®

G and GX Appliances User Guide

IBM Internet Security Systems, Inc.6303 Barfield RoadAtlanta, Georgia 30328-4233United States(404) 236-2600http://www.iss.net

インターネッ ト セキュ リテ ィ システムズ株式会社〒 141-0021東京都品川区上大崎 3-1-1JR 東急目黒ビル 16F03-5740-4050http://www.isskk.co.jp

© Internet Security Systems, Inc. 2003-2006. All rights reserved worldwide. この出版物の適切な数のコピーの作成は内部で使用する場合だけ許可されています。 それ以外の場合のこの出版物のすべてまたは一部のコピーまたは複製は、 Internet Security Systems, Inc. の事前の書面による同意なしにいかなる人物または企業にも許可されていません。

特許出願中。

Internet Security Systems、 System Scanner、 Wireless Scanner、 SecurityFusion Module、 SiteProtector、 Proventia Web Filter、 Proventia Mail Filter、Proventia Filter Reporter、 ADDME、 AlertCon、 ActiveAlert、 FireCell, FlexCheck、 Secure Steps、 SecurePartner、 SecureU、 および X-Press Update は Internet Security Systems, Inc. の商標およびサービス マーク、 Internet Security Systems のロゴ、 X-Force、 SAFEsuite、 Internet Scanner、Database Scanner、 Online Scanner, Proventia、 および RealSecure は同社の登録商標です。 Network ICE、 Network ICE のロゴ、 および ICEpac は Internet Security Systems, Inc. の完全所有子会社である Network ICE Corporation の商標、 BlackICE は同社の許諾商標、および ICEcap は同社の登録商標です。 SilentRunner は Raytheon Company の登録商標です。 Acrobat および Adobe は Adobe Systems Incorporated の登録商標です。Certicom は Certicom Corp の商標、 Security Builder は Certicom Corp の登録商標です。 Check Point、 FireWall-1、 OPSEC、 Provider-1、 および VPN-1 は Check Point Software Technologies Ltd. またはその関連会社の登録商標です。 Cisco および Cisco IOS は Cisco Systems, Inc. の登録商標です。 HP-UX および OpenView は Hewlett-Packard Company の登録商標です。 IBM および AIX は IBM Corporation の登録商標です。InstallShield は、 米国および / またはその他の国における InstallShield Software Corporation の登録商標およびサービス マークです。 Intel および Pentium は Intel の登録商標です。 Lucent は Lucent Technologies, Inc. の商標です。 ActiveX、 Microsoft、 Windows および Windows NT は Microsoft Corporation の登録商標または商標です。 Net8、 Oracle、 Oracle8、 SQL*Loader、 および SQL*Plus は Oracle Corporation の登録商標または商標です。 Seagate Crystal Reports、 Seagate Info、 Seagate、 Seagate Software および Seagate のロゴは、 Seagate Software Holdings, Inc. および /または Seagate Technology, Inc. の商標または登録商標です。 Secure Shell および SSH は SSH Communications Security の商標または登録商標です。 iplanet、 Sun、 Sun Microsystems、 Sun のロゴ、 Netra、 SHIELD、 Solaris、 SPARC および UltraSPARC は、 米国およびその他の国における Sun Microsystems, Inc. の商標または登録商標です。 すべての SPARC 商標は、 許可の下に使用され、 米国またはその他の国における SPARC International, Inc. の商標または登録商標です。 Adaptive Server、 SQL、 SQL Server、 および Sybase は Sybase, Inc.、 その関連会社と ラ イセンサーの商標です。 Tivoli は Tivoli Systems Inc. の登録商標です。 UNIX は米国およびその他の国において、 X/Open Company, Ltd. が独占的にライセンスを管理している登録商標です。 この文書で言及されているその他の名称はすべて、 各所有者のブランド名、 製品名、 商標または登録商標であ り、 権利侵害の意図なしに編集上の理由で使用されているものです。 仕様は予告なしに変更されるこ とがあ り ます。

免責免責免責免責 : この文書に記載されている情報は予告なしに変更されるこ とがあ り ます。 この文書を ISS または X-Force 以外のソースから入手した場合は、 改正または変更されている可能性があ り ます。 この情報を使用するこ とによ り、 一切の保証をするこ とな く 「現状」 のまま、 ユーザーの自己責任において使用するこ とに同意したものとみなされます。 ISS と X-Force は、 市場性および特定目的との適合性の保証を含む、 明示的または暗示的ないかなる保証も行いません。 ISS または X-Force は、 いかなる場合も、 本文書の使用または普及から生じる直接的、 間接的、付随的、 派生的、 または特別な損害を含む、 一切の障害について、 たとえ ISS または X-Force がそのよ う な損害が生じる可能性について報告を受けていたと しても、 損害賠償責任を負わないものと します。 州によっては、 偶発的または結果的な損害に対する責任の免除または制限が許可されていないため、 前述の限定事項が適用されない場合があ り ます。

こ こに記されている商標名、 商標、 製造業者、 またはそれ以外による、 特定の商品、 プロセス、 またはサービスなどの引用は、 必ずしも Internet Security Systems, Inc による保証や推奨、 または支持を表明した り暗示した りするものではあ り ません。 こ こに示されている著者の見解および意見は、 必ずしも Internet Security Systems, Inc. の見解および意見を主張、 または反映するものではなく、 広告または製品の推奨目的で使用されてはなり ません。

インターネッ ト リ ソースへの リ ンク とアド レスは、 リ リース前に十分検査されていますが、 常に変化を続けるインターネッ トの性質上、Internet Security Systems はリ ソースの内容やその存在について保証するこ とはできません。 可能であれば、 参照セクシ ョ ンには、 他の方法で情報を取得するのに使用するこ とができる代わりのサイ トやキーワードを記載しています。 リ ンクの破損や不適切な リ ンクにお気づきの場合は、 ト ピッ ク名、 リ ンク、 その動作状況を documentation@isskk.co.jp まで電子メールでご連絡ください。

２ ０ ０ ７年６月１ ２日

目次目次目次目次

前書き前書き前書き前書き . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . vii概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . vii

Proventia アプライアンスのマニュアルについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ix本書で使用する表記規則 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xテクニカル サポートについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xii . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xiv

第第第第 1 章章章章 : Proventia Network Intrusion Prevention System の概要の概要の概要の概要. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

不正侵入防御 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14インライン アプライアンスのアダプタ モード . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17ハイ アベイラビリテ ィ モード . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

第第第第 2 章章章章 : アプライアンス設定の構成アプライアンス設定の構成アプライアンス設定の構成アプライアンス設定の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

始める前に . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20Proventia Setup の使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21その他アプライアンス設定の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24アプライアンス ファームウェアの再インス トール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30

第第第第 3 章章章章 : ネッ トワーク可用性の維持ネッ トワーク可用性の維持ネッ トワーク可用性の維持ネッ トワーク可用性の維持 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35

ハイ アベイラビリテ ィについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36ハイ アベイラビリテ ィ構成の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38ハイ アベイラビリテ ィ実装. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39

第第第第 4 章章章章 : Proventia Manager の使用の使用の使用の使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41

始める前に . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42Proventia Manager へのアクセス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44Proventia Manager のナビゲーシ ョ ン . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46ライセンス ファイルのインス トール. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49Proventia Manager での作業 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50

第第第第 5 章章章章 : アプライアンスのアップデートアプライアンスのアップデートアプライアンスのアップデートアプライアンスのアップデート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53

アプライアンスのアップデート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54アプライアンスの自動アップデート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56アプライアンスの手動アップデート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59アップデート ツールの使用. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60アップデートの高度なパラメータの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61

第第第第 6 章章章章 : SiteProtector によるアプライアンスの管理によるアプライアンスの管理によるアプライアンスの管理によるアプライアンスの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65

SiteProtector による管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66SiteProtector による管理の設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68SiteProtector のナビゲーシ ョ ン . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71

iiiProventia Network IPS G and GX Appliance User Guide

Contents

第第第第 7 章章章章 : レスポンスの設定レスポンスの設定レスポンスの設定レスポンスの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75

レスポンスについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76Email レスポンスの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77Log Evidence レスポンスの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79Quarantine レスポンスの設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80SNMP レスポンスの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82ユーザー指定レスポンスの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84

第第第第 8 章章章章 : セキュリテ ィセキュリテ ィセキュリテ ィセキュリテ ィ イベン トでの作業イベン トでの作業イベン トでの作業イベン トでの作業 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87

プロテクシ ョ ン ド メインの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88セキュリテ ィ イベン トの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90複数のセキュリテ ィ イベン トへのプロテクシ ョ ン ド メインの割り当て . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94セキュリテ ィ イベン ト情報の表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95レスポンス フ ィルタの設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97レスポンス フ ィルタ情報の表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102

第第第第 9 章章章章 : その他の不正侵入防御設定の構成その他の不正侵入防御設定の構成その他の不正侵入防御設定の構成その他の不正侵入防御設定の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103

検疫済み不正侵入の管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104接続イベン トの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105ユーザー定義イベン トの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109ユーザー定義イベン トのコンテキスト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112ユーザー定義イベン トでの正規表現 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117ユーザー定義イベン ト情報の表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119OpenSignature の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120グローバル調整パラメータの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122X-Force デフォルト ブロッキングの設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124

第第第第 10 章章章章 : ファイアウォール設定の構成ファイアウォール設定の構成ファイアウォール設定の構成ファイアウォール設定の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125

ファイアウォール ルールの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126ファイアウォール ルールの言語 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130ファイアウォール ロギングの調整 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133

第第第第 11 章章章章 : ローカル調整パラメータの設定ローカル調整パラメータの設定ローカル調整パラメータの設定ローカル調整パラメータの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135

アラートの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136ネッ トワーク アダプタ カードの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139アラート キューの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142高度なパラメータの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143TCPReset の設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147大ネッ トワーク フレーム サイズの増加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148

第第第第 12 章章章章 : システム設定の管理システム設定の管理システム設定の管理システム設定の管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149

システム ステータスの表示. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150ログ ファイルの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151システム ツールでの作業 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152ユーザー アクセスの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153新ライセンスのインス トールと表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154

第第第第 13 章章章章 : アラート とシステム情報の表示アラート とシステム情報の表示アラート とシステム情報の表示アラート とシステム情報の表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155

アラートの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156保存されたアラート ファイルの管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159通知ステータスの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160

iv

Contents

統計値の表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161

索引索引索引索引 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163

vProventia Network IPS G and GX Appliance User Guide

Contents

vi

前書き前書き前書き前書き

概要概要概要概要

目的目的目的目的 本書は、 Proventia Network IPS G および GX アプライアンスのポ リ シーの作成および維持に役立つこ とを目的と しています。 また、 Proventia Manager ソフ ト ウェアを使用したアプライアンスの管理方法についても説明します。

取り扱い範囲取り扱い範囲取り扱い範囲取り扱い範囲 本書では、 Proventia Manager の機能、 アプライアンスの設定方法、 ポ リ シーの設定方法、 アプライアンスの管理方法について説明します。

対象読者対象読者対象読者対象読者 本書は、 ネッ ト ワーク環境での Proventia Network IPS の設定、 構成、 管理を担当するネッ ト ワーク セキュ リ ティ システム管理者を対象と しています。 ネッ ト ワーク セキュ リ ティ ポ リ シーおよび IP ネッ ト ワーク設定の基本知識が必要とな り ます。

vii

Proventia Network IPS G and GX Appliance User Guide

前書き前書き前書き前書き

このリ リースでの新機能このリ リースでの新機能このリ リースでの新機能このリ リースでの新機能 この リ リースは、 Proventia Network IPS G および GX アプライアンスの 1.4 ファームウェア アップデートに対応しています。 この リ リースには、 いくつかのバグ修正と小規模な機能拡張に加え、次の新機能が含まれています。

� ユーザー定義イベン ト用のプロテクシ ョ ン ド メ イン

� ボタンをク リ ッ ク した時のイベン ト シグネチャ情報

� 複数イベン トのレスポンス フ ィルターへの割り当て機能

サポート対象のアプライサポート対象のアプライサポート対象のアプライサポート対象のアプライアンスアンスアンスアンス モデルモデルモデルモデル

この Proventia Network IPS ファームウェア アップデートは、 次の G および GX モデルに対応しています。

� ファームウェア アップデート 1.2 を実行している Proventia G 100/200/400/1000/1200/2000

� Proventia GX3002

� Proventia GX4002、 GX4004

� Proventia GX5008 (C および CF)、 GX5108 (C および CF)

� Proventia GX6116

SiteProtector サポートサポートサポートサポート この Proventia Network IPS リ リースは、 次の SiteProtector バージ ョ ンでのアプライアンス管理に対応しています。

� SiteProtector 2.0 Service Pack 6.0

� SiteProtector 2.0 Service Pack 6.1

重要重要重要重要 : Proventia Network IPS GX6116 アプライアンスは、 SiteProtector 2.0 Service Pack 6.1 のみのみのみのみ

に対応しています。

viii

Proventia アプライアンスのマニュアルについてアプライアンスのマニュアルについてアプライアンスのマニュアルについてアプライアンスのマニュアルについて

Proventia アプライアンスのマニュアルについてアプライアンスのマニュアルについてアプライアンスのマニュアルについてアプライアンスのマニュアルについて

はじめにはじめにはじめにはじめに 本書では、 Proventia Manager ソフ ト ウェア ( ローカル管理インターフェース ) を使用した、Proventia Network IPS アプライアンスの不正侵入防御、 ファ イアウォール設定、 およびその他ポリ シー設定の構成方法について説明します。 また、 Proventia Configuration Menu と Proventia Manager の両方を使用したアプライアンス管理についても説明します。

その他マニュアルの場所その他マニュアルの場所その他マニュアルの場所その他マニュアルの場所 この ト ピッ クで説明されるその他のマニュアルは、 ISS の Web サイ ト (http://www.isskk.co.jp/document/manuals.html または http://www.iss.net/support/documentation/) で入手可能です。

関連資料関連資料関連資料関連資料 アプライアンスの詳細については、 次の資料を参照してください。

マニュアルマニュアルマニュアルマニュアル 内容内容内容内容

Proventia Network Intrusion Prevention System Help

Proventia Manager および SiteProtector の Proventia Network IPS Policy Editor 内にあるヘルプ

Proventia Network Intrusion Prevention System Data Sheet

以前の Proventia Network IPS ( 以前は G シリーズ ) アプライアンス

機能に関する一般的な情報

Proventia Network Intrusion Prevention System Frequently Asked Questions

アプライアンスとその機能に関するよ くある質問

Readme ファイル 製品の問題点やアップデート、 およびテクニカル サポートへの連絡

方法に関する 新情報 (https://www.iss.net/download/)

表表表表 1: 参考資料

ixProventia Network IPS G and GX Appliance User Guide

前書き前書き前書き前書き

本書で使用する表記規則本書で使用する表記規則本書で使用する表記規則本書で使用する表記規則

はじめにはじめにはじめにはじめに この ト ピッ クでは、 手順やコマンドをよ りわかりやすくするために、 本書で使用されている印刷上の表記規則を説明します。

手順手順手順手順 操作手順の説明の中で使用される表記規則は、 次のとおりです。

コマンドの表記規則コマンドの表記規則コマンドの表記規則コマンドの表記規則 コマンド ラインで使用される表記規則は、 次のとおりです。

表記規則表記規則表記規則表記規則 内容内容内容内容 例例例例

太字太字太字太字 (Bold) グラフ ィ カル ユーザー イン

ターフェースの要素

[IP Address] ボックスに、 コンピュータのアドレスを入力します。[Print] チェ ッ ク ボックスをオンにします。 [OK] をクリ ッ クします。

小型英大文字 (SMALL CAPS)

キーボード上のキー [ENTER] キーを押します。

等幅 (Constant width)

ファイル名、 フォルダ名、 パス名など、 表記どおりに入力する必要のある情報

User.txt ファイルを [Addresses] フォルダに保存します。[Username] ボックスに「IUSR__SMA」 と入力します。

等幅斜体 (Constant width italic)

ファイル名、 フォルダ名、 パス名など、 ユーザーが指定する必要のある情報

[Identification information] ボックスに Version number ( バージ ョ ン番号 ) を入力します。

タスクバーまたはメニュー バーからのコマンド実行順序

タスクバーから、 [ スタートスタートスタートスタート ] [ ファイル名を指定して実ファイル名を指定して実ファイル名を指定して実ファイル名を指定して実

行行行行 ] の順に選択します。[File] メニューで、 [Utilities]

[Compare Documents] の順に選択します。

表表表表 2: 操作手順に関する表記規則

表記規則表記規則表記規則表記規則 内容内容内容内容 例例例例

等幅太字等幅太字等幅太字等幅太字 (Constant width bold)

表記どおりに入力する情報 md ISS

斜体 (Italic)

環境によって変化する情報 md フォルダ名

[ ] オプシ ョ ンと しての情報 dir [ ド ラ イブ :][パス ] [ ファ イル名 ] [/P][/W] [/D]

| どちらか一方を選択する必要のある情報

verify [ON|OFF]

表表表表 3: コマンドに関する表記規則

x

本書で使用する表記規則本書で使用する表記規則本書で使用する表記規則本書で使用する表記規則

{ } 複数あるうちから 1 つ選択す

る必要のある情報

% chmod {u g o a}=[r][w][x] file

表記規則表記規則表記規則表記規則 内容内容内容内容 例例例例

表表表表 3: コマンドに関する表記規則 ( 続き )

xiProventia Network IPS G and GX Appliance User Guide

前書き前書き前書き前書き

テクニカルテクニカルテクニカルテクニカル サポートについてサポートについてサポートについてサポートについて

はじめにはじめにはじめにはじめに ISS では、 Web サイ トおよび電子メールまたは電話によるテクニカル サポート を提供しています。

ISS のののの Web サイ トサイ トサイ トサイ ト Internet Security Systems (ISS) の Web サイ ト (http://www.isskk.co.jp/support.html または http://www.iss.net/support/) では、 よ く ある質問 (FAQ)、 ホワイ ト ペーパー、 オンライン マニュアル、 新バージ ョ ン一覧、 詳細な製品資料、 テクニカル サポート ナレッジベース (http://www.isskk.co.jp/support/index_KB.html または http://www.iss.net/support/knowledgebase/) など、 役立つ豊富な情報に直接アクセスするこ とができます。

サポートサポートサポートサポート レベルレベルレベルレベル ( 米国米国米国米国 ) 米国 ISS では、 3 つのレベルのサポート を提供しています。

� Standard

� Select

� Premium

どのレベルでも、 電話および電子通信でのサポート を 24 時間体制で提供しています。 Select サービス と Premium サービスは、 Standard サービスよ り も優れた機能と メ リ ッ ト を提供します。 自社のサポート レベルが不明な場合は、 顧客サービス窓口 (clientservices@iss.net) にお問い合わせください。

営業時間営業時間営業時間営業時間 北南米およびその他の地域におけるテクニカル サポートの営業時間は次のとおりです。

問い合わせ窓口問い合わせ窓口問い合わせ窓口問い合わせ窓口 テクニカル サポート用の連絡先は次のとおりです。

地域地域地域地域 営業時間営業時間営業時間営業時間

北南米 24 時間体制

日本国内 月曜から金曜までの午前 10 時から午後 5 時までです。 ただ

し、 ISS の休業日は除きます。

注記注記注記注記 : 寄りのサポート オフ ィスが南北アメ リカ以外にあ

る場合は、 その営業時間外におけるご質問 ・ ご相談は、 北南米オフ ィスに電話または電子メールでお問い合わせいただ くことができます。 日本国内における ISS 製品に関する技術的

なお問い合わせは、 本製品の保守契約を締結されている販売代理店を通じてご連絡ください。

表表表表 4: テクニカル サポート営業時間

地域オフ ィス地域オフ ィス地域オフ ィス地域オフ ィス 電子通信によるサポート電子通信によるサポート電子通信によるサポート電子通信によるサポート 電話番号電話番号電話番号電話番号

北米 ISS Web サイ トの MYISS セクシ ョ ンをご覧ください。

www.iss.net

Standard:(1) (888) 447-4861 ( フリーダ

イヤル )(1) (404) 236-2700

Select およびおよびおよびおよび Premium:Welcome Kit を参照して く だ

さい。

表表表表 5: テクニカル サポート窓口

xii

テクニカルテクニカルテクニカルテクニカル サポートについてサポートについてサポートについてサポートについて

中南米 support@iss.net (1) (888) 447-4861 ( フリーダ

イヤル )(1) (404) 236-2700

ヨーロッパ、 中東、 アフリカ

support@iss.net (44) (1753) 845105

アジア太平洋、オースト ラ リア、 フ ィ リピン

support@iss.net (1) (888) 447-4861 ( フリーダ

イヤル )(1) (404) 236-2700

日本 support@isskk.co.jp 本製品の保守契約を締結されている販売代理店を通じてご連絡ください。

地域オフ ィス地域オフ ィス地域オフ ィス地域オフ ィス 電子通信によるサポート電子通信によるサポート電子通信によるサポート電子通信によるサポート 電話番号電話番号電話番号電話番号

表表表表 5: テクニカル サポート窓口 ( 続き )

xiiiProventia Network IPS G and GX Appliance User Guide

前書き前書き前書き前書き

xiv

第第第第 1 章章章章

Proventia Network Intrusion Prevention System の概要の概要の概要の概要

概要概要概要概要

はじめにはじめにはじめにはじめに この章では Proventia Network Intrusion Prevention System (IPS) を紹介し、 アプライアンスの各機能が低限の設定でどのよ うにネッ ト ワークを防御するのかについて説明します。 また、 ネッ ト ワーク

のセキュ リティをカスタマイズするために実装可能なその他 Proventia Network IPS 機能についても説明します。

この章の内容この章の内容この章の内容この章の内容 この章では、 次のトピックについて説明します。

ト ピックト ピックト ピックト ピック ページページページページ

不正侵入防御 14

インライン アプライアンスのアダプタ モード 17

ハイ アベイラビリテ ィ モード 18

13Proventia Network IPS G and GX Appliance User Guide

第第第第 1 章章章章 : Proventia Network Intrusion Prevention System の概要の概要の概要の概要

不正侵入防御不正侵入防御不正侵入防御不正侵入防御

はじめにはじめにはじめにはじめに Proventia Network Intrusion Prevention System (IPS) は、 ネッ ト ワークの帯域幅と可用性を保ちながら、 悪意のある攻撃を自動的にブロ ッ ク します。 Proventia Network IPS アプライアンスは、 レイヤ 2 ネッ ト ワーク セキュ リティ専用のアプライアンスです。 ゲート ウェイまたはネッ ト ワークのいずれかに配置可能であ り、ネッ ト ワークの再構成を必要とするこ とな く、侵入の試みやサービス不能 (DoS) 攻撃、 悪意のあるコード、 バッ ク ドア、 スパイウェア、 ピアツーピア アプリ ケーシ ョ ン、 そして増え続ける脅威を、 ブロ ッ クするこ とができます。

図図図図 1: 不正侵入防御の概要

図 1 は、 Proventia Network IPS がどのよ うにネッ ト ワークを保護するのかを示しています。 これらのアプライアンスは、 柔軟性のある配置オプシ ョ ンと追加設定不要な機能性を備え、 ネッ ト ワーク境界、 また内部ネッ ト ワーク と内部ネッ ト ワーク セグメン トの全体とにおいて、 正確でパフォーマンスの高い防御を保証します。

防御機能防御機能防御機能防御機能 Proventia 不正侵入防御アプライアンスの機能には、 実績のある検出技術と防御技術が、 新のセキュ リ ティ アップデート と共に含まれます。 これらのアプライアンスは、 論理フローと ト ラフ ィ ッ クの状態を理解するため、 ト ロイの木馬やバッ ク ドア、 ワームなどのネッ ト ワーク脅威に対して卓越した防御が提供されます。

Proventia Network IPS は、 脅威からネッ ト ワークを防御するための次の機能を備えています。

� ダイナミ ックダイナミ ックダイナミ ックダイナミ ック ブロッキングブロッキングブロッキングブロッキング

Proventia Network IPS では、 脆弱性に基づく攻撃認識を使用して、 正当な ト ラフ ィ ッ クを妨害

せず通過させる一方で、 不要な ト ラフ ィ ッ クに対して Blocking レスポンスを直ちに確実に送

信可能と しています。 また、 検知ベースのブロ ッキングを使用する詳細な ト ラフ ィ ッ ク検査プロセスを採用して、 既知の攻撃と これまでに知られていない脅威の両方を阻止します。

