キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
告知

JTAC-Mid-Career-Recruitment-2021.8

 

Umbrella: CDFW の IPS 機能について

229
閲覧回数
0
いいね!
0
コメント

 

2022 4 26 日現在の情報をもとに作成しています

 

1. はじめに

 

本記事では、CDFW (Cloud-Delivered Firewall) に新たに追加された IPS (Intrusion Detection System) 機能について紹介します。

 

Manage IPS

https://docs.umbrella.com/umbrella-user-guide/docs/manage-ips

 

なお、IPS を利用するには SIG Advantage または専用のアドオンを契約する必要があります。詳しくは以下の公開情報を参照してください。

 

Cisco Umbrella Packages

https://umbrella.cisco.com/products/umbrella-enterprise-security-packages

Leverage layer 7 protection including an Intrusion Prevention System の項

 

2. IPS とは

 

IPS は日本語で不正侵入防止システムなどと訳され、主に組織内のネットワークを監視し、不正なアクセスや異常なトラフィックを検知して、管理者に通知およびブロックするシステムを指します。IPS には専用の機器が用いられることが多いのですが、ファイアウォールなどの他のセキュリティ機器に内包している場合もあります。

 

Umbrella の IPS の場合、CDFW に内包しており、CDFW に到達したパケットを監視して、異常があれば Umbrella Dashboard で設定した IPS のポリシーに従い、ブロック (またはロギングのみ) を行います。

 

pic1.png

 

なお、アーキテクチャーの都合上、組織内から組織外へのパケット (および戻りパケット) を対象としており、組織外から組織内への 侵入を防止するというイメージではない点について注意してください。

 

3. IPS の設定

 

IPS を設定するには、まず Umbrella Dashboard のポリシー (Policies) > ファイアウォール ポリシー (Firewall Policy) を開き、画面右上の IPS 設定 (IPS Settings) アイコンをクリックします。

 

pic2.png

 

表示された画面の設定 (Setting) をオン (On) にすると IPS が有効になります。

 

pic3.png

 

侵入システムのモード (Intrusion System Mode) のプルダウンにおいて、まずはトラフィックを一切ブロックさせたくない場合は検出のみ (Detection) を、設定どおりブロックしても問題ない場合は保護 (Protection) を選びます。

 

 pic4.png

 

検知の精度を設定するために、IPSシグニチャリストに適用します (Apply to IPS Signature List) のプルダウンから、以下の 4 つのシグニチャリスト (攻撃を検知するパターンを集約したリスト) のいずれかを選びます。

 

  • Connectivity Over Security (セキュリティより接続性を優先)
  • Balanced Security and Connectivity (セキュリティと接続性をバランスよく)
  • Security Over Connectivity (セキュリティを優先)
  • Maximum Detection (最大限の検知)

 

最後に保存 (SAVE) ボタンを押すと、設定が完了します。これにより、ファイアウォール ポリシー (Firewall Policy) 画面に以下のようなメッセージが表示されるようになります。

 

pic5.png

 

なお、検知の精度に関しては、「セキュリティ レベル」と「ブロックされずにアクセスできるかどうか (接続性)」がトレードオフの関係にあります。つまり、過度に検知項目が増えると、必要なサイトにアクセスできないトラブルが増します。

 

以上で IPS の基本的な設定は終わりですが、既定の 4 種類のシグニチャリストにそれぞれどのようなシグニチャが用意されているかについて知りたい場合や、独自のシグニチャリストを用意した場合は、次の項を参照してください。

 

4. シグニチャリストの内容と新規リストの作成

 

IPS の検知精度を決めるにあたり、あらかじめ各シグニチャリストの内容を確認したい場合は、Umbrella Dashboard のポリシー (Policies) > IPS シグニチャリスト (IPS Signature Lists) を開きます。

 

pic6.png

 

画面上部に 4 デフォルトIPSシグニチャリスト (4 Default IPS Signature Lists) という項目があり、それぞれの右端の下矢印をクリックすることで、どのシグニチャがブロック対象で、どれがロギングのみで、どれが特に何もしない (無視) かを確認することができます。

 

また、画面右上の追加 (Add) ボタンを押すことで、既存のシグニチャリストをもとにカスタマイズした独自のシグニチャリストを作成し、先ほどの IPS の設定画面で選択可能にすることもできます。

 

5. レポートの表示

 

以上の設定を行い、実際にユーザーのトラフィックに異常が検知された場合、その結果はアクティビティ検索 (Activity Search) レポートに表示されます。以下は表示例です。

 

pic7.png

 

※ 画像内の「許可: ブロックする」とは、シグニチャはブロック対象であったものの、モードが検出のみであったことを意味し、実際にはブロックされていません

 

なお、アクティビティ検索 (Activity Search) レポートには、それ以外にも DNS Web、ファイアウォールのログなども記録されるため、IPS のログだけを見たい場合は、画面右上の「すべて」を「IPS」に変更します。

 

画像9.png