプライアンスに対する SiteProtector による管理を設定して有効にします。

アプライアンスを登録したら、 Proventia Network IPS のライセンスファイルを SiteProtector に追加する必要があります。こうすることで、 SiteProtector を通じてアップデートを適用できるようになります。エージェントおよびアプライアンスのライセンスファイルの追加に関する詳細については、 SiteProtector のマニュアルを参照してください。

重要重要重要重要 : SiteProtector でアプライアンスを管理するには、 SiteProtector バージョン 2.0 Service Pack 5 以降が動作している必要があります。

アプライアンスを登録すアプライアンスを登録すアプライアンスを登録すアプライアンスを登録する前にる前にる前にる前に

SiteProtector にアプライアンスを登録する前に、次の作業を行うことをお勧めします。

� アプライアンスの割り当て先となる SiteProtector センサーグループの名前を確認する

� アプライアンスとともに使用する各 SiteProtector Agent Manager の IP アドレスとポートを確認

する

� アプライアンスに新のファームウェアアップデートがインストールされていることを確認

する

アプライアンスを SiteProtector から登録解除しなくても、アプライアンスへのファームウェアアップデートの自動ダウンロードおよびインストールをスケジューリングすることができます。

参照参照参照参照 : 詳細については、「アプライアンスのアップデート」 (59 ページ ) を参照してください。


理の設定理の設定理の設定理の設定

SiteProtector による管理の設定

1. Proventia Manager で、 [System] → [Management] の順に選択します。

2. 次の表のように、設定を完了または設定します。


Register with SiteProtector アプライアンスを SiteProtector に登録するには、このチェッ

クボックスをオンにします。

Local Settings Override SiteProtector Group Settings

初のハートビートで設定したローカル設定を維持させるには、このオプションをオンにします。

このオプションをオンにしなかった場合、アプライアンスは、初のハートビートで指定した SiteProtector グループの設定

を継承します。

注記注記注記注記 : 2 回目以降のハートビートでは、グループレベルで変

更したポリシー設定がアプライアンスに送信されます。

74

SiteProtector による管理の設定による管理の設定による管理の設定による管理の設定

3. [Save Changes] をクリックします。

4. アプライアンスと通信させる Agent Manager (1 つまたは複数 ) を追加します。「Agent Manager の設定」を参照してください。

Agent Manager の設定の設定の設定の設定 Agent Manager を設定するには :

1. Proventia Manager で、 [System] → [Management] の順に選択します。

2. SiteProtector への登録を有効にしてあることを確認してください。

3. [Agent Manager Configuration] 領域で、 [Add] をクリックします。


Desired SiteProtector Group for Sensor

アプライアンスを所属させる SiteProtector グループの名前を

入力します。グループを指定していない場合、アプライアンスはデフォルトの「G-Series」または「Network IPS」グルー

プに追加されます。

重要重要重要重要 : Proventia Network IPS または G シリーズアプライアン

スだけを含むグループにアプライアンスを割り当ててください。

Heartbeat Interval (secs) SiteProtector へハートビートを送信するまでにアプライアン

スが待機する秒数を入力します。

注記注記注記注記 : この値は 300 ～ 86,400 秒としてください。



Authentication Level リストからオプションを選択します。

注記注記注記注記 : デフォルトオプションである [first-time-trust] の承諾を

お薦めします。

Agent Manager Name Agent Manager 名を、 SiteProtector で表示されるとおりに入

力します。

この設定では、大文字と小文字が区別されます。

Agent Manager Address Agent Manager の IP アドレスを入力します。

Agent Manager Port デフォルト値の 3995 を承認します。

注記注記注記注記 : 新しくポート番号を入力することもできますが、新規

ポート番号も Agent Manager 上でローカルに設定してくださ

い。

User Name Agent Manager へアクセスするためにアカウントへのログイ

ンが必要な場合は、当該アカウントのユーザー名を入力します。

注記注記注記注記 : アカウントのユーザー名は、 Agent Manager 上で設定

されます。

User Password [Set Password] をクリックし、パスワードを確認してから [OK] をクリックします。

Use Proxy Settings アプライアンスが Agent Manager へアクセスするためにプロ

キシを通過する必要のある場合は、 [Use Proxy Settings] チェックボックスをオンにし、 [Proxy Server Address] と [Proxy Server Port] を入力します。





登録成功の確認登録成功の確認登録成功の確認登録成功の確認アプライアンスが SiteProtector に正しく登録されたかどうか確認するには :

1. SiteProtector Console を開きます。

2. 左ウィンドウ枠で、アプライアンスを追加したグループを選択します。

注記注記注記注記 : アプライアンス登録時にグループを指定しなかった場合は、 SiteProtector のバージョン

に基づいて、デフォルトグループである「G-Series」または「Network IPS」に配置されます。

デフォルトグループの選択を解除した場合は、 [Ungrouped Assets] 内に表示されます。

3. [Sensor] タブまたは [Agent] タブを選択します。

アプライアンスが [Sensor] タブに表示され、ステータスは「Active」と表示されます。


理の無効化理の無効化理の無効化理の無効化

SiteProtector による管理を無効にするには :

1. Proventia Manager で、 [System] [Management] の順に選択します。

2. [Register with SiteProtector] チェックボックスをオフにします。


76

SiteProtector でのナビゲーションでのナビゲーションでのナビゲーションでのナビゲーション


はじめにはじめにはじめにはじめに SiteProtector を使用してアプライアンスを管理する予定である場合は、アプライアンスの現在の IPS ポリシーの作成、管理、および表示を行うためのナビゲーション機能に慣れておく必要があります。

SiteProtector Console の全般的な情報については、現在お使いのバージョンの SiteProtector のヘルプを参照してください。

ポリシーと設定についてポリシーと設定についてポリシーと設定についてポリシーと設定について次のアプライアンスポリシーおよび設定を、 SiteProtector で設定することができます。

アイコンについてアイコンについてアイコンについてアイコンについて次の表では、作業中に [Policy] ページに表示されるアイコンについて説明します。

項目項目項目項目目的目的目的目的

Intrusion Prevention ネットワークを侵入から保護された状態を保つために役立つレスポンス、プロテクションドメイン、およびイベントタイプを設定します。また、

重要なセキュリティアラートおよび検疫済み不正侵入の表示や、検出さ

れた不正侵入に対するアプライアンスの対応方法の決定を行うこともできます。


• 「セキュリティイベントでの作業」 (81 ページ )

• 「レスポンスの設定」 (97 ページ )

• 「その他の不正侵入防御設定の指定」 (109 ページ )

Firewall Settings 攻撃をブロックするファイアウォールルールの作成と編集を行います。

詳細については、「ファイアウォール設定の指定」 (131 ページ ) を参照し

てください。

Local Tuning Parameters

次のようなアプライアンスのローカル調整パラメータを設定します。

• アプライアンスのエラー、警告、通知のアラート

• ネットワークアダプタカードの設定

• アプライアンス自体の高度なパラメータ ( アップデートパラメータ、

ファイアウォールパラメータ、不正侵入防御パラメータ )

詳細については、「ローカル調整パラメータの設定」 (141 ページ ) を参照


Statistics アプライアンスのアクティビティに関する重要な統計値 ( プロテクショ

ン、パケット、ドライバの情報など ) を見ることができます。

詳細については、「統計値の表示」 (167 ページ ) を参照してください。

Updates ネットワークに対する利用可能な新のプロテクションを入手できるように、アプライアンスのアップデートを設定および管理します。

詳細については、「アプライアンスのアップデート」 (59 ページ ) を参照


表表表表 28: ポリシーと設定


項目をリストに追加するには、このアイコンをクリックします。

表表表表 29: SiteProtector での Policy Editor のアイコン



保存アイコンについて保存アイコンについて保存アイコンについて保存アイコンについて別のページへ移動する前に、変更内容を保存する必要があります。

� SiteProtector 2.0 SP5 では、 Policy Editor のツールバーにある [Save] ボタンをクリックして変更

内容を保存することができます。変更内容はまた、 Policy Editor を閉じるときに [OK] をク

リックすると自動的に保存されます。

� SiteProtector 2.0 SP6 では、コンソールのツールバーにある [Save All] をクリックして変更内容

を保存してから、新しいポリシーに移動します。

SiteProtector 2.0, SP5 でのでのでのでの IPS ポリシーのポリシーのポリシーのポリシーの

オープンオープンオープンオープン

SiteProtector 2.0, SP5 で IPS ポリシーを開くには :

1. SiteProtector Console で、次のいずれかを行います。

� サイトまたはグループレベルのポリシーを編集するには、左ウィンドウ枠でサイトまたは

グループを右クリックし、ポップアップメニューから [Network Protection] → [Proventia G Series (Next Generation)] → [Edit Settings] の順に選択します。

リスト内の項目を編集するには、このアイコンをクリックします。

項目 (1 つまたは複数 ) をリストから削除するには、このアイコンをクリックします。

標準的な [SHIFT] キー + クリック、または [CTRL] キー + クリックの方法を使用し

て、リスト内の隣接する ( または隣接しない ) 項目を選択することができます。

注記注記注記注記 : 削除アイコンをクリックしても項目がリストから削除されない場合があります

が、その場合でも項目は無効化されてデフォルト状態にリセットされます。

表内の列によって項目をグループ化するには、このアイコンをクリックします。

たとえば、危険度別にセキュリティイベントをグループ化することができます。つ

まり、高危険度、中危険度、低危険度のセキュリティイベントがそれぞれのグルー

プを持つこととなり、イベントを検索しやすくなります。

表のグループ分けをデフォルト設定に戻すには、このアイコンをクリックします。

ページに表示する列を選択するには、このアイコンをクリックします。

リスト内の項目をリストの上に移動するには、項目を選択してこのアイコンをクリックします。

リスト内の項目をリストの下に移動するには、項目を選択してこのアイコンをクリックします。

リスト内の項目をクリップボードにコピーするには、項目を選択してこのアイコンをクリックします。

ヒントヒントヒントヒント : 標準的な [SHIFT] キー + クリック、または [CTRL] キー + クリックの方法を

使用して、リスト内の隣接する ( または隣接しない ) 項目を選択することができま

す。

コピーした項目をクリップボードからリストに貼り付けるには、このアイコンをクリックします。項目を貼り付けた後は、それを編集することができます。

このアイコンがページまたはページ上のフィールドの横に表示された場合は、必要なデータをフィールドに入力する必要があるか、またはフィールドに入力したデータが無効です。


表表表表 29: SiteProtector での Policy Editor のアイコン

78


� 1 台のアプライアンスに関するポリシーを編集するには、 [Sensor] タブでアプライアンスを

右クリックし、ポップアップメニューから [Network Protection] → [Proventia G-Series (Next Generation)] → [Edit Settings] の順に選択します。

2. Policy Editor のナビゲーションウィンドウ枠で、編集する項目を選択します。

3. 必要に応じてポリシーを編集します。

4. [OK] をクリックして変更内容を保存します。

5. ポリシーを直ちに適用するには、ポリシーを編集したサイト、グループ、またはアプライアンスを選択し、 [Network Protection] → [Proventia G-Series (Next Generation)] → [Force Refresh] の順に選択します。

SiteProtector 2.0, SP6 でのでのでのでの IPS ポリシーのポリシーのポリシーのポリシーの

オープンオープンオープンオープン

SiteProtector 2.0, SP6 で IPS ポリシーを開くには :

1. SiteProtector Console で、次のいずれかを行います。

� グループレベルのポリシーを編集するには、左ウィンドウ枠でグループを右クリックし、

ポップアップメニューから [Manage Policy] を選択します。

� 1 台のアプライアンスに関するポリシーを編集するには、 [Agent] タブでアプライアンスを

右クリックし、ポップアップメニューから [Manage Policy] を選択します。

2. [Policy] タブで、 [Agent Type] ドロップダウンメニューから Network IPS を選択します。

3. ポリシーを開くには、次のいずれかを行います。

� グループまたはアプライアンスのポリシーを、左ウィンドウ枠で選択します。そのポリ

シーが右ウィンドウ枠で開きます。

� 左ウィンドウ枠でグループまたはアプライアンスを選択し、右ウィンドウ枠でポリシーを

右クリックして、ポップアップメニューから [Manage Policy] を選択します。

注記注記注記注記 : グループまたはアプライアンスレベルのポリシーがサイトレベルのポリシーに優先す

るようにする場合は、ポリシーを右クリックして [Override] を選択します。詳細については、

SiteProtector のヘルプの「Configuring Policy Inheritance」を参照してください。

4. 必要に応じてポリシーを編集します。

5. ツールバーにある [Save All] をクリックして変更内容を保存します。



80


セキュリティセキュリティセキュリティセキュリティイベントでの作業イベントでの作業イベントでの作業イベントでの作業


はじめにはじめにはじめにはじめにこの章では、セキュリティイベントとレスポンスフィルタの設定方法について説明します。これらは、ネットワークで発生したセキュリティイベントに対するアプライアンスの応答方法とレポート方法を決定するセキュリティポリシーの作成に役立ちます。



プロテクションドメインの設定 82

セキュリティイベントの設定 84

複数のセキュリティイベントへのプロテクションドメイン割り当て 88

セキュリティイベント情報の表示 89

レスポンスフィルタの設定 91

レスポンスフィルタ情報の表示 96


第第第第 8 章章章章 : セキュリティセキュリティセキュリティセキュリティイベントでの作業イベントでの作業イベントでの作業イベントでの作業

プロテクションプロテクションプロテクションプロテクションドメインの設定ドメインの設定ドメインの設定ドメインの設定

はじめにはじめにはじめにはじめにプロテクションドメインを使用すると、 1 台のアプライアンスによって管理される異なるネットワークセグメントに対してセキュリティポリシーを定義することができます。プロテクションドメインは、いくつかのアプライアンスでネットワークを監視しているかのように、仮想センサーのような働きをします。これらはセキュリティイベントだけと連動し、ネットワークの防御を支援します。プロテクションドメインは、ポート、 VLAN、または IP アドレス範囲ごとに定義できます。

使用する場合使用する場合使用する場合使用する場合プロテクションドメインは、不正侵入防御を集中化するグローバルポリシーを使用して異なるネットワークセグメントグループを 1 台のアプライアンスから監視する場合に使用します。

次のような場合に、プロテクションドメインを使用します。

� 1 台のアプライアンスに対し、複数のプロテクションドメインを定義して適用する場合

� 1 つ以上のネットワークにおける特定のネットワークトラフィックに対するレスポンスを調整

できるように、複数のポリシーを 1 台のアプライアンスに適用する場合

プロテクションプロテクションプロテクションプロテクションドメイドメイドメイドメイ

ンとセキュリティンとセキュリティンとセキュリティンとセキュリティイベイベイベイベ

ントントントント

アプライアンスは、常にグローバルセキュリティポリシーを使用します。つまり、アプライアンスは、ネットワークのすべての領域で同じ方法でセキュリティイベントを処理します。プロテクションドメインを定義し、各ドメインに合わせてセキュリティイベントポリシーを編集しない限り、アプライアンスは常にこの 1 つのグローバルセキュリティポリシーを使用してセキュリティイベントを処理します。

プロテクションドメインを設定したら、ネットワーク上で発生するセキュリティイベントを処理するセキュリティポリシーと併せて使用します。

特定のプロテクションドメイン用に特定のセキュリティポリシーを作成するか、特定のドメインに合わせてグローバルポリシーをカスタマイズすることができます。これらのポリシーはアプライアンスに対してイベントを示すプロパティを知らせ、イベントが発生した場合の対応方法を指示します。

注記注記注記注記 : 特定のフラッドやスイープのシグネチャは、ユーザー定義のプロテクションドメインでは

サポートされません。これらの攻撃は、一般的に複数の標的に影響を与え、プロテクションドメ

イン全体に広がる可能性があります。これらのシグネチャが正しくレポートされるように、これらをグローバルプロテクションドメインに対して有効化する必要があります。


ンの追加ンの追加ンの追加ンの追加

プロテクションドメインを追加または変更するには :

1. [Protection Domains] ページで、 [Add] をクリックします。



Enabled プロテクションドメインを有効にするには、このチェックボックスをオンにします。

Protection Domain Name ドメインの内容を説明するような名前を入力します。

Comment ドメイン用の固有の説明を入力します。

82

プロテクションプロテクションプロテクションプロテクションドメインの設定ドメインの設定ドメインの設定ドメインの設定




ンでの作業ンでの作業ンでの作業ンでの作業

プロテクションドメインを編集、コピー、または削除するには :

1. [Protection Domains] を選択します。

2. 次のいずれかを行います。


Adapter アプライアンスの監視アダプタ (1 つまたは複数 ) を選択しま

す。

注記注記注記注記 : アプライアンスは、特定のアプライアンスに当てはま

らないポート設定を無視します。たとえば、設定に利用できるポートが他にあっても、お使いのアプライアンスでは 2 つのアダプタポートだけが設定可能である場合があります。

VLAN Range 仮想 LAN タグの範囲を入力します。

IP Address Range 発信元および宛先の IP アドレス範囲を入力します。



編集ヒントヒントヒントヒント : 変更したい項目を [Protection Domains] タブでダブル

クリックすることで、一部のプロパティを直接編集することができます。

1. ドメインを選択し、編集編集編集編集のアイコン ( ) をクリックしま

す。


3. このドメインを編集し、 [OK] をクリックします。

コピー 1. ドメインを選択し、コピーコピーコピーコピーのアイコン ( ) をクリックし

ます。


3. 必要に応じてドメインを編集し、 [OK] をクリックします。

削除 1. ドメインを選択します。




セキュリティセキュリティセキュリティセキュリティイベントの設定イベントの設定イベントの設定イベントの設定

はじめにはじめにはじめにはじめに [Security Events] ページには、何百もの攻撃とセキュリティイベントがリストアップされています。セキュリティイベントは、攻撃またはその他疑わしいアクティビティを示す可能性のある内容を伴うネットワークトラフィックです。このようなイベントは、アクティブなセキュリティポリシーに指定されているイベントのいずれかにネットワークトラフィックが一致した場合にトリガされます。セキュリティポリシーは、ネットワークのニーズに合わせて編集可能です。

グローバルグローバルグローバルグローバルプロテクプロテクプロテクプロテク

ションションションションドメインについドメインについドメインについドメインについ

てててて

イベントはすべて、グローバルプロテクションドメインの下にリストアップされます。アプライアンスは、常にグローバルセキュリティポリシーを使用します。つまり、セキュリティイベントは、ネットワークのすべての領域で同じ方法で処理されます。ネットワーク内のすべてのセグメントにわたって適用したいグローバルレベルで、イベントを設定する必要があります。ネットワークの特定セグメントに対してセキュリティポリシーを設定する場合は、各セグメントに対してプロテクションドメインを作成する必要があります。

セキュリティセキュリティセキュリティセキュリティイベントイベントイベントイベント

の追加の追加の追加の追加

セキュリティイベントを追加するには :

注記注記注記注記 : この手順に出てくる設定は、 [Security Events] タブに表示される列に対応しています。

1. [Security Events] を選択します。

2. [Security Events] タブで、 [Add] をクリックします。



Enabled セキュリティポリシーの一部としてイベントを有効にするには、こ

のチェックボックスをオンにします。

Protection Domain プロテクションドメインを設定してある場合は、このリストから 1 つ選択します。

1 つのドメインに対し、一度に 1 つのイベントしか適用できません。

このイベントを別のドメインに設定するには、イベントをコピーして名前を変更してから、別のドメインに割り当てる必要があります。

注記注記注記注記 : プロテクションドメインを設定していない ( または使用してい

ない ) 場合、プロテクションドメインのリストには「Global」と表示

されます。

Attack/Audit カスタムイベントを作成中の場合は、この領域を利用できません。

リスト内のイベントを編集中である場合は、このイベントが監査イベントか攻撃イベントかがこの領域に表示されます。

• 監査イベントは、ネットワークに関する情報を検索するネットワークトラフィックと一致します。

• 攻撃イベントは、ネットワークに害を与えようとするネットワークトラフィックと一致します。

Tag Name イベントの内容を説明するような固有の名前を入力します。

既存イベントを編集中である場合は、このフィールドにイベント名が表示されますが、これは編集できません。

Severity イベントの危険度 (Low、 Medium、 High) を選択します。

Protocol イベントのプロトコルを入力します。

既存イベントの場合、この設定には、読み取り専用でプロトコルタイプが表示されます。

84


Ignore Events このイベントの基準セットと一致するイベントをアプライアンスに無視させるには、このチェックボックスをオンにします。

Display マネージメントコンソールでのイベント表示方法を選択します。

• No Display - 検出されたイベントを表示しません。

• WithoutRaw - イベントの概要を記録します。

• WithRaw - イベントの概要と、関連するパケットキャプチャを記

録します。

Block パケットをドロップして TCP 接続に対するリセットパケットを送信

することで攻撃をブロックするには、このチェックボックスをオン

にします。

Log Evidence/var/iss/ ディレクトリに対するイベントをトリガしたパケットを記録

するには、このチェックボックスをオンにします。

Responses レスポンスを有効にするには、次のいずれかのタブを選択します。

• Email - リストから Email レスポンスを選択します。

• Quarantine - 1 つ以上のチェックボックスをオンにして、

Quarantine レスポンスを有効にします。

• SNMP - リストから SNMP レスポンスを選択します。

• User Defined - 1 つ以上のチェックボックスをオンにして、ユー

ザー定義レスポンスを有効にします。

注記注記注記注記 : [Edit] をクリックして、リスト内の任意のレスポンスのプロパ

ティを変更することができます。

詳細については、「レスポンスの設定」 (97 ページ ) を参照してくだ

さい。

XPU 既存イベントの場合に限り、この脆弱性チェックがリリースされた XPU が表示されます。

この設定は読み取り専用です。

Event Throttling 期間を秒単位で入力します。

指定期間中に、攻撃と一致するイベントが大で 1 つレポートされ

ます。

デフォルト値は 0 ( ゼロ ) です。この設定では、イベントスロットリ

ングは無効です。

Check Date 既存イベントの場合に限り、この脆弱性チェックの作成年月が表示されます。


Default Protection 既存イベントの場合に限り、イベントのデフォルト防御セット (「Block」など ) が表示されます。


User Overridden 新規イベントの作成中である場合は、このチェックボックスがデ

フォルトで有効になり、これがカスタムイベントであることを示し

ます。

[Security Events] タブのリストでは、カスタムイベントと編集済み既

存イベントの両方の場合で、この項目がオンになります。








での作業での作業での作業での作業

セキュリティイベントを編集、コピー、または削除するには :


2. [Security Events] タブを選択し、次のいずれかを行います。


複数のセキュリティ複数のセキュリティ複数のセキュリティ複数のセキュリティイイイイベントの編集ベントの編集ベントの編集ベントの編集

複数のセキュリティイベントを編集するには :


2. [Security Events] タブで、次のいずれかを行います。

� 複数のイベントを選択するには、 [CTRL] キーを押しながら各イベントを選択します。

� レスポンスの範囲を選択するには、 [SHIFT] キーを押しながら、範囲内の初と後のイベ

ントを選択します。

3. [Edit] をクリックします。

編集した項目はすべて、選択したすべてのイベントで変更されます。

選択したイベントの中で異なる値を持つ項目がある場合、その項目の横には青い三角のアイコンが表示されます。このアイコンが表示されたフィールドの値を変更すると、選択されたイベントすべてで変更内容が新しい設定に変更され、青い三角のアイコンはフィールドの横に表示されなくなります。