� ファイアウォールファイアウォールファイアウォールファイアウォール ルールルールルールルール

特定の IP アドレス、 ポート番号、 プロ ト コル、 または VLAN からの着信パケッ ト をブロ ッ ク

するファ イアウォール ルールを作成するこ とができます。 このよ うなルールによって、 ネッ

ト ワークに影響が及ぶ前に数多くの攻撃をブロ ッ クするこ とができます。

� 新のセキュリテ ィ調査に基づいたセキュリテ ィ新のセキュリテ ィ調査に基づいたセキュリテ ィ新のセキュリテ ィ調査に基づいたセキュリテ ィ新のセキュリテ ィ調査に基づいたセキュリテ ィ コンテンツの自動アップデートコンテンツの自動アップデートコンテンツの自動アップデートコンテンツの自動アップデート

Protected Network

attack traffic

permitted traffic

000111000101110001110001110001

101010100

00111000111100011100011100011010101000 payload

header

payload

header

HTTP

HTTP

Proventia inspectsHTTP packet

Protects againstattack

Firewall inspects header

Allows web trafficto pass

14

不正侵入防御不正侵入防御不正侵入防御不正侵入防御

更新されたセキュ リティ コンテンツを自動的にダウンロード してアクティブ化するこ とがで

きます。 お手元に届けられるセキュ リティ アップデートは、 既知および未知の脅威に対する

新の防御を提供するために ISS のセキュ リティ調査研究チームである X-Force が継続的に力

を注いできた成果です。

� Quarantine レスポンスとレスポンスとレスポンスとレスポンスと Block レスポンスレスポンスレスポンスレスポンス

インライン アプライアンスでは、 初の攻撃後の指定期間、 Quarantine レスポンスを使用して

ト ラフ ィ ッ クをブロ ッ ク します。 また、 Block レスポンスを使用して、 イベン トが発生した接

続をブロ ッ ク して リセッ ト 、 またはイベン ト を発生させたパケッ ト を ド ロ ップします。

� Virtual Patch™ による防御による防御による防御による防御

Proventia の Virtual Patch ( バーチャル パッチ ) 機能によって、 貴重な時間的余裕が生まれ、 脆

弱性を持つすべてのシステムへ直ちにパッチを適用する必要がなくなり ます。 パッチをあててシステムを再起動するこ とでネッ ト ワーク ダウンの危険をおかすのではなく、 アプライアン

スを手動でアップデートする準備が整う まで、 または定期的なアップデートが発生するまで待つこ とができます。

� SNMP のサポートのサポートのサポートのサポート

SNMP ベースの ト ラ ップを使用して、 システムの主な問題点を監視したり、 SNMP レスポンス

を使用してセキュ リティ イベン ト またはその他アプライアンス イベン トに応答したりするこ

とができます。

管理機能管理機能管理機能管理機能 アプライアンスに関するセキュ リティ ポリシーの作成と配備、 アラートの管理、 アップデートの適用を、 ローカルで行うかまたは中央のアプライアンス管理システムを通じて行う こ とができます。

Proventia Network IPS には、 次のよ うな管理機能が備わっています。

� Proventia Configuration Menu

Proventia Configuration Menu は、 アプライアンスの設定に使用される、 ローカルの設定イン

ターフェースです。

� Proventia Manager

Proventia Manager は、 ローカルで 1 つのアプライアンスを管理するために、 ブラウザベースの

グラフ ィカル ユーザー インターフェース (GUI) を備えています。 Proventia Manager を使用し

て、 次の機能を管理するこ とができます。

� アプライアンスのステータスの監視

� 動作モードの設定

� ファ イアウォールの設定

� アプライアンスの設定とアクティビティの管理

� アラート詳細のレビュー

� ハイ アベイラビ リ ティの設定

� プロテクシ ョ ン ド メ インを使用したセキュ リティ ポ リシーの管理

15Proventia Network IPS G and GX Appliance User Guide

第第第第 1 章章章章 : Proventia Network Intrusion Prevention System の概要の概要の概要の概要

� Proventia® Management SiteProtector

SiteProtector は、 ISS のマネージメン ト コンソールです。 SiteProtector を使用して、 コンポーネ

ン ト とアプライアンスの管理、 イベン トの監視、 レポートのスケジューリ ングを行う こ とができます。 アプライアンスは Proventia Manager によって管理するよ うにデフォルト設定されて

いますが、 アプライアンスのグループを別のセンサーと共に管理している場合は、SiteProtector の中央管理機能を使った方がよい場合があ り ます。

アプライアンスを SiteProtector に登録する と、 SiteProtector はアプライアンスの次の管理機能

を制御します。

� ファ イアウォール設定

� 不正侵入防御設定

� アラート イベン ト

� アプライアンス とセキュ リ ティ コンテンツのアップデート

参照参照参照参照 : SiteProtector によるアプライアンス管理の手順については、 http://www.isskk.co.jp/document/manuals.html または http://www.iss.net/support/documentation/ にある SiteProtector のユーザー マニュアルか、 SiteProtector のヘ

ルプを参照してください。

16

インラインインラインインラインインライン アプライアンスのアダプタアプライアンスのアダプタアプライアンスのアダプタアプライアンスのアダプタ モードモードモードモード

インラインインラインインラインインライン アプライアンスのアダプタアプライアンスのアダプタアプライアンスのアダプタアプライアンスのアダプタ モードモードモードモード

はじめにはじめにはじめにはじめに このインライン アプライアンスには、 次のよ うな 3 つのアダプタ モードがあ り ます。

� インライン プロテクシ ョ ン

� インライン シ ミ ュレーシ ョ ン

� パッシブ モニタ リ ング

アプライアンス ソフ ト ウェアをインス トールする と きに、 これら動作モードのうち 1 つを選択します。 好みに応じて、 デフォルトの動作モードを使用し、 後で別のモードを選択するこ とができます。

アダプタアダプタアダプタアダプタ モードモードモードモード インラインインラインインラインインライン プロテクシ ョ ンプロテクシ ョ ンプロテクシ ョ ンプロテクシ ョ ン

このモードでは、 アプライアンスをネッ ト ワーク基盤に完全に統合するこ とができます。 Block レスポンス と Quarantine レスポンスに加え、 すべてのファイアウォール ルールが有効化され、 アプライアンスに適用するセキュ リティ ポリシーが完全に有効化されます。

インラインインラインインラインインライン シミ ュレーシ ョ ンシミ ュレーシ ョ ンシミ ュレーシ ョ ンシミ ュレーシ ョ ン

このモードでは、 ト ラフ ィ ッ ク パターンに影響するこ とな く、 アプライアンスを使用してネッ トワークを監視するこ とができます。 従来の Block レスポンスに加え、 Quarantine レスポンスも使用されます。 デフォルトでは、 これらレスポンスが送信されてもパケッ トはド ロ ップされず、 TCP 接続も リセッ ト されません。 このモードは、 ネッ ト ワーク ト ラフ ィ ッ クに影響するこ とな く、 セキュ リ ティ ポリシーのベースラインとテス ト を行う場合に役立ちます。

パッシブパッシブパッシブパッシブ モニタ リングモニタ リングモニタ リングモニタ リング

このモードは従来のパッシブな IDS 機能を複製したもので、 インラインに配置されない状態で、ネッ ト ワーク ト ラフ ィ ッ クの監視を行います。 主に、 不正侵入に対して従来の Block レスポンスで対応します。 アプライアンスは、 疑わしいネッ ト ワーク アクティビティに遭遇する と リセッ ト パケッ ト を送信して TCP 接続をブロ ッ ク します。 このモードは、 ネッ ト ワークに必要なインライン プロテクシ ョ ンのタイプを決定する場合に役立ちます。

アプライアンスアプライアンスアプライアンスアプライアンス アダプアダプアダプアダプ

タタタタ モードの変更モードの変更モードの変更モードの変更

パッシブ モニタ リ ング モードからインライン シ ミ ュレーシ ョ ン モードまたはインライン プロテクシ ョ ン モードに変更する場合は、 アプライアンスに対するネッ ト ワーク接続も変更する必要があ り ます。 パッシブ モニタ リ ング モードで動作するアプライアンスは、 タ ップ、 ハブ、 または SPAN ポートに接続する必要があ り ます。

アプライアンスのアダプタ モードをインライン シ ミ ュレーシ ョ ンからインライン プロテクシ ョ ンに変更した場合は、 インライン プロテクシ ョ ンに適した設定となるよ うに、 いくつかの高度なパラ メータを微調整する必要があ り ます。 詳細については、 「ネッ ト ワーク アダプタ カードのプロパティの編集」 (139 ページ ) を参照して ください。

17Proventia Network IPS G and GX Appliance User Guide

第第第第 1 章章章章 : Proventia Network Intrusion Prevention System の概要の概要の概要の概要

ハイハイハイハイ アベイラビリテ ィアベイラビリテ ィアベイラビリテ ィアベイラビリテ ィ モードモードモードモード

はじめにはじめにはじめにはじめに Proventia Network IPS のハイ アベイラビ リ ティ機能 (HA) によって、 アプライアンスは既存のハイ アベイラビ リ ティ ネッ ト ワーク環境で動作するこ とができます。 両アプライアンスは、 アプライアンス間のすべてのト ラフ ィ ッ クを ミ ラー リ ンク経由で通過させ、 ネッ ト ワーク上のすべてのトラフ ィ ッ クを監視して確実に状態を維持します。 これによってアプライアンスは、 非対称的にルーティングされた ト ラフ ィ ッ クを監視し、 ネッ ト ワークを完全に防御するこ と も可能になり ます。

ハイ アベイラビ リ ティのサポートは、 連動する 2 つのアプライアンスに限定されています。 どちらのアプライアンスも、 パケッ ト をインラインで処理し、 インライン監視ポートに到着する ト ラフ ィ ッ クをブロ ッ ク し、 インライン監視ポートで受信したイベン ト をマネージメン ト コンソールへ報告します。

注記注記注記注記 : 現在の HA 環境の HA モードで動作できるのは G2000 および GX5000 シ リーズのアプライア

ンスだけです。

HA アプライアンス向けに、 次のうちいずれかのモードを選択するこ とができます。

� 通常モード

� HA プロテクシ ョ ン モード

� HA シ ミ ュレーシ ョ ン モード

HA のモードについてのモードについてのモードについてのモードについて 通常モード通常モード通常モード通常モード

通常の動作モードの場合、 アプライアンスは HA にあるも う一方のアプライアンス と連動するこ とができません。 アプライアンスは、 アダプタ レベルに限り、 インライン プロテクシ ョ ン、 インライン シ ミ ュレーシ ョ ン、 パッシブ モニタ リ ングの各モードで実行するよ うに設定するこ とができます。

HA プロテクシ ョ ンプロテクシ ョ ンプロテクシ ョ ンプロテクシ ョ ン モードモードモードモード

プロテクシ ョ ン モードの場合、 HA パートナー アプライアンスは両方と も ト ラフ ィ ッ クをインラインで監視し、 それぞれ自身のインライン ポートで受信した攻撃を報告およびブロ ッ ク します。アプライアンスはまた、 ネッ ト ワークのフェイルオーバーが発生した場合には、 報告と防御を引き継げるよ うに、 互いのセグメン ト上の ト ラフ ィ ッ クを ミ ラー リ ンク経由で監視します。

HA シミ ュレーシ ョ ンシミ ュレーシ ョ ンシミ ュレーシ ョ ンシミ ュレーシ ョ ン モードモードモードモード

HA シ ミ ュレーシ ョ ン モードの場合、 HA パートナー アプライアンスは両方と も ト ラフ ィ ッ クをインラインで監視しますが、 ト ラフ ィ ッ クのブロ ッ クは行いません。 その代わり、 パッシブ通知レスポンスを生成します。 アプライアンスはまた、 ネッ ト ワークのフェイルオーバーが発生した場合には、 通知を引き継げるよ うに、 互いのセグメン ト上の ト ラフ ィ ッ クを ミ ラー リ ンク経由で監視します。

18

第第第第 2 章章章章

アプライアンス設定の構成アプライアンス設定の構成アプライアンス設定の構成アプライアンス設定の構成

概要概要概要概要

はじめにはじめにはじめにはじめに この章では、 Proventia Setup を使用して、 Proventia Network IPS アプライアンスをネッ ト ワークに接続する方法について説明します。 また、 バッ クアップと復元の設定や SNMP 設定など、 その他アプライアンス設定の概要についても説明します。

この章の内容この章の内容この章の内容この章の内容 この章では、 次のト ピッ クについて説明します。

ト ピックト ピックト ピックト ピック ページページページページ

始める前に 20

Proventia Setup の使用 21

その他アプライアンス設定の構成 24

アプライアンス ファームウェアの再インストール 30

19Proventia Network IPS G and GX Appliance User Guide

第第第第 2 章章章章 : アプライアンス設定の構成アプライアンス設定の構成アプライアンス設定の構成アプライアンス設定の構成

始める前に始める前に始める前に始める前に

はじめにはじめにはじめにはじめに Proventia Setup を使用して、 基本的なネッ ト ワーク設定に加えてパスワード、 DNS 名とホス ト名、アダプタ モード、 ポート リ ンク設定、 日時、 バッ クアップと復元の設定、 SNMP 構成を設定するこ とができます。

設定のチェ ックリス ト設定のチェ ックリス ト設定のチェ ックリス ト設定のチェ ックリス ト 始めるにあたって関連情報をいくつか集めておく必要があ り ます。 表 6 のチェッ ク リ ス ト を使用して、 Proventia Network IPS アプライアンスの設定に必要な情報を入手して ください。

設定設定設定設定 説明説明説明説明

Hostname アプライアンスの固有のコンピュータ名

例例例例 : myappliance

設定設定設定設定 :

Domain name ネッ トワークのド メイン サフ ィ ックス

例例例例 : mydomain.com

設定設定設定設定 :

Domain name server ド メイン名参照 (DNS 検索パス ) 用のサーバー IP アドレス ( オプシ ョ ン )

例例例例 : 10.0.0.1

設定設定設定設定 :

Management Port IP Address

管理用ネッ トワーク アダプタの IP アドレス

設定設定設定設定 :

Management port subnet mask

管理ポートに接続されたネッ トワークのサブネッ ト マスク値

設定設定設定設定 :

Management port default gateway (IP address)

管理ゲートウェイの IP アドレス

設定設定設定設定 :

Adapter mode アプライアンスで使用するアダプタ ( 動作 ) モー

ド

注記注記注記注記 : 使用予定のアダプタ モードは、 ネッ ト

ワーク ケーブルの接続方法に対応している必要

があります。

設定設定設定設定 :

表表表表 6: 設定情報のチェ ックリス ト

20

Proventia Setup の使用の使用の使用の使用

Proventia Setup の使用の使用の使用の使用

はじめにはじめにはじめにはじめに Proventia Setup は、 アプライアンスの初期設定を構成するのに使用するプログラムです。 アプライアンスがシ リアル コンソール ケーブルを使用して直接コンピュータに接続されている場合は、 ログインして設定を開始できる状態にあ り ます。 「初期設定の完了」 を参照して ください。

リモート コンピュータからアプライアンスを設定する場合は、 次の手順に従います。 こ こでは、ハイパーターミナルを使用したアプライアンスへの接続方法について説明します。 別の端末エミ ュレーシ ョ ン プログラム (PuTTY など ) を使用してアプライアンスに接続するこ と もできますが、 その手順についてはこ こでは説明しません。 お使いのプログラムのマニュアルに記載された手順に従ってください。

アプライアンスへのリアプライアンスへのリアプライアンスへのリアプライアンスへのリモート接続モート接続モート接続モート接続

ハイパーターミナルを使用してアプライアンスへリモート接続するには、 次の手順に従います。

1. コンピュータで [ スタートスタートスタートスタート ] → [ プログラムプログラムプログラムプログラム ] → [ アクセサリアクセサリアクセサリアクセサリ ] → [ 通信通信通信通信 ] の順に選択します。

2. [ ハイパーターミナルハイパーターミナルハイパーターミナルハイパーターミナル ] を選択します。

3. 次の設定を使用して新規接続を作成します。

4. [ENTER] キーを押して接続を確立します。

接続が確立される と、 [Proventia Setup Configuration Menu] が表示されます。

ヒン トヒン トヒン トヒン ト : 接続を確立できなかった場合は、 アプライアンスの電源が入っているかど うか、 アプライアンスを起動してあるかど うかを確認します。

初期設定の完了初期設定の完了初期設定の完了初期設定の完了 アプライアンスの初期設定を完了するには、 次の手順に従います。

1. ログイン プロンプ トでユーザー名 「admin」 を入力し、 [ENTER] キーを押します。

2. パスワードを入力するには、 デフォルト パスワード [admin] を入力します。

注記注記注記注記 : LCD パネルを使用して GX4000、 GX5000 または GX6000 シ リーズのアプライアンスの

初期ネッ ト ワーク設定を構成した場合、 アプライアンスによって生成された大文字と小文字を区別するバスワードを入力します。

3. [Start] を選択し、 [ENTER] キーを押します。

4. ソフ ト ウェア ラ イセンス契約を読み、 [Accept] を選択して続行します。

5. 画面に表示される手順に従います。

設定設定設定設定 値値値値

通信ポート 通常は COM1 ( コンピュータの設定によって異

なる )

エミ ュレーシ ョ ン VT100

ビッ ト / 秒 9600

データ ビッ ト 8

パリテ ィ なし

スト ップ ビッ ト 1

フロー制御 なし

21Proventia Network IPS G and GX Appliance User Guide

第第第第 2 章章章章 : アプライアンス設定の構成アプライアンス設定の構成アプライアンス設定の構成アプライアンス設定の構成

次の表では、 必須情報について説明します。

情報情報情報情報 説明説明説明説明

Change Password • Admin Password ( 管理パスワード管理パスワード管理パスワード管理パスワード ) - アプライアンスにアク

セスする場合は、 このパスワードを入力する必要があります。このパスワードには、 root パスワード と同じものを使用する

ことができます。

• Root Password (root パスワードパスワードパスワードパスワード ) - コマンド ラインからア

プライアンスにアクセスする場合は、 このパスワードを入力する必要があります。

• Proventia Manager Password (Proventia Manager パスパスパスパス

ワードワードワードワード ) - Proventia Manager にアクセスする場合は、 このパ

スワードを入力する必要があります。 このパスワードには、root パスワード と同じものを使用することができます。

Network Configuration Information

• IP Address (IP アドレスアドレスアドレスアドレス ) - 管理ネッ トワーク アダプタの IP アドレス。

• Subnet Mask ( サブネッ トサブネッ トサブネッ トサブネッ ト マスクマスクマスクマスク ) - 管理インターフェース

に接続するネッ トワークのサブネッ ト マスク値。

• Default Gateway ( デフォルトデフォルトデフォルトデフォルト ゲートウェイゲートウェイゲートウェイゲートウェイ ) - 管理ゲート

ウェイの IP アドレス。

注記注記注記注記 :LCD パネルからアプライアンスを初期設定した場合、 入力

した情報はここに表示されます。 必要に応じて、 この情報を変更することができます。

Host Configuration このアプライアンスは、 電子メール と SNMP レスポンスを送信

するのにド メイン名と DNS 情報を使用します。 セッ トアップ時

にこの情報を設定しなかった場合、 電子メールまたは SNMP レスポンスを定義するたびに、 アプライアンスのメール サーバー

の IP アドレスを指定する必要があります。

• Hostname ( ホスト名ホスト名ホスト名ホスト名 ) - アプライアンスのコンピュータ名。

例 : myappliance.

• Domain Name ( ド メイン名ド メイン名ド メイン名ド メイン名 ) - ネッ トワーク用のド メイン サフ ィ ックス (DNS 検索パス )。 例 : mycompany.com.

• Primary Name Server ( プライマリプライマリプライマリプライマリ ネームネームネームネーム サーバーサーバーサーバーサーバー ) - ド メ

イン名参照を実行するために使用する DNS の IP アドレス。

例 : 10.0.0.1

• Secondary Name Server ( セカンダリセカンダリセカンダリセカンダリ ネームネームネームネーム サーバーサーバーサーバーサーバー ) - ドメイン名参照を実行するために使用するセカンダリ DNS の IP アドレス。

Time Zone Configuration これらの設定は、 アプライアンスのタイム ゾーンを決定します。

Date/Time Configuration ネッ トワーク上で発生するイベン ト を正確に追跡できるように、管理インターフェースに表示されるアプライアンスの日付と時刻を設定する必要があります。

Agent Name Configuration

エージェン ト名は、 管理インターフェースに表示されるアプライアンス名です。 この名前は、 ネッ トワーク スキームにおける意

味のある分類 ( アプライアンスの地理的位置、 事業単位、 所在地

など ) と対応している必要があります。

22

Proventia Setup の使用の使用の使用の使用

6. すべての情報を入力する と、 アプライアンスはその設定を適用します。

確認メ ッセージが表示されたら、 [ENTER] キーを押してアプライアンスをログオフします。

Port Link Configuration ポート リンク設定は、 アプライアンスのパフォーマンス モード、

またはアプライアンスが本体のネッ トワーク接続を処理する方法を決定します。

速度 ( アプライアンスとネッ トワークの間でのト ラフ ィ ックの通

過レート ) と二重モード ( 情報の流れる方向 ) を選択することが

できます。 お使いの特定ネッ トワークに対応し、 Proventia Network IPS アプライアンスを一括するその他デバイスに関連し

たリンク速度と設定を選択して く ださい。 ネッ トワーク設定が不明な場合は、 速度と二重モードに関してアプライアンスが自動的にネッ トワークと折り合いがつけられるように [Auto] を選択しま

す。

注記注記注記注記 : アプライアンスの初期設定後は、 インライン監視ポート と Kill ポートのリンク速度と二重モードの設定のみ、 Proventia Manager から変更できます。 詳細については、 「ネッ トワーク アダプタ カードの管理」 (139 ページ ) を参照して く ださい。

Adapter Mode Configuration

[Adapter Mode] は、 アプライアンスがネッ トワークを防御するた

めにネッ トワーク内でどのように動作するのかを決定します。 どのモードを選択すべきかについては、 「インライン アプライアン

スのアダプタ モード」 (17 ページ ) を確認して く ださい。

ポート ペアごとに異なるアダプタ モードを選択できますが、 ア

プライアンスの物理的なネッ トワーク接続に合ったアダプタ モードを選択しているかを確認する必要があります。 この設定が正し く ないと、 ネッ トワークに大きな影響を及ぼす可能性があります。

注記注記注記注記 :2 台のアプライアンスをハイアベイラビリテ ィ モードで実

行する予定である場合、 初期設定時にアダプタ モードを選択す

る必要があります。 初期設定が完了すると、 管理インターフェースから、 対応する HA モードを設定することができます。 詳細に

ついては、 「ネッ トワーク可用性の維持」 (35 ページ ) を参照して

ください。

情報情報情報情報 説明説明説明説明

23Proventia Network IPS G and GX Appliance User Guide

第第第第 2 章章章章 : アプライアンス設定の構成アプライアンス設定の構成アプライアンス設定の構成アプライアンス設定の構成

その他アプライアンス設定の構成その他アプライアンス設定の構成その他アプライアンス設定の構成その他アプライアンス設定の構成

はじめにはじめにはじめにはじめに 設定メニューから、 初期設定時に構成したアプライアンス設定を表示または編集するこ とができます。 また、 次のよ う な重要なアプライアンス設定を管理するこ と もできます。

Appliance information アプライアンス設定に関する次の情報を表示するこ とができます。

メニューメニューメニューメニュー オプシ ョ ンオプシ ョ ンオプシ ョ ンオプシ ョ ン 目的目的目的目的

Appliance Information アプライアンスに関する情報を表示します。

Appliance Management • 現在の設定をバックアップします。

• 現在の設定または出荷時のデフォルト設定を復元します。

• アプライアンスへのリモート root アクセスを無効にします。

• アプライアンスを再起動またはシャッ トダウンします。

Agent Management • エージェン ト、 エンジン、 デーモンのバージ ョ ンまたはステータス情報を表示します。

• エージェン ト名を変更します。

Network Configuration • IP アドレス、 サブネッ ト マスク、 またはゲートウェイを変更

します。

• ホスト名、 ド メイン名、 またはプライマリおよびセカンダリ DNS を変更します。

• 管理ポート リンクの設定を変更します。

• Kill ポート リンクの設定を指定します。

Time Configuration • アプライアンスのタイムゾーン、 日付、 または時刻を変更します。

• Network Time Protocol を変更します。

Password Management 管理パスワード、 root パスワード、 または Proventia Manager パスワードを変更します。

SNMP Configuration アプライアンス システム関連のイベン ト発生時に、 アプライア

ンスが SNMP ト ラ ップを送信できるようにします。

表表表表 7: 設定メニュー

項目項目項目項目 説明説明説明説明

Serial Number アプライアンスのシリアル番号。

Base Version アプライアンスが工場から出荷された時点のファームウェア バー

ジョ ン。

XPU Version アプライアンスにインス トールされている、 新の X-Press Update (XPU) またはセキュリテ ィ コンテンツ アップデート。