編集ヒントヒントヒントヒント : 変更したい項目を [Security Events] タブでダブルク

リックすることで、一部のプロパティを直接編集することができます。

1. イベントを選択し、編集編集編集編集のアイコン ( ) をクリックしま

す。


3. このイベントを編集し、 [OK] をクリックします。

コピーヒントヒントヒントヒント : イベントのグループ化とフィルタリングを初めて行

う場合は、セキュリティイベントをコピーして貼り付けた方

が簡単です。詳細については、「セキュリティイベントのグ

ループ化」 (89 ページ ) または「セキュリティイベントの

フィルタリング」 (89 ページ ) を参照してください。

1. イベントを選択し、コピーコピーコピーコピーのアイコン ( ) をクリックし

ます。


3. 必要に応じてイベントを編集し、 [OK] をクリックします。

削除 1. イベントを選択します。


重要重要重要重要 : カスタムイベントだけが、削除可能です。編集し終

わった定義済みイベントを選択して [Remove] をクリックす

ると、そのイベントはデフォルト設定に戻り、そのままリストに残ります。

86


たとえば、ブロッキングが有効になったイベントと有効になっていないイベントの 2 つを編集

することにした場合、青い三角のアイコンは [Block] の横に表示されます。元々 Block レスポ

ンスが無効になっていたイベントで Block レスポンスを有効にすると、両方のイベントでブ

ロッキングが有効になり、青い三角のアイコンは消えます。





複数のセキュリティ複数のセキュリティ複数のセキュリティ複数のセキュリティイベントへのプロテクションイベントへのプロテクションイベントへのプロテクションイベントへのプロテクションドメイン割り当てドメイン割り当てドメイン割り当てドメイン割り当て

はじめにはじめにはじめにはじめにプロテクションドメインを設定したら、これらを複数のセキュリティイベントに割り当てることができます。こうすることで、ネットワーク上にあるプロテクションドメインごとにセキュリティポリシーを設定する時間を短縮することができます。

手順手順手順手順複数のセキュリティイベントに対してプロテクションドメインを割り当てるには :


2. [Security Events] タブで、イベントを次のように選択します。

� 複数のイベントを選択するには、 [Ctrl] キーを押しながら各イベントを選択します。

� イベントの範囲を選択するには、 [Shift] キーを押しながら、範囲内の初と後のイベン

トを選択します。

3. コピーのアイコンをクリックします。

4. [Paste] をクリックします。

5. 赤い X アイコンの付いた項目をすべて選択し、 [Edit] をクリックします。

6. 選択したイベントに割り当てるプロテクションプロテクションプロテクションプロテクションドメインドメインドメインドメインを選択します。

7. 任意の追加設定を編集します。

詳細については、「セキュリティイベントの追加」 (84 ページ ) を参照してください。

8. [OK] をクリックし、 [Security Events] ページに戻ります。


88

セキュリティセキュリティセキュリティセキュリティイベント情報の表示イベント情報の表示イベント情報の表示イベント情報の表示

セキュリティセキュリティセキュリティセキュリティイベント情報の表示イベント情報の表示イベント情報の表示イベント情報の表示

はじめにはじめにはじめにはじめに [Security Events] タブには、何百もの攻撃とセキュリティイベントがリストアップされています。より簡単に参照や検索が行えるように、イベントの表示方法をカスタマイズすることができます。

フィルタと正規表現につフィルタと正規表現につフィルタと正規表現につフィルタと正規表現についていていていて

セキュリティイベントのフィルタでは、正規表現を使用して、返されるイベントの数を制限します。

正規表現 ( 別名 : regex) は、指定したパターンと一致するテキストを検索するために使用する一連の記号および構文です。ワイルドカード検索は、正規表現を使用したものです。

も基本的なレベルでは、次のワイルドカード検索がサポートされています。

� *. すべてのイベントが返されます。

� *word* - 例例例例 : 「*http*」には、すべての HTTP イベントが含まれます。

� word* - 例例例例 : 「http*」には、「HTTP」で始まるすべてのイベント名が含まれます。

� *word - 例例例例 : 「*http」には、「HTTP」で終わるすべてのイベント名が含まれます。

表示する列の選択表示する列の選択表示する列の選択表示する列の選択表示する列を選択するには :


2. [Security Events] タブで、 [Select Columns] をクリックします。

3. 表示したい列の横にあるチェックボックスをオンにします。



注記注記注記注記 : イベントをグループ化またはサブグループ化してある場合、それらイベントの列は [Security Events] タブに表示されなくなります。その代わり、グルーピングツリー内の展開 / 折り畳みが可

能な項目として表示されます。


のグループ化のグループ化のグループ化のグループ化

セキュリティイベントをグループ化するには :


2. [Security Events] タブで、 [Group By] をクリックします。

3. [All Columns] リストからイベントグループ化の基準とする列を選択し、 [Add] をクリックしま

す。

[Group By These Columns] リストに、選択した列が表示されます。

4. イベントグループ化の基準にする列それぞれについて、手順手順手順手順 3 を繰り返します。

グループ化基準とする列を選択するたびに、後に作成した「グループ」の下にサブグループが作成されていきます。


6. [Security Events] タブでグループを折り畳むか展開して、イベントを表示します。



のフィルタリングのフィルタリングのフィルタリングのフィルタリング

セキュリティイベントをフィルタリングするには :


2. [Security Events] タブで [Filter] チェックボックスをオンにしてフィルタリングを有効にしま

す。



3. [Filter] をクリックします。

4. [Regular Expressions] 領域で、フィルタリングの基準となる正規表現を入力します。この検索

機能では、大文字と小文字が区別されません。

注記注記注記注記 : この機能を使用するには、正規表現の機能を熟知している必要があります。

5. 各カテゴリについて、適用するフィルタを選択します。デフォルトは [Any] です。この設定で

は、アプライアンスは入力された正規表現と一致する任意の結果を検索します。




値のリセット値のリセット値のリセット値のリセット

セキュリティイベントの値をリセットするには :


2. [Security Events] タブで、次のいずれかを行います。

� イベントをリセットします。リセットするイベントを選択し、 [Remove] をクリックしま

す。編集済みの事前定義イベントはデフォルト値に戻りますが、リストからは削除されません。カスタムイベントは、リストから削除されます。

� グループをリセットします。 [Reset Groupings] をクリックします。イベントから、すべて

のグループ化が削除されます。

� フィルタをリセットします。 [Filters] チェックボックスをオフにして、設定したフィルタ

を無効にします。


90

レスポンスレスポンスレスポンスレスポンスフィルタの設定フィルタの設定フィルタの設定フィルタの設定


はじめにはじめにはじめにはじめにレスポンスフィルタを設定すると、アプライアンスが応答を返すイベントの数とマネージメントコンソールにレポートされるイベントの数を調整してセキュリティポリシーを絞り込むことができます。

レスポンスフィルタを使用して、次の作業を行うことができます。

� フィルタで指定されているネットワーク基準に基づいてトリガするセキュリティイベントに

対し、レスポンスを設定する

� アプライアンスがコンソールにレポートするセキュリティイベントの数を減らす

たとえば、安全で信頼できるホスト、または何らかの理由で無視したいホストがネットワーク上にある場合に、 IGNORE レスポンスが有効になったレスポンスフィルタを使用することができます。

イベントイベントイベントイベントフィルタの属フィルタの属フィルタの属フィルタの属

性性性性

レスポンスフィルタには、次のような設定可能な属性があります。

� アダプタ

� 仮想 LAN (VLAN)

� 発信元または宛先の IP アドレス

� 発信元または標的のポート番号 ( すべてのポート、または特定のサービスに関連付けられた

ポート )、または ICMP タイプ / コード ( 使用されるのはこのうちいずれか )

フィルタとその他イベンフィルタとその他イベンフィルタとその他イベンフィルタとその他イベントトトト

レスポンスフィルタと一致するトラフィックを検出すると、アプライアンスはフィルタで指定されたレスポンスを実行します。フィルタが指定されていないと、アプライアンスはイベント自体で指定されているセキュリティイベントを実行します。

注記注記注記注記 : セキュリティイベントが無効になっていると、対応するレスポンスフィルタも無効になり

ます。

レスポンスレスポンスレスポンスレスポンスフィルタのフィルタのフィルタのフィルタの

順序順序順序順序

レスポンスフィルタは、ルールの順序に従います。たとえば、同一のセキュリティイベントに対して 1 つ以上のフィルタを追加した場合、アプライアンスは初に一致したレスポンスを実行します。アプライアンスは、フィルタリストの一番上から下へ向かって読みとっていきます。


追加追加追加追加

レスポンスフィルタを追加するには :

注記注記注記注記 : この手順に出てくる設定は、 [Response Filters] タブに表示される列に対応しています。


2. [Response Filters] タブを選択します。






Enabled フィルタは、デフォルトで有効になっています。フィルタを無効にするには、このチェックボックスをオフにします。

Protection Domain このフィルタを設定するプロテクションドメインを選択します。

注記注記注記注記 : レスポンスフィルタをアクティブにするには、対応するセ

キュリティイベントがここで指定するプロテクションドメインに

対して有効になっている必要があります。

Event Name レスポンスのフィルタリングを行うイベントを選択します。

フィルタごとに 1 つのイベントしか選択できません。

Event Name Info 必要な場合に、イベントに関する追加情報を表示します。


Comment イベントフィルタ用の固有の説明を入力します。

Severity イベントの危険度 (high、 medium、 low) を選択します。

Adapter レスポンスフィルタが適用されるアプライアンスポートを選択し

ます。

注記注記注記注記 : アプライアンスは、特定のアプライアンスに当てはまらない

ポート設定を無視します。たとえば、設定に利用できるポートが他にあっても、お使いのアプライアンスでは 2 つのアダプタポートだ

けが設定可能である場合があります。

VLAN レスポンスフィルタが適用される仮想 LAN タグの範囲を入力しま

す。



ます。

デフォルト値は 0 ( ゼロ ) です。この設定では、イベントスロット

リングは無効です。

Ignore Events このイベントの基準セットと一致するイベントをアプライアンスに無視させるには、このチェックボックスをオンにします。




• WithRaw - イベントの概要と、関連するパケットキャプチャを

記録します。

Block パケットをドロップして TCP 接続に対するリセットパケットを送

信することで攻撃をブロックするには、このチェックボックスをオ

ンにします。

ICMP Type/Code パケットの両側について ICMP タイプまたはコードを入力するか、

[Well Known] をクリックしてよく使用するタイプとコードを選択し

ます。

Log Evidence /var/iss/ ディレクトリに対するイベントをトリガしたパケットを記

録するには、このチェックボックスをオンにします。

92


5. IP アドレスとポートの設定を、次の表のように指定または変更します。






• User Defined - 1 つ以上のチェックボックスをオンにして、

ユーザー定義レスポンスを有効にします。

注記注記注記注記 : リスト内の任意のレスポンスのプロパティを変更するには、

[Edit] をクリックします。

詳細については、「レスポンスの設定」 (97 ページ ) を参照してくだ

さい。

IP Address and Port フィルタ基準とする発信元または標的の IP アドレスについて、手順 5 に挙げられた設定を指定または変更します。


Address Not 指定するアドレスを除外するには、このチェックボックスをオンにします。

Any すべてのアドレスを含めるには、このオプションをオンにします。

Single Address 1 つのアドレスをフィルタリングするには、このオ

プションをオンにしてから [Address] にアドレスを

入力します。

Address Range 1 つのアドレス範囲をフィルタリングするには、こ

のオプションをオンにしてから [Range] に初のア

ドレスと後のアドレスを入力します。

注記注記注記注記 : サイト範囲として 0.0.0.0 ～ 255.255.255.255 は使用しないでください。これをサイト範囲として使用すると、 Web サイトの IP アドレスなどのラン

ダムな IP アドレスが [Ungrouped Assets] フォルダ

に追加されます。

Network Address/#Network Bit (CIDR)

サブネット上の IP アドレスを含める場合に、この

オプションをオンにします。 IP アドレスとマスクを

入力してください。マスクとはネットワーク識別子のことで、 1 ～ 32 の数値です。例 : 128.8.27.18 / 16






Port Not 指定するポートを除外するには、このチェックボッ

クスをオンにします。

Any すべてのポートを含めるには、このオプションをオンにします。

Single Port 1 つのポートを含めるには、このオプションをオン

にしてから [Port] に数値を入力します。

Port Range 1 つのポート範囲を含めるには、このオプションを

オンにしてから [Range] に初のポートと後の

ポートを入力します。


94



順序変更順序変更順序変更順序変更

レスポンスフィルタの順序を変更するには :



3. 項目を選択し、上向き矢印のアイコン ( ) または下向き矢印のアイコン ( ) をクリックし

てフィルタを移動します。


レスポンスレスポンスレスポンスレスポンスフィルタでフィルタでフィルタでフィルタで

の作業の作業の作業の作業

レスポンスフィルタを編集、コピー、または削除するには :


2. [Response Filters] タブを選択し、次のいずれかを行います。



編集ヒントヒントヒントヒント : 変更したい項目を [Response Filters] タブでダブルク


1. フィルタを選択し、編集編集編集編集のアイコン ( ) をクリックしま

す。


3. このフィルタを編集し、 [OK] をクリックします。

コピー 1. フィルタを選択し、コピーコピーコピーコピーのアイコン ( ) をクリックし

ます。


3. 必要に応じてフィルタを編集し、 [OK] をクリックします。

削除 1. フィルタを選択します。




レスポンスレスポンスレスポンスレスポンスフィルタ情報の表示フィルタ情報の表示フィルタ情報の表示フィルタ情報の表示

はじめにはじめにはじめにはじめに [Response Filters] タブには、マネージメントコンソールでのセキュリティイベントの表示方法を調整するために定義したレスポンスフィルタが一覧表示されています。




3. [Select Columns] をクリックします。

4. タブ上に表示したい列の横にあるチェックボックスをオンにします。



注記注記注記注記 : フィルタをグループ化またはサブグループ化してある場合、それらフィルタの列は [Response Filters] タブに表示されなくなります。その代わり、グルーピングツリー内の展開 / 折り

畳みが可能な項目として表示されます。


グループ化グループ化グループ化グループ化

レスポンスフィルタをグループ化するには :



3. [Group By] をクリックします。

4. [All Columns] リストからフィルタグループ化の基準とする列を選択し、 [Add] をクリックし

ます。


5. フィルタグループ化の基準とする列それぞれについて、手順 4 を繰り返します。



7. [Response Filters] タブでグループを折り畳むか展開して、フィルタを表示します。



フィルタリングフィルタリングフィルタリングフィルタリング

レスポンスフィルタをフィルタリングするには :



3. [Filter] チェックボックスをオンにして、フィルタリングを有効にします。


各カテゴリについて、適用するフィルタを選択します。デフォルトは [Any] です。この設定で

は、アプライアンスはそのカテゴリと一致する任意の結果を検索します。



96


レスポンスの設定レスポンスの設定レスポンスの設定レスポンスの設定


はじめにはじめにはじめにはじめにこの章では、アプライアンスのレスポンスを設定する方法について説明します。レスポンスは、ネットワークで不正侵入やその他重要なイベントを検出した場合のアプライアンスの対応を決定します。



レスポンスについて 98

Email レスポンスの設定 99

Log Evidence レスポンスの設定 101

Quarantine レスポンスの設定 102

SNMP レスポンスの設定 104

ユーザー指定レスポンスの設定 106


第第第第 9 章章章章 : レスポンスの設定レスポンスの設定レスポンスの設定レスポンスの設定

レスポンスについてレスポンスについてレスポンスについてレスポンスについて

はじめにはじめにはじめにはじめにレスポンスポリシーは、アプライアンスが不正侵入またはその他重要なイベントを検出した場合の対応を決定します。レスポンスを作成し、必要に応じてイベントに適用します。

次の種類のレスポンスを設定することができます。

� Email - 個別のアドレスまたはメールグループに、メールによるアラートを送信します。

� Log Evidence - 保存されたファイルにアラート情報を記録します。

� Quarantine - ネットワークを攻撃に対して検疫します。

� SNMP - 統合された SNMP サーバーに SNMP トラップを送信します。

� User Specified - ネットワーク監視に対する特別な要件に基づいて、アラートを送信します。

Block レスポンスについレスポンスについレスポンスについレスポンスについ

てててて

Block レスポンスは、パケットをドロップして TCP 接続に対するリセットパケットを送信することで攻撃をブロックする、デフォルトのレスポンスです。アプライアンスの Block レスポンスは、アプライアンスの動作モードによって異なります。

アプライアンスのモードは、アプライアンスのインストール時に設定されます。詳細については、「ネットワークアダプタカードの管理」 (144 ページ ) を参照してください。

Ignore レスポンスにつレスポンスにつレスポンスにつレスポンスにつ

いていていていて

セキュリティイベントに対して、 Ignore レスポンスを設定することができます。このレスポンスは、イベント内で指定されている基準に一致するパケットを無視するように、アプライアンスへ指示します。また、このレスポンスをレスポンスフィルタを通じて設定することもできます。レスポンスフィルタまたはセキュリティイベントの作成時にこのレスポンスを選択すると、アプライアンスは一致するパケットを検出した場合にアクションを起こしません。

Ignore レスポンスは一般的に、ネットワークを脅かさないセキュリティイベントをフィルタリングする場合に限って使用します。詳細については、「レスポンスフィルタの設定」 (91 ページ ) を参照してください。

SiteProtector 内のレス内のレス内のレス内のレス

ポンスポンスポンスポンスオブジェクトにオブジェクトにオブジェクトにオブジェクトに

ついてついてついてついて

SiteProtector を通じてアプライアンスを管理していて、イベントに対するレスポンスを設定したい場合には、 [Response Objects] を選択します。レスポンスオブジェクトは、データを集中化することのできるコンテナです。データ変更の場合には、データの各インスタンスではなく、レスポンスオブジェクトを変更することができます。

注記注記注記注記 : アプライアンスの管理に SiteProtector を使用している場合は、 Central Responses を使用して

イベントレスポンスを作成することをお勧めします。詳細については、 SiteProtector のヘルプの

「Configuring Central Responses」を参照してください。

モードモードモードモードアプライアンスの動作アプライアンスの動作アプライアンスの動作アプライアンスの動作

パッシブモニタリング Block レスポンスを無効にします。

インラインシミュレー

ション

ネットワークトラフィックを監視してアラートを生成しますが、害の

あるトラフィックのブロックは行いません。

インラインプロテク

ション

パケットをドロップして TCP 接続に対するリセットパケットを送信す

ることで、攻撃をブロックします。

表表表表 30: アプライアンスのモードと Block レスポンス

98

Email レスポンスの設定レスポンスの設定レスポンスの設定レスポンスの設定

Email レスポンスの設定レスポンスの設定レスポンスの設定レスポンスの設定

はじめにはじめにはじめにはじめにイベント発生時にアプライアンスが通知する必要のある個人またはグループへ送信されるように、メールによる通知を設定することができます。また、検出されたイベントに関する重要な情報を提供するように、メッセージを含むイベントパラメータを選択することもできます。

Email レスポンスの追加レスポンスの追加レスポンスの追加レスポンスの追加 Email レスポンスを追加または変更するには :


� Proventia Manager で、 [Responses] を選択します。

� SiteProtector で、 [Response Objects] を選択します。

2. [Email] タブを選択します。






Name レスポンスの名前を入力します。

ヒントヒントヒントヒント : この名前は、イベントのレスポンスを選択するときに表示さ

れます。したがって、選択内容をユーザーが簡単に判別できるような名前を入力してください。

SMTP Host メールサーバーの完全修飾ドメイン名または IP アドレスを入力しま

す。

注記注記注記注記 : メールによる通知を送信するには、 SMTP ホストがアプライア

ンスからアクセス可能である必要があります。

From 個人またはグループのメールアドレスを入力します。

メールアドレスは、セミコロンで区切ってください。

To 個人またはグループのメールアドレスを入力します。

メールアドレスは、セミコロンで区切ってください。

Sensor Parameters メッセージの件名を [Subject]、本文を [Body] に入力します。リスト

を展開し、メッセージに追加するパラメータを選択することもできます。

アプライアンスはイベントに関して有効なパラメータを使用します。無効なパラメータは、元のタグ形式 (<ObjectName> など ) のまま残り

ます。



Email レスポンスでの作レスポンスでの作レスポンスでの作レスポンスでの作

業業業業

Email レスポンスを編集、コピー、または削除するには :




2. [Email] タブを選択し、次のいずれかを行います。



編集ヒントヒントヒントヒント : 変更したい項目を [Email] タブでダブルクリックする

ことで、一部のプロパティを直接編集することができます。

1. レスポンスを選択し、編集編集編集編集のアイコン ( ) をクリックし

ます。


3. このレスポンスを編集し、 [OK] をクリックします。

コピー 1. レスポンスを選択し、コピーコピーコピーコピーのアイコン ( ) をクリック

します。


3. 必要に応じてレスポンスを編集し、 [OK] をクリックしま

す。

削除 1. レスポンスを選択します。


100

Log Evidence レスポンスの設定レスポンスの設定レスポンスの設定レスポンスの設定

Log Evidence レスポンスの設定レスポンスの設定レスポンスの設定レスポンスの設定

はじめにはじめにはじめにはじめにイベントの概要を記録するように、アプライアンスを設定することができます。 Log Evidence レスポンスは、イベントをトリガするパケットのコピーを作成し、そのパケットを特定する情報 ( イベント名、イベント日時、イベント ID) を記録します。証拠ログは、侵入者がネットワークに対して何を行ったか、または何を行おうとしたかを示します。

アプライアンスは、 /var/iss/ ディレクトリに対するイベントをトリガしたパケットを記録します。

Log Evidence レスポンレスポンレスポンレスポン

スの設定スの設定スの設定スの設定

Log Evidence レスポンスを設定するには :




2. [Log Evidence] タブを選択します。




Maximum Files ログに保管可能なファイルの大数を入力します。

デフォルトは 10 ファイルです。ログが大ファイル数に達す

ると、ゼロから再開されて既存ファイルが上書きされていきます。

Maximum File Size (in KB) ログに保管可能なファイルの大サイズを入力します。

デフォルトは 10000 KB です。

Log File Prefix ログファイル名のプレフィックスを入力します。

デフォルトは「evidence」です。

Log File Suffix ログファイルの拡張子を入力します。

デフォルトは「.enc」です。



Quarantine レスポンスの設定レスポンスの設定レスポンスの設定レスポンスの設定

はじめにはじめにはじめにはじめにアプライアンスがセキュリティイベント、接続イベント、またはユーザー定義イベントを検出した場合に侵入者をブロックするような、 Quarantine レスポンスを作成することができます。これらのレスポンスはまた、ワームやトロイの木馬をブロックします。 Quarantine レスポンスは、アプライアンスがインラインプロテクションモードで動作するように設定してある場合に限って機能します。

注記注記注記注記 : [Quarantined Intrusions] ページには、検出された侵入イベントに対応して動的に生成された

検疫ルールが表示されます。詳細については、「検疫済み不正侵入の管理」 (110 ページ ) を参照し

てください。

事前定義された事前定義された事前定義された事前定義された Quarantine レスポンスレスポンスレスポンスレスポンス

次の表では、アプライアンスに対して事前定義されている 3 つのレスポンスについて説明します。

注記注記注記注記 : 事前定義されたレスポンスの設定を変更することができますが、名前変更や削除を行うことはできません。

Quarantine レスポンスレスポンスレスポンスレスポンス

の追加または変更の追加または変更の追加または変更の追加または変更

Quarantine レスポンスを追加または変更するには :




2. [Quarantine] タブを選択します。

3. [Add] をクリックするか、編集するレスポンスを反転表示させてから [Edit] をクリックしま

す。


Quarantine オブジェクトオブジェクトオブジェクトオブジェクト説明説明説明説明

Quarantine Intruder 攻撃に関与する両方のマシンを完全にブロックします。

Quarantine Trojan 攻撃の被害を受けたマシンをすべて隔離します。

Quarantine Worm ワームが検索を試みている項目 (SQL ポートなど ) を隔離します。

表表表表 31: 事前定義されたレスポンスオブジェクト



ヒントヒントヒントヒント : この名前は、イベントのレスポンスを選択するときに表示され

ます。したがって、選択内容をユーザーが簡単に判別できるような名前を入力してください。

Victim Address 標的となる IP アドレスに基づいてパケットをブロックします。

Victim Port 標的となるポートに基づいてパケットをブロックします。

Intruder Address 発信元の IP アドレスに基づいてパケットをブロックします。

Intruder Port 発信元のポートに基づいてパケットをブロックします。

ICMP Code ICMP コード番号に基づいてパケットをブロックします ( プロトコルが 1 の場合 )。

102

Quarantine レスポンスの設定レスポンスの設定レスポンスの設定レスポンスの設定



ICMP Type ICMP タイプ番号に基づいてパケットをブロックします ( プロトコルが 1 の場合 )。




SNMP レスポンスの設定レスポンスの設定レスポンスの設定レスポンスの設定

はじめにはじめにはじめにはじめに特定の値を引き出す接続イベント、セキュリティイベント、ユーザー定義イベントに対して Simple Network Management Protocol (SNMP) 通知レスポンスを設定し、これらを SNMP マネージャへ送信することができます。