Firmware Version アプライアンスにインス トールされている 新のファームウェア バージョ ン。

Agent Name エージェン ト モデル名 ( 例 ： Proventia_GX4004)。

表表表表 8: アプライアンス情報

24

その他アプライアンス設定の構成その他アプライアンス設定の構成その他アプライアンス設定の構成その他アプライアンス設定の構成

Appliance management

[Appliance Management] メニューから、 次のタスクを実行するこ とができます。

Host Name アプライアンスのインス トール時にアプライアンスに付けられた名前 ( ネッ トワーク上で表示される名前 )。 これは、 管理インター

フェースに表示される名前です。

IP Address Proventia Manager および SiteProtector から、 アプライアンスを管

理するために使用する IP アドレス。

Netmask 管理ポートに接続するネッ トワークのサブネッ ト マスク値

Gateway 管理ゲートウェイの IP アドレス。

Primary DNS ド メイン名参照 (DNS 検索パス ) を実行するために使用するプライ

マリ サーバーの IP アドレス。

Secondary DNS ド メイン名参照 (DNS 検索パス ) を実行するために使用するセカン

ダリ サーバーの IP アドレス。

項目項目項目項目 説明説明説明説明

表表表表 8: アプライアンス情報 ( 続き )

タスクタスクタスクタスク 説明説明説明説明

現在の設定をバックアップする

現在の設定をバックアップする場合、 すべてのカスタム情報が、アプライアンスのハード ディスク上のバックアップ専用のパー

ティシ ョ ンにあるイメージ ファイルに保存されます。 現在の

バックアップ ファイルからイメージを復元する場合、 保存され

ている情報でハード ディスクが再イメージ化され、 バックアッ

プ専用パーティシ ョ ン以外のすべてが上書きされます。

設定を復元する 設定の復元には、 2 つのオプシ ョ ンがあります。

• Backup configuration - アプライアンスの設定を 新のバッ

クアップ設定に戻します。

• Factory default - アプライアンスの設定を出荷時のデフォル

ト ファームウェア バージョ ンに戻します。

注記注記注記注記 : このオプシ ョ ンでは、 現在のホスト、 ネッ トワーク、

タイムゾーン、 パスワード設定が保持されます。

リモート root アクセスを無

効にする

root ユーザーへのリモート アクセスを無効にすることができま

す。 リモート アクセスを無効にすると、 root ユーザーはローカ

ル コンソールからでないとアプリケーシ ョ ンにログオンできま

せん。 アクセスを無効にした後は、 管理ユーザーだけがリモート アクセス権を持ちます。

端末エミ ュレーシ ョ ン セッシ ョ ンから、 root ユーザーとしてア

プライアンスにログインし、 コマンド プロンプ トで 「enable-root-access」 と入力することで、 リモート root アクセスを再

度有効にすることができます。

アプライアンスを再起動またはシャッ トダウンする

LCD パネルまたは Proventia Manager からアプライアンスを再

起動またはシャッ トダウンすることもできます。

表表表表 9: アプライアンス管理タスク

25Proventia Network IPS G and GX Appliance User Guide

第第第第 2 章章章章 : アプライアンス設定の構成アプライアンス設定の構成アプライアンス設定の構成アプライアンス設定の構成

Agent management [Agent Management] メニューから、 次のタスクを実行するこ とができます。

Network configuration [Network Configuration] メニューから、 次のタスクを実行するこ とができます。

タスクタスクタスクタスク 説明説明説明説明

エージェン ト ステータスを

表示する

エージェン ト、 エンジン、 およびデーモンのステータスを表示することができます。

エージェン ト名を変更する エージェン ト名は、 マネージメン ト コンソール (Proventia Manager または SiteProtector) に表示されるアプライアンス名で

す。 エージェン ト名を変更した場合、 新しい名前は、 次のハートビート後に SiteProtector に表示されます。

表表表表 10: エージェン ト管理タスク

タスクタスクタスクタスク 説明説明説明説明

IP 設定を変更する アプライアンスの IP アドレス、 サブネッ ト マスク、 またはゲー

トウェイを変更することができます。 たとえば、 アプライアンスを別の場所またはネッ トワーク領域に移動した場合に、 これらの設定を変更する可能性があります。

ホスト名の設定を変更する アプライアンスのホスト名、 ド メイン名、 プライマリおよびセカンダリ ネーム サーバーを変更することができます。 たとえば、

アプライアンスはド メイン名と DNS 情報を使用して電子メール

および SNMP レスポンスを送信するため、 新規メール サーバー

または SNMP マネージメン ト コンソールを追加した場合に、 こ

れらの設定を変更する可能性があります。

管理ポート リンクの設定を

変更する

管理ポートのリンク速度と二重モードの設定を変更することができます。 お使いの特定ネッ トワークに対応し、 Proventia Network IPS アプライアンスを一括するその他デバイスに関連し

たリンク速度と設定を選択して ください。

注記注記注記注記 : アプライアンスの初期設定後は、 監視 (Protected) ポート

のリンク速度と二重モードの設定のみが Proventia Manager また

は SiteProtector から変更できます。 詳細については、 「ネッ ト

ワーク アダプタ カードの管理」 (139 ページ ) を参照して く ださ

い。

TCPReset (kill) ポート リン

クの設定を指定する

TCPReset (kill) ポートに接続する場合は、 ここでリンク速度と二

重モードの設定を変更することができます。 Kill ポートを設定し

た後は、 Proventia Manager または SiteProtector から、 リンク速

度と二重モードの設定を変更することができます。 詳細については、 「ネッ トワーク アダプタ カードの管理」 (139 ページ ) を参照

して ください。

Kill ポートの初期設定については、 「TCPReset の設定」

(147 ページ ) を参照して ください。

表表表表 11: ネッ トワーク構成タスク

26

その他アプライアンス設定の構成その他アプライアンス設定の構成その他アプライアンス設定の構成その他アプライアンス設定の構成

Time configuration [Time Configuration] メニューから、 次のタスクを実行するこ とができます。

タスクタスクタスクタスク 説明説明説明説明

日付と時刻を変更する アプライアンスに設定した日時は、 アプライアンスのイベン トが、 記録される時刻と、 管理インターフェースに表示される方法を決定します。

タイム ゾーンを変更する アプライアンスに設定されたタイム ゾーンが正しいことを確認

します。 いったん設定したら、 アプライアンスを物理的に移動する場合を除き、 この設定を変更しないで ください。

Network Time Protocol を設

定する

Network Time Protocol (NTP) は、 ローカルの日付と時刻をネッ

トワーク タイム サーバーと同期させます。 1 つ以上のタイム サーバーを指定すると、 アプライアンスは、 指定する各サーバーから多数のサンプルを入手し、 正しい時刻を判断します。

表表表表 12: 時刻設定タスク

27Proventia Network IPS G and GX Appliance User Guide

第第第第 2 章章章章 : アプライアンス設定の構成アプライアンス設定の構成アプライアンス設定の構成アプライアンス設定の構成

Password management

[Password Management] メニューから、 次のタスクを実行するこ とができます。

SNMP configuration [Configuration] メニューから SNMP を有効にする と、 ディ スク容量の低下、 スワ ップ容量の低下、非常に高い CPU 使用率、 物理的侵入など、 システム ヘルス関連のイベン トについての情報をアプライアンスが送信できるよ うになり ます。 これらの設定は、 ネッ ト ワーク上で発生するイベン トに割り当てられる SNMP レスポンスに影響しません。 イベン トに対する SNMP レスポンスについては、 「SNMP レスポンスの設定」 (82 ページ ) を参照してください。

[SNMP Configuration] メニューから、 次のタスクを実行するこ とができます。

タスクタスクタスクタスク 説明説明説明説明

管理パスワード、 root パス

ワード、 または Proventia Manager パスワードを変更

する

Proventia Manager からパスワードを変更することもできます。

「ユーザー アクセスの設定」 (153 ページ ) を参照して く ださい。

ブートローダ パスワードを

無効にする

ブートローダ パスワードは、 起動処理中に不正ユーザー アクセ

スからアプライアンスを保護します。 root パスワードを設定した

場合、 ブートローダ パスワードが自動的に有効になります。

ブートローダ パスワードを無効にすることは可能ですが、 root パスワードはアクテ ィブなままとなります。

表表表表 13: パスワード管理タスク

タスクタスクタスクタスク 説明説明説明説明

SNMP を有効にする アプライアンスが SNMP マネージャとの通信で必要な情報の入

力をガイド します。 次の情報の入力が要求されます。

• システムの位置、 連絡先、 名前

• 主なト ラ ップ レシーバーの IP アドレス

• 通信ポート番号 ( デフォルトではポート 162)

• コ ミ ュニテ ィ文字列 ( 「public」 または 「private」 )

• ト ラ ップのバージ ョ ン

SNMP を無効にする アプライアンスによる SNMP マネージャへのシステム関連情報

の送信を停止します。

SNMP デーモンを開始また

は停止する

SNMP サービスとの通信をリセッ トできるようにします。

SNMP システム情報を表示

する

アプライアンスの現在の SNMP 設定を表示します。

ト ラ ップ レシーバーを追加

または削除する

ト ラ ップ レシーバーの IP アドレスは、 SNMP Manager が動作し

ているサーバーのアドレスです。 SNMP ト ラップを送信するに

は、 SNMP ホストがアプライアンスにアクセス可能である必要

があります。

アプライアンスからメ ッセージを受信する ト ラ ップ レシーバー

をさらに追加したり、 メ ッセージを今後受信した く ないト ラ ップ レシーバーを削除することができます。

表表表表 14: SNMP 構成タスク

28

その他アプライアンス設定の構成その他アプライアンス設定の構成その他アプライアンス設定の構成その他アプライアンス設定の構成

ト ラ ップ レシーバーの読み

取りアクセスを有効にする

ト ラ ップ レシーバーがシステム関連イベン トについての情報を

収集できるようにします。

注意注意注意注意 ： SNMP 読み取りアクセスの許可を選択すると、 防御ファ

イアウォールで UDP ポート 161 が開きます。

タスクタスクタスクタスク 説明説明説明説明

表表表表 14: SNMP 構成タスク

29Proventia Network IPS G and GX Appliance User Guide

第第第第 2 章章章章 : アプライアンス設定の構成アプライアンス設定の構成アプライアンス設定の構成アプライアンス設定の構成

アプライアンスアプライアンスアプライアンスアプライアンス ファームウェアの再インス トールファームウェアの再インス トールファームウェアの再インス トールファームウェアの再インス トール

はじめにはじめにはじめにはじめに アプライアンスのパッケージに同梱されている リ カバリ CD には、 工場でアプライアンスにインストールされたソフ ト ウェアが含まれています。 この CD から、 アプライアンスにソフ ト ウェアを再インス トールするこ とができます。

結果結果結果結果 このプロセスによって、 次のよ う な結果が生じます。

� アプライアンスを 初にインス トールしたと きからソフ ト ウェア設定に対して行った変更が、

上書きされます。

� 元のデフォルト ログイン資格情報が復元されます。

� ユーザー名 = admin

� パスワード = admin

サポート対象のネッ トサポート対象のネッ トサポート対象のネッ トサポート対象のネッ トワークワークワークワーク カードカードカードカード

再インス トールを正常に行うため、 アプライアンス ファームウェアの再インス トールに使用するコンピュータには、 次のうちいずれかのネッ ト ワーク カードがインス トールされている必要があり ます。

重要重要重要重要 : ISS では、 こ こに挙げるネッ ト ワーク カードのみをサポート しています。

カードカードカードカード 製造ブランド製造ブランド製造ブランド製造ブランド

e1000 Intel PRO/1000

e100 Intel PRO/100

3c59x 3Com 3c590, 3c595, 3c905, 3c575

bcm5700 Broadcom 57xx Gigabit

sk98lin SysKonnect and Marvell Gigabit

tulip Digital/Intel 21x4x “Tulip”

eepro100 Intel PRO/100

8139too RealTek 8139

ne2k-pci NE2000-compatible PCI cards

pcnet32 AMD PCnet32, VMWare

sis900 SiS 900, 7016

via-rhine Via Rhine VT86C100A, 6102, 6105

8139cp RealTek 8139C+

epic100 SMC83c170, SMC83c175

xircom_cb Xircom CardBus

3c574_cs 3Com 3c574

axnet_cs Asix AX88190

nmclan_cs AMD Am79C940

smc91c92_cs SMC 91c92

表表表表 15: サポート対象のネッ トワーク カード

30

アプライアンスアプライアンスアプライアンスアプライアンス フ ァームウェアの再インス トールファームウェアの再インス トールファームウェアの再インス トールファームウェアの再インス トール

始める前に始める前に始める前に始める前に アプライアンス ファームウェアの再インス トールを開始する前に、 次の作業を完了しておく必要があ り ます。

xirc2ps_cs Xircom CE2, CE IIps, RE-10, CEM28, CEM33, CEM56, CE3-100, CE3B, RE-100, REM10BT, REM56G-100

3c589_cs 3Com 3c589

fmvjl8x_cs FMV J181, FMV J182, TDK LAK-CD021, ConTec C-NET (PC) C, Ungermann Access/CARD

pcnet_cs/NE2000 compatible cards

D-Link DE-650, Linksys PCMCIA, Accton EN2212, RPTI EP400, PreMax PE-200, IBM Credit Card Adapter, Novell NE4100, Kingston KNE-PCM/x, Allied Telesis LA-PCM, ASANTE FriendlyNet

カードカードカードカード 製造ブランド製造ブランド製造ブランド製造ブランド

表表表表 15: サポート対象のネッ トワーク カード

説明説明説明説明

アプライアンスにアクセスしてソフ トウェアを再インストールするコンピュータを選択します。 このコンピュータを Pre-boot eXecution (PXE) サーバーと呼びます。

要件要件要件要件 :• コンピュータの BIOS 設定は、 CD から再起動できるように設定する

必要があります。 詳細については、 コンピュータのマニュアルを参照して ください。

• Pentium II または互換性のある CPU

• 64M RAM

• IDE CD-ROM ド ライブ

• COM1 シリアル ポート

アプライアンス パッケージに付属している次のものを確認します。a

• Proventia Network Intrusion Prevention System のリカバリ CD

• イーサネッ ト クロス ケーブル

• シリアル ( ヌル モデム ) ケーブル

現在のシステムのバックアップを、 Proventia Manager 内で作成します。

アプライアンス ファームウェアを再インストールした後に、 このバック

アップからシステム設定を復元することができます。

詳細については、 「Appliance management」 (25 ページ ) を参照して く だ

さい。

管理インターフェースの次のアプライアンス設定を記録します。

• IP アドレス、 サブネッ ト マスク、 およびデフォルト ゲートウェイ

• ホスト名、 ド メイン名、 および DNS ネーム サーバー

表表表表 16: アプライアンス ファームウェアの再インストール前に

31Proventia Network IPS G and GX Appliance User Guide

第第第第 2 章章章章 : アプライアンス設定の構成アプライアンス設定の構成アプライアンス設定の構成アプライアンス設定の構成

アプライアンスアプライアンスアプライアンスアプライアンス ソフ トソフ トソフ トソフ ト

ウェアの再インス トールウェアの再インス トールウェアの再インス トールウェアの再インス トール

アプライアンス ソフ ト ウェアを再インス トールするには、 次の手順に従います。

1. Proventia Network Intrusion Prevention System のリ カバリ CD を PXE ブート サーバーの CD-ROM ド ライブに挿入し、 PXE ブート サーバーを再起動します。

PXE ブート サーバーは次のメ ッセージを表示します。

アプライアンスの電源を切り、 付属のケーブルを使用してコンピュータ (PXE サーバー ) を直接アプライアンスに接続します。 次の図を参照して

ください。

ヌルヌルヌルヌル モデムモデムモデムモデム ケーブルは、 次のようにデバイスへ接続して く ださい。ケーブルは、 次のようにデバイスへ接続して く ださい。ケーブルは、 次のようにデバイスへ接続して く ださい。ケーブルは、 次のようにデバイスへ接続して く ださい。

• コンピュータ (PXE サーバー ) 上で、 COM1 というポートを使用す

る。

• アプライアンス上で、 Console というポートを使用する。

イーサネッ トイーサネッ トイーサネッ トイーサネッ ト ケーブルは、 次のようにデバイスへ接続して く ださい。ケーブルは、 次のようにデバイスへ接続して く ださい。ケーブルは、 次のようにデバイスへ接続して く ださい。ケーブルは、 次のようにデバイスへ接続して く ださい。

• コンピュータ (PXE サーバー ) 上で、 イーサネッ ト ポートを使用す

る。

• アプライアンス上で、 1 という左側の Management ポート を使用す

る。

注記注記注記注記 : コンピュータ (PXE サーバー ) をアプライアンスに接続すると、 ア

プライアンスのインターネッ ト接続が無効になります。 再インストール プロセスが終了したら、 インターネッ ト接続を再度確立してアプライアンス アップデートを入手して く ださい。

重要重要重要重要 : ネッ トワーク上で複数の PXE サーバーが動作している場合は、

Proventia Network IPS の再インストールを実行する前に接続を切断する

必要があります。 手順 3 で表示されたメ ッセージから、 正しい PXE サー

バーに接続していることが確認できます。

a. ISS では、 その他ケーブルの使用をサポート していません。

図図図図

次の図は、 再インス トール プロセスでのコンピュータ とアプライアンスの正常な接続を示したものです。

再インストールでのコンピュータとアプライアンスの正常な接続

説明説明説明説明

表表表表 16: アプライアンス ファームウェアの再インストール前に ( 続き )

32

アプライアンスアプライアンスアプライアンスアプライアンス フ ァームウェアの再インス トールファームウェアの再インス トールファームウェアの再インス トールファームウェアの再インス トール

***You may now boot your Proventia GXxxxx via the network******Starting Terminal Emulator******Press Control-G to Exit and Reboot***注記注記注記注記 : こ こで、 PXE ブート サーバーはアプライアンスの端末エミ ュレータ と して機能し、 ア

プライアンスのコンソール出力を表示します。

2. アプライアンスの電源を入れます。

PXE ブート サーバーはブート プロセス メ ッセージを表示し、 それから次のプロンプ ト を表示

します。

Press L to boot from LAN, or press any other key to boot normally.重要重要重要重要 : LAN から起動するには、 5 秒以内に 「L」 を押す必要があ り ます。 この時間内に 「L」を押さないと、 アプライアンスは通常どおりに起動するため、 も う一度再インス トールを開始する必要があ り ます。

3. [L] キーを押します。

次のメ ッセージが表示されます。

Internet Security SystemsProventia GXxxxx Recovery BootPXE ブート サーバーにアプライアンスからのステータス メ ッセージが表示され、 ネッ ト ワー

ク経由でインス トーラが起動します。

4. プロンプ トで 「reinstall」 と入力し、 [ENTER] キーを押します。

インス トーラがオペレーティング システムを再ロード します。

注記注記注記注記 : 再インス トールが完了する と、 アプライアンスが自動的に再起動します。 中断することなく、 アプライアンスがブート プロセスを完了できるよ うにします。

5. アプライアンスが再起動したら、 「unconfigured.appliance login」 というプロンプ ト

が表示されます。

デフォルトのユーザー名とパスワード (admin/admin) でログインし、 設定メニューを使ってア

プライアンスを設定、 またはアプライアンスの前面の LCD パネルを使ってアプライアンスを

設定するこ とができます。

33Proventia Network IPS G and GX Appliance User Guide

第第第第 2 章章章章 : アプライアンス設定の構成アプライアンス設定の構成アプライアンス設定の構成アプライアンス設定の構成

アプライアンスの再設定アプライアンスの再設定アプライアンスの再設定アプライアンスの再設定 ソフ ト ウェアとデータベースのインス トール後にアプライアンスを再設定するには、 「Proventia Setup の使用」 (21 ページ ) の設定手順に従います。

バッ クアップを作成した場合、 アプライアンスの設定後、 システム設定を復元するこ とができます。 「Appliance management」 (25 ページ ) を参照して ください。

注記注記注記注記 ：

� アプライアンスの設定は、 PXE ブート サーバーに接続している間に完了してください。 再イ

ンス トール手順と再設定手順をすべて完了したら、 [CTRL] + [G] キーを押して PXE サーバーを

シャッ ト ダウンします。

� ファームウェアおよびデータベースのアップデートにアクセスするには、 インターネッ ト アクセスが必要です。 PXE ブート サーバーを切断し、 内部インターフェースをインターネッ ト アクセスするためにネッ ト ワークに再接続してください。

34

第第第第 3 章章章章

ネッ トワーク可用性の維持ネッ トワーク可用性の維持ネッ トワーク可用性の維持ネッ トワーク可用性の維持

概要概要概要概要

はじめにはじめにはじめにはじめに この章では、 既存のハイ アベイラビ リ ティ環境で機能するよ うに、 Proventia Network IPS アプライアンスの G2000、 GX5008、 および GX5108 モデルを設定する方法について説明します。

この章の内容この章の内容この章の内容この章の内容 この章では、 次のト ピッ クについて説明します。

ト ピックト ピックト ピックト ピック ページページページページ

ハイ アベイラビリテ ィについて 36

ハイ アベイラビリテ ィ構成の概要 38

ハイ アベイラビリテ ィ実装 39

35Proventia Network IPS G and GX Appliance User Guide

第第第第 3 章章章章 : ネッ トワーク可用性の維持ネッ トワーク可用性の維持ネッ トワーク可用性の維持ネッ トワーク可用性の維持

ハイハイハイハイ アベイラビリテ ィについてアベイラビリテ ィについてアベイラビリテ ィについてアベイラビリテ ィについて

はじめにはじめにはじめにはじめに Proventia Network Intrusion Prevention System (IPS) のハイ アベイラビ リ ティ機能 (HA) によって、 アプライアンスは既存のハイ アベイラビ リ ティ環境で動作するこ とができます。 IPS は、 アプライアンス間のすべてのト ラフ ィ ッ クを ミ ラー リ ンク経由で通過させ、 ネッ ト ワーク上のすべてのト ラフ ィ ッ クを監視して確実に状態を維持します。 これによってアプライアンスは、 非対称的にルーティングされた ト ラフ ィ ッ クを監視し、 ネッ ト ワークを完全に防御するこ と も可能になり ます。

Proventia Network IPS における HA のサポートは、 連動する 2 台のアプライアンスに限定されています。 どちらのアプライアンスも、 パケッ ト をインラインで処理し、 インライン監視ポートに到着する ト ラフ ィ ッ クをブロ ッ ク し、 インライン監視ポートで受信したイベン ト をマネージメン ト コンソールへレポート します。

HA の有効化については、 「HA の有効化」 (141 ページ ) を参照して ください。

サポート対象のネッ トサポート対象のネッ トサポート対象のネッ トサポート対象のネッ トワーク構成ワーク構成ワーク構成ワーク構成

ハイ アベイラビ リ ティ ネッ ト ワークは、 一般的に次のいずれかの方法で構成されます。

Proventia の HA 機能では、 これらのネッ ト ワーク構成の両方がサポート されています。 そのためには、 Proventia アプライアンスの両方が同一の状態を維持している必要があ り ます。 アプライアンスは、 複数のポート上の複数の接続で構成される ミ ラー リ ンクによって接続されます。 これらのミ ラー リ ンクは、 アプライアンスがインライン ポート上で受信するすべての ト ラフ ィ ッ クをほかのアプライアンスに受け渡し、両方のアプライアンスのプロ ト コル分析モジュールがネッ ト ワーク ト ラフ ィ ッ クすべてを処理できるよ うにします。 さ らに、 両アプライアンスは、 非対称的にルーティングされた ト ラフ ィ ッ ク も処理します。 このため、 フェイルオーバー中に防御が途切れるこ とはあ り ません。

注記注記注記注記 : HA 機能が有効な場合に Proventia Setup を実行しても、 ネッ ト ワーク設定を変更するこ とは

できません。

HA およびおよびおよびおよび SiteProtector 管理管理管理管理

SiteProtector Agent Manager によって、 HA を管理するこ とができます。 アプライアンス アップデート (XPU やポ リシー アップデート など ) を同期するために、 HA 構成の各ペアのアプライアンスを同じ SiteProtector グループに加える必要があ り ます。 両方のアプライアンスは、 固有の ID を使用して SiteProtector にレポート します。