SNMP の機能の機能の機能の機能 Simple Network Management Protocol (SNMP) は、ネットワーク管理に使用される一連のプロトコルです。 SNMP に準拠したデバイス ( エージェント ) は、自分自身に関するデータを Management Information Base (MIB ) に保管し、このデータを HP OpenView などの SNMP 管理アプリケーションに返します。 SNMP エージェントは、同じコミュニティ内に置かれた SNMP 管理アプリケーションだけと通信します。コミュニティは、基本認証の目的でユーザーによって設定されます。

ISS MIB ファイルについファイルについファイルについファイルについ

てててて

ISS によって割り当てられたイベント名を SNMP トラップメッセージに表示するために、 ISS MIB ファイル (iss.mib) を SNMP 管理用アプリケーション (Hewlett-Packard OpenView など ) にインポートまたはコンパイルすることができます。 ISS MIB ファイルは、 ISS SNMP トラップの形式を定義します。また、トラップメッセージに含まれる数値のオブジェクト識別子 (OID) を解釈するために、管理アプリケーションによって使用されます。 iss.mib ファイルは、 ISS のダウンロードページ (http://www.iss.net/download/) からダウンロードできます。 SNMP 管理用アプリケーションの使用については、 SNMP 管理用アプリケーションソフトウェアのマニュアルを参照してください。

SNMP レスポンスの追レスポンスの追レスポンスの追レスポンスの追

加加加加

SNMP レスポンスを削除するには :




2. [SNMP] タブを選択します。





SNMP レスポンスでのレスポンスでのレスポンスでのレスポンスでの

作業作業作業作業

SNMP レスポンスを編集、コピー、または削除するには :






ヒントヒントヒントヒント : これはイベントのレスポンスを選択するときに表示される名前で

す。したがって、選択内容をユーザーが簡単に判別できるような名前を入力してください。

Manager SNMP Manager が動作しているサーバーの IP アドレスを入力します。

SNMP トラップを送信するには、 SNMP ホストがアプライアンスからアク

セス可能である必要があります。

Community SNMP エージェントでの認証で使用される有効な名前 ( 「public」または

「private」 ) を入力します。

104

http://www.iss.net/download

SNMP レスポンスの設定レスポンスの設定レスポンスの設定レスポンスの設定

2. [SNMP] タブを選択します。




編集ヒントヒントヒントヒント : 変更したい項目を [SNMP] タブでダブルクリックす

ることで、一部のプロパティを直接編集することができます。


ます。




します。



す。





ユーザー指定レスポンスの設定ユーザー指定レスポンスの設定ユーザー指定レスポンスの設定ユーザー指定レスポンスの設定

はじめにはじめにはじめにはじめにアプリケーションまたはスクリプトを実行するなど、ユーザー指定のレスポンスをイベントに対して設定することができます。

実行ファイルまたはシェ実行ファイルまたはシェ実行ファイルまたはシェ実行ファイルまたはシェルルルルスクリプトの使用スクリプトの使用スクリプトの使用スクリプトの使用

ユーザー指定レスポンスの場合、任意のコマンドラインオプションまたは引数 ( イベント名または発信元アドレスなど ) などの Linux バイナリまたはシェルスクリプトファイルを、実行ファイル内で使用することができます。

レスポンスを作成したら、この実行ファイルをアプライアンスへ手動でコピーする必要があります。ユーザー指定レスポンスは必要なだけ定義できますが、アプライアンスは特定のイベントに対して 1 つのレスポンスしか実行できません。一連の実行ファイルを実行するには、アプライアンスが実行可能な 1 つのシェルスクリプトにすべてのコマンドを置く必要があります。

ユーザー指定レスポンスユーザー指定レスポンスユーザー指定レスポンスユーザー指定レスポンスの追加の追加の追加の追加

ユーザー指定レスポンスを追加するには :




2. [User Specified] タブを選択します。





ユーザー指定レスポンスユーザー指定レスポンスユーザー指定レスポンスユーザー指定レスポンスでの作業での作業での作業での作業

ユーザー指定レスポンスを編集、コピー、または削除するには :




2. [User Specified] タブを選択します。



ヒントヒントヒントヒント : これはイベントのレスポンスを選択するときに表示される名

前です。したがって、選択内容をユーザーが簡単に判別できるような名前を入力してください。

Command レスポンスに関連付けられたコマンドを入力します。

Sensor Parameters リストを展開し、パラメータを選択してから [Add] をクリックします。

レスポンスに追加するパラメータごとに、この手順を繰り返します。

[Move Up] または [Move Down] をクリックして、パラメータを適切な

順序に並べ替えることができます。

106

ユーザー指定レスポンスの設定ユーザー指定レスポンスの設定ユーザー指定レスポンスの設定ユーザー指定レスポンスの設定




編集ヒントヒントヒントヒント : 変更したい項目を [User Specified] タブでダブルク



ます。




します。



す。





108


その他の不正侵入防御設定の指定その他の不正侵入防御設定の指定その他の不正侵入防御設定の指定その他の不正侵入防御設定の指定


はじめにはじめにはじめにはじめにこの章では、ユーザー定義イベント、接続イベント、 Trons イベントなどのその他不正侵入防御設定の設定と管理の方法について説明します。また、検疫済み不正侵入の管理、アプライアンスのグローバルな調整パラメータの表示、 X-Force ブロッキングの監視の方法についても説明します。



検疫済み不正侵入の管理 110

接続イベントの設定 111

ユーザー定義イベントの設定 115

ユーザー定義イベントのコンテキスト 117

ユーザー定義イベントでの正規表現 122

ユーザー定義イベント情報の表示 124

Trons イベントの設定 125

グローバル調整パラメータの設定 127

X-Force デフォルトブロッキングの設定 129


第第第第 10 章章章章 : その他の不正侵入防御設定の指定その他の不正侵入防御設定の指定その他の不正侵入防御設定の指定その他の不正侵入防御設定の指定

検疫済み不正侵入の管理検疫済み不正侵入の管理検疫済み不正侵入の管理検疫済み不正侵入の管理

はじめにはじめにはじめにはじめに [Quarantined Intrusions] ページには、検出された侵入イベントに対応して動的に生成された検疫ルールが表示されます。これらのルールは、ブロックするパケットとブロック期間を指定します。これらはワームの拡散を防ぎ、バックドアまたはトロイの木馬に感染したシステムへのアクセスを拒否します。

重要重要重要重要 : 検疫済み不正侵入の表示または削除は、 Proventia Manager からでないと行えません。

Quarantine Rules の列の列の列の列 [Quarantine Rules] タブには、次の情報が表示されます。

注記注記注記注記 : フィールド内のアスタリスク (*) は、ルールのこの部分が無視されることを示します。

検疫ルール詳細の表示検疫ルール詳細の表示検疫ルール詳細の表示検疫ルール詳細の表示検疫ルールの詳細を表示するには :

1. Proventia Manager インターフェースで、 [Intrusion Prevention] [Quarantined Intrusions] の順に

選択します。

2. [Quarantine Rules] タブでルールを選択し、 [Display] をクリックします。

3. [OK] をクリックし、 [Quarantine Rules] タブに戻ります。

検疫ルールの削除検疫ルールの削除検疫ルールの削除検疫ルールの削除検疫ルールを削除するには :

1. Proventia Manager インターフェースで、 [Intrusion Prevention] [Quarantined Intrusions] の順に

選択します。

2. [Quarantine Rules] 表でルールを選択し、 [Remove] をクリックします。


フィールドフィールドフィールドフィールド説明説明説明説明

Source IP ブロック対象パケットの発信元 IP アドレスを示します。

Source Port ブロック対象パケットの発信元ポート番号を示します ( プロトコルが 6 または 17 の場合 )。

Dest IP ブロック対象パケットの宛先 IP アドレスを示します。

Dest Port ブロック対象パケットの宛先ポート番号を示します ( プロトコルが 6 または 17 の場合 )。

ICMP Type ブロック対象パケットの ICMP タイプ番号を示します ( プロトコルが 1 の場合 )。

ICMP Code ブロック対象パケットの ICMP コード番号を示します ( プロトコルが 1 の場合 )。

Protocol ルールの IP プロトコルを示します (ICMP = 1、 TCP = 6、 UDP = 17)。

Expiration Time ルールの有効期限を示します。

Block Percentage ドロップされるパケットのパーセンテージを示します ( 一部のサービス

不能攻撃の影響を弱めるために、 100% より低い値を使用できます )。

表表表表 32: Quarantine Rules の列

110

接続イベントの設定接続イベントの設定接続イベントの設定接続イベントの設定


はじめにはじめにはじめにはじめに接続イベントは、特定のアドレスまたはポートとの間のオープンな接続について知らせるユーザー定義の通知です。アプライアンスが指定ポートでネットワークアクティビティを検出した場合に、アクティビティやネットワークパケットの種類、または交換されるネットワークパケットの内容に関係なく、これらの通知が生成されます。

[Connection Events] ページには、さまざまな接続タイプ (WWW、 FTP、 IRC など ) に対して事前定義された接続イベントがリストアップされています。このページを使用して、これらイベントのカスタマイズや、監視の必要があるトラフィックをカバーする独自のイベントの作成を行います。

たとえば、誰かが FTP を使用してネットワークに接続するたびにコンソールへ警告する接続イベントを発生させるシグネチャを定義することができます。

注記注記注記注記 : 接続は常に、指定した宛先ポートに対して登録されます。したがって、 FTP 接続を監視す

るには FTP ポートを使用する必要があります。各方向のトラフィックに関しては、接続ごとに 1 つの項目で十分です。

接続イベントの機能接続イベントの機能接続イベントの機能接続イベントの機能接続イベントは、特定アドレスからのネットワークトラフィックが特定のネットワークプロトコルを使用し、特定のポートを通じて監視対象のネットワークに接続する場合に発生します。アプライアンスは、パケットヘッダーの値を使用して、これらの接続を検出します。接続イベントは、必ずしも攻撃またはその他疑わしいアクティビティであるとはいえませんが、場合によってはセキュリティ管理者にとって興味深いネットワーク事象です。

注記注記注記注記 : 接続イベントは、特定の攻撃シグネチャの有無についてネットワークを監視するわけではありません。この種の攻撃を監視するには、セキュリティイベントを使用します。詳細について

は、「セキュリティイベントの設定」 (84 ページ ) を参照してください。

接続イベントの削除につ接続イベントの削除につ接続イベントの削除につ接続イベントの削除についていていていて

任意の接続イベントを、リストから削除することができます。ただし、事前定義された接続イベントを以前に編集し、後から削除することにした場合、そのイベントは事前定義された状態には戻らないので注意してください。イベントは一覧から完全に削除されます。このイベントを今後再び使おうとしても、利用できなくなります。

イベントを無効にし、リストに留めておくことを検討してください。こうしておけば、別の機会にもう一度イベントを使用する場合も、なんらかの形でそのイベントを使用することが可能です。

接続イベントの追加接続イベントの追加接続イベントの追加接続イベントの追加接続イベントを追加するには :

注記注記注記注記 : この手順に出てくる設定は、 [Connection Events] ページに表示される列に対応しています。

1. [Connection Events] ページで、 [Add] をクリックします。



Enabled イベントは、デフォルトで有効になっています。必要であれば、チェックボックスをオフにしてイベントを無効にします。

Event Name イベントの内容を説明するような固有の名前を入力します。

事前定義されたイベントを編集中である場合は、名前が読み取り専用で表示されます。

Comment イベント用の固有の説明を入力します。

Severity イベントの危険度 (Low、 Medium、 High) を選択します。




指定期間中に、攻撃と一致するイベントが大で 1 つレポートさ

れます。



Protocol イベントのプロトコルを入力します。

ICMP プロトコルを選択した場合は、パケットの両側について ICMP タイプまたはコードを入力するか、 [Well Known] をクリッ

クしてよく使用するタイプとコードを選択します。




• WithRaw - イベントの概要と、関連するパケットキャプチャ

を記録します。

Block パケットをドロップして TCP 接続に対するリセットパケットを

送信することで攻撃をブロックするには、このチェックボックス

をオンにします。

Log Evidence /var/iss/ ディレクトリに対するイベントをトリガしたパケットを記

録するには、このチェックボックスをオンにします。

IP Address and Port 手順 4 を参照してください。

Responses 手順 5 を参照してください。


112


3. IP アドレスとポートアドレスとポートアドレスとポートアドレスとポートの設定を、必要に応じて次の表のように指定します。

4. [Response] の設定を、必要に応じて次の表のように完了します。リスト内の任意のレスポンス

のプロパティを変更するには、 [Edit] をクリックします。詳細については、「レスポンスの設

定」 (97 ページ ) を参照してください。



Address Not 指定するアドレスを除外するには、このチェックボックスをオンにします。

Any すべてのアドレスを含めるには、このオプションをオンにします。

Single Address 1 つのアドレスをフィルタリングするには、このオ

プションをオンにしてから [Address] にアドレスを

入力します。

Address Range 1 つのアドレス範囲をフィルタリングするには、こ

のオプションをオンにしてから [Range] に初のア

ドレスと後のアドレスを入力します。

注記注記注記注記 : サイト範囲として 0.0.0.0 ～ 255.255.255.255 は使用しないでください。これをサイト範囲として使用すると、 Web サイトの IP アドレスなどのラン

ダムな IP アドレスが [Ungrouped Assets] フォルダ

に追加されます。

Network Address/#Network Bit (CIDR)

サブネット上の IP アドレスを含める場合に、この

オプションをオンにします。 IP アドレスとマスクを

入力してください。マスクとはネットワーク識別子のことで、 1 ～ 32 の数値です。例 : 128.8.27.18 / 16.

Port Not 指定するポートを除外するには、このチェックボッ

クスをオンにします。

Any すべてのポートを含めるには、このオプションをオンにします。

Single Port 1 つのポートを含めるには、このオプションをオン

にしてから [Port] に数値を入力します。

Port Range 1 つのポート範囲を含めるには、このオプションを

オンにしてから [Range] に初のポートと後の

ポートを入力します。

レスポンスレスポンスレスポンスレスポンス説明説明説明説明

Email リストから Email レスポンスを選択します。

Quarantine 1 つ以上のチェックボックスをオンにして、 Quarantine レスポンス

を有効にします。

SNMP リストから SNMP レスポンスを選択します。

User Defined 1 つ以上のチェックボックスをオンにして、ユーザー定義レスポン

スを有効にします。




接続イベントのフィルタ接続イベントのフィルタ接続イベントのフィルタ接続イベントのフィルタリングリングリングリング

接続イベントをフィルタリングするには :

1. [Connection Events] ページで [Filter] チェックボックスをオンにしてフィルタリングを有効に

します。


3. 各カテゴリについて、適用するフィルタを選択します。

デフォルトでは、すべてのフィルタが [Any] に設定されています。この設定では、そのカテゴ

リと一致する任意の結果が検索されます。



接続イベントでの作業接続イベントでの作業接続イベントでの作業接続イベントでの作業接続イベントを編集、コピー、または削除するには :

1. [Connection Events] ページで、次のいずれかを行います。



編集ヒントヒントヒントヒント : 変更したい項目を [Connection Event] ページでダブル



す。



コピー 1. イベントを選択し、コピーコピーコピーコピーのアイコン ( ) をクリックし

ます。





詳細については、「接続イベントの削除について」 (111 ペー

ジ ) を参照してください。

114

ユーザー定義イベントの設定ユーザー定義イベントの設定ユーザー定義イベントの設定ユーザー定義イベントの設定

ユーザー定義イベントの設定ユーザー定義イベントの設定ユーザー定義イベントの設定ユーザー定義イベントの設定

はじめにはじめにはじめにはじめにポリシー内で有効になっているイベントは、アプライアンスが検出するものを決定します。ユーザー定義イベントは、コンテキストに基づいて作成します。コンテキストは、イベントについてアプライアンスがスキャンを行うネットワークパケットの種類と部分を基本的に指定します。

ユーザー定義イベントのユーザー定義イベントのユーザー定義イベントのユーザー定義イベントの追加追加追加追加

ユーザー定義イベントを追加するには :

注記注記注記注記 : この手順に出てくる設定は、 [User Defined Events] ページに表示される列に対応しています。

1. [User Defined Events] ページで、 [Add] をクリックします。



Enabled イベントは、デフォルトで有効になっています。無効にするには、このチェックボックスをオフにします。

Name イベント用の固有の名前を入力します。

Comment イベント用の固有の説明を入力します。

Severity イベントの危険度 (high、 medium、 low) を選択します。

Context アプライアンスがスキャンする必要のあるネットワークパケットの

種類と部分を選択します。

詳細については、「ユーザー定義イベントのコンテキスト」 (117 ペー

ジ ) を参照してください。

Search String イベントがこのシグネチャと一致するかどうかを判断する、パケット ( コンテキスト ) 内のテキスト文字列を入力します。文字列には、ワ

イルドカードその他の式を使用できます。

詳細については、「ユーザー定義イベントでの正規表現」 (122 ページ

) を参照してください。


指定期間中に、攻撃と一致するイベントが大で 1 つレポートされま

す。

デフォルト値は 0 ( ゼロ ) です。この設定では、イベントスロットリ

ングは無効です。




• WithRaw - イベントの概要と、関連するパケットキャプチャを記

録します。

Block パケットをドロップして TCP 接続に対するリセットパケットを送信

することで攻撃をブロックするには、このチェックボックスをオン

にします。

Log Evidence /var/iss/ ディレクトリに対するイベントをトリガしたパケットを記録

するには、このチェックボックスをオンにします。




イベントがリストの後に表示されます。


ユーザー定義イベントでユーザー定義イベントでユーザー定義イベントでユーザー定義イベントでの作業の作業の作業の作業

ユーザー定義イベントを編集、コピー、または削除するには :

1. [User Defined Events] ページで、次のいずれかを行います。







• User Defined - 1 つ以上のチェックボックスをオンにして、ユー

ザー定義レスポンスを有効にします。

注記注記注記注記 : リスト内の任意のレスポンスのプロパティを変更するには、

[Edit] をクリックします。

詳細については、「レスポンスの設定」 (97 ページ ) を参照してくださ

い。



編集ヒントヒントヒントヒント : 変更したい項目を [User Defined Events] ページでダ

ブルクリックすることで、一部のプロパティを直接編集することができます。


す。



コピー 1. イベントを選択し、コピーコピーコピーコピーのアイコン ( ) をクリックし

ます。





116

ユーザー定義イベントのコンテキストユーザー定義イベントのコンテキストユーザー定義イベントのコンテキストユーザー定義イベントのコンテキスト


はじめにはじめにはじめにはじめにユーザー定義イベントのシグネチャを作成する場合は、イベントについて監視するネットワークパケットの種類と特定部位をアプライアンスへ指示するコンテキストを選択します。コンテキストを指定したら、パケットをスキャンするときの検索対象となる文字列を追加します。詳細については、「ユーザー定義イベントでの正規表現」 (122 ページ ) を参照してください。

たとえば、 Email_Subject というコンテキストは、メールパケット ( メッセージ ) の件名を監視するようにアプライアンスを設定します。

DNS_Query コンテキスコンテキスコンテキスコンテキス

トトトト

ほとんどのプログラムは、ドメイン名を使用してインターネット上のリソースにアクセスします。こうしたプログラムは、サーバー上で DNS 名を検索して、インターネットリソースの具体的な IP を確認します。 DNS_Query コンテキストを使用して、具体的な IP アドレスが分からない場合に特定のサイトまたはサイト分野に対するアクセスを監視します。

� 監視内容監視内容監視内容監視内容

DNS_Query コンテキストは、 UDP および TCP 上の DNS 照会パケットおよび DNS 応答パケッ

ト内の DNS 名を監視します。アプライアンスは、 [Search String] ボックス内の情報と、パケッ

ト内ドメイン名の拡張版 ( 人間が判読可能な形式 ) とを比較します。

ユーザーが IP アドレスを使用して直接サイトにアクセスしていると、 DNS 参照は発生せず、

アプライアンスはイベントを検出できません。

特定の URL を監視する場合は、ドメイン名は初の要素に過ぎないことを念頭に置いてくだ

さい。たとえば、「//www.cnn.com」は「http://www.cnn.com/stories」の初の要素です。 URL の残り部分を検出するには、 URL_Data コンテキスト ( 「URL_Data コンテキスト」 (120 ページ

) を参照 ) を使用してください。

� 例例例例

DNS_Query コンテキストと「www.microsoft.com」という文字列値とを併用して、 Microsoft の Web サイトにアクセスするユーザーを監視することができます。

サイト上のユーザーによるインターネット上のハッカー関連素材へのアクセスが懸念される場合は、次のようなドメインへのアクセスを監視することができます。

� hackernews.com

� rootshell.com

Email_Receiver コンテコンテコンテコンテ

キストキストキストキスト

Email_Receiver コンテキストを使用して、特定の受信者から発着するメールを監視します。


Email_Receiver コンテキストは、 SMTP、 POP、 IMAP プロトコルを使用したメールヘッダー

の受信者アドレス部分を監視します。 Email_Receiver コンテキストを使用するシグネチャに一

致するイベントをアプライアンスが検出した場合は、イベントの詳細を調査し、メールに使用されたプロトコルを確認することができます。

注記注記注記注記 : このコンテキストは、 MAPI プロトコルで送信されたメールを監視しません。

� 例例例例

何者かが「ソーシャルエンジニアリング」を使用して特定の従業員を操作している疑いがあ

る場合は、該当する従業員のアドレスに宛てた着信メールを監視し、発信元 IP を記録するこ

とができます。または、企業内の機密情報を何者かが特定の外部メールアドレスへ漏洩して

いる疑いがある場合は、そのアドレスに対するメールを追跡することができます。

Email_Sender コンテキコンテキコンテキコンテキ

ストストストスト

Email_Sender コンテキストを使用して、特定の受信者から発着するメールを監視します。




Email_Sender コンテキストは、 SMTP、 POP、 IMAP プロトコルを使用したメールヘッダーの

送信者アドレス部分を監視します。 Email_Sender コンテキストを使用するシグネチャに一致す

るイベントをアプライアンスが検出した場合は、イベントの詳細を調査し、メールに使用されたプロトコルを確認することができます。


� 例例例例

Email_Sender コンテキストを使用して、ソーシャルエンジニアリングの事例やその他従業員

操作 ( 着信 )、または企業からの情報漏洩 ( 発信 ) を検出します。

Email_Subject コンテコンテコンテコンテ

キストキストキストキスト

Email_Subject コンテキストを使用して、メールの件名を監視します。


Email_Subject コンテキストは、 SMTP、 POP、 IMAP プロトコルを使用したメールヘッダーの

件名を監視します。


� 例例例例

重要なプロジェクトの名前またはファイルの名前を監視することで情報漏洩を検出するシグネチャを作成することができます。

Email_Subject を使用して、 ILOVEYOU ウィルスなどのウィルスを検出することもできます。

ヒントヒントヒントヒント : ウィルスやその他攻撃は件名を体系的に変更するプログラムを発達させているので、この種のウィルスを追跡するには Email_Content コンテキストを使用してください。

File_Name コンテキスコンテキスコンテキスコンテキス

トトトト

File_Name コンテキストを使用して、ネットワーク越しに組織内の機密ファイルにアクセスする人を監視します。


File_Name コンテキストは、次のいずれかのプロトコルを使用してリモートからファイルの読

み取りまたはファイルへの書き込みを試みる人 ( またはプログラム ) を検出します。

� TFTP

� FTP

� Windows のファイル共有 (CIFS または Samba)

� NFS

注記注記注記注記 : NFS は、ファイル名を直接参照せずにファイルを開くことができます。このコンテキ

ストを使用して NFS アクセスを監視しても、 100% の効果は得られません。

� 例例例例

Windows ネットワークに広がった 1999 年の ExploreZip ワームは、リモートの Windows 共有の

特定ファイルに書き込みを試みました。このようなワームの場合、ファイルへのアクセス試みを監視してワームがローカルで蔓延するのを阻止することができます。

News_Group コンテキコンテキコンテキコンテキ

ストストストスト

News_Group コンテキストを使用して、企業内のユーザーがアクセスするニュースグループの名前を監視します。


News_Group コンテキストは、 NNTP プロトコルを使用してニュースグループにアクセスする

ユーザーを監視します。

� 例例例例

118


このコンテキストを使用して、企業のインターネット使用ポリシーに照らして不適切である、ハッカーやポルノグラフィなどのニュースグループに対する投稿を検出することができます。

Password コンテキストコンテキストコンテキストコンテキスト Password コンテキストを使用して、ネットワーク上をクリアテキストで通過するパスワードを特定します。パスワードが暗号化されていないと、攻撃者は別のサイトからスニッファプログラムを使ってトラフィックを監視し、パスワードを簡単に盗むことができます。


Password コンテキストは、 FTP、 POP、 IMAP、 NNTP、 HTTP プロトコルを使用してパスワー

ドをクリアテキストで送信しているプログラムまたはユーザーを監視します。

また、 Password コンテキストを使用して次のことも可能です。

� セキュリティを侵害されたアカウントを監視して、法的なデータを入手する

� 解雇された従業員のアカウントを監視する

� デフォルトパスワードの使用を検出する

注記注記注記注記 : このコンテキストは、暗号化されたパスワードを監視しません。

� 例例例例

セキュリティ侵害されたアカウントの監視：セキュリティ侵害されたアカウントの監視：セキュリティ侵害されたアカウントの監視：セキュリティ侵害されたアカウントの監視：セキュリティ侵害されたアカウントを取り消し

た後、このアカウントを使おうとする外からの試みを監視するシグネチャを作成し、セキュリティ侵害されたデータにアクセスした人物を捜し出します。

解雇された従業員のアカウントの監視解雇された従業員のアカウントの監視解雇された従業員のアカウントの監視解雇された従業員のアカウントの監視 : 解雇された従業員のパスワードの検索を追加して、

閉じられたこれらアカウントに対するリモートからのアクセス試みを検出します。

デフォルトデフォルトデフォルトデフォルトパスワード使用の検出パスワード使用の検出パスワード使用の検出パスワード使用の検出 : 自分のサイトに関連するデフォルトパスワードを検索す

るシグネチャを設定して、一般的な脆弱性の有無を調査する攻撃者を検出します。

注記注記注記注記 : X-Force データベースには、このようなアカウント名を詳しく説明したレコードが数多

く含まれています。デフォルトパスワードの詳細については、 X-Force データベース (http://xforce.iss.net) 内でパスワードを調べてください。

� このシグネチャのこのシグネチャのこのシグネチャのこのシグネチャの Internet Scanner との併用との併用との併用との併用

Internet Scanner を使用してネットワークをスキャンしている場合、パスワードスキャンの結

果、このコンテキストを使用してデフォルトパスワードをチェックするシグネチャによって、

このイベントが多数検出される可能性があります。


http://xforce.iss.net



SNMP_Community ココココンテキストンテキストンテキストンテキスト

SNMP_Community コンテキストを使用して、 SNMP コミュニティ文字列の悪用の可能性を監視します。


SNMP_Community コンテキストは、 SNMP コミュニティ文字列を含むパケットを監視します。

SNMP コミュニティ文字列は、 SNMP メッセージに含まれるクリアテキストのパスワードで

す。このパスワードは、各メッセージを認証します。パスワードが有効なコミュニティ文字列ではない場合、そのメッセージは拒否されます。

許可されていないユーザーがコミュニティ文字列を知っている場合、そのユーザーがこの情報を利用して機器から貴重な設定データを入手し、場合によっては機器を再設定する可能性があります。

重要重要重要重要 : 独自性の高いコミュニティ文字列を使用し、定期的に設定変更を行うことを強くお薦めします。

� 例例例例

古い文字列を使おうとするユーザーの検出古い文字列を使おうとするユーザーの検出古い文字列を使おうとするユーザーの検出古い文字列を使おうとするユーザーの検出 : SNMP コミュニティ文字列を変更する場合は、

このコンテキストを使ったシグネチャを作成して、古い文字列の使用を試みるユーザーを検索するようにアプライアンスへ指示してください。

デフォルト文字列使用の検出デフォルト文字列使用の検出デフォルト文字列使用の検出デフォルト文字列使用の検出 : X-Force データベースには、一般的な機器におけるデフォルトコミュニティ文字列に関連したいくつかの脆弱点に関する情報が含まれています。攻撃者は、このようなデフォルトパスワードを使用することで機器へのアクセスを試みます。このアク

ティビティを検出するようにアプライアンスを設定するには、このコンテキストを使用して、サイト内の機器に関連するデフォルトパスワードについて監視を行うシグネチャを作成しま

す。このようなシグネチャは、一般的な脆弱点の有無を調べようとする攻撃者を検出することができます。

参照参照参照参照 : デフォルトパスワードの詳細については、 X-Force データベース (http://xforce.iss.net) 内で「SNMP」を検索してください。

� このシグネチャのこのシグネチャのこのシグネチャのこのシグネチャの Internet Scanner との併用との併用との併用との併用

Internet Scanner を使用してネットワークをスキャンしている場合、 SNMP スキャンの結果、こ

のコンテキストを使用して SNMP コミュニティ文字列をチェックするシグネチャによって、

このイベントが多数検出される可能性があります。

URL_Data コンテキスコンテキスコンテキスコンテキス

トトトト

URL_Data コンテキストを使用して、さまざまなセキュリティ上の問題点または HTTP GET 要求に関連したポリシー上の問題点を監視します。 HTTP GET 要求は、 Web ブラウザなどのクライアントが Web サーバーにファイルを要求する場合に発生します。 HTTP GET 要求は、 Web サーバーからファイルを取得するためのも一般的な方法です。


URL_Data コンテキストは、 HTTP GET 要求を通じてアクセスされた場合に、特定の文字列が

ないかどうか URL の内容 ( ドメイン名またはアドレス自体を除く ) を監視します。

注記注記注記注記 : このコンテキストは、 HTTP GET 要求に関連するドメイン名を監視しません。

� 例例例例

このコンテキストを使用して、脆弱な CGI スクリプトに関連する攻撃を監視します。 1999 年 8 月にリリースされた ISS アドバイザリ #32 ( 英語版 ) では、このコンテキストを使用して Microsoft Internet Information Server コンポーネントの脆弱点の悪用試みを検索する方法が説明

されています。

参照参照参照参照 : 詳細については、「Vulnerabilities in Microsoft Remote Data Service」 (http://xforce.iss.net/alerts/advise32.php) を参照してください。

このコンテキストを使用して、従業員が会社で禁止されているサイト ( ポルノサイトなど ) へのアクセスにコンピュータを使用していないかどうかを全般的に検索することもできます。

120



http://xforce.iss.net/alerts/advise32.php

http://xforce.iss.net/alerts/advise32.php


User_Login_Name ココココンテキストンテキストンテキストンテキスト

User_Login_Name コンテキストを使用して、認証要求の間にプレーンテキスト形式で公開されるユーザー名を検出します。このコンテキストは多数のプロトコルに対して機能するので、攻撃者が使用するプロトコルに関係なく、特定アカウントの使用の試みを追跡することができます。


User_Login_Name コンテキストは、 FTP、 POP、 IMAP、 NNTP、 HTTP、 Windows、 R* プロト

コルを使用する認証要求内にプレーンテキストのユーザー名がないかどうか監視します。

� 例例例例

このコンテキストは、セキュリティ侵害されたアカウントの使用を追跡する場合や、近解雇された従業員が旧アカウントにオンラインアクセスしている疑いがある場合に使用します。

「FredJ」というアカウントが攻撃によってセキュリティ侵害されていることがわかっている場

合は、このコンテキストを使用して、このアカウントへのアクセス試みを検索するようなシグネチャを作成します。

User_Probe_Name ココココンテキストンテキストンテキストンテキスト

User_Probe_Name コンテキストを使用して、デフォルトのプログラムパスワードを使用してネットワーク上のコンピュータへアクセスしようとする試みを特定します。


User_Probe_Name コンテキストは、 FINGER、 SMTP、 VRFY、 SMTP EXPN に関連するユー

ザー名を監視します。攻撃者はこれらのデフォルトアカウントを使用して、サーバーやその

他コンピュータへ今後アクセスすることが可能です。

� 例例例例

Password コンテキストや SNMP_Community コンテキストと同様に、 X-Force データベースを

使用して、ネットワーク上のシステムおよびソフトウェアに関連するデフォルトのアカウントとパスワードの一覧を作成することができます。

参照参照参照参照 : デフォルトパスワードの詳細については、 X-Force データベース (http://xforce.iss.net) 内で「SNMP」を検索してください。





ユーザー定義イベントでの正規表現ユーザー定義イベントでの正規表現ユーザー定義イベントでの正規表現ユーザー定義イベントでの正規表現

はじめにはじめにはじめにはじめに正規表現 ( 文字列 ) は、ユーザー定義イベントシグネチャ用に指定するコンテキスト ( ネットワークパケット ) 内でのパターン検出にアプライアンスが使用する、固定テキストと変数の組み合わせです。 1 つ以上の固定テキスト文字列を検出するようにアプライアンスを設定する必要がある場合には、正規表現を使用してユーザー定義イベントシグネチャを作成します。

正規表現ライブラリ正規表現ライブラリ正規表現ライブラリ正規表現ライブラリアプライアンスは、 Deterministic Finite Automata (DFA) 正規表現という ISS のカスタム正規表現ライブラリを使用します。

優先順位の変更優先順位の変更優先順位の変更優先順位の変更正規表現で括弧を使用して、標準の優先順位を補正することができます。

通常の優先順位では、 4+2*4 は 12 と解釈されます。通常は、乗算が加算より優先されるためです。ただし、括弧を使用して優先順位を変更することができます。たとえば、 (4+2)*4 とすると、回答は 12 ではなく 24 となります。この例では、優先順位の数学的な用法について説明しましたが、数値以外の用法も数多くあります。

参照参照参照参照 : 優先順位または正規表現使用の詳細については、 Jeffrey E. Friedl ( 編者 )、 Andy Oram ( 編者) による「Mastering Regular Expressions: Powerful Techniques for Perl and Other Tools (O'Reilly Nutshell)」を参照してください。

正規表現構文正規表現構文正規表現構文正規表現構文ユーザー定義イベントシグネチャでは、次の正規表現構文を使用することができます。

メタキャラクタメタキャラクタメタキャラクタメタキャラクタ説明説明説明説明

(r) r と一致します。

x x と一致します。

xr 後ろに r が続く x と一致します。

\s スペースまたはタブと一致します ( 改行には一致しない )。

\d 10 進数字と一致します。

\” 二重引用符と一致します。

\’ 一重引用符と一致します。

\\ バックスラッシュと一致します。

\n 復帰改行と一致します (ASCII NL または LF)。

\r 復帰と一致します (ASCII CR)。

\t 水平タブと一致します (ASCII HT)。

\v 垂直タブと一致します (ASCII VT)。

\f ページ送りと一致します (ASCII FF)。

\b バックスペースと一致します (ASCII BS)。

\a ベルと一致します (ASCII BS)。

\ooo 指定した 8 進数文字コードと一致します。

\xhhh 指定した 16 進数文字コードと一致します。

表表表表 33: 標準の文字列表現

122

ユーザー定義イベントでの正規表現ユーザー定義イベントでの正規表現ユーザー定義イベントでの正規表現ユーザー定義イベントでの正規表現

. 改行を除く任意の文字と一致します。

\@ 空文字列と一致します ( 受け付け位置を表す )。

““ 空文字列と一致します。

[xy-z] x、または y から z までの範囲にある任意の文字 ( 文字クラス ) と一致し

ます。

[^xy-z] x 以外の文字、または y から z までの範囲にない任意の文字と一致しま

す。

• キャレットを先頭の文字としてください。先頭に置かないと、キャレットは文字列の一部と見なされます。

• 文字列にダッシュを含める場合は、ダッシュを先頭に入力してください。

“text” 内部のメタキャラクタに関係なく、文字どおりのテキストと一致します。

• テキストは一単位としては扱われません。

r? 0 回または 1 回出現する r と一致します。

r* 0 回以上出現する r と一致します (Kleene 閉包 )。

r+ 1 回以上出現する r と一致します ( 正の Kleene 閉包 )。

r{m,n} 低 m 回、大 n 回出現する r と一致します。

r|l r または l のいずれかと一致します。

r/l 後に l が続く r のみと一致します。

^r 行頭にある r のみと一致します (bol アンカー )

r$ 行尾にある r のみと一致します (eol アンカー )

r, l 任意の正規表現と一致します。

m, n 整数と一致します。

x,y,z 印刷可能文字、またはエスケープされた任意の ASCII 文字と一致します。

text 印刷可能文字、またはエスケープされた一連の ASCII 文字と一致します。

ooo 連続する 8 進数字 ( 大 3 文字 ) と一致します。

hhh 連続する 16 進数字と一致します。

メタキャラクタメタキャラクタメタキャラクタメタキャラクタ説明説明説明説明

表表表表 33: 標準の文字列表現 ( 続き )



ユーザー定義イベント情報の表示ユーザー定義イベント情報の表示ユーザー定義イベント情報の表示ユーザー定義イベント情報の表示

はじめにはじめにはじめにはじめに [User Defined Events] ページには、アプライアンス用に作成済みのカスタムイベントシグネチャがすべて表示されます。このビューでのユーザー定義イベントの表示方法を調整して、イベントを管理および検索しやすくすることができます。


1. [User Defined Events] ページで、 [Select Columns] をクリックします。

2. 表示したい列の横にあるチェックボックスをオンにします。


注記注記注記注記 : イベントをグループ化またはサブグループ化してある場合、それらイベントの列は [User Defined Events] タブに表示されなくなります。その代わり、グルーピングツリー内の展

開 / 折り畳みが可能な項目として表示されます。


ユーザー定義イベントのユーザー定義イベントのユーザー定義イベントのユーザー定義イベントのグループ化グループ化グループ化グループ化

ユーザー定義イベントをグループ化するには :

1. [User Defined Events] ページで、 [Group By] をクリックします。

2. [All Columns] リストからイベントグループ化の基準とする列を選択し、 [Add] をクリックしま

す。


3. イベントグループ化の基準にする列それぞれについて、手順 3 を繰り返します。



5. [User Defined Events] タブでグループを折り畳むか展開して、イベントを表示します。


ユーザー定義イベントのユーザー定義イベントのユーザー定義イベントのユーザー定義イベントのフィルタリングフィルタリングフィルタリングフィルタリング

ユーザー定義イベントをフィルタリングするには :

1. [User Defined Events] ページで [Filter] チェックボックスをオンにしてフィルタリングを有効

にします。


3. 各カテゴリについて、適用するフィルタを選択します。

デフォルトは [Any] です。この設定では、アプライアンスは入力された正規表現と一致する任

意の結果を検索します。



124

Trons イベントの設定イベントの設定イベントの設定イベントの設定

Trons イベントの設定イベントの設定イベントの設定イベントの設定

はじめにはじめにはじめにはじめに Trons は、 PAM が再構築および限定された前処理に使用するパターンマッチングシステムです。これによって、フリーウェアコミュニティで記述された Snort シグネチャをアプライアンスで使用できるようになります。 Trons イベントは、 1 つ以上の Snort ルールを含む ASCII ファイルです。

Snort™ ルールを使用すると、アプライアンスは、攻撃パターンやスキャン、プローブなどのセキュリティ脅威を検出するために、パケットの盗聴およびネットワークトラフィックのリアルタイム監視を実行できるようになります。アプライアンス用に Trons イベントを設定することで、Snort の機能を組み込むことができます。

重要重要重要重要 : 現時点では、 Trons イベントの実装をお勧めしません。

例例例例次のルールは、ネットワーク上のポート 139 へ何者かがアクセスを試みた場合にトリガします。

alert tcp any any -> 1.2.3.4/24 139 (flags:S;msg:"139 connect attempt";)

Trons ルールの順序ルールの順序ルールの順序ルールの順序 Trons ファイルの処理は次のように進行するので、 Trons ファイル内でのルール順序は重要です。

� Trons ルールは、リストアップされた順序で処理されます。

� 1 つのシグネチャが一致した後は、イベントをトリガしたトラフィックの処理が停止します。

このため、より具体的で重要なルールをリストの初に持ってくる必要があります。次のシナリオを検討してください。

alert tcp any any -> 1.2.3.4/24 139 (flags:S;msg:"139 connect attempt";)

alert tcp any any -> 1.2.3.4/24 139 (flags:S;msg:"QAZ Worm";content:"|71 61 7a 77 73 78 2e 68 73 71|";)

1.2.3.4/24 ネットワーク上のポート 139 へのアクセス試みに関して、初のイベントがトリガします。アクセス試みが発生すると、より重要である 2 番目のイベントはトリガしません。 2 番目のイベントに一致するトラフィックは、初のイベントにも一致します。初に一致が見られた時点で、 Trons はトラフィックの処理を停止します。

Trons ルールの追加まルールの追加まルールの追加まルールの追加ま

たは変更たは変更たは変更たは変更

Trons ルールを追加または変更するには :

1. [TronsRule] ページで、 [Add] をクリックするか、編集するルールを反転表示させてから [Edit] をクリックします。

ヒントヒントヒントヒント : 変更したい項目を [TronsRule] タブでダブルクリックすることで、一部のプロパティ

を直接編集することができます。



Enabled Trons ファイルの一部としてルールを有効にするには、このチェッ


Comment ルール用の固有の説明を入力します。

Rule String アプライアンスへイベントがトリガしたことを知らせ、イベントへの対応方法を通知するテキスト文字列を入力します。

Trons イベントに対するデフォルトレスポンスは DISPLAY:WithoutRaw です。このレスポンスは、イベント概要

を記録してコンソールに表示します。







ます。




126

グローバル調整パラメータの設定グローバル調整パラメータの設定グローバル調整パラメータの設定グローバル調整パラメータの設定

グローバル調整パラメータの設定グローバル調整パラメータの設定グローバル調整パラメータの設定グローバル調整パラメータの設定

はじめにはじめにはじめにはじめにグローバル調整パラメータは、不正侵入防御設定にグループレベルおよびサイトレベルで影響します。

セキュリティニーズをよりよく満たすため、またはハードウェアのパフォーマンスを向上させるために、グローバル調整パラメータを使用して特定のパラメータを設定 ( または調整 ) し、アプライアンスのグループへ全体的に適用することができます。一般的には、 SiteProtector を通じて管理しているアプライアンスのグループに対してグローバル調整パラメータを編集または設定しますが、特定のアプライアンスに影響を与えるグローバル調整パラメータを Proventia Manager 経由で見ることができます。

また、 ISS X-Force が推奨する Blocking レスポンスを使用するかどうか指定することもできます。ISS では原則として X-Force ブロッキングを無効化しないことを推奨していますが、ネットワーク上で現在見られる疑わしいアクティビティが有効なものかどうか確認するためや、ネットワークに対する明白な脅威に対する防御を講じるために、このオプションを無効化する必要のある場合があります。

グローバルグローバルグローバルグローバルパラメータパラメータパラメータパラメータ

とローカルとローカルとローカルとローカルパラメータパラメータパラメータパラメータ

の違いの違いの違いの違い

グローバル調整パラメータは、ローカル調整パラメータとは次の点で異なります。

� グローバル調整パラメータは、不正侵入防御アプライアンスのグループに影響する不正侵入防

御設定です。

� ローカル調整パラメータは、特定の不正侵入防御アプライアンスに影響する設定です ( ネット

ワークアダプタカード設定など )。

ローカル調整パラメータは特定のアプライアンスに対して固有であるため、デバイスレベル

でしか設定できません。

適切な場合には、有効にしてあるローカル調整パラメータがグローバル調整パラメータより優先されます。

調整可能なコンポーネン調整可能なコンポーネン調整可能なコンポーネン調整可能なコンポーネントトトト

アプライアンスのグループで、次のコンポーネントを調整することができます。

� 不正侵入防御レスポンス

� 不正侵入防御セキュリティリスク

� ファイアウォール

� 自動アップデート

1 台のアプライアンスに対する高度なパラメータの適用に関しては、「高度なパラメータの設定」(148 ページ ) を参照してください。


高度なパラメータは、名前と値のペアで構成されています。各ペアには、デフォルト値が設定されています。

たとえば、 np.firewall.log というパラメータは、有効にしてあるファイアウォールルールと一致するパケットの詳細を記録するかどうかを決定するパラメータです。このパラメータは、デフォルトで有効になっています。


調整パラメータの追加調整パラメータの追加調整パラメータの追加調整パラメータの追加調整パラメータを追加するには :

1. [Global Tuning Parameters] を選択します。

2. [Tuning Parameters] タブで、 [Add] をクリックします。






グローバル調整パラメーグローバル調整パラメーグローバル調整パラメーグローバル調整パラメータでの作業タでの作業タでの作業タでの作業

グローバル調整パラメータを編集、コピー、または削除するには :


2. [Tuning Parameters] タブを選択し、次のいずれかを行います。



Name パラメータの名前を入力します。

例例例例 : np.log.count

Value パラメータに関連付けられた値のタイプに従って、値を入力します。

• Boolean - True または False の値を選択します。

• Number - パラメータに対して適切な数値を入力します。例例例例 : 10

• String - パラメータの値 ( ログファイルの場所など ) を入力しま

す。


例例例例 : イベントログファイルの数。


編集ヒントヒントヒントヒント : 変更したい項目を [Tuning Parameters] タブでダブル



ます。




します。



す。



128

X-Force デフォルトデフォルトデフォルトデフォルトブロッキングの設定ブロッキングの設定ブロッキングの設定ブロッキングの設定

X-Force デフォルトデフォルトデフォルトデフォルトブロッキングの設定ブロッキングの設定ブロッキングの設定ブロッキングの設定

はじめにはじめにはじめにはじめに X-Force デフォルトブロッキングを使用する場合は、 X-Force が推奨するイベント ( またはシグネチャ ) に対して Block レスポンスが自動的に有効になります。

手順手順手順手順デフォルトブロッキングを設定するには :


2. [X-Force Default Blocking] タブを選択します。

3. X-Force ブロッキングは、デフォルトで有効になっています。無効にするには、 [Use X-Force blocking recommendations] ボックスをオフにします。




130


ファイアウォール設定の指定ファイアウォール設定の指定ファイアウォール設定の指定ファイアウォール設定の指定


はじめにはじめにはじめにはじめにファイアウォールルールを設定して、パケット内のさまざまな発信元情報および宛先情報を基に攻撃をブロックすることができます。この情報は、ルールステートメント内で指定します。



ファイアウォールルールの設定 132

ファイアウォールルール言語 136

ファイアウォールのログ機能の調整 139


第第第第 11 章章章章 : ファイアウォール設定の指定ファイアウォール設定の指定ファイアウォール設定の指定ファイアウォール設定の指定

ファイアウォールファイアウォールファイアウォールファイアウォールルールの設定ルールの設定ルールの設定ルールの設定

はじめにはじめにはじめにはじめにファイアウォールルールを追加して、不要なパケットをネットワークへ入る前にドロップまたはブロックすることができます。ファイアウォールルールを手動で追加することも、アプライアンスが指定の値を使用してルールを作成できるようにすることもできます。これによって、ファイアウォール設定をより柔軟に指定することができます。

重要重要重要重要 : ファイアウォールルールは、アプライアンスがインラインモードに設定されている場合に

限って機能します。パッシブモードのアプライアンスは、従来のセンサーと同じように機能し、

パケットの直接のパスには置かれません。シミュレーションモードでは、パケットは依然として

アプライアンスを通過し、トラフィックに対して何を行っていたかについての記述が行われます。

[Firewall Rules] ページを使用してファイアウォールルールを設定し、パケット内のさまざまな発信元情報および宛先情報を基に攻撃をブロックすることができます。