レスポンスの処理レスポンスの処理レスポンスの処理レスポンスの処理 両方のアプライアンスは、 すべての冗長セグメン トから受信したパケッ ト を処理しますが、 適切な場合にインライン ポートに着信する ト ラフ ィ ッ クのみをブロ ッ クするこ とができます。 両方のアプライアンスは、 常にイベン ト をマネージメン ト コンソールへレポート します。 ただし、 インライン ポートに着信するパケッ トによって生成されたイベン トに対するレスポンスのみを処理します。 ミ ラーリ ング ポートに着信する ト ラフ ィ ッ クによって生成されたイベン トについては、 処理は行いますが、 ブロ ッ クやレポートは行いません。

既存の既存の既存の既存の HA 構成構成構成構成 説明説明説明説明

プライマリ / セカンダリ この構成では、 ト ラフ ィ ックが冗長ネッ トワーク セグメ

ン トの一方でしか流れず、 一方のデバイスに障害が発生するまでの間はネッ トワーク上のプライマリ デバイスが

すべてのト ラフ ィ ックを処理します。 障害発生の時点で、ト ラフ ィ ックはセカンダリ冗長ネッ トワーク セグメン ト

へフェイルオーバーし、 セカンダリ デバイスが引き継ぎ

ます。

クラスタ リング この構成では、 ト ラフ ィ ックの負荷が分散され、 両方のデバイス セッ トがアクテ ィブになり、 ト ラフ ィ ッ クが常

時監視されます。

表表表表 17: サポート対象のネッ トワーク構成

36

ハイハイハイハイ アベイラビリテ ィについてアベイラビリテ ィについてアベイラビリテ ィについてアベイラビリテ ィについて

両方のアプライアンスがすべてのト ラフ ィ ッ クを常に監視するため、 レスポンス処理のフェイルオーバー時間が排除されます。 両方のアプライアンスが現在の状況を維持するため、 一方の HA ネッ ト ワーク セグメン トが機能を停止しても、 も う一方のアプライアンスがインライン ポートですべてのパケッ ト を受信するため、 ネッ ト ワークがフェイルオーバーする とすぐにイベン トが生成されます。

注記注記注記注記 : ポート スキャンのよ うな少数のシグネチャは、 ク ラスタ構成の各アプライアンスごとに 1 つの重複イベン ト を生成する可能性があ り ます。

ハイハイハイハイ アベイラビリテ ィアベイラビリテ ィアベイラビリテ ィアベイラビリテ ィ モードモードモードモード

HA 構成では、 アプライアンスはインライン シ ミ ュレーシ ョ ン モードまたはインライン プロテクシ ョ ン モードのどちらかでのみ機能するこ とができます。 パッシブ モニタ リ ング モードはサポート されていません。 HA モードを選択する と、 すべての監視アダプタが、 対応するアダプタ モードに自動的に切り替わり ます。

HA は、 アプライアンス自体の可用性または耐故障性には対応しません。 パッシブ モニタ リ ングに対して構成および配線されたアプライアンスには、 別のハイ アベイラビ リ ティ ソ リ ューシ ョ ンはあ り ません。 表 18 に記載されているハイ アベイラビ リ ティ モードを使用して、 アプライアンスを構成するこ とができます。

設定設定設定設定 説明説明説明説明

HA シミ ュレーシ ョ

ン モード

HA パートナー アプライアンスは両方とも、 インラインで ト ラフ ィ ッ ク

を監視しますが、 ト ラフ ィ ックのブロックは行いません。 代わりに、 両方のアプライアンスがト ラフ ィ ックを監視し、 パッシブ通知レスポンスを返します。 アプライアンスはまた、 ネッ トワークのフェイルオーバーが発生した場合には、 通知を引き継げるように、 互いのセグメン ト上のト ラフ ィ ックを ミ ラー リンク – 経由で監視します。

HA プロテクシ ョ ン モード

HA パートナー アプライアンスは両方とも、 インラインで ト ラフ ィ ッ ク

を監視し、 Block レスポンス、 Quarantine レスポンス、 ファイアウォー

ル ルールで構成された攻撃をそれぞれがレポート しブロックします。 ア

プライアンスはまた、 ネッ トワークのフェイルオーバーが発生した場合には、 レポート と防御を引き継げるように、 互いのセグメン ト上のト ラフ ィ ックを ミ ラー リンク – 経由で監視します。

表表表表 18: HA アプライアンス モード

37Proventia Network IPS G and GX Appliance User Guide

第第第第 3 章章章章 : ネッ トワーク可用性の維持ネッ トワーク可用性の維持ネッ トワーク可用性の維持ネッ トワーク可用性の維持

ハイハイハイハイ アベイラビリテ ィ構成の概要アベイラビリテ ィ構成の概要アベイラビリテ ィ構成の概要アベイラビリテ ィ構成の概要

はじめにはじめにはじめにはじめに HA を構成する前に、 各アプライアンスでファイアウォール アクセス ポ リシーを作成します。ファ イアウォール アクセス ポ リシーを作成した場合、 指定されたプライマ リ アプライアンスでのみハイ アベイラビ リ ティを有効にして構成するこ とができます。 アプライアンスを構成する前に、「ハイ アベイラビ リ ティ実装」 (39 ページ ) の情報を確認してください。

ファ イアウォール ポリシーの設定については、 「ファイアウォール ルールの設定」 (126 ページ ) を参照してください。

ライセンスライセンスライセンスライセンス HA 構成のライセンスは、 HA アプライアンス以外のライセンス と同一のもので、 個々のアプライアンスはそれぞれ、 SiteProtector からライセンスを 1 つ要求します ( アプライアンスの管理に SiteProtector を使用している場合 )。

制約事項制約事項制約事項制約事項 HA モードでは、 ファ イアウォールの一部と してアダプタ パラ メータを使用するこ とができません。 アダプタに基づくプロテクシ ョ ン ド メ インは定義できません。 HA 環境では同一の ト ラフ ィ ックが別のアダプタ上を流れる場合があるため、 アダプタ パラ メータを使用するこ とによ り、 2 台の HA パートナー アプライアンスが同期しな くなる可能性があ り ます。

重要重要重要重要 : プロテクシ ョ ン ド メ インの定義では、 [Adapter]　オプシ ョ ンを 「Any」 に設定してくださ

い。 構成済みのファイアウォール ルールの定義では、 すべてのアダプタを選択する必要があ り ま

す。 手動で作成したファイアウォールの定義では、 アダプタ キーワードは無効です。

Proventia Manager Proventia Manager では、 ポ リシーやアップデートの管理を行うだけでなく、 HA 構成を表示すること もできますが、 インラインの HA 構成では SiteProtector を使用してアプライアンスを管理することをお勧めします。

注記注記注記注記 : 同じポ リシーを使用するよ うに、 両方の HA パートナー アプライアンスを設定するこ とを

お勧めします。

一方のアプライアンスが、 ネッ ト ワーク接続を維持するために常に稼動できるよ うに ( 特に両アプライアンスが 「fail closed」 に設定されている場合 )、 コンテンツ アップデート とファームウェア アップデート を連続して適用するこ とができます。

38

ハイハイハイハイ アベイラビリテ ィ実装アベイラビリテ ィ実装アベイラビリテ ィ実装アベイラビリテ ィ実装

ハイハイハイハイ アベイラビリテ ィ実装アベイラビリテ ィ実装アベイラビリテ ィ実装アベイラビリテ ィ実装

はじめにはじめにはじめにはじめに この ト ピッ クでは、 ハイ アベイラビ リ ティ環境での IPS の一般的な実装シナリオについて説明します。 次の内容が含まれます。

� 標準的な HA 実装の論理図

� 標準的な実装の物理ネッ ト ワーク図

論理図論理図論理図論理図 HA アプライアンスのク ラスタを Proventia Manager から管理するこ とができます。 SiteProtector を使用してアプライアンスを管理する場合、 HA ク ラスタを SiteProtector Agent Manager から管理するこ とができます。 HA 実装論理図は、 図 2 のとおりです。

図図図図 2: 標準的な HA 実装論理図

39Proventia Network IPS G and GX Appliance User Guide

第第第第 3 章章章章 : ネッ トワーク可用性の維持ネッ トワーク可用性の維持ネッ トワーク可用性の維持ネッ トワーク可用性の維持

HA 物理ネッ トワーク図物理ネッ トワーク図物理ネッ トワーク図物理ネッ トワーク図 一般的な HA 実装シナリオの物理ネッ ト ワーク図を 図 3 に示します。

図図図図 3: HA 物理ネッ トワーク図

40

第第第第 4 章章章章

Proventia Manager の使用の使用の使用の使用

概要概要概要概要

はじめにはじめにはじめにはじめに この章では、 Proventia Manager ( ローカル管理インターフェース ) の使用、 アップデートの実行、調整、 および設定強化の方法について説明します。

この章の内容この章の内容この章の内容この章の内容 この章では、 次のト ピッ クについて説明します。

ト ピックト ピックト ピックト ピック ページページページページ

始める前に 42

Proventia Manager へのアクセス 44

Proventia Manager のナビゲーシ ョ ン 46

ライセンス ファイルのインストール 49

Proventia Manager での作業 50

41Proventia Network IPS G and GX Appliance User Guide

第第第第 4 章章章章 : Proventia Manager の使用の使用の使用の使用

始める前に始める前に始める前に始める前に

はじめにはじめにはじめにはじめに アプライアンスをインス トールして設定する と、 終的な設定手順を完了するために Proventia Manager にログインし、 アプライアンス管理を設定するこ とができます。 これらの手順の概要を次の表で説明します。

セッ トアップの確認セッ トアップの確認セッ トアップの確認セッ トアップの確認 次の作業が終了したこ とを確認してください。

1. 正し くハードウェアをインス トールし、 ケーブルを接続した。

2. ハイパーターミナル ( または VT100 と互換性のある端末エミ ュレーシ ョ ン プログラム ) を使った接続を、 推奨設定で作成した。

3. 次の内容を含むすべての初期設定を完了した。

� Proventia Setup Utility でアプライアンスにログオンした。

� 管理パスワード、 root パスワード、 および Proventia Manager パスワードを設定した。

� ネッ ト ワーク設定を構成した。

� 日付と時刻を設定した。

� 設定を適用した。

4. アプライアンスを使用する前に、 ライセンス ファ イルをインス トールする必要があ り ます。

さ らに、 次の作業を行う こ とをお勧めします。

手順手順手順手順 説明説明説明説明 参照先参照先参照先参照先

1 ライセンス登録番号について販売代理店に問い合わせます。

次の作業を行います。

1. 販売代理店からライセンス キーを入手します。

2. ISS の登録センターから、 ライセンス キーをコン

ピュータにダウンロード します。

注記注記注記注記 : アプライアンスが 新のアップデートを自

動的にダウンロードおよびインストールできるように、 ライセンス キー ファイルを指定のディレ

ク ト リにアップロードすることをお勧めします。

Proventia Manager にログインしているときに、 ライ

センスをアップロード します。

「ライセンス ファイルのインス

トール」 (49 ページ )

2 次のものがあることを確認します。

• Internet Explorer バージョ ン 6.0 以降

• Java Runtime Environment (JRE) バージョ ン 1.4.2。 インス トールされていない場合は、 インス

トール用のリンクが表示されます。

3 Internet Explorer を開き、 ユーザー名 「admin」 と Proventia のセッ トアップ中に設定したパスワードを

使用して Proventia Manager にログインします。

「Proventia Manager へのログオ

ン」 (45 ページ )

4 ライセンスをインストールします。 「ライセンス ファイルのインス

トール」 (49 ページ )

5 アップデートを適用します。 「アプライアンスのアップデート」 (54 ページ )

表表表表 19: Proventia Manager の設定

42

始める前に始める前に始める前に始める前に

� Home ページでコンポーネン トのステータスを表示する

� ファームウェアをアップデートする

� アップデート設定を構成する

� 不正侵入防御設定を構成してアップデートする

� ファ イアウォールを設定する

43Proventia Network IPS G and GX Appliance User Guide

第第第第 4 章章章章 : Proventia Manager の使用の使用の使用の使用

Proventia Manager へのアクセスへのアクセスへのアクセスへのアクセス

はじめにはじめにはじめにはじめに Proventia Manager は、 アプライアンスの Web ベースの管理インターフェースです。

Proventia Manager を使用して、 次の作業を行います。

� アプライアンスの状態を監視する

� 設定の構成と監視を行う

� 検疫テーブルの表示と変更内容の適用を行う

� アプライアンス アクティビティのレビューと管理を行う

始める前に始める前に始める前に始める前に 初めて Proventia Manager にアクセスする場合、 ポ リシーを作成して管理し始める前に、 ラ イセンスを適用し、 アプライアンスをアップデートする必要があ り ます。 概要を説明した次の手順に従います。

手順手順手順手順 説明説明説明説明 参照先参照先参照先参照先

1 ライセンス登録番号について販売代理店に問い合わせます。

次の作業を行います。

1. 販売代理店からライセンス キーを入手します。

2. ISS の登録センターから、 ライセンス キーをコン

ピュータにダウンロード します。

注記注記注記注記 : アプライアンスが 新のアップデートを自

動的にダウンロードおよびインストールできるように、 ライセンス キー ファイルを指定のディレ

ク ト リにアップロードすることをお勧めします。

Proventia Manager にログインしているときに、 ライ

センスをアップロード します。

「ライセンス ファイルのインス

トール」 (49 ページ )

2 次のものがあることを確認します。

• Internet Explorer バージョ ン 6.0 以降

• Java Runtime Environment (JRE) バージョ ン 1.4.2。 インス トールされていない場合は、 インス

トール用のリンクが表示されます。

3 Internet Explorer を開き、 ユーザー名 「admin」 と Proventia のセッ トアップ中に設定したパスワードを

使用して Proventia Manager にログインします。

「Proventia Manager へのログオ

ン」 (45 ページ )

4 ライセンスをインストールします。 「ライセンス ファイルのインス

トール」 (49 ページ )

5 アップデートを適用します。 「アプライアンスのアップデート」 (54 ページ )

表表表表 20: Proventia Manager の設定

44

Proventia Manager へのアクセスへのアクセスへのアクセスへのアクセス

Proventia Manager へへへへのログオンのログオンのログオンのログオン

Proventia Manager インターフェースにログオンするには、 次の手順に従います。

1. Internet Explorer 6 を起動します。

2. 「https:// < アプライアンスの IP アドレス >」 と入力します。

3. ユーザー名 「admin」 と Proventia Manager のパスワードを使用してログインします。

4. Java Runtime Environment (JRE) がインス トールされていないこ とを示すメ ッセージが表示され

たら、 直ちにインス トールし、 この手順に戻り ます。

5. [Yes] を選択して Getting Started 手順を使用します。

注記注記注記注記 : アプライアンス設定のカスタマイズを支援する 「Getting Started」 の手順を使用するこ

とをお勧めします。 このウ ィンド ウが表示されない場合は、 ヘルプから Getting Started の手順

にアクセスするこ と もできます。

6. [Launch Proventia Manager] をク リ ッ ク します。

45Proventia Network IPS G and GX Appliance User Guide

第第第第 4 章章章章 : Proventia Manager の使用の使用の使用の使用

Proventia Manager のナビゲーシ ョ ンのナビゲーシ ョ ンのナビゲーシ ョ ンのナビゲーシ ョ ン

はじめにはじめにはじめにはじめに Proventia Manager を使用してアプライアンスを管理する場合、 ナビゲーシ ョ ン機能を把握する必要があ り ます。

ナビゲーシ ョ ンナビゲーシ ョ ンナビゲーシ ョ ンナビゲーシ ョ ン ボタンボタンボタンボタン

についてについてについてについて

次のボタンは、 Proventia Manager のすべてのページに表示されます。

左側のナビゲーシ ョ ン左側のナビゲーシ ョ ン左側のナビゲーシ ョ ン左側のナビゲーシ ョ ン ウィンドウについてウィンドウについてウィンドウについてウィンドウについて

左ウ ィンド ウ枠では、 設定するツ リー内の項目を選択します。 一部の項目には、 設定対象となるコンポーネン トが 1 つ以上あ り ます。 ツ リーを展開し、 該当する領域で設定可能な要素のサブリ ス トを表示します。

次の表では、 Proventia Manager の各領域について説明します。

ボタンボタンボタンボタン 目的目的目的目的

[System Logs] ページにアクセスします。

左ウィンドウ枠で選択した領域の [Alerts] ページにアクセスします。

オンライン ヘルプにアクセスします。

ナビゲーシ ョ ン ウィンドウを 小化または 大化します。

表表表表 21: ナビゲーシ ョ ン ボタン

項目項目項目項目 表示または設定の内容表示または設定の内容表示または設定の内容表示または設定の内容

Notifications [Notifications] 領域では、 高レベルのアラート イベン ト ログ情報、 システ

ム ログ、 システム ( アプライアンス ) アラート情報を表示することがで

きます。

詳細については、 「アラート とシステム情報の表示」 (155 ページ ) を参照

して く ださい。

Intrusion Prevention [Intrusion Prevention] 領域では、 不正侵入からネッ トワークを保護し続け

るのを助けるレスポンス、 プロテクシ ョ ン ド メイン、 およびイベン ト タイプを設定することができます。 また、 重要なセキュリテ ィ アラートお

よび検疫済み不正侵入情報を表示し、 検出された不正侵入に対するアプライアンスの対応方法を決定することもできます。

詳細については、 次のトピックを参照して く ださい。

• 「セキュリテ ィ イベン トでの作業」 (87 ページ )

• 「レスポンスの設定」 (75 ページ )

• 「その他の不正侵入防御設定の構成」 (103 ページ )

Firewall Settings [Firewall Settings] 領域では、 攻撃をブロックするためのファイアウォー

ル ルールを作成し編集することができます。

詳細については、 「ファイアウォール設定の構成」 (125 ページ ) を参照し

て く ださい。

表表表表 22: 左側のナビゲーシ ョ ン ウィンドウ

46

Proventia Manager のナビゲーシ ョ ンのナビゲーシ ョ ンのナビゲーシ ョ ンのナビゲーシ ョ ン

アイコンについてアイコンについてアイコンについてアイコンについて 次の表では、 作業中に Proventia Manager に表示されるアイコンについて説明します。

System [System] 領域では、 アプライアンスのさまざまな特徴に関する情報を構

成し表示することができます。 アプライアンスの監視に役立つユーザー アクセス、 ネッ トワーク アダプタ カード、 アラート、 および高度なパラ

メータを設定することができます。 また、 重要なシステム ログの表示と

ダウンロード、 ライセンスの管理、 アプライアンスの再起動をこの領域から行うこともできます。

詳細については、 次のトピックを参照して く ださい。

• 「ローカル調整パラ メータの設定」 (135 ページ )

• 「システム設定の管理」 (149 ページ )

Statistics [Statistics] 領域では、 アプライアンスのアクティビティ ( プロテクシ ョ

ン、 パケッ ト、 ド ライバの情報など ) に関する重要な統計値を表示するこ

とができます。

詳細については、 「統計値の表示」 (161 ページ ) を参照して ください。

Updates [Updates] 領域を使用して、 ネッ トワークに利用可能な 新のプロテク

シ ョ ンを入手できるように、 アプライアンスのアップデートを設定および管理します。

詳細については、 「アプライアンスのアップデート」 (54 ページ ) を参照

して く ださい。

Support [Support] 領域には、 テクニカル サポートについての連絡先のほか、 アプ

ライアンスに関する有益なリンクがあります。

詳細については、 「テクニカル サポートについて」 (xii ページ ) を参照し

て く ださい。

項目項目項目項目 表示または設定の内容表示または設定の内容表示または設定の内容表示または設定の内容

表表表表 22: 左側のナビゲーシ ョ ン ウィンドウ ( 続き )

アイコアイコアイコアイコンンンン

説明説明説明説明

項目をリス トに追加するには、 このアイコンをクリ ックします。

リス ト内の項目を編集するには、 このアイコンをクリ ックします。

項目 (1 つまたは複数 ) をリス トから削除するには、 このアイコンをクリ ックします。

標準的な [SHIFT] キー + クリ ック、 または [CTRL] キー + ク リ ックの方法を使用して、

リス ト内の隣接する ( または隣接しない ) 項目を選択することができます。

注記注記注記注記 : 削除アイコンをクリ ックしても項目がリストから削除されない場合があります

が、 その場合でも項目は無効化されてデフォルト状態にリセッ ト されます。

表の列ごとに項目をグループ化するには、 このアイコンをクリ ックします。

たとえば、 危険度別にセキュリテ ィ イベン ト をグループ化することができます。 つま

り、 高危険度、 中危険度、 低危険度のセキュリテ ィ イベン トがそれぞれのグループを

持つこととなり、 イベン ト を検索しやすく なります。

表のグループ分けをデフォルト設定に戻すには、 このアイコンをクリ ックします。

ページに表示する列を選択するには、 このアイコンをクリ ックします。

表表表表 23: Proventia Manager のポリシー アイコン

47Proventia Network IPS G and GX Appliance User Guide

第第第第 4 章章章章 : Proventia Manager の使用の使用の使用の使用

保存アイコンについて保存アイコンについて保存アイコンについて保存アイコンについて Proventia Manager のある場所から別の場所に移動するたびに、 [Save Changes] ボタンをク リ ッ ク して変更内容を確実に適用する必要があ り ます。 別のページへ移動する前に情報を保存していない場合は、 情報を保存するよ うに指示する メ ッセージが表示されます。 変更内容を保存しないで別のページに移動するには、 リ ンクをク リ ッ クする前に保存するよ うに指示されないよ うに、 [Cancel Changes] ボタンをク リ ッ ク して ください。

リス ト内の項目をリストの上方に移動するには、 項目を選択してこのアイコンをクリ ックします。

リス ト内の項目をリストの下方に移動するには、 項目を選択してこのアイコンをクリ ックします。

リス ト内の項目をクリ ップボードにコピーするには、 項目を選択してこのアイコンをクリ ックします。

ヒン トヒン トヒン トヒン ト : 標準的な [SHIFT] キー + クリ ッ ク、 または [CTRL] キー + クリ ックの方法を使

用して、 リス ト内の隣接する ( または隣接しない ) 項目を選択することができます。

コピーした項目をクリ ップボードからリストに貼り付けるには、 このアイコンをクリ ックします。 貼り付け後、 その項目を編集することができます。

このアイコンがページまたはページ上のフ ィールドの隣に表示された場合は、 必要なデータをフ ィールドに入力する必要があるか、 またはフ ィールドに入力したデータが無効です。

アイコアイコアイコアイコンンンン

説明説明説明説明

表表表表 23: Proventia Manager のポリシー アイコン ( 続き )

48

ライセンスライセンスライセンスライセンス ファイルのインス トールファイルのインス トールファイルのインス トールファイルのインス トール

ライセンスライセンスライセンスライセンス ファイルのインス トールファイルのインス トールファイルのインス トールファイルのインス トール

はじめにはじめにはじめにはじめに Proventia Network IPS アプライアンスには、 正し く設定されたライセンス ファ イルが必要です。 適切なライセンス ファ イルがインス トールされていないと、 アプライアンスを管理するこ とができません。

ハイ アベイラビ リ ティ構成のライセンスは、 HA アプライアンス以外のライセンス と同一のものです。 アプライアンスはそれぞれ、 SiteProtector からライセンスを 1 つ要求します。

ライセンスを購入するには、 お近くの販売代理店までお問い合わせください。

次の手順でライセンス ファ イルをインス トールします。 この手順は、 アプライアンスを完全に機能させるために必要です。 インス トールでは、 Proventia Manager ソフ ト ウェアが検索し、 認識できる場所にライセンス ファ イル情報を保存する必要があ り ます。

前提条件前提条件前提条件前提条件 ライセンス ファ イルをインス トールする前に、 次の作業を完了して ください。

� ライセンスを登録する

� 販売代理店からライセンス キーを入手する

Licensing ページについページについページについページについ

てててて

[Licensing] ページには、 ライセンス ファ イルの現在のステータスに関する重要な情報 ( 有効期限など ) が表示されます。 さ らに、 このページから、 新ライセンスの入手方法に関する情報が記載された [License Information] ページにアクセスするこ とができます。