ファイアウォールファイアウォールファイアウォールファイアウォールルールールールー

ルの基準ルの基準ルの基準ルの基準

次の基準を任意に組み合わせて、ファイアウォールルールを定義することができます。

� アダプタ

� VLAN 範囲

� プロトコル (TCP、 UDP、 ICMP)

� 発信元または標的の IP アドレスおよびポート範囲


ルの順序ルの順序ルの順序ルの順序

アプライアンスは、ファイアウォールルールをリストの上から下へ表示順に読み取り、対応するアクションを適用します。接続がファイアウォールルールに一致すると、その接続の処理はそれ以上続行されずに停止し、設定されているその他ファイアウォールルールは無視されます。

例例例例

次のステートメントを使用して、ネットワークセグメントに対するすべての接続を、特定ホストの特定ポート宛のものを除いて強制切断します。

adapter any IP src addr any dst addr 1.2.3.4 tcp dst port 80

(Action = "ignore")

adapter any IP src addr any dst addr 1.2.3.1-1.2.3.255

(Action = "drop")

初のルールは、ホスト 1.2.3.4 のポート 80 に対するすべてのトラフィックを、 Web サーバーに対する正当なトラフィックとして通過を許可します。このネットワークセグメントにおけるその他のトラフィックは、すべて中断されます。

ルール順序を逆にすると、 1.2.3.4 上の Web サーバーに対するトラフィックであっても、このセグメントに対するトラフィックはすべてドロップされます。

132



ルとアクションルとアクションルとアクションルとアクション

ファイアウォールは、ルール ( ステートメント ) と一致するパケットに対処する方法を説明するいくつかのアクションをサポートしています。表 19 では、これらのアクションについて説明します。


ルの追加ルの追加ルの追加ルの追加

ファイアウォールルールを追加するには :

5. [Firewall Settings] ページで、 [Add] をクリックします。


ルールルールルールルール説明説明説明説明

Ignore (Permit) 一致するパケットを通過させ、そのパケットに対してこれ以上のアクションやレスポンスが取られないようにします。

Protect このルールに一致するパケットは、 PAM によって処理されます。ロギン

グ、 Block レスポンス、 Quarantine レスポンスなど通常のレスポンスよっ

て、一致するパケットが処理されるようにします。

Monitor IP ホワイトリストとして機能します。 Quarantine レスポンスの回避、

Blocking レスポンスの回避といったステートメントに一致するパケット

に適用されます。ただし、その他すべてのレスポンスは、依然としてパケットに適用されます。

Drop (Deny) パケットがファイアウォールを通過するときに、これをドロップします。ファイアウォールは直列で配置されているので、このアクションはパケットが対象のシステムに到達するのを防ぎます。パケットがドロップされたユーザーには、単に対象システムが応答しないように見えます。この接続は何度か再試行される可能性があり、終的にはタイムアウトします。

Drop and Reset Drop アクションと同じように機能しますが、発信元システムに TCP リセットパケットを送信します。 Drop アクションを使用した場合よりも早

く接続が終了します ( 自動的にリセットされるため )。

表表表表 34: ファイアウォールアクション


Rule ID リスト内でのルールの順序を示します。

詳細については、「ファイアウォールルールの順序の変更」

(134 ページ ) を参照してください。

Enabled ルールを有効にするには、このチェックボックスをオンにします。

Rule Comment ルール用の固有の説明を入力します。

Log /var/iss/ ディレクトリ内のファイアウォールログにあるルールと一

致するパケットの詳細を記録するかどうか選択します。

Action リストからファイアウォールアクションを選択します。

各アクションの詳細については、「ファイアウォールルールとアク

ション」 (133 ページ ) を参照してください。






ルの順序の変更ルの順序の変更ルの順序の変更ルの順序の変更

ファイアウォールルールの順序を変更するには :

1. [Firewall Settings] ページでルールを選択し、上向き矢印上向き矢印上向き矢印上向き矢印のアイコン ( ) または下向き矢印下向き矢印下向き矢印下向き矢印の

アイコン ( ) をクリックしてルールを移動します。


アプライアンスは、一覧に表示されている順序でファイアウォールルールを処理します。

Rule Type リストからルールの種類を選択します。

• Constructed - Proventia Manager が指定の値を使用してルール

を作成できるようにするには、このオプションを選択します。

• Manually Entered - 独自のファイアウォールルールを作成する

には、このオプションを選択します。 [Firewall Rule] 領域に、

ファイアウォールルールを入力してください。

詳細については、「ファイアウォールルール言語」 (136 ページ ) を参照してください。

VLAN VLAN タグの範囲を入力します。

Protocol リストからプロトコルを選択します。

ルールのプロトコルとして [Any] を選択すると、次の条件が一致し

た場合に次の基準が適用されます。

• ICMP コードを設定すると、ルールに ICMP 節が追加されます。

• 発信元または宛先のポートを設定すると、ルールに UDP 節と TCP 節が追加されます。

• ゼロ (0) より大きいプロトコル番号を設定すると、ルールに Protocol Number 節が追加されます。

• プロトコル設定を指定しないと、ルールに IP 節が追加されま

す。発信元または宛先の IP アドレスが指定されていれば、それ

らも追加されます。

注記注記注記注記 : [Any] 以外のプロトコル値を設定した場合、ファイアウォー

ルルールはそのプロトコルのみに設定されます。

IP Address and Port 発信元と対象の IP アドレスおよびポートを設定します。


134



ルでの作業ルでの作業ルでの作業ルでの作業

ファイアウォールルールを編集、コピー、または削除するには :

1. [Firewall Settings] を選択します。




編集ヒントヒントヒントヒント : 変更したい項目を [Firewall Rules] タブでダブルク


1. ルールを選択し、編集編集編集編集のアイコン ( ) をクリックします。


3. このルールを編集し、 [OK] をクリックします。

コピー 1. ルールを選択し、コピーコピーコピーコピーのアイコン ( ) をクリックしま

す。


3. 必要に応じてルールを編集し、 [OK] をクリックします。

削除 1. ルールを選択します。




ファイアウォールファイアウォールファイアウォールファイアウォールルール言語ルール言語ルール言語ルール言語

はじめにはじめにはじめにはじめにファイアウォールルールは、ルールの適用されるトラフィックを規定するいくつかのステートメント ( または条件節 ) で構成されます。アプライアンスが使用するファイアウォールルールを手動で作成する場合は、次のトピックで説明する構文を使用することができます。

ファイアウォール節ファイアウォール節ファイアウォール節ファイアウォール節ファイアウォールルールは、各パケットに対する特定の基準と一致するように連結された複数の条件節で構成されています。条件節は、プロトコルスタックの特定層を表します。各条件節は、条件と式に分割できます。式はルールの変数部分であり、アドレス、ポート、または数値のパラメータに組み込むことができます。

次のファイアウォール条件節を使用することができます。

� Adapter 節節節節

一連のアダプタ (A ～ H) を指定します。これによって、ルールが特定のアダプタに割り当て

られます。 Adapter 節は、ルールが適用される特定のアダプタを示します。サポートされてい

るアダプタ式は、 any と、 A ～ H の文字です。 Adapter 節を指定しないと、ルールは任意のア

ダプタと一致します。

adapter <adapter-id>adapter Aadapter anyadapter A,Cadapter A-C

� Ethernet 節節節節

802.1 フレームと一致するように、ネットワークプロトコルのタイプ、または仮想 LAN (VLAN) 識別子を指定します。 Ethernet 節を使用して、 801.1q VLAN トラフィックのフィルタ

リング、または特定タイプのイーサネットプロトコルの許可 / 拒否を行うことができます。

プロトコルタイプの一覧は、 http://www.iana.org/assignments/ethernet-numbers で見ることができます。イーサネットプロトコル定数は、 10 進数、 8 進数、 16 進数、エイリアス表記で指定可能です。特定タイプのイーサネットプロトコルをより簡単にブ

ロックできるようにするには、既知の番号ではなくエイリアスを指定します。場合によっては、エイリアスによって 1 つ以上のポートがブロックされます ( 例 : IPX と PPPoE)。

ether proto <protocol-id>ether proto {arp|aarp|atalk|ipx|mpls|netbui|pppoe|rarp|sna|xns}ether vid <vlan-number>ether vid <vlan-number> proto <protocol-id>

ether proto !arpether vid 1 proto 0x0800ether vid 2 proto 0x86ddether vid 3-999 proto 0x0800,0x86dd

� IP Datagram 節節節節

IPv4 アドレス、 TCP/UDP の発信元または宛先ポート、 ICMP タイプまたはコード、特定の IP プロトコル番号など、トランスポートレベルのフィルタリングフィールドを指定します。 IP Datagram 節は、ステートメントが一致するために満たす必要のある、 IP データグラム内のプ

ロトコルおよびプロトコル固有の条件を示します。現時点では ICMP、 TCP、 UDP の条件しか

サポートされていませんが、任意の IP プロトコルに基づいてフィルタを指定することができ

ます。 IP Datagram 節を指定しないと、ステートメントは任意の IP データグラムプロトコルと

一致します。

下の例の初と 2 番目のステートメントは、 IP アドレス式と一致する発信元 IP と宛先 IP のパ

ケットをブロックします。 3 番目のステートメントは、 IP アドレス式と一致する発信元 IP または宛先 IP のパケットをブロックします。 4 番目のステートメントは、プロトコルタイプと

一致する IP パケットをブロックします。 5 番目のステートメントは、初のステートメント

136

http://www.iana.org/assignments/ethernet-numbers




ファイアウォールファイアウォールファイアウォールファイアウォールルール言語ルール言語ルール言語ルール言語

と 2 番目のステートメントを組み合わせたものです。 6 番目のステートメントは、初、 2 番目、 4 番目のステートメントを組み合わせたものです。

1. ip src addr <IPv4-addr>2. ip dst addr <IPv4-addr>3. ip addr <IPv4-addr>4. ip proto <protocol-type>5. ip src addr <IPv4-addr> dst addr <IPv4-addr>6. ip src addr <IPv4-addr> dst addr <IPv4-addr> proto <protocol-type>

例例例例

ip addr 192.168.10.1/24ip addr 192.168.10.0-192.168.10.255

ファイアウォールの条件ファイアウォールの条件ファイアウォールの条件ファイアウォールの条件 TCP およびおよびおよびおよび UDP の条件の条件の条件の条件

TCP および UDP のポート番号は、 10 進数、 8 進数、 16 進数で指定可能です。ポートの値の範囲は、 0 ～ 65534 です。

tcp src port <TCP-UDP-port>tcp dst port <TCP-UDP-port>tcp dst port <TCP-UDP-port> src port <TCP-UDP-port> udp src port <TCP-UDP-port>udp dst port <TCP-UDP-port>udp dst port <TCP-UDP-port> src port <TCP-UDP-port>

ICMP の条件の条件の条件の条件

ICMP の条件は、 10 進数、 8 進数、 16 進数で指定可能です。有効な数値は、 http://www.iana.org/assignments/icmp-parameters で見ることができます。

icmp type <protocol-type>icmp code <message-code>icmp type <protocol-type> code <message-code>

式式式式式は、条件節のプロトコルパーサーと一致する必要のある一連のヘッダー値を表現します。各条件節は、プロトコルスタック内の特定層との一致に直接関わっています。構文と値の範囲は、条件説によって決定されます。式は、 1 つの値、カンマで区切られた一連の値、または範囲セットです。式は、現在のところ、アダプタ番号、 IPv4 アドレス、 TCP および UDP のポート番号、 CMP メッセージのタイプおよびコード、 IP データグラムプロトコル番号を指定するために存在しています。

<value><value>, <value><value> - <value>

感嘆符 (!) で始まる式は、否定式と呼ばれます。否定式は、指定したもの以外すべての値と一致します。どの値とも一致しない否定式は、エラーを引き起こします。


http://www.iana.org/assignments/icmp-parameters




IPv4 アドレス式の例アドレス式の例アドレス式の例アドレス式の例

<n> は、 0 ～ 255 の範囲で 16 進数または 10 進数を示します。すべての 16 進数には、 0x というプリフィックスが付いている必要があります。次の表では、いくつかの例を紹介します。

TCP/UDP ポート、プロトコル識別子、または数値ポート、プロトコル識別子、または数値ポート、プロトコル識別子、または数値ポート、プロトコル識別子、または数値

任意の定数に対してリストアップされる値は、要求された範囲内にある必要があります。範囲内にないと、パーサーは Parse 節を拒否します。

0xFFFF655350, 1, 20 - 2 ! 3 - 65535


ル一式の例ル一式の例ル一式の例ル一式の例

次のステートメントは、ファイアウォールルールのサンプル一式です。プロトコルを指定しないと、ルールは「Any」が指定されたと見なして任意のプロトコルを使用します。

� adapter A ip src addr xxx.xxx.x.x

(x は IP アドレスの数字を表します )

� adapter A ip src addr xxx.xxx.x dst addr any tcp src port 20 dst port 80

(x は IP アドレスの数字を表します )

� adapter any ip src addr any dst addr xxx.xxx.xx.x

� adapter any ip src addr any dst addr any icmp type 8

� tcp

� adapter B icmp

� udp

例例例例説明説明説明説明

n.n.n.n 1 つのアドレス

n.n.n.n, n.n.n.n アドレスリスト

n.n.n.n/<netmask> CIDR 形式を使用した特定のアドレス。ネットマスク値は 1 ～ 32 の範囲内である必要があります。

n.n.n.n - n.n.n.n 初の値が後の値よりも大きいアドレス範囲。

表表表表 35: IPv4 アドレスの構文

138

ファイアウォールのログ機能の調整ファイアウォールのログ機能の調整ファイアウォールのログ機能の調整ファイアウォールのログ機能の調整

ファイアウォールのログ機能の調整ファイアウォールのログ機能の調整ファイアウォールのログ機能の調整ファイアウォールのログ機能の調整

はじめにはじめにはじめにはじめにローカルの高度なパラメータを使用して、アプライアンスに関してファイアウォールのログ機能が動作する方法を調整することができます。ファイアウォールログの数、ログ名、ログの大サイズなどの値を指定することができます。

ファイアウォールのログファイアウォールのログファイアウォールのログファイアウォールのログ機能のパラメータ機能のパラメータ機能のパラメータ機能のパラメータ

次に挙げるファイアウォールログ機能のパラメータを、編集することができます。

手順手順手順手順ファイアウォールログの設定を調整するには :

1. [Local Tuning Parameters] を選択します。


3. 変更するパラメータを選択し、 [Edit] をクリックします。




名前名前名前名前説明説明説明説明値値値値

np.firewall.log 有効になっているファイアウォールルールと一致

するパケットの詳細を記録するかどうかを決定します。

String ( 文字列 )

デフォルト : オン

np.firewall.log.count ファイアウォールログファイルの数。 Number ( 数値 )

デフォルト : 10

np.firewall.log.prefix ファイアウォールログファイルのプレフィック

ス。

String ( 文字列 )

デフォルト : /var/iss/fw

np.firewall.log.size ファイアウォールログファイルの大サイズ ( バイト単位 )。

Number ( 数値 )

デフォルト : 1400000

np.firewall.log.suffix ファイアウォールログファイルのサフィックス。 String ( 文字列 )

デフォルト : .log

表表表表 36: ファイアウォールの高度なパラメータ


Enabled パラメータを有効にするには、このチェックボックスをオンにします。

Name パラメータの名前を表示します。

注記注記注記注記 : パラメータ名を変更しないことをお薦めします。

Comment パラメータを説明します。必要であれば、新しい説明を入力します。

Value パラメータの値を編集します。

注記注記注記注記 : デフォルトパラメータ値の維持をお勧めします。



140


ローカル調整パラメータの設定ローカル調整パラメータの設定ローカル調整パラメータの設定ローカル調整パラメータの設定


はじめにはじめにはじめにはじめにローカル調整パラメータは、個別びアプライアンスの不正侵入防御設定に、デバイスレベルで影響を与えます。この章では、アプライアンスに対するローカル調整パラメータ ( アラート待ち行列、ネットワークアダプタカードのプロパティ、高度なパラメータなど ) の設定方法について説明します。



アラートの設定 142

ネットワークアダプタカードの管理 144

アラートキューの管理 147

高度なパラメータの設定 148

TCPReset の設定 152


第第第第 12 章章章章 : ローカル調整パラメータの設定ローカル調整パラメータの設定ローカル調整パラメータの設定ローカル調整パラメータの設定

アラートの設定アラートの設定アラートの設定アラートの設定

はじめにはじめにはじめにはじめにアプライアンス関連のイベントをについて通知するアラートメッセージを設定することができます。また、イベントがアラートを引き起こした場合にアプライアンスが取るべきアクション ( アプライアンス管理者へのメール送信、イベントに対応した実行ファイルの実行 ) を決定することもできます。

アラートアラートアラートアラートタイプタイプタイプタイプ 3 種類のセンサーイベントアラートを有効にすることができます。

� Error ( エラーエラーエラーエラー ) - これらのアラートは、センサーのシステムエラーが発生した場合に通知しま

す。

� Warning ( 警告警告警告警告 ) - これらのアラートは、アプライアンス自体で問題が発生した場合に通知しま

す。

� Informative ( 通知通知通知通知 ) - これらのアラートは、アプライアンス上でユーザーが実行した可能性の

あるアクション ( パスワードの変更、ログのダウンロード、パラメータの編集など ) に関して

通知します。

システムシステムシステムシステムアラートとアラートとアラートとアラートと SNMP

設定メニューを通じて、次のようなシステムの健全性に関連したイベントが発生した場合に SNMP トラップを送信するように、アプライアンスを設定することができます。

� 空きディスク容量不足

� ディスク障害

� 高すぎる CPU 使用率

アプライアンスは、これらの問題点を検出したときに、アプライアンスのインストール時に指定した SNMP レシーバに SNMP トラップを送信することができます。このようなシステム関連のアラートは、 SNMPv1 トラップまたは SNMPv2 トラップとして送信可能です。システム健全性関連の SNMP イベントの設定については、「SNMP Configuration」 (37 ページ ) を参照してください。

手順手順手順手順アラートを設定するには :


2. [Alerts] タブを選択します。

3. 設定するアラートのタイプの各領域 (Sensor Error、 Warning、 Informative) で、 [Enable] チェッ


4. [Priority] で、イベントの危険度 (Low、 Medium、 High) を選択します。

5. [Display on console] チェックボックスをオンにして、アラートがコンソールに表示されるよう

にします。

注記注記注記注記 : Proventia Manager では、アラートは [Alerts] タブに表示されます。 SiteProtector では、ア

ラートはコンソールの [Analysis] タブに表示されます。

6. SNMP トラップを送信するには、次の表に示す設定を指定または変更します。


Send SNMP trap このオプションを有効にするには、チェックボックスをオンに

してから次のいずれかを行います。

• 以前に設定した SNMP トラップを使用する場合は、リストか

ら選択して手順 7 に進みます。

• 新しい SNMP トラップを設定するには、 [Configure SNMP] をクリックします。

142

アラートの設定アラートの設定アラートの設定アラートの設定

7. メールによる通知を送信するには、次の表に示す設定を指定または変更します。


Configure SNMP [Add] をクリックし、次の設定を指定します。

• Name - SNMP トラップまたはレスポンスの名前を入力しま

す。

• Manager - SNMP Manager が動作している IP アドレスを入

力します。

SNMP トラップを送信するには、 SNMP ホストがアプライア

ンスからアクセス可能である必要があります。

• Community - 適切なコミュニティ文字列 (public または private) を入力します。


Send Email このオプションを有効にするには、チェックボックスをオンに

してから次のいずれかを行います。

• 以前に設定したメール通知を使用する場合は、リストから選択して手順 8 に進みます。

• 新しいメール通知を設定するには、 [Configure Email] をク


Configure Email [Add] をクリックし、次の設定を指定します。

• Name - 名前を入力します。

• SMTP Host - メールサーバー (完全修飾ドメイン名または IP アドレスとして ) を入力します。

注記注記注記注記 : メールによる通知を送信するには、 SMTP ホストがア

プライアンスからアクセス可能である必要があります。

• From - 個人またはグループのメールアドレス (1 つまたは複

数 ) を入力します。

アドレスは、カンマで区切ります。

• To - 個人の受信者またはメールグループを入力します。

アドレスは、カンマで区切ります。

• Subject - 件名を入力するか、リストから共通のパラメータを

選択します。

共通のパラメータを選択した場合、選択したパラメータは、対応するイベント情報と共に使用されます。

• Body - メッセージ本文を入力するか、リストから共通のパラ

メータを選択します。

共通のパラメータを選択した場合、選択したパラメータは、対応するイベント情報と共に使用されます。




ネットワークネットワークネットワークネットワークアダプタアダプタアダプタアダプタカードの管理カードの管理カードの管理カードの管理

はじめにはじめにはじめにはじめにアプライアンスのネットワークアダプタカードの設定を、表示および管理することができます。

重要重要重要重要 : このページで設定を変更すると、一時的にアプライアンスとリンクできなくなる場合があります。

ハイハイハイハイアベイラビリティアベイラビリティアベイラビリティアベイラビリティモードについてモードについてモードについてモードについて

Proventia Network IPS のハイアベイラビリティ機能 (HA) によって、アプライアンスは既存のハイアベイラビリティ環境で動作することができます。両アプライアンスは、アプライアンス間のすべてのトラフィックをミラーリンク経由で通過させ、ネットワーク上のすべてのトラフィックを監視して確実に状態を維持します。アプライアンスは、非対称的にルーティングされたトラフィックを監視し、ネットワークを完全に防御することも可能になります。 Proventia Network IPS におけるハイアベイラビリティのサポートは、連動する 2 アプライアンスに限定されています。

どちらのアプライアンスも、パケットをインラインで処理し、相互接続 / ミラーポートではなくインライン監視ポートに到着するトラフィックをブロックします。また、インライン監視ポートで受信したイベントをマネージメントコンソールへレポートします。

ハイアベイラビリティの詳細については、「ネットワーク可用性の維持」 (43 ページ ) を参照してください。

ネットワークネットワークネットワークネットワークアダプタアダプタアダプタアダプタカードのプロパティの編カードのプロパティの編カードのプロパティの編カードのプロパティの編集集集集

ネットワークアダプタカードのプロパティを編集するには :


2. [Adapter Management] タブを選択します。

3. リストでアダプタを選択し、 [Edit] をクリックします。

4. ポートに関連付ける名前を [Port] に入力します。

注記注記注記注記 : ポート名は、アプライアンスの前面にあるラベル (1A、 B1、 2C、 2D、 3E、 3F、 4G、

4H) と対応しています。ポートは、カード上で次のようなポートのペアにまとめられます。

� 1A と 1B (Card1)

� 2C と 2D (Card2)

� 3E と 3F (Card3)

� 4G と 4H (Card4)

5. [TCP Resets] ドロップダウンメニューで、 Kill をこのポートを通じて送信するか外部 Kill ポー

トを通じて送信するか、指定します。

144

ネットワークネットワークネットワークネットワークアダプタアダプタアダプタアダプタカードの管理カードの管理カードの管理カードの管理

6. [Port/Duplex Speed Settings] で、リンク速度とモードを決定する場合にネットワークアダプタ

が使用する方式を選択します。

7. [Unanalyzed Policy] リストで次のいずれかのオプションを選択して、ネットワークが混雑した

ときにエージェントがトラフィックを処理する方法を決定します。

8. 一方のリンクがダウンした ( ケーブル破損、ケーブル接続解除など ) ときに、対応するインラ

インポート上のリンクもネットワークドライバによって切断されるようにする必要がある場

合は、 [Propagate Link] を True に設定します。

注記注記注記注記 : これは、 [Adapter Mode] が [Inline Protection] または [Inline Simulation] に設定されている