ライセンスライセンスライセンスライセンス ファイルのファイルのファイルのファイルの

インス トールインス トールインス トールインス トール

ライセンス ファ イルをインス トールするには、 次の手順に従います。

1. Proventia Manager で、 [System] → [Licensing] の順に選択します。

2. [Browse] をク リ ッ ク します。

3. ダウンロード したライセンス ファ イルの場所を探します。

4. [OK] をク リ ッ ク します。

5. [Upload] をク リ ッ ク します。

49Proventia Network IPS G and GX Appliance User Guide

第第第第 4 章章章章 : Proventia Manager の使用の使用の使用の使用

Proventia Manager での作業での作業での作業での作業

はじめにはじめにはじめにはじめに Proventia Manager を開く と、 Home ページにアプライアンスの現状を示すスナップシ ョ ッ トが表示されます。 このページには、 次のよ う なナビゲーシ ョ ン、 情報、 およびレポート オプシ ョ ンが含まれています。

� デバイス名 ( セッ ト アップ時に設定したアプライアンスのド メ イン名 )

� 防御ステータス

� システム ステータス

� 各モデルに対するアラート

� 重要なメ ッセージ

防御ステータスの表示防御ステータスの表示防御ステータスの表示防御ステータスの表示 [Protection Status] 領域では、 不正侵入防御コンポーネン トの現状が説明されています。 コンポーネン ト名を選択する と、 コンポーネン トのステータス ページにリ ンク します。

次のステータス アイコンは、 コンポーネン トの現在のステータスを示します。

システムシステムシステムシステム ステータスのステータスのステータスのステータスの

表示表示表示表示

Home ページの [System Status] グループ ボッ クスは、 システムの現在のステータスを示します。

次の表では、 [System Status] 領域で利用可能なデータについて説明します。

アイアイアイアイコンコンコンコン

説明説明説明説明

コンポーネン トがアクテ ィブであることを示します。

コンポーネン トが停止していることを示します。

コンポーネン トのステータスが不明であることを示します。 このステータスについては、直ちに対処する必要があります。

表表表表 24: 防御ステータスのアイコン

統計値統計値統計値統計値 説明説明説明説明

Model Number アプライアンスのモデル番号。

Base Version Number アプライアンス ソフ トウェアの基本バージ ョ ン。

注記注記注記注記 : 基本バージョ ンとは、 アプライアンスに付属しているソフ ト

ウェア バージョ ンのこと、 または使用したファームウェア アップ

デートのリカバリ イメージのバージ ョ ンのことです。

Uptime アプライアンスがオンラインになっている時間の長さ。 次の形式で表示されます。

x 日、 x 時、 x 分 Last Restart アプライアンスが 後に再起動された日時。 次の形式で表示されま

す。

yyyy-mm-dd hh:mm:ss例例例例 : 2004-05-04 16:24:37

表表表表 25: システム ステータスの統計値

50

Proventia Manager での作業での作業での作業での作業

重要なメ ッセージの表示重要なメ ッセージの表示重要なメ ッセージの表示重要なメ ッセージの表示 Home ページには、 ライセンス とアップデートに関する重要なメ ッセージが表示されます。 アップデート を自動的にダウンロードするよ うにアプライアンスを設定していないと、 メ ッセージ中に Proventia Manager の該当ページへのリ ンクが表示される場合があ り ます。

Last Firmware Update アプライアンス ファームウェアが 後にアップデート された日時。

次の形式で表示されます。

yyyy-mm-dd hh:mm:ss - version: x.x例例例例 : 2004-05-04 16:25:56 - version: 1.7

Last Intrusion Prevention Update

アプライアンスのセキュリテ ィ コンテンツが 後にアップデート さ

れた日時。 次の形式で表示されます。

yyyy-mm-dd hh:mm:ss - version: x.x例例例例 : 2004-01-25 12:34:36 - version: 1.7

Last System Backup 後のシステム バックアップが作成された日時。 次の形式で表示さ

れます。

yyyy-mm-dd hh:mm:ss例例例例 : 2004-05-04 15:49:01

Backup Description アプライアンス上のバックアップの種類。

• Factory Default ( 工場出荷時のデフォルト )

• Full System Backup ( フル システム バックアップ )

統計値統計値統計値統計値 説明説明説明説明

表表表表 25: システム ステータスの統計値 ( 続き )

51Proventia Network IPS G and GX Appliance User Guide

第第第第 4 章章章章 : Proventia Manager の使用の使用の使用の使用

52

第第第第 5 章章章章

アプライアンスのアップデートアプライアンスのアップデートアプライアンスのアップデートアプライアンスのアップデート

概要概要概要概要

はじめにはじめにはじめにはじめに この章では、 Proventia Manager を使用したアプライアンスのアップデート方法について説明します。 ファームウェア アップデートやセキュ リティ アップデート を手動でダウンロード してインストールするこ とや、 指定した時間に一部またはすべてのアップデート を自動的にダウンロード してインス トールするよ うにアプライアンスを設定するこ と もできます。

この章の内容この章の内容この章の内容この章の内容 この章では、 次のト ピッ クについて説明します。

ト ピックト ピックト ピックト ピック ページページページページ

アプライアンスのアップデート 54

アプライアンスの自動アップデート 56

アプライアンスの手動アップデート 59

アップデート ツールの使用 60

アップデートの高度なパラ メータの設定 61

53Proventia Network IPS G and GX Appliance User Guide

第第第第 5 章章章章 : アプライアンスのアップデートアプライアンスのアップデートアプライアンスのアップデートアプライアンスのアップデート

アプライアンスのアップデートアプライアンスのアップデートアプライアンスのアップデートアプライアンスのアップデート

はじめにはじめにはじめにはじめに アプライアンスが常に 新のファームウェア アップデートおよび不正侵入防御アップデート を実行できるよ うにしてください。 アプライアンスは、 インターネッ ト経由でアクセス可能な ISS のダウンロード ページからアップデート を取得します。

次の 2 つの方法で、 アプライアンスをアップデートするこ とができます。

� 自動アップデート を設定する

� アップデート を手動で検索、 ダウンロード、 インス トールする

アップデートの種類アップデートの種類アップデートの種類アップデートの種類 次のよ う なアップデート をインス トールするこ とができます。

� ファームウェアファームウェアファームウェアファームウェア アップデートアップデートアップデートアップデート。 このアップデートには、 プログラム ファ イル、 修正プログラ

ムまたはパッチ、 拡張機能、 オンライン ヘルプのアップデートが含まれます。

� 不正侵入防御のアップデート不正侵入防御のアップデート不正侵入防御のアップデート不正侵入防御のアップデート。 このアップデートには、 ISS X-Force によって提供された 新

のセキュ リティ コンテンツが含まれます。

アップデートは、 [Updates to Download] ページで検索するこ とができます。 また、 アップデートの自動的なダウンロード と インス トールを [Automatic Update Settings] ページでスケジューリ ングするこ と もできます。

注記注記注記注記 : 一部のファームウェア アップデートでは、 アプライアンスの再起動が必要です。 製品の問

題とアップデートの詳細については、 ISS のダウンロード ページ (http://www.iss.net/download/) にある 「Proventia Network Intrusion Prevention System (IPS) Readme」 を参照してくださ

い。

利用可能なアップデート利用可能なアップデート利用可能なアップデート利用可能なアップデートの検索の検索の検索の検索

[Update Status] ページの [Find Update] ボタンをク リ ッ クする と、 次のこ とをチェッ クします。

� アプライアンスにダウンロード済みで、 インス トールの準備ができたアップデート

� ISS ダウンロード ページからダウンロード可能なアップデート

ダウンロードまたはインス トールの対象となるアップデート を検出した場合、 [Download Updates] または [Install Updates] ページなどの該当するページへのリ ンクを含む警告メ ッセージが表示されます。

アップデートアップデートアップデートアップデート パッケーパッケーパッケーパッケー

ジとロールバックジとロールバックジとロールバックジとロールバック

ロールバッ クを行う と、 アプライアンスにインス トールされた 新の不正侵入防御のアップデートが削除されます。 ファームウェア アップデートはロールバッ クできません。

注記注記注記注記 : ファームウェア アップデートのインス トール前にフル システム バッ クアップを行う こ とを

お勧めします。 ファームウェアの自動アップデート を有効にした場合、 [Perform Full System Backup Before Installation] オプシ ョ ンを有効にする必要があ り ます。

アップデートのインス トール後、 アプライアンスはアップデート パッケージを削除するため、 ダウンロード されたパッケージはアプライアンスに存在しなくなり ます。 アップデート をロールバックする と、 次回のアップデートが入手可能になったと きや次回の自動アップデート時に、 アップデートのダウンロード と インス トールが可能になり ます。

SiteProtector による管による管による管による管

理理理理

SiteProtector を使用してアプライアンスを管理する場合、 アプライアンスが SiteProtector Agent Manager に登録されている間に、 アップデート をインス トールするこ とができます。 SiteProtector X-Press Update Server を使用して、 利用可能なアップデート をダウンロードおよびインス トールするよ うに設定するこ と もできます。

54

アプライアンスのアップデートアプライアンスのアップデートアプライアンスのアップデートアプライアンスのアップデート

次のよ う な状況下では、 X-Press Update Server の使用を検討してください。

� 多数のアプライアンスを配置している場合、 帯域幅を節約するこ とができます。 帯域幅を使用

して、 ISS ダウンロード センターからそれぞれのアプライアンスに対して同じアップデート を

ダウンロードするのとは対照的に、 1 つの Update Server からのアップデート を要求するこ とが

できます。

� よ り安全な環境でアップデート をダウンロード し、 ダウンロードするためにすべてのアプライ

アンスをインターネッ トにアクセスさせたくない場合、 アプライアンスは Update Server から

のアップデート を要求するこ とができます。 この場合、 Update Server のみがインターネッ ト アクセスを必要と します。

X-Press Update Server の設定については、 SiteProtector のマニュアルまたはオンライン ヘルプを参照してください。

Virtual Patch™ 技術技術技術技術 自動セキュ リティ アップデートは、 Virtual Patch ( バーチャル パッチ ) 技術を使用して ISS X-Force から提供されます。 Virtual Patch プロセスは、 脆弱性が発見されてからセキュ リ ティ パッチが手動で適用されるまでの間、 攻撃からシステムを保護します。

Virtual Patch は、 ISS の Dynamic Threat Protection プラ ッ ト フォームの重要なコンポーネン トです。脆弱性の検出、 不正侵入の防御、 管理、 および高度な相関ツールの機能を組み合わせるこ とによって、 既知および未知の脅威から保護するためのシステム全体の不正侵入防御能力について、 統一見解を得るこ とができます。

ダウンロードに関する問ダウンロードに関する問ダウンロードに関する問ダウンロードに関する問題点のト ラブルシュー題点のト ラブルシュー題点のト ラブルシュー題点のト ラブルシューテ ィングテ ィングテ ィングテ ィング

ファームウェア アップデートの適用後に Proventia Manager で問題が生じた場合は、 次の手順を試してください。

1. Web ブラウザを閉じます。

2. Java キャ ッシュをク リ アします。

3. Web ブラウザを再起動して、 Proventia Manager にログオンします。

Java キャ ッシュのク リ ア方法については、 お使いのオペレーティング システムのマニュアルを参照してください。

55Proventia Network IPS G and GX Appliance User Guide

第第第第 5 章章章章 : アプライアンスのアップデートアプライアンスのアップデートアプライアンスのアップデートアプライアンスのアップデート

アプライアンスの自動アップデートアプライアンスの自動アップデートアプライアンスの自動アップデートアプライアンスの自動アップデート

はじめにはじめにはじめにはじめに [Update Settings] ページを使用して、 アップデート を自動的にチェッ ク しインス トールするよ うに、アプライアンスを設定します。 アプライアンスの自動アップデート を設定するために、 次の設定を定義します。

� アップデート をチェッ クするタイ ミ ング

� セキュ リティ アップデート をダウンロード しインス トールするタイ ミ ング

� ファームウェア アップデート をダウンロードするタイ ミ ング

� ファームウェア アップデートのインス トール方法と タイ ミ ング

� インス トールするファームウェア アップデートのバージ ョ ン

注記注記注記注記 : ファームウェア アップデート をインス トールする と きに、 一時的にアプライアンス と リ ン

クできなくなる場合があ り ます。

例例例例 毎日午前 3 時にアップデート をチェッ クするよ うにアプライアンスを設定する と します。 何かしらのアップデート ( ファームウェアも し くはセキュ リ ティ アップデートのどちらか ) がある場合、 すべてのアップデート を自動的にダウンロード し、 すぐにセキュ リティ アップデート をインス トールしたいと します。 終段階と して、 午前 5 時に、 自動的にシステム バッ クアップを行い、 利用可能なファームウェア アップデート をインス トールしたいと します。

次の表では、 このよ う な設定でのアプライアンスのアップデート プロセスについて説明します。

段階段階段階段階 説明説明説明説明

1 午前 3 時、 アプライアンスがアップデートするために、 ISS のダウンロード ページ

をチェ ックします。

2 アプライアンスが、 セキュリテ ィ とファームウェアのアップデート をダウンロードします。

3 アプライアンスが、 セキュリテ ィのアップデートを直ちにインストールします。

4 午前 5 時 5 分、 アプライアンスは次の作業を行います。

• 再起動し、 システム バックアップを作成する

• ファームウェア アップデートをインストールし、 必要に応じて再起動する

表表表表 26: アップデート プロセスの例

56

アプライアンスの自動アップデートアプライアンスの自動アップデートアプライアンスの自動アップデートアプライアンスの自動アップデート

手順手順手順手順 アプライアンスを自動的にアップデートするには、 次の手順に従います。

1. [Update Settings] ページで、 次の表に示されている とおりに設定、 またはその設定を変更しま

す。

セクシ ョ ンセクシ ョ ンセクシ ョ ンセクシ ョ ン 設定設定設定設定 説明説明説明説明

Automatically Check for Updates

Check for updates daily or weekly

このオプシ ョ ンを有効にする場合は、 アップデートのチェ ックを行う [Day Of Week ( 曜日 )] と [Time Of Day (時刻 )] を選択します。

注記注記注記注記 : 予定した自動アップデートの少な く とも 1 時間前に

アップデート をチェ ックするようにアプライアンスを設定し、 アプライアンスが必要なアップデートすべてをダウンロード したかどうかを確認します。

Check for updates at given intervals

1 日に数回アップデートをチェ ックします。 [Interval (minutes)] ボックスに値を入力、 またはスライ ド バーを

移動させて値を選択します。

小間隔は 60 分、 大間隔は 1440 分です。

Security Updates

Automatically Download

セキュリテ ィ アップデートを自動的にダウンロード しま

す。

Automatically Install

セキュリテ ィ アップデートを自動的にインストールしま

す。

Firmware Updates

Automatically Download

ファームウェア アップデートを自動的にダウンロード し

ます。

Firmware Updates - Install Options

Perform Full System Backup Before Installation

アップデート をインストールする前に、 アプライアンスが再起動し、 フル システム バックアップを行えるように

します。

注記注記注記注記 : アプライアンスがバックアップを行うたびに、 前回

のシステム バックアップが上書きされます。

Do Not Install ファームウェア アップデートをダウンロード しますが、

インストールはしません。

詳細については、 「アプライアンスの手動アップデート」(59 ページ ) を参照して く ださい。

Automatically Install Updates

ファームウェア アップデートを自動的にインストールし

ます。

注記注記注記注記 : アプライアンスがアップデートを自動的にインス

トールするとき、 数分間オフラインになる可能性があります。

Firmware Updates - When To Install

Delayed 指定の曜日曜日曜日曜日 (Day Of Week) と時刻時刻時刻時刻 (Time Of Day) にアッ

プデート をインストールします。

注記注記注記注記 : アプライアンスがアップデートのダウンロードを完

了した少な く とも 1 分後に、 自動インス トールが起こる

ように設定する必要があります。

Immediately アップデートがダウンロード されるとすぐに、 インストールします。

重要重要重要重要 : このオプシ ョ ンはお勧めしません。

Schedule One Time Install

指定の日付日付日付日付と時刻時刻時刻時刻に、 1 つのアップデート インスタンス

をインストールします。

57Proventia Network IPS G and GX Appliance User Guide

第第第第 5 章章章章 : アプライアンスのアップデートアプライアンスのアップデートアプライアンスのアップデートアプライアンスのアップデート

2. 変更内容を保存します。

Firmware Updates - Which Version To Install

All Available Updates

新バージョ ンを含むアップデート バージョ ンすべてを

インストールします。

Up To Specific Version

指定したバージ ョ ンバージ ョ ンバージ ョ ンバージ ョ ン (Version) 番号までのバージ ョ ンをす

べてインストールします。

セクシ ョ ンセクシ ョ ンセクシ ョ ンセクシ ョ ン 設定設定設定設定 説明説明説明説明

58

アプライアンスの手動アップデートアプライアンスの手動アップデートアプライアンスの手動アップデートアプライアンスの手動アップデート

アプライアンスの手動アップデートアプライアンスの手動アップデートアプライアンスの手動アップデートアプライアンスの手動アップデート

はじめにはじめにはじめにはじめに アプライアンスの自動アップデート を設定しない場合、 またはスケジュール外で利用可能なアップデート をインス トールしたい場合、 アップデート を検索し手動でインス トールするこ とができます。 アプライアンスを手動でアップデートするには、 次の作業を行う必要があ り ます。

� 利用可能なアップデートの検索とダウンロード

� アップデートのインス トール

注記注記注記注記 : ファームウェア アップデート をインス トールする と きに、 一時的にアプライアンス と リ ン

クできなくなる場合があ り ます。

利用可能なアップデート利用可能なアップデート利用可能なアップデート利用可能なアップデートの検索とダウンロードの検索とダウンロードの検索とダウンロードの検索とダウンロード

利用可能なアップデート を検索してダウンロードするには、 次の手順に従います。

1. Proventia Manager で、 [Updates] [Available Downloads] の順に選択します。

2. アプライアンス モデルによっては、 [Export Administration] ウ ィンド ウが表示されます。

使用許諾書を確認し、 [Yes] を選択してから [Submit] をク リ ッ ク します。

3. アップデートが利用可能であれば、 [Updates To Download] ウ ィンド ウが表示され、 次のメ ッ

セージが表示されます。 「There are updates available.Click here to see details.」

メ ッセージ内のリ ンクをク リ ッ ク します。

4. [Updates to Download] ページで、 [Download All Available Updates] をク リ ッ ク します。

アップデートのインスアップデートのインスアップデートのインスアップデートのインストールトールトールトール

アップデート をインス トールするには、 次の手順に従います。

1. Proventia Manager で、 [Updates] [Available Installs] の順に選択します。

2. アプライアンス モデルによっては、 [Export Administration Regulation] ウ ィンド ウが表示されま

す。

使用許諾書を確認し、 [Yes] を選択してから [Submit] をク リ ッ ク します。

3. [Available Installs] ページでインス トールするアップデート を選択し、 [Install Updates] をク

リ ッ ク します。

注記注記注記注記 : 一部のファームウェア アップデートでは、 アプライアンスの再起動が必要です。 各

ファームウェア アップデートの詳細については、 ISS のダウンロード ページ (http://www.iss.net/download/) にある 「Proventia Network Intrusion Prevention System (IPS) Readme」 を確認して ください。

4. [Update Status] ページの [Update History] 表で、 インス トール状況を確認します。

59Proventia Network IPS G and GX Appliance User Guide

第第第第 5 章章章章 : アプライアンスのアップデートアプライアンスのアップデートアプライアンスのアップデートアプライアンスのアップデート

アップデートアップデートアップデートアップデート ツールの使用ツールの使用ツールの使用ツールの使用

はじめにはじめにはじめにはじめに [Update Tools] ページを使用して、 アップデートの検索またはアップデートのロールバッ クを行います。 ロールバッ クを行う と、 アプライアンスにインス トールされた 新のアップデートが削除されます。 ファームウェア アップデートはロールバッ クできません。

累積アップデート とロー累積アップデート とロー累積アップデート とロー累積アップデート とロールバックルバックルバックルバック

XPU アップデートは累積的です。 次の例では、 累積アップデート をロールバッ クする場合のアプライアンスの動作について説明します。

例例例例

セキュ リティ アップデート 1.81 をインス トールし、 バージ ョ ン 1.82 をインス トールせずに、 バージ ョ ン 1.83 をインス トールする場合、 バージ ョ ン 1.82 はバージ ョ ン 1.83 と と もにインス トールされます。

しかし、 バージ ョ ン 1.83 からロールバッ ク しても、 アプライアンスはバージ ョ ン 1.82 にロールバッ ク しません。 後に適用されたアップデートに対してロールバッ クを行う と、バージ ョ ン 1.81 に戻り ます。

アップデートアップデートアップデートアップデート パッケーパッケーパッケーパッケー

ジとロールバックジとロールバックジとロールバックジとロールバック

アップデートのインス トール後、 アプライアンスはアップデート パッケージを削除するため、 ダウンロード されたパッケージはアプライアンスに存在しなくなり ます。 アップデート をロールバックする と、 次回にアップデート を検索したと きや次回の自動アップデート時に、 アップデートのダウンロード と インス トールが可能である と表示されます。 詳細については、 「アプライアンスの自動アップデート 」 (56 ページ ) を参照してください。

利用可能なアップデート利用可能なアップデート利用可能なアップデート利用可能なアップデートの検索の検索の検索の検索

利用可能なアップデート を検索するには、 次の手順に従います。

1. Proventia Manager で、 [Updates] [Tools] の順に選択します。

2. [Find Updates] をク リ ッ ク します。

3. ダウンロードまたはインス トールの対象となるアップデート を検出した場合、 [Available Downloads] または [Available Installs] ページへのリ ンクを含む警告メ ッセージが表示されます。

適切な リ ンクをク リ ッ ク して、 新のアップデート をダウンロードまたはインス トールします。

アップデートのロールアップデートのロールアップデートのロールアップデートのロールバックバックバックバック

アップデート をロールバッ クするには、 次の手順に従います。

1. Proventia Manager で、 [Updates] [Tools] の順に選択します。

2. [Rollback Last Intrusion Prevention Update] をク リ ッ ク し、 [OK] をク リ ッ ク します。

3. [F5] を押してページを更新し、 ロールバッ クの進行状況を確認します。

60

アップデートの高度なパラメータの設定アップデートの高度なパラメータの設定アップデートの高度なパラメータの設定アップデートの高度なパラメータの設定

アップデートの高度なパラ メータの設定アップデートの高度なパラ メータの設定アップデートの高度なパラ メータの設定アップデートの高度なパラ メータの設定

はじめにはじめにはじめにはじめに [Update Settings] ページの [Advanced Parameters] タブを使用して、 アップデート設定を調整します。

高度なパラメータについ高度なパラメータについ高度なパラメータについ高度なパラメータについてててて

高度なパラ メータは、 名前と値のペアで構成されています。 各ペアには、 デフォルト値が設定されています。

たとえば、 パラ メータ np.firewall.log は、 有効にしたファイアウォール ルールに一致するパケッ トの詳細をログに記録するかど うかを決定するパラ メータです。 このパラ メータのデフォルト値は、on です。

[Advanced Parameters] タブのリ ス トに表示されているパラ メータの値を編集するこ とができます。リ ス トにパラ メータが表示されていない場合、 そのパラ メータにデフォルト値がないという こ とを意味しています。 その場合、 新しい値でパラ メータを リ ス トに追加すればいいだけです。

高度なパラメータのアッ高度なパラメータのアッ高度なパラメータのアッ高度なパラメータのアップデートプデートプデートプデート

アプライアンスには、 事前に設定されたアップデートの高度なパラ メータ ( 表 27) が含まれています。

注記注記注記注記 : Proventia Manager によってアプライアンスを管理している場合、 初の 2 つのパラ メータの

みが、 [Update Settings] ページの [Advanced Parameters] タブに表示されます。 SiteProtector 管理を有

効にした場合、 SiteProtector の Update Server で通信するために、 ほかのデフォルト パラ メータを設

定するこ とができます。

パラ メータパラ メータパラ メータパラ メータ タイプタイプタイプタイプ デフォルト値デフォルト値デフォルト値デフォルト値 説明説明説明説明

Update.disable.remote.discovery Boolean ( ブール

値 )

False アプライアンスがインターネッ ト上でアップデートを検索するかどうかを指定します。

Update.preserve.update.files Boolean ( ブール

値 )

False 正常にインス トールした時点でアップデート ファイル

を削除するかどうかを指定します。

Update.certificate.file String (文字列 )

etc/httpd/conf/ss.crt/ca-bundle.crt

Update Server に接続すると

きに使用する SSL Cert Authority ファイルを指定し

ます。

Update.proxy.auth Boolean ( ブール

値 )

False Update Server に接続すると

きの HTTP プロキシ サー

バーの使用を許可します。

Update.proxy.enable Boolean ( ブール

値 )

False Update Server に接続すると

きの HTTP プロキシ サー

バーの使用を有効にします。

Update.proxy.password String (文字列 )