場合に使用してください。

9. [Adapter Mode (Non-HA)] リストで、アプライアンスのモードを選択します。

重要重要重要重要 : アプライアンスの監視モードをシミュレーションからプロテクションに変更すると、次の高度なパラメータがデフォルトで有効になります。

- np.drop.invlid.checksum

- np.drop.invalid.protocol

10. アプライアンスの [Fail Mode] を選択できないので注意してください。 GX4000 シリーズアプ

ライアンスはデフォルトでフェールオープンします。 GX5000 シリーズアプライアンスは、デ

フォルトでフェールクローズします。このモードを変更することはできません。

方式方式方式方式説明説明説明説明

Auto リンク上の 2 つのインターフェースが、ケーブルが接続された瞬間に

も適した共通モードを自動的に選択できるようにします。

注記注記注記注記 : 自動ネゴシエーションをサポートしないスイッチまたはその他

ネットワークデバイスの設定を変更する必要がある場合、または自動

ネゴシエーションがリンクを確立するのに時間がかかりすぎる場合に限り、この設定の使用をお薦めします。

10 MB Half Duplex デバイスは、 1 秒あたり 10 メガビットで情報を送受信します ( 両方同

時にではない )。

10 MB Full Duplex デバイスは、 1 秒あたり 10 メガビットで情報を両方向へ同時に送信し

ます。

100 MB Half Duplex

デバイスは、 1 秒あたり 100 メガビットで情報を送受信します ( 両方同

時にではない )。

100 MB Full Duplex

デバイスは、 1 秒あたり 100 メガビットで情報を両方向へ同時に送信

します。

1000 MB Full Duplex

デバイスは、 1 秒あたり 1000 メガビットで情報を両方向へ同時に送信

します。

オプオプオプオプションションションション


Forward トラフィックを処理せずに転送します。つまり、異常時にトラフィックを通過させます ( フェールオープン )。トラフィックのレベルが通常に戻ると、エージェ

ントは通常の動作に戻ります。

注記注記注記注記 : アプライアンスがインラインシミュレーションモードに設定されている場

合は、常に [Forward] 設定を使用してください。

Drop トラフィックの一部を処理せずにブロックします。つまり、異常時にトラフィックを遮断します ( フェールクローズ )。トラフィックのレベルが通常に戻ると、

エージェントは通常の動作に戻ります。





HA の有効化の有効化の有効化の有効化ハイアベイラビリティを有効にするには、両方のアプライアンスで次の作業を行います。



[Sensor High Availability Mode] が、ページの下部に表示されています。

3. 次のいずれかのモードを選択します。

� HA simulation (HA シミュレーションシミュレーションシミュレーションシミュレーション )

� HA protection (HA プロテクションプロテクションプロテクションプロテクション )

注記注記注記注記 : 両方のアプライアンスで、同じモードを選択してください。


注記注記注記注記 : HA モードが有効になっている場合、アダプタモードは事前設定され、編集できませ

ん。 HA シミュレーションモードを選択すると、すべての監視アダプタがインラインシミュ

レーションモードになります。 HA プロテクションモードを選択すると、すべての監視アダ

プタがインラインプロテクションモードになります。 HA アダプタモード以外の設定は保持

されますが、通常モードに切り替えられるまでは使用されません。

HA の無効化の無効化の無効化の無効化ハイアベイラビリティを無効にするには :



[Sensor High Availability Mode] が、ページの下部に表示されています。

3. [Normal] を選択します。


146

アラートアラートアラートアラートキューの管理キューの管理キューの管理キューの管理

アラートアラートアラートアラートキューの管理キューの管理キューの管理キューの管理

はじめにはじめにはじめにはじめにアプライアンスは、 SensorEventQueue.adf という名前のキューファイルを使用して、イベントアラートを保管します。 [Alert Queue] ページを使用して、このファイルがどの程度大きくなるとアラートが失われるかの設定、またファイルの大サイズに達した後でキューファイルがアラートを扱う方法の設定を行うことができます。

重要重要重要重要 : このページで設定を変更すると、一時的にアプライアンスとリンクできなくなる場合があります。

アラートアラートアラートアラートキューとキューとキューとキューと SiteProtector

このページでの選択内容で、 Proventia Manager キューファイルの設定だけが変更されます。アプライアンスを SiteProtector から管理している場合、イベントデータは待ち行列から直接 Event Collector を通過して Site Database に入ります。しかし、アプライアンスと Event Collector、または Event Collector と Site Database の間での通信がダウンすると、このイベントデータはキューファイルに格納されます。通常の通信が回復すると、待ち行列入りしたデータは Event Collector を通過して Site Database に送られます。

手順手順手順手順アラートキューのサイズを管理するには :


2. [Alert Queue] タブを選択します。



重要重要重要重要 : このページに対する変更を保存する場合は、エージェントを再起動する必要があります。これによってアプライアンスが一時的にバイパスモードになるため、ネットワークとセ

キュリティに一時的な影響が及ぶ可能性があります。


Proventia Manager Alert Queue Max Size

アラートキューファイルの大サイズを入力します。

Proventia Manager Alert Queue Full Policy

キューが大サイズに達したときにアプライアンスが使用する方法を、次のいずれかから選択します。

• Stop Logging - ファイルの大サイズに達すると、キューファイルはアラートの記録を停止します。

• Wrap Around - ファイルの大サイズに達すると、キューファイルはも古いアラートを上書きして、新しいアラートのために容量を確保します。



高度なパラメータの設定高度なパラメータの設定高度なパラメータの設定高度なパラメータの設定

はじめにはじめにはじめにはじめにセキュリティニーズをよりよく満たすため、またはハードウェアのパフォーマンスを向上させるために、 [Advanced Parameters] タブを使用して特定アプライアンスの特定パラメータを設定 ( または調整 ) することができます。

各アプライアンスに対して、次のコンポーネントを調整することができます。

� 不正侵入防御レスポンス

� 不正侵入防御セキュリティリスク

� ファイアウォール

� 自動アップデート


高度なパラメータは、名前と値のペアで構成されています。各ペアには、デフォルト値が設定されています。たとえば、 np.firewall.log というパラメータは、有効にしてあるファイアウォールルールと一致するパケットの詳細を記録するかどうかを決定するパラメータです。このパラメータは、デフォルトで有効になっています。


ファイアウォールログ機能のパラメータについては、「ファイアウォールのログ機能の調整」(139 ページ ) を参照してください。

共通の高度な調整パラ共通の高度な調整パラ共通の高度な調整パラ共通の高度な調整パラメータメータメータメータ

次の表では、共通の高度な調整パラメータについて説明します。

名前名前名前名前タイプタイプタイプタイプデフォルト値デフォルト値デフォルト値デフォルト値説明説明説明説明

crm.history.enabled Boolean (ブーリアン )

True 管理履歴を記録するかどうかを決定します。

crm.history.file String (文字列 )

/var/iss/crmhistory.log

管理用履歴ファイルの名前。

crm.policy.numbackups Number (数値 )

4 保存できる古いポリシーファ

イルの数。

engine.adapter.high-water.default Number (数値 )

5 各アダプタで流れると予想される、トラフィックサンプリン

グ間隔あたりのパケット数。上限達成値は、トラフィックの流れが下限達成値を前後している場合にトラフィックが低いという複数の警告が生成されないようにする場合に使用します。

表表表表 37: 共通の高度な調整パラメータ

148


engine.adapter.low-water.default Number (数値 )

1 各アダプタで流れると予想される、トラフィックサンプリン

グ間隔あたりの低パケット数。下限達成値は、監査イベント Network_Quiet および Network_Normal を発行するた

めのしきい値として使用されます。

engine.droplog.enabled Boolean (ブーリアン )

False ドロップされたパケットの記録を有効にするかどうかを決定します。

engine.droplog.fileprefix String (文字列 )

/var/iss/drop ドロップログファイル名のプ

レフィックス。

engine.droplog.filesuffix String (文字列 )

.enc ドロップログファイル名のサ

フィックス。

engine.droplog.flush Boolean (ブーリアン )

False ドロップされたパケットのバッファリングを無効にします。この設定を有効にすると、パフォーマンスに悪影響が出ます。

engine.droplog.maxfiles Number (数値 )

10 保存できるドロップログファ

イルの数。

engine.droplog.maxkbytes Number (数値 )

10000 (kb) ドロップログファイルの大

サイズ。

engine.evidencelog.fileprefix String (文字列 )

/var/iss/evidence

証拠ファイル名のプレフィックス。

engine.evidencelog.filesufffix String (文字列 )

.enc 証拠ファイル名のサフィックス。

engine.evidencelog.maxfiles Number (数値 )

10 保存できる証拠ファイルの数。

engine.evidencelog.maxkbytes Number (数値 )

10000 (kb) 証拠ファイルの大サイズ。

engine.log.file String (文字列 )

/var/iss/engine#.log

エンジンログファイルの名前。

engine.pam.logfile String (文字列 )

/var/iss/pam#.log

PAM ログファイルの名前。

engine.statistics.interval Number (数値 )

120 統計値収集の間隔 ( 秒単位 )。

np.drop.invalid.checksum String (文字列 )

True インラインプロテクションモードにおいて、チェックサムエラーを含むパケットをブロックするかどうか決定します。


表表表表 37: 共通の高度な調整パラメータ ( 続き )



np.drop.invalid.protocol String (文字列 )

True インラインプロテクションモードにおいて、プロトコルに違反するパケットをブロックするかどうか決定します。

np.drop.resource.error String (文字列 )

False インラインプロテクションモードにおいて、パケットを調査するための十分なリソースがない場合にパケットをブロックするかどうか決定します。

np.drop.rogue.tcp.packets String (文字列 )

False インラインプロテクションモードにおいて、既知の TCP 接続の一部ではないパケットをブロックするかどうか決定します。

np.firewall.log String (文字列 )

オン有効になっているファイアウォールルールと一致するパ

ケットの詳細を記録するかどうかを決定します。

np.log.quarantine.added String (文字列 )

オン検疫テーブルに追加されたルールの詳細を記録します。

np.log.quarantine.expired String (文字列 )

オン検疫テーブルで期限切れになったルールの詳細を記録します。

np.log.quarantine.removed String (文字列 )

オン期限切れ前に検疫テーブルから削除されたルールの詳細を記録します。

np.statistics String (文字列 )

オン PAM 統計値の記録を有効にす

るかどうかを決定します。

np.statistics.file オン /var/iss/pamstats.dat

PAM 統計値ファイルの名前。

pam.traffic.sample Boolean (ブーリアン )

True 異常なレベルのネットワークアクティビティを検出する目的で、トラフィックサンプリン

グを有効にします。このパラメータは、 Network_Quiet およ

び Network_Normal の監査イベ

ントに影響を与えます。

pam.traffic.sample.interval Number (数値 )

300 異常なレベルのネットワークアクティビティを検出する目的でトラフィックの流れをサンプリングする場合の間隔 ( 秒単位

)。このパラメータは、

Network_Quiet および Network_Normal の監査イベン

トに影響を与えます。

sensor.trace.level Number (数値 )

3 Proventia Network IPS のログレベル。


表表表表 37: 共通の高度な調整パラメータ ( 続き )

150


高度なパラメータの追加高度なパラメータの追加高度なパラメータの追加高度なパラメータの追加高度なパラメータを追加するには :







高度なパラメータの作業高度なパラメータの作業高度なパラメータの作業高度なパラメータの作業高度なパラメータを編集、コピー、または削除するには :


2. [Advanced Parameters] タブを選択し、次のいずれかを行います。



Enabled パラメータを有効にするには、このチェックボックスをオンにします。

Name パラメータの名前を入力します。

例例例例 : engine.log.file


例例例例 : エンジンログファイル。

Value 次のいずれかのオプションを選択します。

• Boolean - True または False の値を選択します。

• Number - パラメータに対して適切な数値を入力します。

• String - パラメータの値 ( ログファイルの場所など ) を入力します。例 : /var/iss/engine#.log


編集ヒントヒントヒントヒント : 変更したい項目を [Advanced Parameters] タブでダブ

ルクリックすることで、一部のプロパティを直接編集することができます。


ます。




します。



す。





TCPReset の設定の設定の設定の設定

はじめにはじめにはじめにはじめにアプライアンスを使用して、ネットワーク機器上の ( 読み取り専用 ) SPAN ポートを監視することができます。 ( 読み取り専用 ) SPAN ポートを監視するには、アプライアンスの TCPReset (Kill) ポートを設定する必要があります。 ( 読み取り専用 ) 監視ポートを使用する場合、アプライアンスは別のインターフェースに Kill を送信する必要があります。

注記注記注記注記 : アプライアンスは、パッシブモニタリングモードであっても、監視ポートを通じて Kill を送信するようにデフォルト設定されています。たとえば、ハブを通じて監視を行っていれば、外部 Kill ポートを設定する必要はありません。

手順手順手順手順 TCPReset を設定するには :

1. Kill ポート ( アプライアンス前面の右側にある「2」の管理ポート ) をネットワークに接続しま

す。

2. Kill ポート (eth0) のルーターの MAC アドレスを確認するには、次のいずれかを行います。

� ルーターの MAC アドレスは、システム管理者に問い合わせてください。 MAC アドレスを

受け取ったら、手順 4 に進みます。

� アプライアンス上で get-reset-config というスクリプトを実行し、 MAC アドレスを入手しま

す。手順 3 に進みます。

3. アプライアンスへ root としてログインし、 get-reset-config を実行します。

次の点に注意してください。

� パラメータを指定せずにスクリプトを実行すると、使用方法が表示されます。

� 必要なパラメータを指定してスクリプトを実行すると、 MAC アドレスが表示されます。

注記注記注記注記 : get-reset-config ユーティリティでは、ネットワークへ接続してルーターの MAC アドレスを検出するために、一時的な IP アドレスが必要となります。通常動作の間、 Kill ポートはステルスモードにあり、 IP アドレスは必要ありません。

4. Proventia Manager で、 [System] [Local Tuning Parameters] の順に選択します。


6. ローカル調整パラメータ np.macaddress.destination を追加して、ルーターの MAC アドレスを設定します。

np.macaddress.destination = XX:XX:XX:XX:XX:XX

注記注記注記注記 : ローカルパラメータ追加の詳細については、「高度なパラメータの追加」 (151 ページ ) を参照してください。


8. 外部 Kill ポートを有効にするアダプタを選択し、 [Edit] をクリックします。

9. 外部 Kill ポートを有効にするポートのそれぞれで、 [TCP Resets] を「This Port」から「TCP Reset Port」に変更して [OK] をクリックします。

10. 外部 Kill ポートをその他アダプタ上で有効にするには、手順 8 ～ 9 を繰り返します。

例例例例 : 外部 Kill ポートを有効にし、ポート A、 B、 C、 D で受信したイベントに対して TCP リセットを送信することができますが、ポート E および F で受信したイベントに対する TCP リセットをポート E および F を通じて送信することもできます。


152

ネットワークネットワークネットワークネットワークフレーム大サイズの増加フレーム大サイズの増加フレーム大サイズの増加フレーム大サイズの増加

ネットワークネットワークネットワークネットワークフレーム大サイズの増加フレーム大サイズの増加フレーム大サイズの増加フレーム大サイズの増加

はじめにはじめにはじめにはじめに Proventia Network IPS GX5000 シリーズアプライアンスは、デフォルトで、 9216 バイトのネットワークフレーム大サイズに対応しています (Ethernet FCS [Frame Check Sequence] を含む )。通常のイーサネット ( 特に IEEE 802.3 標準の ) フレームは、 1518 バイトに制限されています。

特定タイプのネットワーク機器は、「ジャンボ」フレームに対応しています。一般的に、 1518 バイトを超えるフレームがジャンボフレームと見なされます。新のネットワーク機器、特にギガビットケーブル機器は、ジャンボフレームに対応していますが、多くの機器タイプではフレームサイズが約 9000 バイトに制限されています。ネットワークが 9216 バイトを超えるジャンボフレームを使用する場合は、高度な調整パラメータを設定してフレームバッファサイズを増やすことができます。

重要重要重要重要 : フレームサイズの増加は、ネットワークにとって絶対に必要な場合のみとしてください。

フレームの大サイズを増やしても、ネットワークフレームを保持するために利用可能なメモリ

量は増えません。より多くのバッファを使用するということは、アプライアンスの保持できるフレームが、これに相応してより少なくなることを意味します。結果として、分析を待つ受信パケットの「バックログ」が短くなります。トラフィックの多いネットワークでは、すぐに分析できないパケットをアプライアンスがドロップする場合があります。

手順手順手順手順ネットワークフレームサイズを増やすには :




4. 次の表のように、設定を完了または変更します。




Enabled パラメータを有効にするには、このチェックボックスをオンに

します。

Name 「adapter.MaxFrameSize」と入力します。


例例例例 : Frame Size Allowance

Value [Number] を選択し、フレームサイズの適切な値を入力します。

重要重要重要重要 : 1536 またはそれ以上の数値と、 16384 またはそれ以下の

数値を入力する必要があります。この数値は、 512 の倍数として

ください。そうでないと、値は無視されます。



154


システム設定の管理システム設定の管理システム設定の管理システム設定の管理


はじめにはじめにはじめにはじめにこの章では、システムステータスの表示方法と、システム設定およびプロパティの変更方法について説明します。この章の手順では、 Proventia Manager を使用します。 SiteProtector を通じてアプライアンスを管理している場合でも、これらのローカル設定を指定するには Proventia Manager を使用する必要があります。



システムステータスの表示 156

ログファイルの管理 157

システムツールを使った作業 158

ユーザーアクセスの設定 159

新ライセンスのインストールと表示 160


第第第第 13 章章章章 : システム設定の管理システム設定の管理システム設定の管理システム設定の管理

システムシステムシステムシステムステータスの表示ステータスの表示ステータスの表示ステータスの表示

はじめにはじめにはじめにはじめにシステムステータス情報を時々確認して、アプライアンスが大量のネットワークトラフィックを受けていないかどうかチェックします。システム設定は、メモリや CPU の使用率の急激な変化を検出するのにも役立ちます。

手順手順手順手順システムステータスを表示するには :

1. ナビゲーションウィンドウ枠の [System] を選択します。

次のシステム情報が表示されます。

2. 情報を更新するには、 [Refresh Data] リストから値を選択します。

ヒントヒントヒントヒント : 手動で更新する場合は、 [Refresh Now] を選択します。

表表表表統計値統計値統計値統計値説明説明説明説明

Memory Usage Total memory アプライアンスにインストールされているメモリの量。

Used memory 動作中のプロセスによって現在使用されているメモリの量。

Free memory アプライアンス上の未使用メモリの量。

CPU Usage User ユーザーレベルのプロセスによって使用されている CPU リソースの割合。

System カーネルによって使用されているシステムリソースの

割合。

Idle 現在使用されていない CPU リソースの割合。

156

ログログログログファイルの管理ファイルの管理ファイルの管理ファイルの管理

ログログログログファイルの管理ファイルの管理ファイルの管理ファイルの管理

はじめにはじめにはじめにはじめに Proventia Manager の [Log Files] ページには、アプライアンスに関連するログファイルがすべて表示されます。このページを使用して、システムログの表示、ダウンロード、削除を行います。

ログログログログファイル内のタイファイル内のタイファイル内のタイファイル内のタイ

ムスタンプについてムスタンプについてムスタンプについてムスタンプについて

ログファイル内のタイムスタンプは、 Unix タイム (UTC 1970 年 1 月 1 日以来経過した秒数 ) で保存されます。

logtime というツールを使用して、このタイムスタンプをローカルタイムに変換することができます。

重要重要重要重要 : この操作は、アプライアンス本体で行う必要があります。

ログログログログファイルのダウンファイルのダウンファイルのダウンファイルのダウン

ロードロードロードロード

ログファイルをダウンロードするには :

1. ナビゲーションウィンドウ枠で、 [System] → [Tools] の順に選択します。

2. ダウンロードするファイルを選択し、 [Download] をクリックします。

3. [Save the file to disk] を選択し、 [OK] をクリックします。

4. [File Name] にファイル名を入力し、 [Save] をクリックします。

注記注記注記注記 : ダウンロード後も、保存されたログファイルはアプライアンスに残ります。

ログログログログファイルの削除ファイルの削除ファイルの削除ファイルの削除ログファイルを削除するには :

1. ナビゲーションウィンドウ枠で、 [System] → [Tools] の順に選択します。


� 削除するファイルを選択し、 [Delete] をクリックします。

� [Delete All] をクリックします。


ログログログログファイルのタイムファイルのタイムファイルのタイムファイルのタイム

スタンプの変換スタンプの変換スタンプの変換スタンプの変換

ログファイルのタイムスタンプを変換するには :

1. アプライアンスへ root としてログオンします。

2. 必要なパラメータを使って logtime を実行します。引数を指定せずに logtime を実行すると、

使用方法が表示されます。

例例例例 : frw000.log というファイアウォールログファイルのタイムスタンプを変換するには、次の

コマンドを実行します。

logtime /var/iss/frw000.log /var/iss/newfrw000.log

このコマンドによって、 frw000.log をベースとした newfrw000.log というファイルが新規作成

されます。このファイル内のタイムスタンプは、ローカルタイムになっています。元のログファイルは変更されません。

新しい変換済みログファイルを /var/iss ディレクトリ内に作成すると、これを Proventia Manager からダウンロードできるようになります。



システムシステムシステムシステムツールを使った作業ツールを使った作業ツールを使った作業ツールを使った作業

はじめにはじめにはじめにはじめに [Tools] ページを使用して、次のような基本的なシステム作業を行います。

� アプライアンスの管理ポートに関する問題の処理

� アプライアンスが SiteProtector と正しく通信しているかどうかのテスト

� 設定済みの SNMP トラップレシーバ、メールサーバー、 NTP サーバーとアプライアンスが通

信可能かどうかのテスト

重要重要重要重要 : これらの作業は、 Proventia Manager からでないと行えません。

アプライアンスの再起動アプライアンスの再起動アプライアンスの再起動アプライアンスの再起動アプライアンスを再起動するには :


2. [Reboot] をクリックします。

3. [OK] をクリックしてアプライアンスを再起動します。

アプライアンスのシャッアプライアンスのシャッアプライアンスのシャッアプライアンスのシャットダウントダウントダウントダウン

アプライアンスをシャットダウンするには :


2. [Shut Down] をクリックします。

3. [OK] をクリックしてアプライアンスをシャットダウンします。

コンピュータへのコンピュータへのコンピュータへのコンピュータへの ping コンピュータに対して ping を打つには :


2. [Diagnostics] 領域の [Ping] ボックスに、テスト対象コンピュータの IP アドレスを入力します。

3. [Submit] をクリックします。

Traceroute ユーティリユーティリユーティリユーティリ

ティの使用ティの使用ティの使用ティの使用

Traceroute ユーティリティを使用するには :

1. [System] [Tools] の順に選択します。

2. [Diagnostics] 領域で、追跡対象のコンピュータの IP アドレスを [Traceroute] ボックスに入力し

ます。

3. 次のようにプロトコルプロトコルプロトコルプロトコルを選択します。

4. [Submit] をクリックします。

プロトコルプロトコルプロトコルプロトコル説明説明説明説明

UDP UDP traceroute プロトコル (UNIX の「traceroute」コマンド ) を選択した場合、

アプライアンスは対象ホストのランダムなポートに UDP パケットを送信しま

す。 TTL (Time to Live) のフィールドと宛先ポートのフィールドは、「ICMP Port Unreachable」メッセージが返されるごと、または 30 ホップに達するご

とに増えていきます。

ICMP ICMP traceroute プロトコル (Windows の「tracert」コマンド ) を選択した場

合、 TTL (Time to Live) のフィールドと宛先ポートのフィールドは、「ICMP Port Unreachable」メッセージが返されるごと、または 30 ホップに達するご

とに増えていきます。

158

ユーザーユーザーユーザーユーザーアクセスの設定アクセスの設定アクセスの設定アクセスの設定

ユーザーユーザーユーザーユーザーアクセスの設定アクセスの設定アクセスの設定アクセスの設定

はじめにはじめにはじめにはじめに次のパスワードを、 Proventia Manager インターフェースで変更することができます。

� コマンドラインの root パスワード

� Proventia アプライアンスの管理用パスワード

� Proventia Manager の Web 管理用パスワード

重要重要重要重要 : パスワードを記録しておき、保護してください。パスワードがわからなくなった場合は、アプライアンスを再インストールしてネットワークを設定し直す必要があります。

ブートローダ (root) パスワードを有効化または無効化することもできます。ブートローダパスワードは、起動プロセスの間にアプライアンスを不正なユーザーから保護します。ブートローダパスワードを有効にした場合は、デフォルト以外の起動オプションを使用する場合に root パスワードを入力する必要があります。

パスワードの変更パスワードの変更パスワードの変更パスワードの変更パスワードを変更するには :

1. Proventia Manager で、 [System] → [Accesss] の順に選択します。

2. 変更するパスワードに関する領域で、 [Current Password] に現在のパスワードを入力します。

3. [Set Password] をクリックします。

4. 新しいパスワードを 2 回入力して確認し、 [OK] をクリックします。


ブートローダブートローダブートローダブートローダパスワーパスワーパスワーパスワー

ドの有効化または無効化ドの有効化または無効化ドの有効化または無効化ドの有効化または無効化

ブートローダパスワードを有効にするには :

1. ナビゲーションウィンドウ枠の [System] → [Access] の順に選択します。

2. パスワードを有効化するか無効化するかに従って、 [Enable bootloader password] チェックボックスをオンまたはオフにします。




新ライセンスのインストールと表示新ライセンスのインストールと表示新ライセンスのインストールと表示新ライセンスのインストールと表示

はじめにはじめにはじめにはじめに [Licensing] ページを使用して、ライセンスファイルの現在のステータスに関する重要な情報 ( 有効期限など ) の参照や、 Proventia Manager をアクティブ化するための新しいライセンスキーファイルの入力を行います。インストールするライセンスキーファイルはそれぞれ、製品ライセンス固有です。また、ネットワークに固有の IP アドレス範囲情報が必要である場合があります。また、新ライセンスの入手方法が説明されている [License Information] ページにアクセスすることもで

きます。

重要重要重要重要 : ISS は、ネットワーク情報を法による要請がない限り他の機関と共有しない、という同社の

機密性ポリシーによる制約を受けています。

ライセンスライセンスライセンスライセンスキーキーキーキーファイファイファイファイ

ルのインストールルのインストールルのインストールルのインストール

ライセンスキーファイルをインストールするには :


2. [Upload a new License Key] ボックス横の [ 参照参照参照参照 ] をクリックします。

3. ダウンロードしたライセンスキーを探します。


5. [Upload] をクリックします。

現在のライセンス設定の現在のライセンス設定の現在のライセンス設定の現在のライセンス設定の表示表示表示表示

現在のライセンス設定を表示するには :

1. Proventia Manager で、 [System] [Licensing] の順に選択します。

2. [Status] 領域で、次のステータス情報を確認します。

3. ライセンスの入手または継続に関する情報を入手するには、 [License Renewal Information] をクリックします。

[License Information] ページが表示されます。

ステータスステータスステータスステータス説明説明説明説明

Serial Number ライセンスキーのシリアル番号。

注記注記注記注記 : 各ライセンスキーには、 ID と OCN に特有のシリアル番号

が独自に割り振られています。

OCN 注文発注番号 (Order Confirmation Number: OCN)、または ISS における顧客番号。

Expiration ライセンスの期限が切れる日時 (yyyy-mm-dd 形式 )。

Maintenance Expiration 保守契約の期限が切れる日時 (yyyy-mm-dd 形式 )。

160


アラートとシステム情報の表示アラートとシステム情報の表示アラートとシステム情報の表示アラートとシステム情報の表示

はじめにはじめにはじめにはじめにこの章では、 Proventia Manager でのシステムアラート、イベント、ログ、統計値の表示方法について説明します。

この章では、次のトピックについて説明します。


アラートの表示 162

保存されたアラートファイルの管理 165

通知ステータスの表示 166

統計値の表示 167


第第第第 14 章章章章 : アラートとシステム情報の表示アラートとシステム情報の表示アラートとシステム情報の表示アラートとシステム情報の表示

アラートの表示アラートの表示アラートの表示アラートの表示

はじめにはじめにはじめにはじめに Proventia Manager のアラートイベントログページを使用して、システムおよびセキュリティ関連のアラートを表示および管理します。このアラートリストには、次のタイプのアラートが含まれます。

� ネットワークで発生した攻撃試みに関連する、不正侵入防御アラート

� アプライアンスとその動作に関連する、システムアラート

参照参照参照参照 : マネージメントコンソールに表示するアラートの作成については、「アラートの設定」(142 ページ ) を参照してください。

アプライアンスがアラーアプライアンスがアラーアプライアンスがアラーアプライアンスがアラートトトトリストを保存する方リストを保存する方リストを保存する方リストを保存する方

法法法法

現在のリストは、 3 つのカンマ区切り値ファイル (.csv ファイル ) として保存されます。この 3 つのファイルは、 [Alerts] ページに表示されたデータを相互参照するために使用されます。ファイルは次のとおりです。

アラート情報の表示アラート情報の表示アラート情報の表示アラート情報の表示アラート情報を表示するには :


� [Alerts] ボタンをクリックします。

� 次のいずれかを選択します。

[Notification] → [Alerts]

[Intrusion Prevention] → [Alerts]

[System] → [Alerts]

[Alerts] タブには、各アラートに関する次の情報が表示されます。

ファイルファイルファイルファイル内容内容内容内容

filename_eventdata.csv アラートレコード番号と一致する個別レコード。このファイル

には、アラート名と危険度も含まれます。

filename_eventinfo.csv アラートのアラート固有情報のセクションに挙げられたデータ。

filename_eventresp.csv アラートの実行したレスポンスのセクションに含まれるデータ。

表表表表 38: アラートリストファイル

列列列列説明説明説明説明

Rec.# アラートのレコード番号。

Risk Level アラートの危険度アイコン。

Alert Name アラート名。

Source IP アラートの発信元 IP アドレス。

Source Port アラートの発信元ポートとポート名。

Destination IP アラートの宛先 ( または対象 ) IP アドレス。

Destination Port アラートの宛先 ( または対象 ) ポートとポート名。

Protocol アラートのプロトコルとプロトコル番号。

Vuln Status 脆弱点のステータス。

Alert Date & Time アラートの発生日時。

162

アラートの表示アラートの表示アラートの表示アラートの表示

2. アラートの詳細を表示するには、アラート名アラート名アラート名アラート名をクリックします。

ヒントヒントヒントヒント : 前後のアラートの詳細を表示するには、上向き矢印または下向き矢印をクリックします。

3. ビューを更新するには、 [Refresh Data] リストから次のいずれかを選択します。

� リストを直ちに更新するには、 [Refresh Now] を選択します。

� リストを自動的に更新するには、更新間隔を選択します。

ヒントヒントヒントヒント : 自動更新を無効にするには、 [Auto Off] を選択します。このオプションを選択した場

合は、ページを手動で更新して新アラートを表示する必要があります。

アラートのフィルタリンアラートのフィルタリンアラートのフィルタリンアラートのフィルタリンググググ

アラートをフィルタリングするには :







2. [Alerts] タブで、次の表を参照して [Filter Options] からフィルタオプションを 1 つ選択しま

す。

オプションオプションオプションオプション説明説明説明説明

Risk Level [Risk Level] リストで選択したレベルのアラートが表示されま

す。

Alert Name 検索するアラートの名前アラートの名前アラートの名前アラートの名前を入力します。

アラート名の検索には、ワイルドカード文字を使用できます。

Alert Type Intrusion Prevention または System のいずれかのアラートアラートアラートアラートタイタイタイタイ

ププププを選択します。

Date and Time アラートの検索を行う特定の開始日時を [Start Date and Time] に、または終了日時を [End Date and Time] に入力します。

Source IP 指定した発信元発信元発信元発信元 IP アドレスアドレスアドレスアドレスに関して、アラートを検索します。

Target IP 指定した対象対象対象対象 IP アドレスアドレスアドレスアドレスに関して、アラートを検索します。

Source and Target IP 指定した発信元と対象の発信元と対象の発信元と対象の発信元と対象の IP アドレスアドレスアドレスアドレスに関して、アラートを検索

します。

Source Port Number 指定した発信元ポート番号発信元ポート番号発信元ポート番号発信元ポート番号に関して、アラートを検索します。

Target Port Number 指定した対象ポート番号対象ポート番号対象ポート番号対象ポート番号に関して、アラートを検索します。

Protocol Number 指定したプロトコル番号プロトコル番号プロトコル番号プロトコル番号で、アラートを検索します。

Multiple Values アラート検索に使用するフィルタの組み合わせを入力します。

たとえば、日時、発信元 IP、プロトコルタイプの値を入力して

検索を絞り込むことができます。



アラートアラートアラートアラートリストの保存リストの保存リストの保存リストの保存アラートリストを保存するには :







2. [Alerts] タブで、次の表を参照して [Save alerts list to file] を選択します。

3. 保存対象の情報があるログを選択し、 [Download] をクリックします。

4. [File Download] ダイアログボックスで、 [Save] をクリックします。


� この情報を新しいファイルに保存するには、新しいファイル名を入力してから [Save] をク


� この情報を既存のファイルに保存するには、 [Save] をクリックします。

リストからのアラートのリストからのアラートのリストからのアラートのリストからのアラートの消去消去消去消去

アラートをリストから消去するには :







2. [Alerts] タブで、次の表を参照して [Clear alerts list to file] を選択します。


164

保存されたアラート保存されたアラート保存されたアラート保存されたアラートファイルの管理ファイルの管理ファイルの管理ファイルの管理

保存されたアラート保存されたアラート保存されたアラート保存されたアラートファイルの管理ファイルの管理ファイルの管理ファイルの管理

はじめにはじめにはじめにはじめに Proventia Manager の [Log File Management] ページを使用して、保存したアラートファイルの表示と管理を行うことができます。別のシステムへのファイルのダウンロード、ファイルの削除、またはその両方を行うことができます。別のシステムへファイルをダウンロードした後も、保存されたファイルはアプライアンス上に存在します。

アラートアラートアラートアラートファイルのダファイルのダファイルのダファイルのダ

ウンロードウンロードウンロードウンロード

アラートファイルをダウンロードするには :







2. [Alerts] ページで、 [View/manage alerts Files] をクリックします。

3. ダウンロードするファイルを選択し、 [Download] をクリックします。

4. [Save the file to disk] を選択し、 [OK] をクリックします。

5. [File Name] にファイル名を入力し、 [Save] をクリックします。

アラートアラートアラートアラートファイルの削ファイルの削ファイルの削ファイルの削

除除除除

アラートファイルを削除するには :







2. [Alerts] ページで、 [View/manage alerts Files] をクリックします。


� 削除するファイルを選択し、 [Delete] をクリックします。

� [Delete All] をクリックします。




通知ステータスの表示通知ステータスの表示通知ステータスの表示通知ステータスの表示

はじめにはじめにはじめにはじめに [Notifications Status] 領域には、アプライアンス上で発生中のアクションに関する有益な情報が表示されます。

次の情報を参照または変更することができます。

� アラートイベントログデータ

� システムログ

アラートアラートアラートアラートイベントイベントイベントイベントログログログログデータの表示データの表示データの表示データの表示

[Notifications Status] ページのアラートイベントログ情報を使用して、イベントログのサイズと数を監視することができます。この情報の監視は、システムおよびイベントデータを効率よく管理するのに役立ちます。深刻なイベントが発生した場合には、情報を見つけだして問題を迅速に解決することができます。

[Alert Event Log] 表には、次の情報が表示されます。

システムシステムシステムシステムログの表示ログの表示ログの表示ログの表示 [System Logs] ページを使用して、システムログを表示します。システムログには、ユーザーがアクションを実行した ( システム再起動、手動による機能設定 )、またはアプライアンス自体がアクションを取った ( 自動アップデートなど ) など、アプライアンスが取ったアクションに関する重要な情報が含まれています。

通知ステータス通知ステータス通知ステータス通知ステータスデータデータデータデータ

の更新の更新の更新の更新

このページを、特定の間隔で手動更新または自動更新することができます。

データを更新するには :

� [Refresh Data] リストからオプションを選択します。

� Refresh Now ( このオプションは、手動でページを更新する場合に使用します )

� every 10 seconds (30 秒ごと )



� every 1 minute (1 分ごと )

� every 2 minutes (2 分ごと )

� Auto Off ( このオプションは、自動更新を無効にする場合に使用します )

ページが更新され、新のイベントが表示されます。


Number of Logged Alerts ログファイルに書き込まれるアラートの数。

Percentage Full 割り当てられた容量の、アラートログ項目を含むパーセンテー

ジ。

Time of Last Alert ログファイルへアラートが後に書き込まれた日時。

表表表表 39: アラートイベントログデータ

166

統計値の表示統計値の表示統計値の表示統計値の表示

統計値の表示統計値の表示統計値の表示統計値の表示

はじめにはじめにはじめにはじめに [Statistics] ページを使用して、アプライアンスによって処理されたネットワークトラフィックの統計値を参照します。これらの統計値は、テスト、トラブルシューティング、ネットワークデータや攻撃傾向を探し出すためのある種の監査に使用することができます。

統計値の表示統計値の表示統計値の表示統計値の表示統計値を参照するには :

1. Proventia Manager のナビゲーションウィンドウ枠で、 [Statistics] を選択します。

2. 表示する統計値ページを選択します。

ドライバドライバドライバドライバパケットの種パケットの種パケットの種パケットの種

類類類類

次の表では、ドライバパケットについて説明します。


Protection statistics [Protection Statistics] ページを使用して、現在のアプライアンス

設定と、設定の結果として生じた動作に関する情報を参照します。この情報には、攻撃およびアプライアンスが取ったブロックアクションに関する詳細のほか、有効化されているイベントチェックが含まれます。

Packet analysis statistics [Packet Analysis Statistics] ページを使用して、 PAM (Protocol Analysis Module) から出力された統計値すべてを参照します。こ

の情報を使用して、プロトコルの回数やプロトコルの処理を追跡することができます。

Driver statistics [Driver Statistics] ページを使用して、パケット総数 ( インジェク

ト、拒否、またはドロップされたパケットなど ) や分析されずに

ネットワークを通過したパケットに関する情報のほか、アプライアンスで使用される各アダプタにおけるネットワークアクティ

ビティを参照します。分析されていないパケットは、アプライアンスがオーバーロードしている場合、またはグループを通じたポリシー「適用」などのルーチンイベントが原因で、通過可能と

なる可能性があります。

パケットパケットパケットパケット説明説明説明説明

Received Packets アダプタのインスタンスが作成されて以来、受信されたパケットの数。

Transmitted Packets アダプタのインスタンスが作成されて以来、送信されたパケットの数。この数には、転送されたパケット、インジェクトされたパケット、未分析のパケットが含まれます。

Forwarded Packets アダプタのインスタンスが作成されて以来、対のインターフェースまたはミラーインターフェースに転送されたパケットの数。

この数にはインジェクトされたパケットは含まれませんが、分析されずに転送されたパケットは含まれます。

Dropped Packets アダプタのインスタンスが作成されて以来、転送されなかった (ドロップされた ) パケットの数。分析されずにドロップされたパ

ケットも含まれます。

表表表表 40: ドライバパケット



Injected Packets アダプタのインスタンスが作成されて以来、インジェクトされたパケット ( アプリケーションによって構成され、送信されたパ

ケット ) の数。

Unanalyzed Packets アダプタのインスタンスが作成されて以来、分析されずに転送またはドロップされたパケットの数。アプリケーションが受信後すぐに未分析パケットを処理できない場合、これらはドライバによって処理されます。未分析パケットを転送またはドロップするかどうかや、アプリケーションが動作を継続していないとドライバが判断する場合のしきい値は、設定パラメータによって決定されます。

パケットパケットパケットパケット説明説明説明説明

表表表表 40: ドライバパケット

168

索引索引索引索引

bBlock Percentage 110

cConnection Event タブ 111, 114crm.history.enabled 148crm.history.file 148crm.policy.numbackups 148

dDest IP 110Dest Port 110DNS_Query コンテキスト 117

eEmail_Receiver コンテキスト 117Email_Sender コンテキスト 118Email_Subject context 118Email レスポンス

追加 99engine.adapter.high-water.default 148engine.adapter.low-water.default 149engine.droplog.enabled 149engine.droplog.fileprefix 149engine.droplog.filesuffix 149engine.droplog.flush 149engine.droplog.maxfiles 149engine.droplog.maxkbytes 149engine.evidencelog. maxkbytes 149engine.evidencelog.fileprefix 149engine.evidencelog.filesufffix 149engine.evidencelog.maxfiles 149engine.evidencelog.maxkbytes 149engine.log.file 149engine.pam.logfile 149engine.statistics.interval 149Expiration Time 110


fFile_Name コンテキスト 118Find Updates ボタン 60FINGER、関連ユーザー名の監視 121

hHA 実装論理図 47HA 設定 45HA モード 45HTTP GET 要求 120

iICMP Code 110ICMP Type 110ILOVEYOU ウィルスの例 118Internet Security Systems

Web サイト xiiテクニカルサポート xii

ISS のマネージメントコンソール 16, 72

lLicensing ページ 56Log Evidence タブ 101

nNetwork Sensor

169


正規表現ライブラリ 122News_Group コンテキスト 118np.drop.invalid.checksum 149np.drop.invalid.protocol 150np.drop.resource.error 150np.drop.rogue.tcp.packets 150np.firewall.log 150np.log.quarantine.added 150np.log.quarantine.expired 150np.log.quarantine.removed 150np.statistics 150np.statistics.file 150

ppam.traffic.sample 150pam.traffic.sample.interval 150Password コンテキスト 119Protocol 110PXE ブートサーバー 39

qQuarantine Intruder 102Quarantine Trojan 102Quarantine Worm 102Quarantine タブ 102Quarantine レスポンス

追加 102Quarantine レスポンスオブジェクト 102

rReadme ix

ssensor.trace.level 150SiteProtector 16, 72SiteProtector による管理のオプション 73SiteProtector による管理の設定 74SNMP EXPN、関連ユーザー名の監視 121SNMP、関連ユーザー名の監視 121SNMP コミュニティ文字列 120SNMP_Community コンテキスト 120SNMP タブ 104SNMP レスポンス

170

追加 104Source IP 110Source Port 110

tTrons ルール

追加 125

uUpdate Settings ページ 60Updates to Download ページ 60URL_Data コンテキスト 120User Specified タブ 106User_Login_Name コンテキスト 121User_Probe_Name コンテキスト 121

vVRFY、関連ユーザー名の監視 121

wWeb サイト、 Internet Security Systems xii

ああああアップデート

アプライアンス 60アップデートの検索

プロセス 60アップデートパッケージ 60アプライアンスソフトウェアの再インストール 41アプライアンスの再インストール

再設定 42アプライアンスの再設定 42

いいいいイベントの参照 16印刷上の表記規則 x

かかかか管理パスワードの変更 159関連マニュアル ix


ここここコンテキスト

DNS_Query 117Email_Receiver 117Email_Sender 118Email_Subject 118File_Name 118News_Group 118Password 119SNMP_Community 120URL_Data 120User_Login_Name 121User_Probe_Name 121

しししし事前定義されたレスポンスオブジェクト 102自動アップデート 60使用、プロテクションドメイン 82

すすすす図

PXE セットアップ 41

せせせせ正規表現

ユーザー定義シグネチャ 122セキュリティイベント

説明 84設定、外部 Kill ポート 152設定スナップショット、作成 40

たたたた対象読者 vii

つつつつ追加、 Email レスポンス 99追加、 Quarantine レスポンス 102追加、 SNMP レスポンス 104追加、プロテクションドメイン 82追加、ユーザー指定レスポンス 106


ててててテクニカルサポート、 Internet Security Systems xii

とととと動作モード

定義 17, 20

ぬぬぬぬヌルモデムケーブル 40

ははははハイアベイラビリティ実装 47ハイアベイラビリティ設定 46ハイアベイラビリティについて 44パスワード

root 159管理用 159ブートローダ 159

ひひひひ表記規則、印刷上

コマンド x手順 x本書 x

ふふふふファームウェアアップデート 60ブートローダパスワード 159不正侵入防御アップデート 60HA 物理ネットワーク図 48プロテクションドメイン

使用する場合 82追加 82

へへへへ変更

アプライアンスモード 17パスワード 159

変更、アプライアンスのパスワード 159

171


ほほほほ防御ステータス 57

ままままマネージメントコンソール

ユーザーマニュアル 16

ゆゆゆゆユーザー指定レスポンス

追加 106ユーザー定義シグネチャ

正規表現 122優先順位

正規表現での変更 122

よよよよ( 読み取り専用 ) SPAN ポートの監視 152

ららららライセンスファイル

HA 56HA 以外 56

りりりりリモート root アクセスの無効化 34

ろろろろロールバック 60

172

Internet Security Systems, Inc. Software License Agreement THIS SOFTWARE PRODUCT IS PROVIDED IN OBJECT CODE AND IS LICENSED, NOT SOLD. BY INSTALLING, ACTIVATING, COPYING OR OTHERWISE USING THIS SOFTWARE PRODUCT, YOU AGREE TO ALL OF THE PROVISIONS OF THIS SOFTWARE LICENSE AGREEMENT (“LICENSE”). EXCEPT AS MAY BE MODIFIED BY AN APPLICABLE ISS LICENSE NOTIFICATION THAT ACCOMPANIES, PRECEDES, OR FOLLOWS THIS LICENSE, AND AS MAY FURTHER BE DEFINED IN THE USER DOCUMENTATION ACCOMPANYING THE SOFTWARE PRODUCT, YOUR RIGHTS AND OBLIGATIONS WITH RESPECT TO THE USE OF THIS SOFTWARE PRODUCT ARE AS SET FORTH BELOW. IF YOU ARE NOT WILLING TO BE BOUND BY THIS LICENSE, RETURN ALL COPIES OF THE SOFTWARE PRODUCT, INCLUDING ANY LICENSE KEYS, TO ISS WITHIN FIFTEEN (15) DAYS OF RECEIPT FOR A FULL REFUND OF ANY PAID LICENSE FEE. IF THE SOFTWARE PRODUCT WAS OBTAINED BY DOWNLOAD, YOU MAY CERTIFY DESTRUCTION OF ALL COPIES AND ANY LICENSE KEYS IN LIEU OF RETURN. 1. License - Upon your payment of the applicable fees and ISS delivery to you of the applicable license notification, Internet Security Systems, Inc. (“ISS”) grants to

you as the only end user (“Licensee”) a nonexclusive and nontransferable, limited license for the accompanying ISS software product, the related documentation, and any associated license key(s) (Software), for use only on the specific network configuration, for the number and type of devices, and for the time period (“Term”) that are specified in ISS quotation and Licensees purchase order, as accepted by ISS. ISS limits use of Software based upon the number of nodes, users and/or the number and type of devices upon which it may be installed, used, gather data from, or report on, depending upon the specific Software licensed. A device includes any network addressable device connected to Licensees network, including remotely, including but not limited to personal computers, workstations, servers, routers, hubs and printers. A device may also include ISS hardware (each an Appliance) delivered with pre-installed Software and the license associated with such shall be a non-exclusive, nontransferable, limited license to use such pre-installed Software only in conjunction with the ISS hardware with which it is originally supplied and only during the usable life of such hardware. Except as provided in the immediately preceding sentence, Licensee may reproduce, install and use the Software on multiple devices, provided that the total number and type are authorized by ISS. Licensee may make a reasonable number of backup copies of the Software solely for archival and disaster recovery purposes. In connection with certain Software products, ISS licenses security content on a subscription basis for a Term. Content subscriptions are licensed pursuant to this License based upon the number of protected nodes or number of users. Security content is regularly updated and includes, but is not limited to, Internet content (URLs) and spam signatures that ISS classifies, security algorithms, checks, decodes, and ISS related analysis of such information, all of which ISS regards as its confidential information and intellectual property. Security content may only be used in conjunction with the applicable Software in accordance with this License. The use or re-use of such content for commercial purposes is prohibited. Licensees access to the security content is through an Internet update using the Software. In addition, unknown URLs may be automatically forwarded to ISS through the Software, analyzed, classified, entered into ISS URL database and provided to Licensee as security content updates at regular intervals. ISS URL database is located at an ISS facility or as a mirrored version on Licensees premises. Any access by Licensee to the URL database that is not in conformance with this License is prohibited. Upon expiration of the security content subscription Term, unless Licensee renews such content subscription, Licensee shall implement appropriate system configuration modifications to terminate its use of the content subscription. Upon expiration of the license Term, Licensee shall cease using the Software and certify return or destruction of it upon request.