なし Update Server に接続するた

めの HTTP プロキシ サー

バー認証に対するパスワードを指定します。

表表表表 27: 高度なパラ メータのアップデート

61Proventia Network IPS G and GX Appliance User Guide

第第第第 5 章章章章 : アプライアンスのアップデートアプライアンスのアップデートアプライアンスのアップデートアプライアンスのアップデート

アップデートの高度なパアップデートの高度なパアップデートの高度なパアップデートの高度なパラメータの追加ラメータの追加ラメータの追加ラメータの追加

アップデートの高度なパラ メータを追加するには、 次の手順に従います。

1. [Update Settings] を選択します。

2. 必要に応じて、 エクスポートの使用許諾書を確認し、 [Yes] を選択してから [Submit] をク リ ッ

ク します。

3. [Advanced Parameters] タブを選択します。

4. [Add] をク リ ッ ク します。

5. 次の表に示されている とおりに設定します。

6. [OK] をク リ ッ ク します。

7. 変更内容を保存します。

Update.proxy.port Number ( 数値 )

なし Update Server に接続するた

めの HTTP プロキシ サー

バーのポート番号を指定します。

Update.source.url String (文字列 )

https://www.iss.net/XPU

アプライアンスがインターネッ トに接続されていない場合、「https//:<Update Server の IP アドレ

スまたは名前>:3994/xpu」 ( 名前

は大文字と小文字を区別する ) を使用し

ます。

Update Server のアドレスを

指定します。

Update.proxy.user String (文字列 )

なし Update Server に接続するた

めの HTTP プロキシ サー

バー認証に対するユーザー名を指定します。

パラ メータパラ メータパラ メータパラ メータ タイプタイプタイプタイプ デフォルト値デフォルト値デフォルト値デフォルト値 説明説明説明説明

表表表表 27: 高度なパラ メータのアップデート

設定設定設定設定 説明説明説明説明

Name パラメータに対して固有名を入力します。

Comment パラメータの固有の説明を入力します。

Value 次のいずれかの値を選択します。

• Boolean.[Enabled] チェ ック ボックスをオンにして値を True に設定、 またはオフにして値を False に設定します。

• Number. このオプシ ョ ンをオンにする場合、 数値を [Value] に入力します。

• String. このオプシ ョ ンをオンにする場合、 関連するテキスト

文字列を [value] に入力します。

62

アップデートの高度なパラメータの設定アップデートの高度なパラメータの設定アップデートの高度なパラメータの設定アップデートの高度なパラメータの設定

アップデートの高度なパアップデートの高度なパアップデートの高度なパアップデートの高度なパラメータでの作業ラメータでの作業ラメータでの作業ラメータでの作業

アップデートの高度なパラ メータを編集、 コピー、 または削除するには、 次の手順に従います。

1. [Update Settings] を選択します。

2. [Advanced Parameters] タブを選択し、 次のいずれかの操作を行います。

3. 変更内容を保存します。

実行内容実行内容実行内容実行内容 手順手順手順手順

編集 ヒン トヒン トヒン トヒン ト : 設定したい項目をダブルクリ ッ クすることで、

[Advanced Parameters] タブの一部のプロパティ を直接編集す

ることができます。

1. パラ メータを選択し、 編集編集編集編集のアイコン ( ) をクリ ッ クし

ます。

2. [Enabled] チェ ック ボックスをオンまたはオフにします。

3. パラ メータを編集し、 [OK] をクリ ックします。

コピー 1. パラ メータを選択し、 コピーコピーコピーコピーのアイコン ( ) をクリ ッ ク

します。

2. 貼り付け貼り付け貼り付け貼り付けのアイコン ( ) をクリ ックします。

3. 必要に応じてパラ メータを編集し、 [OK] をクリ ックしま

す。

削除 1. パラ メータを選択します。

2. 削除削除削除削除のアイコン ( ) をクリ ックします。

63Proventia Network IPS G and GX Appliance User Guide

第第第第 5 章章章章 : アプライアンスのアップデートアプライアンスのアップデートアプライアンスのアップデートアプライアンスのアップデート

64

第第第第 6 章章章章

SiteProtector によるアプライアンスの管によるアプライアンスの管によるアプライアンスの管によるアプライアンスの管

理理理理

概要概要概要概要

はじめにはじめにはじめにはじめに この章では、 SiteProtector Console からアプライアンスを管理できるよ うに設定する方法について説明します。

この章の内容この章の内容この章の内容この章の内容 この章では、 次のト ピッ クについて説明します。

ト ピックト ピックト ピックト ピック ページページページページ

SiteProtector による管理 66

SiteProtector による管理の設定 68

SiteProtector のナビゲーシ ョ ン 71

65Proventia Network IPS G and GX Appliance User Guide

第第第第 6 章章章章 : SiteProtector によるアプライアンスの管理によるアプライアンスの管理によるアプライアンスの管理によるアプライアンスの管理

SiteProtector による管理による管理による管理による管理

はじめにはじめにはじめにはじめに SiteProtector は、 ISS のマネージメン ト コンソールです。 SiteProtector を使用して、 コンポーネン トとアプライアンスの管理、 イベン トの監視、 レポートのスケジューリ ングを行う こ とができます。アプライアンスは Proventia Manager によって管理するよ うにデフォルト設定されていますが、 アプライアンスのグループを別のセンサーと共に管理している場合は、 SiteProtector の中央管理機能を使った方がいい場合があ り ます。

SiteProtector による管による管による管による管

理の対象理の対象理の対象理の対象

アプライアンスを SiteProtector に登録する と、 SiteProtector はアプライアンスの次の管理機能を制御します。

� ファ イアウォール設定

� 不正侵入防御設定

� アラート イベン ト

こ こに記載された機能の設定を変更するには、 SiteProtector を使用する必要があ り ます。

アップデート と インス トールの設定は、 Proventia Manager または SiteProtector で管理するこ とができます。

注記注記注記注記 : アプライアンスを SiteProtector に登録する場合、 Proventia Manager の一部の領域が読取専用

となり ます。 アプライアンスを SiteProtector から登録解除する場合、 Proventia Manager の機能すべ

てが再び使用できるよ うになり ます。

Proventia Manager にににによる管理の対象よる管理の対象よる管理の対象よる管理の対象

次のローカル機能については、 アプライアンスが SiteProtector に登録されている場合でも、 アプライアンス上で直接管理する必要があ り ます。

� SiteProtector による管理の有効化または無効化

� 検疫済み不正侵入の表示

� 検疫ルールの削除

� 手動アップデート

SiteProtector Agent Manager の機能の機能の機能の機能

SiteProtector による管理を有効にする場合、 アプライアンスを Agent Manager に割り当てます。Agent Manager は、 SiteProtector に登録されたさまざまなエージェン トやアプライアンスのコマンドと コン ト ロール アクティビティを管理し、 アプライアンスから Event Collector へのデータ転送を促進します。 Event Collector は、 アプライアンスから受信する リ アルタイムのイベン ト を管理します。

また、 Agent Manager も任意のポ リシー アップデート をポ リシー サブスク リプシ ョ ン グループに基づいたアプライアンスに送信します。 ポ リシー サブスク リプシ ョ ン グループとは、 1 つのポリシーを共有するエージェン ト またはアプライアンスのグループです。 そのため、 アプライアンスを SiteProtector に登録する前に、 アプライアンスが所属するグループを決定する必要があ り ます。終的には、 アプライアンス単位まで、 グループのポ リシーを共有します。

Agent Manager の詳細については、 SiteProtector のマニュアルまたはオンライン ヘルプを参照してください。

SiteProtector による管による管による管による管

理の機能理の機能理の機能理の機能

アプライアンスを SiteProtector に登録する と きに、 アプライアンスは 初のハート ビート を Agent Manager に送信し、 自分の存在を知らせます。 ハート ビート とは、 アプライアンスがまだ実行中であるこ とを示し、 Agent Manager からアップデート を受信できるよ うにするために使用する、 暗号化された定期的な HTTP リ クエス トです。 アプライアンスを SiteProtector に登録する と きに、 ハート ビート送信間隔 ( 秒単位 ) を指定します。

Agent Manager は、 ハート ビート を受信する と、 登録時に指定したグループにアプライアンスを配置します。 グループを指定しなかった場合、 SiteProtector のバージ ョ ンによって、 デフォルト グ

66

SiteProtector による管理による管理による管理による管理

ループの 「G-Series」 または 「Network IPS」 に配置されます。 アプライアンスの登録時にグループのボッ クスをオフにする と、 アプライアンスは 「Ungrouped Assets」 に配置されます。

初のハート ビートで、 ローカルのアプライアンス設定がグループ設定に優先するよ うに指定された場合、 アプライアンスはローカルの設定を維持します。 ローカルのアプライアンス設定がグループ設定に優先するよ うに指定されなかった場合、 グループのポ リシー設定が定義されていなくても、 Agent Manager によってグループのポ リシー ファ イルがアプライアンスへただちに 「転送」 されます。 たとえば、 アプライアンスにファイアウォール ルールが設定されていて、 ファ イアウォール ルールが定義されていないグループにアプライアンスを登録する場合、 グループ ポ リシーは、 ローカル ポリシーを上書きし、 アプライアンスのファイアウォール ルールは有効ではなくなり ます。

2 回目以降のハート ビートでは、 Agent Manager がグループ ポ リシーをアプライアンスに 「転送」します。 ただし、 SiteProtector から一部のローカル アプライアンス設定を変更するこ とができます。 アプライアンスに対して変更するどのローカル ポリシー設定も、 そのアプライアンスに対してのみグループ ポリシー設定よ り も優先します。 グループ ポ リシー設定は、 グループのほかのアプライアンスすべてに対して引き続き有効です。

SiteProtector でのアプでのアプでのアプでのアプ

ライアンスライアンスライアンスライアンス アップデーアップデーアップデーアップデー

トの機能トの機能トの機能トの機能

アプライアンスを SiteProtector にいったん登録する と、 パフォーマンスを 大にするためや、 新のファームウェア、 セキュ リ ティ コンテンツ、 データベースの実行を確実にするために、 アプライアンスを定期的にアップデートする必要があ り ます。 データベースの自動アップデート、 セキュリ ティ コンテンツの自動アップデート、 ファームウェア アップデートの自動ダウンロードおよびインス トールをスケジューリ ングするこ とをお勧めします。

注記注記注記注記 : アプライアンスが SiteProtector に登録されている場合でも、 Proventia Manager でファーム

ウェア アップデート をダウンロード しインス トールするこ とができます。

[Update Settings] ページを使用して、 次の自動アップデート オプシ ョ ンをスケジューリ ングして ください。

� ファームウェア アップデートのダウンロードおよびインス トール

� セキュ リティ コンテンツ アップデートのダウンロードおよびインス トール

� データベースのアップデート

SiteProtector でのアプでのアプでのアプでのアプ

ライアンスライアンスライアンスライアンス イベン トのイベン トのイベン トのイベン トの

処理方法処理方法処理方法処理方法

アラート を生成し、 SiteProtector に送信するイベン ト を指定するこ とができます。 イベン トが発生する と、 アプライアンスはアラート を SiteProtector に送信します。 アラートのイベン ト情報を使用して、 有益なレポート を作成するこ とができます。 SiteProtector に送信されるアラートが、 ログに記録するよ うに設定されている場合、 Proventia Manager の [Alerts] ページに表示されます。

SiteProtector による管による管による管による管

理オプシ ョ ン理オプシ ョ ン理オプシ ョ ン理オプシ ョ ン

アプライアンスを SiteProtector グループに登録する と、 次の作業を行う こ とができます。

� アプライアンスがセンサー グループの設定を継承できるよ うにする

� グループ設定にかかわらず、 アプライアンスが個々の設定を維持できるよ うに、 SiteProtector のグループで、 単一アプライアンスの設定の一部またはすべてを独立して管理する

67Proventia Network IPS G and GX Appliance User Guide

第第第第 6 章章章章 : SiteProtector によるアプライアンスの管理によるアプライアンスの管理によるアプライアンスの管理によるアプライアンスの管理

SiteProtector による管理の設定による管理の設定による管理の設定による管理の設定

はじめにはじめにはじめにはじめに SiteProtector による管理を有効にする と、 自動的に次の作業が行われます。

� アプライアンスを SiteProtector に登録する

� アプライアンスを指定の SiteProtector グループに配置する

� アプライアンスに、 指定の Agent Manager にレポートするよ うに指示する

Proventia Manager の [Management] ページを使用して、 アプライアンスの SiteProtector による管理を設定して有効にします。

アプライアンスを登録した時点で、 Proventia Network IPS のライセンス ファ イルを SiteProtector に追加する必要があ り ます。 こ うするこ とで、 SiteProtector からアップデート を適用するこ とができるよ うになり ます。 エージェン トおよびアプライアンスのライセンス ファ イルの追加方法については、 SiteProtector のマニュアルを参照して ください。

重要重要重要重要 : アプライアンスを SiteProtector で管理するには、SiteProtector バージ ョ ン 2.0 Service Pack 6 以降を実行している必要があ り ます。

アプライアンスを登録すアプライアンスを登録すアプライアンスを登録すアプライアンスを登録する前にる前にる前にる前に

アプライアンスを SiteProtector に登録する前に、 次の作業を行う こ とをお勧めします。

� アプライアンスの割り当て先となる SiteProtector センサー グループの名前を確認する

� アプライアンスで使用する各 SiteProtector Agent Manager の IP アドレス とポート を確認する

� アプライアンスに 新のファームウェア アップデートがインス トールされているこ とを確認

する

アプライアンスを SiteProtector から登録解除しな くても、 アプライアンスに対するファームウェア アップデートの自動ダウンロードおよびインス トールをスケジューリ ングするこ とができます。

参照参照参照参照 : 詳細については、 「アプライアンスのアップデート 」 (53 ページ ) を参照して ください。

SiteProtector による管による管による管による管

理の設定理の設定理の設定理の設定

SiteProtector による管理を設定するには、 次の手順に従います。

1. Proventia Manager で、 [System] → [Management] の順に選択します。

2. 次の表に示されている とおりに設定、 または設定を変更します。

設定設定設定設定 説明説明説明説明

Register with SiteProtector アプライアンスを SiteProtector に登録するには、 このチェ ッ

ク ボックスをオンにします。

Local Settings Override SiteProtector Group Settings

初のハートビートで設定したローカル設定を維持させるには、 このオプシ ョ ンをオンにします。

このオプシ ョ ンをオンにしない場合、 アプライアンスは、初のハートビートで指定する SiteProtector グループの設定を

継承します。

注記注記注記注記 : 2 回目以降のハートビートでは、 グループ レベルで変

更したポリシー設定がアプライアンスに送信されます。

68

SiteProtector による管理の設定による管理の設定による管理の設定による管理の設定

3. [Save Changes] をク リ ッ ク します。

4. アプライアンス と通信させる Agent Manager (1 つまたは複数 ) を追加します。 「Agent Manager の設定」 を参照してください。

Agent Manager の設定の設定の設定の設定 Agent Manager を設定するには、 次の手順に従います。

1. Proventia Manager で、 [System] [Management] の順に選択します。

2. SiteProtector への登録を有効にしたこ とを確認します。

3. [Agent Manager Configuration] 領域で、 [Add] をク リ ッ ク します。

4. 次の表に示されている とおりに設定、 または設定を変更します。

Desired SiteProtector Group for Sensor

アプライアンスが所属する SiteProtector グループの名前を入

力します。 グループを指定しない場合、 アプライアンスはデフォルトの 「G-Series」 または 「Network IPS」 グループに追

加されます。

重要重要重要重要 : ほかの Proventia Network IPS または G-Series のアプラ

イアンスのみを含むグループに、 アプライアンスを割り当てる必要があります。

Heartbeat Interval (secs) ハートビート を SiteProtector に送信するまでアプライアンス

が待機する秒数を入力します。

注記注記注記注記 : この値は、 300 ～ 86,400 秒として く ださい。

設定設定設定設定 説明説明説明説明

設定設定設定設定 説明説明説明説明

Authentication Level リストからオプシ ョ ンを選択します。

注記注記注記注記 : デフォルト オプシ ョ ンの [first-time trust] を承諾するこ

とをお勧めします。

Agent Manager Name SiteProtector に表示されるとおりに、 Agent Manager 名を入

力します。

この設定では、 大文字と小文字が区別されます。

Agent Manager Address Agent Manager の IP アドレスを入力します。

Agent Manager Port デフォルト値の 3995 を承諾します。

注記注記注記注記 : 新し くポート番号を入力することもできますが、 その新

しいポート番号を Agent Manager でローカルに設定する必要

があります。

User Name Agent Manager にアクセスするために、 アカウン トへのログ

インが必要な場合、 ここでそのアカウン トのユーザー名を入力します。

注記注記注記注記 : アカウン トのユーザー名は、 Agent Manager 上で設定

されます。

User Password [Set Password] をクリ ックし、 パスワードを入力および確認

してから、 [OK] をクリ ックします。

Use Proxy Settings アプライアンスが Agent Manager にアクセスするために、 プ

ロキシを通過する必要がある場合、 [Use Proxy Settings] チェ ック ボックスをオンにし、 [Proxy Server Address] と [Proxy Server Port] を入力します。

69Proventia Network IPS G and GX Appliance User Guide

第第第第 6 章章章章 : SiteProtector によるアプライアンスの管理によるアプライアンスの管理によるアプライアンスの管理によるアプライアンスの管理

5. [OK] をク リ ッ ク します。

6. [Save Changes] をク リ ッ ク します。

正常登録の確認正常登録の確認正常登録の確認正常登録の確認 アプライアンスが SiteProtector に正常に登録されたこ とを確認するには、 次の手順に従います。

1. SiteProtector Console を開きます。

2. 左ウ ィンド ウ枠で、 アプライアンスを追加したグループを選択します。

注記注記注記注記 : アプライアンスの登録時に、 グループを指定しなかった場合、 SiteProtector のバージ ョ

ンによって、 デフォルト グループの 「G-Series」 または 「Network IPS」 に表示されます。 デ

フォルト グループの選択を解除した場合、 アプライアンスは、 [Ungrouped Assets] に表示され

る可能性があ り ます。

3. [Sensor] または [Agent] タブを選択します。

アプライアンスは、 [Sensor] タブに表示され、 ステータスは 「Active」 と表示されます。

SiteProtector による管による管による管による管

理の無効化理の無効化理の無効化理の無効化

SiteProtector による管理を無効にするには、 次の手順に従います。

1. Proventia Manager で、 [System] [Management] の順に選択します。

2. [Register with SiteProtector] チェッ ク ボッ クスをオフにします。

3. [Save Changes] をク リ ッ ク します。

70

SiteProtector のナビゲーシ ョ ンのナビゲーシ ョ ンのナビゲーシ ョ ンのナビゲーシ ョ ン

SiteProtector のナビゲーシ ョ ンのナビゲーシ ョ ンのナビゲーシ ョ ンのナビゲーシ ョ ン

はじめにはじめにはじめにはじめに SiteProtector を使用してアプライアンスを管理する場合、 アプライアンスの現在の IPS ポ リシーを作成、 管理、 表示するこ とができるナビゲーシ ョ ン機能を把握する必要があ り ます。

SiteProtector Console のナビゲーシ ョ ンに関する一般的な情報については、 現在お使いのバージ ョ ンの SiteProtector のヘルプを参照して ください。

ポリシーと設定についてポリシーと設定についてポリシーと設定についてポリシーと設定について SiteProtector で、 次のアプライアンス ポ リシーおよび設定を構成するこ とができます。

アイコンについてアイコンについてアイコンについてアイコンについて 次の表では、 作業中に [Policy] ページに表示されるアイコンについて説明します。

項目項目項目項目 目的目的目的目的

Intrusion Prevention 不正侵入からネッ トワークを保護し続けるのを助けるレスポンス、 プロテクシ ョ ン ド メイン、 およびイベン ト タイプを設定します。 また、 重要

なセキュリティ アラートおよび検疫済み不正侵入情報を表示し、 検出さ

れた不正侵入に対するアプライアンスの対応方法を決定することもできます。

詳細については、 次のトピッ クを参照して ください。

• 「セキュリテ ィ イベン トでの作業」 (87 ページ )

• 「レスポンスの設定」 (75 ページ )

• 「その他の不正侵入防御設定の構成」 (103 ページ )

Firewall Settings 攻撃をブロックするファイアウォール ルールを作成し編集します。

詳細については、 「ファイアウォール設定の構成」 (125 ページ ) を参照し

て ください。

Local Tuning Parameters

次のパラ メータを含む、 アプライアンスのローカル調整パラメータを設定します。

• アプライアンスのエラー、 警告、 通知アラート

• ネッ トワーク アダプタ カードの設定

• アプライアンス本体の高度なパラメータ ( アップデート パラメータ、

ファイアウォール パラ メータ、 不正侵入防御パラ メータ )

詳細については、 「ローカル調整パラメータの設定」 (135 ページ ) を参照

して ください。

Statistics アプライアンスのアクティ ビティ ( プロテクシ ョ ン、 パケッ ト、 ド ライ

バ情報など ) についての重要な統計値を表示します。

詳細については、 「統計値の表示」 (161 ページ ) を参照して く ださい。

Updates ネッ トワークに使用可能な 新のプロテクシ ョ ンを入手できるように、 1 台のアプライアンスのアップデートを設定および管理します。

詳細については、 「アプライアンスのアップデート」 (53 ページ ) を参照

して ください。

表表表表 28: ポリシーと設定

アイコアイコアイコアイコンンンン

説明説明説明説明

項目をリス トに追加するには、 このアイコンをクリ ックします。

表表表表 29: SiteProtector での Policy Editor アイコン

71Proventia Network IPS G and GX Appliance User Guide

第第第第 6 章章章章 : SiteProtector によるアプライアンスの管理によるアプライアンスの管理によるアプライアンスの管理によるアプライアンスの管理

SiteProtector でのでのでのでの IPS ポリシーのオープンポリシーのオープンポリシーのオープンポリシーのオープン

SiteProtector で IPS ポ リシーを開くには、 次の手順に従います。

1. SiteProtector Console で、 次のいずれかを行います。

� グループ レベルのポリシーを編集するには、 左ウ ィンド ウ枠でグループを右ク リ ッ ク し、

ポップアップ メニューから [Manage Policy] を選択します。

� 1 台のアプライアンスのポ リシーを編集するには、 [Agent] タブでアプライアンスを右ク

リ ッ ク し、 ポップアップ メニューから [Manage Policy] を選択します。

2. [Policy] タブで、 [Agent Type] のド ロ ップダウン メニューから Network IPS を選択します。

3. ポ リシーを開くには、 次のいずれかを行います。

� 左ウ ィンド ウ枠で、 グループまたはアプライアンスのポ リシーを選択します。 そのポ リ

シーが右ウ ィンド ウ枠に開きます。

� 左ウ ィンド ウ枠で、 グループまたはアプライアンスを選択し、 右ウ ィンド ウ枠のポ リシー

を右ク リ ッ ク して、 ポップアップ メニューから [Manage Policy] を選択します。

リス ト内の項目を編集するには、 このアイコンをクリ ックします。

項目 (1 つまたは複数 ) をリス トから削除するには、 このアイコンをクリ ックします。

標準的な [SHIFT] キー + クリ ック、 または [CTRL] キー + ク リ ックの方法を使用して、

リス ト内の隣接する ( または隣接しない ) 項目を選択することができます。

注記注記注記注記 : 削除アイコンをクリ ックしても項目がリストから削除されない場合があります

が、 その場合でも項目は無効化されてデフォルト状態にリセッ ト されます。

表の列ごとに項目をグループ化するには、 このアイコンをクリ ックします。

たとえば、 危険度別にセキュリテ ィ イベン ト をグループ化することができます。 つま

り、 高危険度、 中危険度、 低危険度のセキュリテ ィ イベン トがそれぞれのグループを

持つこととなり、 イベン ト を検索しやすく なります。

表のグループ分けをデフォルト設定に戻すには、 このアイコンをクリ ックします。

ページに表示する列を選択するには、 このアイコンをクリ ックします。

リス ト内の項目をリストの上方に移動するには、 項目を選択してこのアイコンをクリ ックします。

リス ト内の項目をリストの下方に移動するには、 項目を選択してこのアイコンをクリ ックします。

リス ト内の項目をクリ ップボードにコピーするには、 項目を選択してこのアイコンをクリ ックします。

ヒン トヒン トヒン トヒン ト : 標準的な [SHIFT] キー + クリ ッ ク、 または [CTRL] キー + クリ ックの方法を使

用して、 リス ト内の隣接する ( または隣接しない ) 項目を選択することができます。

コピーした項目をクリ ップボードからリストに貼り付けるには、 このアイコンをクリ ックします。 貼り付け後、 その項目を編集することができます。

このアイコンがページまたはページ上のフ ィールドの隣に表示された場合は、 必要なデータをフ ィールドに入力する必要があるか、 またはフ ィールドに入力したデータが無効です。