2. Migration Utilities - For Software ISS markets or sells as a Migration Utility, the following shall apply. Provided Licensee holds a valid license to the ISS Software to which the Migration Utility relates (the Original Software), ISS grants to Licensee as the only end user a nonexclusive and nontransferable, limited license to the Migration Utility and the related documentation (“Migration Utility”) for use only in connection with Licensees migration of the Original Software to the replacement software, as recommended by ISS in the related documentation. The Term of this License is for as long as Licensee holds a valid license to the applicable Original Software. Licensee may reproduce, install and use the Migration Utility on multiple devices in connection with its migration from the Original Software to the replacement software. Licensee shall implement appropriate safeguards and controls to prevent unlicensed use of the Migration Utility. Licensee may make a reasonable number of backup copies of the Migration Utility solely for archival and disaster recovery purposes.

3. Third-party Products - Use of third party product(s) supplied hereunder, if any, will be subject solely to the manufacturers terms and conditions that will be provided to Licensee upon delivery. ISS will pass any third party product warranties through to Licensee to the extent authorized. If ISS supplies Licensee with Crystal Decisions Runtime Software, then the following additional terms apply: Licensee agrees not to alter, disassemble, decompile, translate, adapt or reverse-engineer the Runtime Software or the report file (.RPT) format, or to use, distribute or integrate the Runtime Software with any general-purpose report writing, data analysis or report delivery product or any other product that performs the same or similar functions as Crystal Decisions product offerings; Licensee agrees not to use the Software to create for distribution a product that converts the report file (.RPT) format to an alternative report file format used by any general-purpose report writing, data analysis or report delivery product that is not the property of Crystal Decisions; Licensee agrees not to use the Runtime Software on a rental or timesharing basis or to operate a service bureau facility for the benefit of third parties unless Licensee first acquires an Application Service Provider License from Crystal Decisions; CRYSTAL DECISIONS AND ITS SUPPLIERS DISCLAIM ALL WARRANTIES, EXPRESS, OR IMPLIED, INCLUDING WITHOUT LIMITATION THE WARRANTIES OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE, AND NONINFRINGEMENT OF THIRD PARTY RIGHTS. CRYSTAL DECISIONS AND ITS SUPPLIERS SHALL HAVE NO LIABILITY WHATSOEVER UNDER THIS AGREEMENT OR IN CONNECTION WITH THE SOFTWARE. In this section 3 Software means the Crystal Reports software and associated documentation supplied by ISS and any updates, additional modules, or additional software provided by Crystal Decisions in connection therewith; it includes Crystal Decisions Design Tools, Report Application Server and Runtime Software, but does not include any promotional software or other software products provided in the same package, which shall be governed by the online software license agreements included with such promotional software or software product.

4. Beta License - If ISS is providing Licensee with the Software, security content and related documentation, and/or an Appliance as a part of an alpha or beta test, the following terms of this Section 4 additionally apply and supersede any conflicting provisions herein or any other license agreement accompanying, contained or embedded in the subject prototype product or any associated documentation. ISS grants to Licensee a nonexclusive, nontransferable, limited license to use the ISS alpha/beta software program, security content, if any, Appliance and any related documentation furnished by ISS (Beta Products) for Licensees evaluation and comment (the “Beta License”) during the Test Period. ISS standard test cycle, which may be extended at ISS discretion, extends for sixty (60) days, commencing on the date of delivery of the Beta Products (the “Test Period”). Upon expiration of the Test Period or termination of the Beta License, Licensee shall, within thirty (30) days, return to ISS or destroy all copies of the beta Software, and shall furnish ISS written confirmation of such return or destruction upon request. If ISS provides Licensee a beta Appliance, Licensee agrees to discontinue use of and return such Appliance to ISS upon ISS request and direction. If Licensee does not promptly comply with this request, ISS may, in its sole discretion, invoice Licensee in accordance with ISS current policies. Licensee will provide ISS information reasonably requested by ISS regarding Licensee’s experiences with the installation and operation of the Beta Products. Licensee agrees that ISS shall have the right to use, in any manner and for any purpose, any information gained as a result of Licensees use and evaluation of the Beta Products. Such information shall include but not be limited to changes, modifications and corrections to the Beta Products. Licensee grants to ISS a perpetual, royalty-free, non-exclusive, transferable, sublicensable right and license to use, copy, make derivative works of and distribute any report, test result, suggestion or other item resulting from Licensee’s evaluation of its installation and operation of the Beta Products. LICENSEE AGREES NOT TO EXPORT BETA PRODUCTS DESIGNATED BY ISS IN ITS BETA PRODUCT DOCUMENTATION AS NOT YET CLASSIFIED FOR EXPORT TO ANY DESTINATION OTHER THAN THE U.S. AND THOSE COUNTRIES ELIGIBLE FOR EXPORT UNDER THE PROVISIONS OF 15 CFR 740.17(A) (SUPPLEMENT 3), CURRENTLY CANADA, THE EUROPEAN UNION, AUSTRALIA, JAPAN, NEW ZEALAND, NORWAY, AND SWITZERLAND. If Licensee is ever held or deemed to be the owner of any copyright rights in the Beta Products or any changes, modifications or corrections to the Beta Products, then Licensee hereby irrevocably assigns to ISS all such rights, title and interest and agrees to execute all documents necessary to implement and confirm the letter and intent of this Section. Licensee acknowledges and agrees that the Beta Products (including its existence, nature and specific features) constitute Confidential Information as defined in Section 18. Licensee further agrees to treat as Confidential Information all feedback, reports, test results, suggestions, and other items resulting from Licensee’s evaluation and testing of the Beta Products as contemplated in this Agreement. With regard to the Beta Products, ISS has no obligation to provide support, maintenance, upgrades, modifications, or new releases. However, ISS agrees to use its reasonable efforts to correct errors in the Beta Products and related documentation within a reasonable time, and will provide Licensee with any corrections it makes available to other evaluation participants. The documentation relating to the Beta Products may be in draft form and will, in many cases, be incomplete. Owing to the experimental nature of the Beta Products, Licensee is advised not to rely exclusively on the Beta Products for any reason. LICENSEE AGREES THAT THE BETA PRODUCTS AND RELATED DOCUMENTATION ARE BEING DELIVERED “AS IS” FOR TEST AND EVALUATION PURPOSES ONLY WITHOUT WARRANTIES OF ANY KIND, INCLUDING WITHOUT LIMITATION ANY IMPLIED WARRANTY OF NONINFRINGEMENT, MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE. LICENSEE ACKNOWLEDGES AND AGREES THAT THE BETA PRODUCT MAY CONTAIN DEFECTS, PRODUCE ERRONEOUS AND UNINTENDED RESULTS AND MAY AFFECT DATA NETWORK SERVICES AND OTHER MATERIALS OF LICENSEE. LICENSEES USE OF THE BETA PRODUCT IS AT THE SOLE RISK OF LICENSEE. IN NO EVENT WILL ISS BE LIABLE TO LICENSEE OR ANY OTHER PERSON FOR DAMAGES, DIRECT OR INDIRECT, OF ANY NATURE, OR EXPENSES INCURRED BY LICENSEE. LICENSEE’S SOLE AND EXCLUSIVE REMEDY SHALL BE TO TERMINATE THE BETA PRODUCT LICENSE BY WRITTEN NOTICE TO ISS.

5. Evaluation License - If ISS is providing Licensee with the Software, security content and related documentation on an evaluation trial basis at no cost, such license Term is 30 days from installation, unless a longer period is agreed to in writing by ISS. ISS recommends using Software and security content for evaluation in a non-production, test environment. The following terms of this Section 5 additionally apply and supercede any conflicting provisions herein. Licensee agrees to remove or disable the Software and security content from the authorized platform and return the Software, security content and documentation to ISS upon expiration of the evaluation Term unless otherwise agreed by the parties in writing. ISS has no obligation to provide support, maintenance, upgrades, modifications, or new releases to the Software or security content under evaluation. LICENSEE AGREES THAT THE EVALUATION SOFTWARE, SECURITY CONTENT AND RELATED DOCUMENTATION ARE BEING DELIVERED AS IS FOR TEST AND EVALUATION PURPOSES ONLY WITHOUT WARRANTIES OF ANY KIND, INCLUDING WITHOUT LIMITATION ANY IMPLIED WARRANTY OF NONINFRINGEMENT, MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE. IN NO EVENT WILL ISS BE LIABLE TO LICENSEE OR ANY OTHER PERSON FOR DAMAGES, DIRECT

OR INDIRECT, OF ANY NATURE, OR EXPENSES INCURRED BY LICENSEE. LICENSEES SOLE AND EXCLUSIVE REMEDY SHALL BE TO TERMINATE THE EVALUATION LICENSE BY WRITTEN NOTICE TO ISS.

6. Covenants - ISS reserves all intellectual property rights in the Software, security content and Beta Products. Licensee agrees: (i) the Software, security content or Beta Products is owned by ISS and/or its licensors, is a valuable trade secret of ISS, and is protected by copyright laws and international treaty provisions; (ii) to take all reasonable precautions to protect the Software, security content or Beta Product from unauthorized access, disclosure, copying or use; (iii) not to modify, adapt, translate, reverse engineer, decompile, disassemble, or otherwise attempt to discover the source code of the Software, security content or Beta Product; (iv) not to use ISS trademarks; (v) to reproduce all of ISS and its licensors copyright notices on any copies of the Software, security content or Beta Product; and (vi) not to transfer, lease, assign, sublicense, or distribute the Software, security content or Beta Product or make it available for time-sharing, service bureau, managed services offering, or on-line use.

7. Support and Maintenance - Depending upon what maintenance programs Licensee has purchased, ISS will provide maintenance, during the period for which Licensee has paid the applicable maintenance fees, in accordance with its prevailing Maintenance and Support Policy that is available at http://documents.iss.net/maintenance_policy.pdf. Any supplemental Software code or related materials that ISS provides to Licensee as part of any support and maintenance service are to be considered part of the Software and are subject to the terms and conditions of this License, unless otherwise specified.

8. Limited Warranty - The commencement date of this limited warranty is the date on which ISS provides Licensee with access to the Software. For a period of ninety (90) days after the commencement date or for the Term (whichever is less), ISS warrants that the Software or security content will conform to material operational specifications described in its then current documentation. However, this limited warranty shall not apply unless (i) the Software or security content is installed, implemented, and operated in accordance with all written instructions and documentation supplied by ISS, (ii) Licensee notifies ISS in writing of any nonconformity within the warranty period, and (iii) Licensee has promptly and properly installed all corrections, new versions, and updates made available by ISS to Licensee. Furthermore, this limited warranty shall not apply to nonconformities arising from any of the following: (i) misuse of the Software or security content, (ii) modification of the Software or security content, (iii) failure by Licensee to utilize compatible computer and networking hardware and software, or (iv) interaction with software or firmware not provided by ISS. If Licensee timely notifies ISS in writing of any such nonconformity, then ISS shall repair or replace the Software or security content or, if ISS determines that repair or replacement is impractical, ISS may terminate the applicable licenses and refund the applicable license fees, as the sole and exclusive remedies of Licensee for such nonconformity. THIS WARRANTY GIVES LICENSEE SPECIFIC LEGAL RIGHTS, AND LICENSEE MAY ALSO HAVE OTHER RIGHTS THAT VARY FROM JURISDICTION TO JURISDICTION. ISS DOES NOT WARRANT THAT THE SOFTWARE OR THE SECURITY CONTENT WILL MEET LICENSEE’S REQUIREMENTS, THAT THE OPERATION OF THE SOFTWARE OR SECURITY CONTENT WILL BE UNINTERRUPTED OR ERROR-FREE, OR THAT ALL SOFTWARE OR SECURITY CONTENT ERRORS WILL BE CORRECTED. LICENSEE UNDERSTANDS AND AGREES THAT THE SOFTWARE AND THE SECURITY CONTENT ARE NO GUARANTEE AGAINST UNSOLICITED E-MAILS, UNDESIRABLE INTERNET CONTENT, INTRUSIONS, VIRUSES, TROJAN HORSES, WORMS, TIME BOMBS, CANCELBOTS OR OTHER SIMILAR HARMFUL OR DELETERIOUS PROGRAMMING ROUTINES AFFECTING LICENSEE’S NETWORK, OR THAT ALL SECURITY THREATS AND VULNERABILITIES, UNSOLICITED E-MAILS OR UNDESIRABLE INTERNET CONTENT WILL BE DETECTED OR THAT THE PERFORMANCE OF THE SOFTWARE AND SECURITY CONTENT WILL RENDER LICENSEES SYSTEMS INVULNERABLE TO SECURITY BREACHES. THE REMEDIES SET OUT IN THIS SECTION 8 ARE THE SOLE AND EXCLUSIVE REMEDIES FOR BREACH OF THIS LIMITED WARRANTY.

9. Warranty Disclaimer - EXCEPT FOR THE LIMITED WARRANTY PROVIDED ABOVE, THE SOFTWARE AND SECURITY CONTENT ARE EACH PROVIDED AS IS AND ISS HEREBY DISCLAIMS ALL WARRANTIES, BOTH EXPRESS AND IMPLIED, INCLUDING IMPLIED WARRANTIES RESPECTING MERCHANTABILITY, TITLE, NONINFRINGEMENT, AND FITNESS FOR A PARTICULAR PURPOSE. LICENSEE EXPRESSLY ACKNOWLEDGES THAT NO REPRESENTATIONS OTHER THAN THOSE CONTAINED IN THIS LICENSE HAVE BEEN MADE REGARDING THE GOODS OR SERVICES TO BE PROVIDED HEREUNDER, AND THAT LICENSEE HAS NOT RELIED ON ANY REPRESENTATION NOT EXPRESSLY SET OUT IN THIS LICENSE.

10. Proprietary Rights - ISS represents and warrants that ISS has the authority to license the rights to the Software and security content that are granted herein. ISS shall defend and indemnify Licensee from any final award of costs and damages against Licensee for any actions based on infringement of any U.S. copyright, trade secret, or patent as a result of the use or distribution of a current, unmodified version of the Software and security content, but only if ISS is promptly notified in writing of any such suit or claim, and only if Licensee permits ISS to defend, compromise, or settle same, and only if Licensee provides all available information and reasonable assistance. In any such suit, if the use of the alleged infringing intellectual property is held to constitute an infringement and is enjoined, or if in light of any claim, ISS deems it reasonably advisable to do so, ISS may at ISS sole option: (i) procure the right to continue the use of such Software and security content for Licensee; (ii) replace or modify such Software and security content in a manner such that such Software and security content are free of the infringement claim; or (iii) require Licensee to return the same to ISS and ISS shall refund the fees paid for the affected Software, security content or portion thereof, less amortization for use (A) on a straight line basis over a period of three (3) years from the effective date of the applicable order for a perpetual license, or (B) on a straight line basis over the subscription term for a term license. The foregoing is the exclusive remedy of Licensee and states the entire liability of ISS with respect to claims of infringement or misappropriation relating to the Software and security content.

11. Limitation of Liability - ISS’ ENTIRE LIABILITY FOR MONETARY DAMAGES ARISING OUT OF THIS LICENSE SHALL BE LIMITED TO THE AMOUNT OF THE LICENSE FEES ACTUALLY PAID BY LICENSEE UNDER THIS LICENSE, PRORATED OVER A THREE-YEAR TERM FROM THE DATE LICENSEE RECEIVED THE SOFTWARE. OR SECURITY CONTENT, AS APPLICABLE, IN NO EVENT SHALL ISS BE LIABLE TO LICENSEE UNDER ANY THEORY INCLUDING CONTRACT AND TORT (INCLUDING NEGLIGENCE AND STRICT PRODUCTS LIABILITY) FOR ANY SPECIAL, PUNITIVE, INDIRECT, INCIDENTAL OR CONSEQUENTIAL DAMAGES, INCLUDING, BUT NOT LIMITED TO, COSTS OF PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES, DAMAGES FOR LOST PROFITS, LOSS OF DATA, LOSS OF USE, OR COMPUTER HARDWARE MALFUNCTION, EVEN IF ISS HAS BEEN ADVISED OF THE POSSIBILITY OF SUCH DAMAGES.

12. Termination - Licensee may terminate this License at any time by notifying ISS in writing. All rights granted under this License will terminate immediately, without prior written notice from ISS, at the end of the term of the License, if not perpetual. If Licensee fails to comply with any provisions of this License, ISS may immediately terminate this License if such default has not been cured within ten (10) days following written notice of default to Licensee. Upon termination or expiration of a license for Software, Licensee shall cease all use of such Software, including Software pre-installed on ISS hardware, and destroy all copies of the Software and associated documentation. Termination of this License shall not relieve Licensee of its obligation to pay all fees incurred prior to such termination and shall not limit either party from pursuing any other remedies available to it.

13. General Provisions - This License, together with the identification of the Software and/or security content, pricing and payment terms stated in the applicable ISS quotation and Licensee purchase order (if applicable) as accepted by ISS, constitute the entire agreement between the parties respecting its subject matter. Standard and other additional terms or conditions contained in any purchase order or similar document are hereby expressly rejected and shall have no force or effect. If Licensee has not already downloaded the Software, security content and documentation, then it is available for download at http://www.iss.net/download/. All ISS hardware with pre-installed Software and any other products not delivered by download are delivered f.o.b. origin. This License will be governed by the substantive laws of the State of Georgia, USA, excluding the application of its conflicts of law rules. This License will not be governed by the United Nations Convention on Contracts for the International Sale of Goods, the application of which is expressly excluded. If any part of this License is found void or unenforceable, it will not affect the validity of the balance of the License, which shall remain valid and enforceable according to its terms. This License may only be modified in writing signed by an authorized officer of ISS.

14. Notice to United States Government End Users - Licensee acknowledges that any Software and security content furnished under this License is commercial computer software and any documentation is commercial technical data developed at private expense and is provided with RESTRICTED RIGHTS. Any use, modification, reproduction, display, release, duplication or disclosure of this commercial computer software by the United States Government or its agencies is subject to the terms, conditions and restrictions of this License in accordance with the United States Federal Acquisition Regulations at 48 C.F.R. Section 12.212 and DFAR Subsection 227.7202-3 and Clause 252.227-7015 or applicable subsequent regulations. Contractor/manufacturer is Internet Security Systems, Inc., 6303 Barfield Road, Atlanta, GA 30328, USA.

15. Export and Import Controls; Use Restrictions - Licensee will not transfer, export, or reexport the Software, security content, Beta Products, any related technology, or any direct product of either except in full compliance with the export controls administered by the United States and other countries and any applicable import and use restrictions. Licensee agrees that it will not export or reexport such items to anyone on the U.S. Treasury Department’s list of Specially Designated Nationals or the U.S. Commerce Department’s Denied Persons List or Entity List or such additional lists as may be issued by the U.S. Government from time to time, or to any country to which the United States has embargoed the export of goods or for use with chemical or biological weapons, sensitive nuclear end-uses, or missiles. Licensee represents and warrants that it is not located in, under control of, or a national or resident of any such country or on any such list. Many ISS software products include encryption and export outside of the United States or Canada is strictly controlled by U.S. laws and regulations. ISS makes its current export classification information available at http://www.iss.net/export. Please contact ISS’ Sourcing and Fulfillment for export questions relating to the Software or security content ([email protected]). Licensee understands that the foregoing obligations are U.S. legal requirements and agrees that they shall survive any term or termination of this License.

16. Authority - Because the Software is designed to test or monitor the security of computer network systems and may disclose or create problems in the operation of the systems tested, Licensee and the persons acting for Licensee represent and warrant that: (a) they are fully authorized by the Licensee and the owners of the computer network for which the Software is licensed to enter into this License and to obtain and operate the Software in order to test and monitor that computer network; (b) the Licensee and the owners of that computer network understand and accept the risks involved; and (c) the Licensee shall procure and use the Software in accordance with all applicable laws, regulations and rules.

17. Disclaimers - Licensee acknowledges that some of the Software and security content is designed to test the security of computer networks and may disclose or create problems in the operation of the systems tested. Licensee further acknowledges that neither the Software nor security content is fault tolerant or designed or intended for use in hazardous environments requiring fail-safe operation, including, but not limited to, aircraft navigation, air traffic control systems, weapon systems, life-support systems, nuclear facilities, or any other applications in which the failure of the Software and security content could lead to death or personal injury, or severe physical or property damage. ISS disclaims any implied warranty of fitness for High Risk Use. Licensee accepts the risk associated with the foregoing disclaimers and hereby waives all rights, remedies, and causes of action against ISS and releases ISS from all liabilities arising therefrom.

18. Confidentiality - “Confidential Information” means all information proprietary to a party or its suppliers that is marked as confidential. Each party acknowledges that during the term of this Agreement, it will be exposed to Confidential Information of the other party. The obligations of the party (“Receiving Party”) which receives Confidential Information of the other party (“Disclosing Party”) with respect to any particular portion of the Disclosing Party’s Confidential Information shall not attach or shall terminate when any of the following occurs: (i) it was in the public domain or generally available to the public at the time of disclosure to the Receiving Party, (ii) it entered the public domain or became generally available to the public through no fault of the Receiving Party subsequent to the time of disclosure to the Receiving Party, (iii) it was or is furnished to the Receiving Party by a third parting having the right to furnish it with no obligation of confidentiality to the Disclosing Party, or (iv) it was independently developed by the Receiving Party by individuals not having access to the Confidential Information of the Disclosing Party. Each party acknowledges that the use or disclosure of Confidential Information of the Disclosing Party in violation of this License could severely and irreparably damage the economic interests of the Disclosing Party. The Receiving Party agrees not to disclose or use any Confidential Information of the Disclosing Party in violation of this License and to use Confidential Information of the Disclosing Party solely for the purposes of this License. Upon demand by the Disclosing Party and, in any event, upon expiration or termination of this License, the Receiving Party shall return to the Disclosing Party all copies of the Disclosing Party’s Confidential Information in the Receiving Party’s possession or control and destroy all derivatives and other vestiges of the Disclosing Party’s Confidential Information obtained or created by the Disclosing Party. All Confidential Information of the Disclosing Party shall remain the exclusive property of the Disclosing Party.

19. Compliance - From time to time, ISS may request Licensee to provide a certification that the Software and security content is being used in accordance with the terms of this License. If so requested, Licensee shall verify its compliance and deliver its certification within forty-five (45) days of the request. The certification shall state Licensees compliance or non-compliance, including the extent of any non-compliance. ISS may also, at any time, upon thirty (30) days prior written notice, at its own expense appoint a nationally recognized software use auditor, to whom Licensee has no reasonable objection, to audit and examine use and records at Licensee offices during normal business hours, solely for the purpose of confirming that Licensees use of the Software and security content is in compliance with the terms of this License. ISS will use commercially reasonable efforts to have such audit conducted in a manner such that it will not unreasonably interfere with the normal business operations of Licensee. If such audit should reveal that use of the Software or security content has been expanded beyond the scope of use and/or the number of authorized devices or Licensee certifies such non-compliance, ISS shall have the right to charge Licensee the applicable current list prices required to bring Licensee in compliance with its obligations hereunder with respect to its current use of the Software and security content. In addition to the foregoing, ISS may pursue any other rights and remedies it may have at law, in equity or under this License.

20. Data Protection - The data needed to process this transaction will be stored by ISS and may be forwarded to companies affiliated with ISS and possibly to Licensees vendor within the framework of processing Licensees order. All personal data will be treated confidentially.

2005 年 10 月 7 日改訂

176

VCCI についてこの装置は、情報処理装置等電波障害自主規制協議会（VCCI）の基準に基づくクラス A

情報技術装置です。この装置を家庭環境で使用すると電波障害を引き起こすことがありま

す。この場合には使用者が適切な対策を講ずるよう要求されることがあります。