アイコアイコアイコアイコンンンン

説明説明説明説明

表表表表 29: SiteProtector での Policy Editor アイコン

72

SiteProtector のナビゲーシ ョ ンのナビゲーシ ョ ンのナビゲーシ ョ ンのナビゲーシ ョ ン

注記注記注記注記 : グループまたはアプライアンス レベルのポリシーが、 サイ ト レベルのポ リシーに優先

するよ うにするには、 ポ リシーを右ク リ ッ ク して、 [Override] を選択します。 詳細については、

SiteProtector のヘルプの 「Configuring Policy Inheritance」 を参照して ください。

4. 必要に応じてポ リシーを編集します。

5. ツールバーの [Save All] をク リ ッ ク して、 変更内容を保存します。

73Proventia Network IPS G and GX Appliance User Guide

第第第第 6 章章章章 : SiteProtector によるアプライアンスの管理によるアプライアンスの管理によるアプライアンスの管理によるアプライアンスの管理

74

第第第第 7 章章章章

レスポンスの設定レスポンスの設定レスポンスの設定レスポンスの設定

概要概要概要概要

はじめにはじめにはじめにはじめに この章では、 アプライアンスのレスポンスを設定する方法について説明します。 レスポンスは、ネッ ト ワーク上で不正侵入やその他重要なイベン ト を検出したと きのアプライアンスの対処方法を決定します。

この章の内容この章の内容この章の内容この章の内容 この章では、 次のト ピッ クについて説明します。

ト ピックト ピックト ピックト ピック ページページページページ

レスポンスについて 76

Email レスポンスの設定 77

Log Evidence レスポンスの設定 79

Quarantine レスポンスの設定 80

SNMP レスポンスの設定 82

ユーザー指定レスポンスの設定 84

75Proventia Network IPS G and GX Appliance User Guide

第第第第 7 章章章章 : レスポンスの設定レスポンスの設定レスポンスの設定レスポンスの設定

レスポンスについてレスポンスについてレスポンスについてレスポンスについて

はじめにはじめにはじめにはじめに レスポンス ポリシーは、 不正侵入やその他重要なイベン ト を検出したと きのアプライアンスの行動を決定します。 レスポンスを作成し、 必要に応じてイベン トに適用します。

次のレスポンス タイプを設定するこ とができます。

� Email - 個々のアドレスまたはメール グループに、 メールによるアラート を送信します

� Log Evidence - 保存ファイルにアラート情報のログを記録します

� Quarantine - 攻撃に備えてネッ ト ワークを検疫します

� SNMP - 統合された SNMP サーバーに SNMP ト ラ ップを送信します

� User Specified - ネッ ト ワークを監視するための特別な要件に基づいたアラート を送信します

Block レスポンスについレスポンスについレスポンスについレスポンスについ

てててて

Block レスポンス とは、 パケッ ト を ド ロ ップし、 TCP 接続に対して リセッ ト パケッ ト を送信することによって、 攻撃をブロ ッ クするデフォルトのレスポンスです。 Block レスポンスは、 次のとおり、 アプライアンスの動作モードによって異なり ます。

アプライアンスのモードは、 アプライアンスのインス トール時に設定されます。 詳細については、「ネッ ト ワーク アダプタ カードの管理」 (139 ページ ) を参照して ください。

Ignore レスポンスにつレスポンスにつレスポンスにつレスポンスにつ

いていていていて

セキュ リティ イベン トに対して、 Ignore レスポンスを設定するこ とができます。 このレスポンスは、 イベン ト内で指定された基準と一致するパケッ ト を無視するよ うに、 アプライアンスに指示します。 また、 このレスポンスをレスポンス フ ィルタから設定するこ と もできます。 レスポンス フ ィルタまたはセキュ リティ イベン トの作成時にこのレスポンスを選択する と、 アプライアンスは、 一致するパケッ ト を検出した場合に作動しません。

一般的に、 ネッ ト ワークを脅かさないセキュ リティ イベン ト をフ ィルターにかけるためにだけ、Ignore レスポンスを使用します。 詳細については、 「レスポンス フ ィルタの設定」 (97 ページ ) を参照してください。

SiteProtector でのレスでのレスでのレスでのレス

ポンスポンスポンスポンス オブジェク トにオブジェク トにオブジェク トにオブジェク トに

ついてついてついてついて

SiteProtector によるアプライアンスの管理中に、 イベン トに対してレスポンスを設定したい場合、[Response Objects] を選択します。 レスポンス オブジェク トは、 データが変更された場合に、 データの各インスタンスの代わりにレスポンス オブジェク ト を変更できるよ うに、 データを集中化するこ とができるコンテナです。

注記注記注記注記 : アプライアンスの管理に SiteProtector を使用している場合、 Central Responses を使用してイ

ベン ト レスポンスを作成するこ とをお勧めします。 詳細については、 SiteProtector のヘルプの

「Configuring Central Responses」 を参照して ください。

モードモードモードモード アプライアンスの動作アプライアンスの動作アプライアンスの動作アプライアンスの動作

パッシブ モニタ リン

グ

不正侵入に対して従来の Block レスポンスで対応します。

インライン シミ ュ

レーシ ョ ン

ネッ トワーク ト ラフ ィ ックを監視し、 アラート を生成しますが、 障害を

起こすト ラフ ィ ックをブロックしません。

インライン プロテク

シ ョ ン

パケッ ト をドロップし、 TCP 接続に対してリセッ ト パケッ ト を送信する

ことによって、 攻撃をブロックします。

表表表表 30: アプライアンスのモード と Block レスポンス

76

Email レスポンスの設定レスポンスの設定レスポンスの設定レスポンスの設定

Email レスポンスの設定レスポンスの設定レスポンスの設定レスポンスの設定

はじめにはじめにはじめにはじめに イベン ト発生時にアプライアンスが通知する必要のある個人またはグループに送信されるよ うに、メールによる通知を設定するこ とができます。 また、 検出したイベン トについての重要な情報を提供するために、 メ ッセージに含めるイベン ト パラ メータを選択するこ と もできます。

Email レスポンスの追加レスポンスの追加レスポンスの追加レスポンスの追加 Email レスポンスを追加または変更するには、 次の手順に従います。

1. 次のいずれかを行います。

� Proventia Manager では、 [Responses] を選択します。

� SiteProtector では、 [Response Objects] を選択します。

2. [Email] タブを選択します。

3. [Add] をク リ ッ ク します。

4. 次の表に示されている とおりに設定します。

5. [OK] をク リ ッ ク します。

6. 変更内容を保存します。

設定設定設定設定 説明説明説明説明

Name レスポンスの名前を入力します。

ヒン トヒン トヒン トヒン ト : この名前は、 イベン トのレスポンスを選択するときに表示さ

れるため、 ユーザーが選択内容を容易に特定できるように、 レスポンスに名前を付けて く ださい。

SMTP Host メール サーバーの完全修飾ド メイン名または IP アドレスを入力しま

す。

注記注記注記注記 : メールによる通知を送信するには、 SMTP ホストがアプライア

ンスにアクセス可能である必要があります。

From 個人またはグループのメール アドレスを入力します。

メール アドレスは、 セミ コロンで区切って く ださい。

To 個人またはグループのメール アドレスを入力します。

メール アドレスは、 セミ コロンで区切って く ださい。

Sensor Parameters メ ッセージの件名を [Subject]、 本文を [Body] に入力します。 また、

リスト を展開し、 メ ッセージを追加するパラ メータを選択することもできます。

アプライアンスは、 イベン トに対して有効なパラ メータを組み込み、無効なパラ メータは、 元のタグ形式 (<ObjectName>) のまま残ります。

77Proventia Network IPS G and GX Appliance User Guide

第第第第 7 章章章章 : レスポンスの設定レスポンスの設定レスポンスの設定レスポンスの設定

Email レスポンスでの作レスポンスでの作レスポンスでの作レスポンスでの作

業業業業

Email レスポンスを編集、 コピー、 または削除するには、 次の手順に従います。

1. 次のいずれかを行います。

� Proventia Manager では、 [Responses] を選択します。

� SiteProtector では、 [Response Objects] を選択します。

2. [Email] タブを選択し、 次のいずれかを行います。

3. 変更内容を保存します。

実行内容実行内容実行内容実行内容 手順手順手順手順

編集 ヒン トヒン トヒン トヒン ト : 設定したい項目をダブルクリ ッ クすることで、

[Email] タブの一部のプロパティを直接編集することができま

す。

1. レスポンスを選択し、 編集編集編集編集のアイコン ( ) をクリ ッ クし

ます。

2. [Enabled] チェ ック ボックスをオンまたはオフにします。

3. レスポンスを編集し、 [OK] をクリ ックします。

コピー 1. レスポンスを選択し、 コピーコピーコピーコピーのアイコン ( ) をクリ ッ ク

します。

2. 貼り付け貼り付け貼り付け貼り付けのアイコン ( ) をクリ ックします。

3. 必要に応じてレスポンスを編集し、 [OK] をクリ ックしま

す。

削除 1. レスポンスを選択します。

2. 削除削除削除削除のアイコン ( ) をクリ ックします。

78

Log Evidence レスポンスの設定レスポンスの設定レスポンスの設定レスポンスの設定

Log Evidence レスポンスの設定レスポンスの設定レスポンスの設定レスポンスの設定

はじめにはじめにはじめにはじめに イベン トの概要をログに記録するよ うに、 アプライアンスを設定するこ とができます。 Log Evidence レスポンスは、 イベン ト を ト リガーするパケッ トのコピーを作成し、 そのパケッ ト を特定する情報 ( イベン ト名、 イベン ト日時、 イベン ト ID など ) も記録します。 証拠ログには、 侵入者がネッ ト ワークに対して行ったこ とや試みたこ とを示します。

アプライアンスは、 /var/iss ディ レク ト リに対してイベン ト を ト リガーするパケッ ト をログに記録します。

Log Evidence レスポンレスポンレスポンレスポン

スの設定スの設定スの設定スの設定

Log Evidence レスポンスを設定するには、 次の手順に従います。

1. 次のいずれかを行います。

� Proventia Manager では、 [Responses] を選択します。

� SiteProtector では、 [Response Objects] を選択します。

2. [Log Evidence] タブを選択します。

3. 次の表に示されている とおりに設定、 または設定を変更します。

4. 変更内容を保存します。

設定設定設定設定 説明説明説明説明

Maximum Files ログが保管できる 大ファイル数を入力します。

デフォルトは、 10 ファイルです。 ログが 大ファイル数に達

すると、 再びゼロから始まり、 既存ファイルを上書きします。

Maximum File Size (in KB) ログが保管できる 大ファイル サイズを入力します。

デフォルトは、 10000 KB です。

Log File Prefix ログ ファイル名のプレフ ィ ックスを入力します。

デフォルトは、 「evidence」 です。

Log File Suffix ログのファイル名拡張子を入力します。

デフォルトは、 「.enc」 です。

79Proventia Network IPS G and GX Appliance User Guide

第第第第 7 章章章章 : レスポンスの設定レスポンスの設定レスポンスの設定レスポンスの設定

Quarantine レスポンスの設定レスポンスの設定レスポンスの設定レスポンスの設定

はじめにはじめにはじめにはじめに アプライアンスがセキュ リティ イベン ト 、 接続イベン ト、 またはユーザー定義イベン ト を検出する と きに、 侵入者をブロ ッ クする Quarantine レスポンスを作成するこ とができます。 また、 これらのレスポンスはワームやト ロイの木馬もブロ ッ ク します。 Quarantine レスポンスは、 インライン プロテクシ ョ ン モードで動作するよ うに、 アプライアンスを設定したと きにのみ機能します。

注記注記注記注記 : [Quarantined Intrusions] ページに、 検出された侵入者イベン トへのレスポンス時に動的に生

成されたルールが表示されます。 詳細については、 「検疫済み不正侵入の管理」 (104 ページ ) を参

照してください。

事前定義済みの事前定義済みの事前定義済みの事前定義済みの Quarantine レスポンスレスポンスレスポンスレスポンス

次の表では、 アプライアンスに対して存在する 3 つの事前定義済みレスポンスについて説明します。

注記注記注記注記 : これらの事前定義済みレスポンスの設定を変更するこ とはできますが、 名前変更や削除を行う こ とはできません。

Quarantine レスポンスレスポンスレスポンスレスポンス

の追加または削除の追加または削除の追加または削除の追加または削除

Quarantine レスポンスを追加または変更するには、 次の手順に従います。

1. 次のいずれかを行います。

� Proventia Manager では、 [Responses] を選択します。

� SiteProtector では、 [Response Objects] を選択します。

2. [Quarantine] タブを選択します。

3. [Add] をク リ ッ ク、 または編集するレスポンスを反転表示させてから [Edit] をク リ ッ ク しま

す。

4. 次の表に示されている とおりに設定、 または設定を変更します。

Quarantine オブジェクオブジェクオブジェクオブジェクトトトト

説明説明説明説明

Quarantine Intruder 攻撃に関与する両方のマシンを完全にブロックします。

Quarantine Trojan 攻撃の被害を受けたマシンを隔離します。

Quarantine Worm ワームが検索を試みている項目 (SQL ポートなど ) を隔離します。

表表表表 31: 事前定義済みのレスポンス オブジェク ト

設定設定設定設定 説明説明説明説明

Name レスポンスの名前を入力します。

ヒン トヒン トヒン トヒン ト : この名前は、 イベン ト レスポンスの選択時に表示されるため、

ユーザーが容易に特定できる名前をレスポンスに付けて ください。

Victim Address ターゲッ ト IP アドレスに基づいてパケッ ト をブロックします。

Victim Port ターゲッ ト ポートに基づいてパケッ ト をブロックします。

Intruder Address 発信元 IP アドレスに基づいてパケッ ト をブロックします。

Intruder Port ソース ポートに基づいてパケッ ト をブロックします。

ICMP Code ICMP コード番号に基づいてパケッ ト をブロックします ( プロ ト コルが 1 の場合 )。

80

Quarantine レスポンスの設定レスポンスの設定レスポンスの設定レスポンスの設定

5. [OK] をク リ ッ ク します。

6. 変更内容を保存します。

ICMP Type ICMP タイプ番号に基づいてパケッ ト をブロックします ( プロ ト コルが 1 の場合 )。

設定設定設定設定 説明説明説明説明

81Proventia Network IPS G and GX Appliance User Guide

第第第第 7 章章章章 : レスポンスの設定レスポンスの設定レスポンスの設定レスポンスの設定

SNMP レスポンスの設定レスポンスの設定レスポンスの設定レスポンスの設定

はじめにはじめにはじめにはじめに 特定の値を引き出し、 その値を SNMP マネージャに送信する、 接続イベン ト、 セキュ リ ティ イベン ト 、 ユーザー定義イベン トに対して Simple Network Management Protocol (SNMP) 通知レスポンスを設定するこ とができます。

SNMP の機能の機能の機能の機能 Simple Network Management Protocol (SNMP) は、 ネッ ト ワーク管理に使用される一連のプロ ト コルです。 SNMP に準拠したデバイス ( エージェン ト ) は、 そのデバイス自体に関するデータを Management Information Bases (MIB) に保管し、 このデータを HP OpenView などの SNMP 管理アプリ ケーシ ョ ンに返します。 SNMP エージェン トは、 同じコ ミ ュニティ内に置かれた SNMP 管理アプリ ケーシ ョ ンのみと通信します。 コ ミ ュニティは、 基本認証目的でユーザーによって設定されます。

ISS MIB ファイルについファイルについファイルについファイルについ

てててて

ISS によって割り当てられたイベン ト名を SNMP ト ラ ップ メ ッセージに表示するために、 ISS MIB ファ イル (iss.mib) を Hewlett-Packard OpenView のよ うな SNMP 管理アプリケーシ ョ ンにインポート またはコンパイルするこ とができます。 ISS MIB ファ イルは、 ISS SNMP ト ラ ップの形式を定義します。 また、 ト ラ ップ メ ッセージに含まれる数値のオブジェク ト識別子 (OID) を解釈するために、 管理アプリケーシ ョ ンによって使用されます。 ISS のダウンロードページ (http://www.iss.net/download/) から iss.mib ファ イルをダウンロードするこ とができます。 SNMP 管理アプリケーシ ョ ンの使用方法については、 SNMP 管理アプリ ケーシ ョ ン ソフ ト ウェアのマニュアルを参照してください。

SNMP レスポンスの追レスポンスの追レスポンスの追レスポンスの追

加加加加

SNMP レスポンスを追加するには、 次の手順に従います。

1. 次のいずれかを行います。

� Proventia Manager では、 [Responses] を選択します。

� SiteProtector では、 [Response Objects] を選択します。

2. [SNMP] タブを選択します。

3. [Add] をク リ ッ ク します。

4. 次の表に示されている とおりに設定します。

5. [OK] をク リ ッ ク します。

6. 変更内容を保存します。

SNMP レスポンスでのレスポンスでのレスポンスでのレスポンスでの

作業作業作業作業

SNMP レスポンスを編集、 コピー、 または削除するには、 次の手順に従います。

1. 次のいずれかを行います。

� Proventia Manager では、 [Responses] を選択します。

設定設定設定設定 説明説明説明説明

Name レスポンスの名前を入力します。

ヒン トヒン トヒン トヒン ト : これは、 イベン トのレスポンスを選択するときに表示される名前

であるため、 ユーザーが選択内容を容易に特定できるように、 レスポンスに名前を付けて く ださい。

Manager SNMP マネージャが作動しているサーバーの IP アドレスを入力します。

SNMP ト ラ ップを送信するには、 SNMP ホストがアプライアンスにアクセ

ス可能である必要があります。

Community SNMP エージェン トによる認証で使用される有効な名前 ( 「public」 または

「private」 ) を入力します。

82

SNMP レスポンスの設定レスポンスの設定レスポンスの設定レスポンスの設定

� SiteProtector では、 [Response Objects] を選択します。

2. [SNMP] タブを選択します。

3. 次のいずれかを行います。

4. 変更内容を保存します。

実行内容実行内容実行内容実行内容 手順手順手順手順

編集 ヒン トヒン トヒン トヒン ト : 設定したい項目をダブルクリ ッ クすることで、

[SNMP] タブの一部のプロパティ を直接編集することができま

す。

1. レスポンスを選択し、 編集編集編集編集のアイコン ( ) をクリ ッ クし

ます。

2. [Enabled] チェ ック ボックスをオンまたはオフにします。

3. レスポンスを編集し、 [OK] をクリ ックします。

コピー 1. レスポンスを選択し、 コピーコピーコピーコピーのアイコン ( ) をクリ ッ ク

します。

2. 貼り付け貼り付け貼り付け貼り付けのアイコン ( ) をクリ ックします。

3. 必要に応じてレスポンスを編集し、 [OK] をクリ ックしま

す。

削除 1. レスポンスを選択します。

2. 削除削除削除削除のアイコン ( ) をクリ ックします。

83Proventia Network IPS G and GX Appliance User Guide

第第第第 7 章章章章 : レスポンスの設定レスポンスの設定レスポンスの設定レスポンスの設定

ユーザー指定レスポンスの設定ユーザー指定レスポンスの設定ユーザー指定レスポンスの設定ユーザー指定レスポンスの設定

はじめにはじめにはじめにはじめに アプリ ケーシ ョ ンまたはスク リプ ト を実行するなどのイベン トに対して、 ユーザー指定レスポンスを設定するこ とができます。

実行ファイルまたはシェ実行ファイルまたはシェ実行ファイルまたはシェ実行ファイルまたはシェルルルル スクリプ トの使用スクリプ トの使用スクリプ トの使用スクリプ トの使用

ユーザー指定レスポンスの場合、 任意のコマンド ライン オプシ ョ ンまたは引数 ( イベン ト名または発信元アドレスなど ) を含む Linux バイナリ またはシェル スク リプ ト ファ イルを実行ファイルに使用するこ とができます。

レスポンスの作成後、 実行ファイルをアプライアンスに手動でコピーする必要があ り ます。 ユーザー定義レスポンスを必要なだけ定義するこ とはできますが、 アプライアンスは、 特定のイベン トに対して 1 つのレスポンスしか実行できません。 一連の実行ファイルを実行するには、 アプライアンスが実行可能な 1 つのシェル スク リプ トにすべてのコマンドを置く必要があ り ます。

ユーザー指定レスポンスユーザー指定レスポンスユーザー指定レスポンスユーザー指定レスポンスの追加の追加の追加の追加

ユーザー指定レスポンスを追加するには、 次の手順に従います。

1. 次のいずれかを行います。

� Proventia Manager では、 [Responses] を選択します。

� SiteProtector では、 [Response Objects] を選択します。

2. [User Specified] タブを選択します。

3. [Add] をク リ ッ ク します。

4. 次の表に示されている とおりに設定します。

5. [OK] をク リ ッ ク します。

6. 変更内容を保存します。

ユーザー指定レスポンスユーザー指定レスポンスユーザー指定レスポンスユーザー指定レスポンスでの作業での作業での作業での作業

ユーザー指定レスポンスを編集、 コピー、 または削除するには、 次の手順に従います。

1. 次のいずれかを行います。

� Proventia Manager では、 [Responses] を選択します。

� SiteProtector では、 [Response Objects] を選択します。

2. [User Specified] タブを選択します。

設定設定設定設定 説明説明説明説明

Name レスポンスの名前を入力します。

ヒン トヒン トヒン トヒン ト : これは、 イベン トのレスポンスを選択するときに表示される

名前であるため、 ユーザーが選択内容を容易に特定できるように、 レスポンスに名前を付けて く ださい。

Command レスポンスに関連付けられたコマンドを入力します。

Sensor Parameters リスト を展開し、 パラ メータを選択してから [Add] をクリ ックします。

レスポンスに追加したいパラ メータごとに、 この手順を繰り返します。

[Move Up] または [Move Down] をクリ ックして、 パラメータを適切な

順序に並べ替えることができます。

84

ユーザー指定レスポンスの設定ユーザー指定レスポンスの設定ユーザー指定レスポンスの設定ユーザー指定レスポンスの設定

3. 次のいずれかを行います。

4. 変更内容を保存します。

実行内容実行内容実行内容実行内容 手順手順手順手順

編集 ヒン トヒン トヒン トヒン ト : 設定したい項目をダブルクリ ッ クすることで、 [User Specified] タブの一部のプロパティを直接編集することができ

ます。

1. レスポンスを選択し、 編集編集編集編集のアイコン ( ) をクリ ッ クし

ます。

2. [Enabled] チェ ック ボックスをオンまたはオフにします。

3. レスポンスを編集し、 [OK] をクリ ックします。

コピー 1. レスポンスを選択し、 コピーコピーコピーコピーのアイコン ( ) をクリ ッ ク

します。

2. 貼り付け貼り付け貼り付け貼り付けのアイコン ( ) をクリ ックします。

3. 必要に応じてレスポンスを編集し、 [OK] をクリ ックしま

す。

削除 1. レスポンスを選択します。

2. 削除削除削除削除のアイコン ( ) をクリ ックします。

85Proventia Network IPS G and GX Appliance User Guide

第第第第 7 章章章章 : レスポンスの設定レスポンスの設定レスポンスの設定レスポンスの設定

86

第第第第 8 章章章章

セキュリティセキュリティセキュリティセキュリティ イベントでの作業イベントでの作業イベントでの作業イベントでの作業

概要概要概要概要

はじめにはじめにはじめにはじめに この章では、 セキュ リ ティ イベン トおよびレスポンス フ ィルタの設定方法について説明します。この設定方法は、 ネッ ト ワークで発生するセキュ リティ イベン トに対する、 アプライアンスのレスポンス とレポート方法を決定するセキュ リティ ポリシーの作成に役立ちます。

この章の内容この章の内容この章の内容この章の内容 この章では、 次のト ピッ クについて説明します。

ト ピックト ピックト ピックト ピック ページページページページ

プロテクシ ョ ン ド メインの設定 88

セキュリテ ィ イベン トの設定 90

複数のセキュリテ ィ イベン トへのプロテクシ ョ ン ド メインの割り当て 94

セキュリテ ィ イベン ト情報の表示 95

レスポンス フ ィルタの設定 97

レスポンス フ ィルタ情報の表示 102

87Proventia Network IPS G and GX Appliance User Guide

第第第第 8 章章章章 : セキュリテ ィセキュリテ ィセキュリテ ィセキュリテ ィ イベン トでの作業イベン トでの作業イベン トでの作業イベン トでの作業

プロテクシ ョ ンプロテクシ ョ ンプロテクシ ョ ンプロテクシ ョ ン ド メ インの設定ド メインの設定ド メインの設定ド メインの設定

はじめにはじめにはじめにはじめに プロテクシ ョ ン ド メ インによ り、 1 台のアプライアンスによって監視される異なるネッ ト ワーク セグメン トのセキュ リ ティ ポリシーを定義するこ とができます。 プロテクシ ョ ン ド メ インは、 数台のアプライアンスでネッ ト ワークを監視しているかのよ うに、 仮想センサーのよ う な働きをします。 ポート、 VLAN、 または IP アドレス範囲ごとに、 プロテクシ ョ ン ド メ インを定義するこ とができます。

用途用途用途用途 不正侵入防御を集中化するグローバル ポリシーを使用して、 1 台のアプライアンスから異なるネット ワーク セグメン トのグループを監視する場合に、 プロテクシ ョ ン ド メ インを使用します。

次のよ う な目的で、 プロテクシ ョ ン ド メ インを使用します。

� 1 台のアプライアンスに複数のプロテクシ ョ ン ド メ インを定義して適用するため

� 1 つ以上のネッ ト ワーク上で、 特定のネッ ト ワーク ト ラフ ィ ッ クに対するレスポンスを調整で

きるよ うに、 1 台のアプライアンスに複数のポ リシーを適用するため

プロテクシ ョ ンプロテクシ ョ ンプロテクシ ョ ンプロテクシ ョ ン ド メイド メイド メイド メイ

ンとセキュリテ ィンとセキュリテ ィンとセキュリテ ィンとセキュリテ ィ イベイベイベイベ

ン トン トン トン ト

アプライアンスは、 常にグローバル セキュ リティ ポ リシーを使用します。 つま り、 アプライアンスは、 ネッ ト ワークのすべての領域に対して同じ方法でセキュ リティ イベン ト を処理します。 プロテクシ ョ ン ド メ インを定義し、 各ド メ インに合わせてセキュ リティ イベン ト ポ リシーを編集しない限り、 アプライアンスは、 常にこの 1 つのグローバル ポ リシーを使用してセキュ リティ イベン ト を処理します。

プロテクシ ョ ン ド メ インを設定したら、 ネッ ト ワーク上で発生するセキュ リティ イベン ト を処理するセキュ リティ ポリシーと併用します。

特定のプロテクシ ョ ン ド メ インに対して特定のセキュ リティ ポ リシーを作成、 または適当と思われる特定のド メ インに対してグローバル ポリシーをカスタマイズするこ とができます。 これらのポリ シーは、 イベン トに信号を送るプロパティ と、 イベン ト発生時の対応方法をアプライアンスに指示します。

注記注記注記注記 : 特定のフラ ッ ドやスイープのシグネチャは、 ユーザー定義のプロテクシ ョ ン ド メ インでは

サポート されていません。 これらの攻撃は、 一般的に複数の標的に影響を与え、 プロテクシ ョ ン ド メ イン全体に広がる可能性があ り ます。 これらのシグネチャが正し く レポート されるよ うに、 グローバル プロテクシ ョ ン ド メ インに対してこれらのシグネチャを有効にする必要があ り ます。

プロテクシ ョ ンプロテクシ ョ ンプロテクシ ョ ンプロテクシ ョ ン ド メイド メイド メイド メイ

ンの追加ンの追加ンの追加ンの追加

プロテクシ ョ ン ド メ インを追加または変更するには、 次の手順に従います。

1. [Protection Domains] ページで、 [Add] をク リ ッ ク します。

2. 次の表に示されている とおりに設定、 または設定を変更します。

設定設定設定設定 説明説明説明説明

Enabled プロテクシ ョ ン ド メインを有効にするには、 このチェ ック ボックスをオンにします。

Protection Domain Name ド メ インの記述名を入力します。

Comment ド メ インの固有の説明を入力します。

Adapter アプライアンスの監視アダプタ、 または監視アダプタのリスト を選択します。

注記注記注記注記 : アプライアンスは、 特定のアプライアンスに適用され

ないポート構成を無視します。 たとえば、 構成に使用可能な追加ポートがあっても、 お使いのアプライアンスでは、 2 つのアダプタ ポートのみが設定可能な場合があります。

88

プロテクシ ョ ンプロテクシ ョ ンプロテクシ ョ ンプロテクシ ョ ン ド メ インの設定ド メインの設定ド メインの設定ド メインの設定

3. [OK] をク リ ッ ク します。

4. 変更内容を保存します。

プロテクシ ョ ンプロテクシ ョ ンプロテクシ ョ ンプロテクシ ョ ン ド メイド メイド メイド メイ

ンでの作業ンでの作業ンでの作業ンでの作業

プロテクシ ョ ン ド メ インを編集、 コピー、 または削除するには、 次の手順に従います。

1. [Protection Domains] を選択します。

2. 次のいずれかを行います。

3. 変更内容を保存します。

VLAN Range 仮想 LAN タグの範囲を入力します。

IP Address Range 発信元および宛先の IP アドレス範囲を入力します。

設定設定設定設定 説明説明説明説明

実行内容実行内容実行内容実行内容 手順手順手順手順

編集 ヒン トヒン トヒン トヒン ト : 設定したい項目をダブルクリ ッ クすることで、

[Protection Domains] ページの一部のプロパティを直接編集す

ることができます。

1. ド メインを選択し、 編集編集編集編集のアイコン ( ) をクリ ッ クしま

す。

2. [Enabled] チェ ック ボックスをオンまたはオフにします。

3. ド メインを編集し、 [OK] をクリ ックします。

コピー 1. ド メインを選択し、 コピーコピーコピーコピーのアイコン ( ) をクリ ッ クし

ます。

2. 貼り付け貼り付け貼り付け貼り付けのアイコン ( ) をクリ ックします。

3. 必要に応じてド メインを編集し、 [OK] をクリ ックします。

削除 1. ド メインを選択します。

2. 削除削除削除削除のアイコン ( ) をクリ ックします。

89Proventia Network IPS G and GX Appliance User Guide

第第第第 8 章章章章 : セキュリテ ィセキュリテ ィセキュリテ ィセキュリテ ィ イベン トでの作業イベン トでの作業イベン トでの作業イベン トでの作業

セキュリテ ィセキュリテ ィセキュリテ ィセキュリテ ィ イベン トの設定イベン トの設定イベン トの設定イベン トの設定

はじめにはじめにはじめにはじめに [Security Events] ページには、 何百もの攻撃とセキュ リ ティ イベン トが リ ス ト アップされています。セキュ リ ティ イベン ト とは、 攻撃または疑わしいアクティビティを示す可能性のあるコンテンツを伴うネッ ト ワーク ト ラフ ィ ッ クです。 これらのイベン トは、 ネッ ト ワーク ト ラフ ィ ッ クがアクティブなセキュ リティ ポリシーでのイベン トのいずれかに一致したと きに引き起こ され、 ネッ トワークのニーズに合わせて編集するこ とができます。

グローバルグローバルグローバルグローバル プロテクプロテクプロテクプロテク

シ ョ ンシ ョ ンシ ョ ンシ ョ ン ド メインについド メインについド メインについド メインについ

てててて

イベン トはすべて、 グローバル プロテクシ ョ ン ド メ インの欄にリ ス ト アップされるこ とに注意してください。 アプライアンスは、 常にグローバル セキュ リティ ポ リシーを使用します。 つま り、ネッ ト ワークのすべての領域に対して同じ方法でセキュ リティ イベン ト を処理します。 ネッ トワークのすべてのセグメン トに適用したいグローバル レベルで、 イベン ト を設定して ください。ネッ ト ワーク上の特定のセグメン トに対してセキュ リティ ポリシーを設定するには、 各セグメントに対して、 プロテクシ ョ ン ド メ インを作成して ください。

セキュリテ ィセキュリテ ィセキュリテ ィセキュリテ ィ イベン トイベン トイベン トイベン ト

の追加の追加の追加の追加

セキュ リティ イベン ト を追加するには、 次の手順に従います。

注記注記注記注記 : この手順に出てく る設定は、 [Security Events] タブに表示される列に対応しています。

1. [Security Events] を選択します。

2. [Security Events] タブで、 [Add] をク リ ッ ク します。

3. 次の表に示されている とおりに設定、 または設定を変更します。

設定設定設定設定 説明説明説明説明

Enabled セキュリティ ポリシーの一部としてイベン ト を有効にするには、 こ

のチェ ッ ク ボックスをオンにします。

Protection Domain プロテクシ ョ ン ド メインが設定済みの場合、 リストから 1 つ選択し

ます。

一度に 1 つのド メインに対して 1 つのイベン ト しか適用することが

できません。 このイベン ト を別のド メインに設定するには、 イベント をコピーして名前を変更してから、 別のド メインに割り当てて ください。

注記注記注記注記 : プロテクシ ョ ン ド メインを設定していない ( または使用してい

ない ) 場合、 プロテクシ ョ ン ド メインは、 「Global」 と してリス トに

表示されます。

Attack/Audit カスタム イベン ト を作成中の場合、 この領域は使用できません。

リス トのイベン ト を編集中の場合、 このイベン トが監査イベン トか攻撃イベン トかをこの領域に表示します。

• 監査イベン トは、 ネッ トワークに関する情報を検索するネッ トワーク ト ラフ ィ ックと一致します。

• 攻撃イベン トは、 ネッ トワークに害を与えよう とするネッ トワーク ト ラフ ィ ックと一致します。

Tag Name イベン トの固有の記述名を入力します。

既存イベン ト を編集中の場合、 そのイベン ト名が表示されます。 イベン トの簡単な説明を表示するには、 [Signature Information] をク

リ ッ クします。

Severity イベン トの危険度 (Low、 Medium、 High) を選択します。

90

セキュリテ ィセキュリテ ィセキュリテ ィセキュリテ ィ イベン トの設定イベン トの設定イベン トの設定イベン トの設定

Protocol イベン トのプロ ト コルを入力します。

既存イベン トの場合、 この設定にはプロ ト コルのタイプが表示され、読み取り専用となります。

Ignore Events このイベン トに対して設定された基準と一致するイベン ト をアプライアンスに無視させるには、 このチェ ック ボックスをオンにします。

Display マネージメン ト コンソールでのイベン トの表示方法を選択します。

• No Display - 検出されたイベン ト を表示しません。

• WithoutRaw - イベン トの概要を記録します。

• WithRaw - 概要と関連するパケッ ト キャプチャーを記録します。

Block パケッ ト をドロップし、 TCP 接続に対してリセッ ト パケッ ト を送信

することによって、 攻撃をブロックするには、 このチェ ッ ク ボック

スをオンにします。

Log Evidence /var/iss/ ディ レク ト リに対してイベン ト を ト リガーしたパケッ ト をロ

グに記録するには、 このチェ ッ ク ボックスをオンにします。

Responses レスポンスを有効にするには、 次のいずれかのタブを選択します。

• Email - リス トから Email レスポンスを選択します。

• Quarantine - 1 つ以上のチェ ック ボックスをオンにして、

Quarantine レスポンスを有効にします。

• SNMP - リストから SNMP レスポンスを選択します。

• User Defined - 1 つ以上のチェ ック ボックスをオンにして、 ユー

ザー定義レスポンスを有効にします。

注記注記注記注記 : [Edit] をクリ ックして、 リス ト内の任意のレスポンスのプロパ

ティ を変更することができます。

詳細については、 「レスポンスの設定」 (75 ページ ) を参照して くだ

さい。

XPU 既存イベン トの場合のみ、 この脆弱性チェ ックがリ リースされた XPU が表示されます。

この設定は、 読み取り専用です。

Event Throttling 時間間隔を秒単位で入力します。

指定間隔中に、 攻撃と一致するイベン トが多く ても 1 つレポート さ

れます。

デフォルト値は 0 ( ゼロ ) で、 イベン ト調整を無効にします。

Check Date 既存イベン トの場合のみ、 この脆弱性チェ ックの作成年月日が表示されます。

この設定は、 読み取り専用です。

Default Protection 既存イベン トの場合のみ、 イベン トに設定されたデフォルトのプロテクシ ョ ン ( 「Block」 など ) が表示されます。

この設定は、 読み取り専用です。

設定設定設定設定 説明説明説明説明

91Proventia Network IPS G and GX Appliance User Guide

第第第第 8 章章章章 : セキュリテ ィセキュリテ ィセキュリテ ィセキュリテ ィ イベン トでの作業イベン トでの作業イベン トでの作業イベン トでの作業

4. [OK] をク リ ッ ク します。

5. 変更内容を保存します。

セキュリテ ィセキュリテ ィセキュリテ ィセキュリテ ィ イベン トイベン トイベン トイベン ト

での作業での作業での作業での作業

セキュ リティ イベン ト を編集、 コピー、 または削除するには、 次の手順に従います。

1. [Security Events] を選択します。

2. [Security Events] タブを選択し、 次のいずれかを行います。

3. 変更内容を保存します。

複数のセキュリテ ィ複数のセキュリテ ィ複数のセキュリテ ィ複数のセキュリテ ィ イイイイベン トの編集ベン トの編集ベン トの編集ベン トの編集

複数のセキュ リティ イベン ト を編集するには、 次の手順に従います。

1. [Security Events] を選択します。

2. [Security Events] タブで、 次のいずれかを行います。

User Overridden 新規イベン ト を作成中の場合、 このチェ ッ ク ボックスはデフォルト

設定では有効で、 カスタム イベン トであることを示します。

[Security Events] タブのリストでは、 この項目は、 カスタム イベン ト

と編集済みの既存イベン トの両方に対して、 チェ ッ ク ボックスがオ

ンの状態で表示されます。

この設定は、 読み取り専用です。

設定設定設定設定 説明説明説明説明

実行内容実行内容実行内容実行内容 手順手順手順手順

編集 ヒン トヒン トヒン トヒン ト : 設定したい項目をダブルクリ ッ クすることで、

[Security Events] タブの一部のプロパティを直接編集するこ

とができます。

1. イベン ト を選択し、 編集編集編集編集のアイコン ( ) をクリ ッ クしま

す。

2. [Enabled] チェ ック ボックスをオンまたはオフにします。

3. イベン ト を編集し、 [OK] をクリ ックします。

コピー ヒン トヒン トヒン トヒン ト : イベン トのグループ化とフ ィルタ リングを初めて行

う場合は、 セキュリテ ィ イベン ト をコピー アンド ペースト

した方が簡単です。 詳細については、 「セキュリテ ィ イベン

トのグループ化」 (95 ページ ) または 「セキュリティ イベン

トのフ ィルタリング」 (95 ページ ) を参照して ください。

1. イベン ト を選択し、 コピーコピーコピーコピーのアイコン ( ) をクリ ッ クし

ます。

2. 貼り付け貼り付け貼り付け貼り付けのアイコン ( ) をクリ ックします。

3. 必要に応じてイベン ト を編集し、 [OK] をクリ ックします。

削除 1. イベン ト を選択します。

2. 削除削除削除削除のアイコン ( ) をクリ ックします。

重要重要重要重要 : カスタム イベン トのみ削除することができます。 編集

した事前定義済みイベン ト を選択して [Remove] をクリ ック

すると、 そのイベン トはデフォルト設定に戻り、 そのままリストに残ります。

92

セキュリテ ィセキュリテ ィセキュリテ ィセキュリテ ィ イベン トの設定イベン トの設定イベン トの設定イベン トの設定

� 複数のイベン ト を選択するには、 [CTRL] キーを押しながら各イベン ト を選択します。

� イベン トの範囲を選択するには、 [SHIFT] を押しながら、 その範囲の 初と 後のイベン ト

を選択します。

3. [Edit] をク リ ッ ク します。

編集する項目はすべて、 選択したイベン トすべてに対して変更されます。

選択したイベン トが異なる値を持つ場合、 その項目の隣に青い三角のアイコンが表示されます。 このアイコンが表示されたフ ィールドの値を変更する と、 その値は、 選択したイベン トすべてに対して新しい設定に変更し、 青い三角のアイコンはそのフ ィールドの隣に表示されなくなり ます。

たとえば、 ブロ ッキングが有効のイベン ト と有効でないイベン トの 2 つを編集するために選択

した場合、 [Block] の隣に青い三角のアイコンが表示されます。 初からブロッキングが無効

だったイベン トで Block レスポンスを有効にする と、 両方のイベン トでブロ ッキングが有効に

なり、 青い三角のアイコンは消えてしまいます。

4. [OK] をク リ ッ ク します。

5. 変更内容を保存します。

93Proventia Network IPS G and GX Appliance User Guide

第第第第 8 章章章章 : セキュリテ ィセキュリテ ィセキュリテ ィセキュリテ ィ イベン トでの作業イベン トでの作業イベン トでの作業イベン トでの作業

複数のセキュリテ ィ複数のセキュリテ ィ複数のセキュリテ ィ複数のセキュリテ ィ イベン トへのプロテクシ ョ ンイベン トへのプロテクシ ョ ンイベン トへのプロテクシ ョ ンイベン トへのプロテクシ ョ ン ド メ インの割り当ド メインの割り当ド メインの割り当ド メインの割り当てててて

はじめにはじめにはじめにはじめに プロテクシ ョ ン ド メ インを設定した時点で、 そのド メ インを複数のセキュ リティ イベン トに割り当てるこ とができます。 こ うするこ とで、 ネッ ト ワーク上の各プロテクシ ョ ン ド メ インに対してセキュ リティ ポリシーを設定する時間を短縮するこ とができます。

手順手順手順手順 複数のセキュ リティ イベン トにプロテクシ ョ ン ド メ インを割り当てるには、 次の手順に従います。

1. [Security Events] を選択します。

2. [Security Events] タブで、 イベン ト を次のよ うに選択します。

� 複数のイベン ト を選択するには、 [CTRL] キーを押しながら各イベン ト を選択します。

� イベン トの範囲を選択するには、 [SHIFT] を押しながら、 その範囲の 初と 後のイベン ト

を選択します。

3. [Copy] をク リ ッ ク します。

4. [Paste] をク リ ッ ク します。

5. 赤い X アイコンの付いた項目をすべて選択し、 [Edit] をク リ ッ ク します。

6. 選択したイベン トに割り当てるプロテクシ ョ ンプロテクシ ョ ンプロテクシ ョ ンプロテクシ ョ ン ド メ インド メ インド メ インド メ インを選択します。

7. 任意の追加設定を編集します。

詳細については、 「セキュ リ ティ イベン トの追加」 (90 ページ ) を参照してください。

8. [OK] をク リ ッ ク し、 [Security Events] ページに戻り ます。

9. 変更内容を保存します。

94

セキュリテ ィセキュリテ ィセキュリテ ィセキュリテ ィ イベン ト情報の表示イベン ト情報の表示イベン ト情報の表示イベン ト情報の表示

セキュリテ ィセキュリテ ィセキュリテ ィセキュリテ ィ イベン ト情報の表示イベン ト情報の表示イベン ト情報の表示イベン ト情報の表示

はじめにはじめにはじめにはじめに [Security Events] タブには、 何百もの攻撃とセキュ リ ティ イベン トが リ ス ト アップされています。表示や検索を容易にするために、 イベン トの表示方法をカスタマイズするこ とができます。

フ ィルタと正規表現につフ ィルタと正規表現につフ ィルタと正規表現につフ ィルタと正規表現についていていていて

セキュ リティ イベン ト フ ィルタは、 正規表現を使用して、 返されるイベン ト数を制限します。

正規表現 ( 別名 ： regex) とは、 指定したパターンと一致するテキス ト を検索するために使用する記号と構文の集ま りです。 ワイルドカード検索は、 正規表現を使用したものです。

も基本的なレベルでは、 次のワイルドカード検索のタイプがサポート されています。

� * - すべてのイベン ト を返します。

� *word* - 例例例例 : 「*http*」 は、 すべての HTTP イベン ト を含みます。

� word* - 例例例例 : 「http*」 は、 「HTTP」 で始まるすべてのイベン ト名を含みます。

� *word - 例例例例 : 「*http」 は、 「HTTP」 で終わるすべてのイベン ト名を含みます。

表示する列の選択表示する列の選択表示する列の選択表示する列の選択 表示する列を選択するには、 次の手順に従います。

1. [Security Events] を選択します。

2. [Security Events] タブで、 [Select Columns] をク リ ッ ク します。

3. 表示したい列の隣にあるチェッ ク ボッ クスをオンにします。

4. [OK] をク リ ッ ク します。

5. 変更内容を保存します。

注記注記注記注記 : イベン ト をグループ化およびサブグループ化している場合、それらイベン トの列は [Security Events] タブに表示されなくな り ます。 その代わり、 展開または省略できるグループ化ツ リーに、

項目と して表示されます。

セキュリテ ィセキュリテ ィセキュリテ ィセキュリテ ィ イベン トイベン トイベン トイベン ト

のグループ化のグループ化のグループ化のグループ化

セキュ リティ イベン ト をグループ化するには、 次の手順に従います。

1. [Security Events] を選択します。

2. [Security Events] タブで、 [Group By] をク リ ッ ク します。

3. [All Columns] リ ス トから、 イベン ト をグループ化する列を選択し、 [Add] をク リ ッ ク します。

選択した列が [Group by These Columns] リ ス トに表示されます。

4. イベン ト をグループ化するそれぞれの列に対して、 手順手順手順手順 3 を繰り返します。

グループ化するために選択したそれぞれの列には、 作成した 後の 「グループ」 の下にサブグループが作成されます。

5. [OK] をク リ ッ ク します。

6. イベン ト を表示するには、 [Security Events] タブのグループを省略または展開します。

7. 変更内容を保存します。

セキュリテ ィセキュリテ ィセキュリテ ィセキュリテ ィ イベン トイベン トイベン トイベン ト

のフ ィルタリングのフ ィルタリングのフ ィルタリングのフ ィルタリング

セキュ リティ イベン ト をフ ィルタ リ ングするには、 次の手順に従います。

1. [Security Events] を選択します。

2. [Security Events] タブで、 [Filter] チェッ クボッ クスをオンにしてフ ィルタ リ ングを有効にしま

す。

3. [Filter] をク リ ッ ク します。

95Proventia Network IPS G and GX Appliance User Guide

第第第第 8 章章章章 : セキュリテ ィセキュリテ ィセキュリテ ィセキュリテ ィ イベン トでの作業イベン トでの作業イベン トでの作業イベン トでの作業

4. [Regular Expressions] 領域で、 フ ィルタ リ ングの単位となる正規表現を入力します。 この検索

機能は、 大文字と小文字を区別しません。

注記注記注記注記 : この機能を使用するには、 正規表現の機能を理解している必要があ り ます。

5. カテゴ リ ごとに、 適用するフ ィルタを選択します。 デフォルトは [Any] で、 この場合、 アプラ

イアンスは入力した正規表現と一致する任意の結果を検索します。

6. [OK] をク リ ッ ク します。

7. 変更内容を保存します。

セキュリテ ィセキュリテ ィセキュリテ ィセキュリテ ィ イベン トイベン トイベン トイベン ト

値のリセッ ト値のリセッ ト値のリセッ ト値のリセッ ト

セキュ リティ イベン トの値を リセッ トするには、 次の手順に従います。

1. [Security Events] を選択します。

2. [Security Events] タブで、 次のいずれかを行います。

� イベン ト を リセッ ト します。 リセッ トするイベン ト を反転表示させ、 [Remove] をク リ ッ ク

します。 編集した事前定義済みのイベン トは、 デフォルト値に戻り ますが、 リ ス トからは削除されません。 カスタム イベン トは、 リ ス トから削除されます。

� グループを リセッ ト します。 [Reset Groupings] をク リ ッ ク します。 すべてのグループ化が、

イベン トから削除されます。

� フ ィルタを リセッ ト します。 [Filters] チェッ ク ボッ クスをオフにして、 設定したフ ィルタ

を無効にします。

3. 変更内容を保存します。

96

レスポンスレスポンスレスポンスレスポンス フ ィルタの設定フ ィルタの設定フ ィルタの設定フ ィルタの設定

レスポンスレスポンスレスポンスレスポンス フ ィルタの設定フ ィルタの設定フ ィルタの設定フ ィルタの設定

はじめにはじめにはじめにはじめに レスポンス フ ィルタを設定する と、 アプライアンスが応答するイベン トの数とマネージメン ト コンソールにレポート されるイベン ト数を管理するこ とによって、 セキュ リ ティ ポリシーを詳細化するこ とができます。

レスポンス フ ィルタを使用して、 次の作業を行います。

� フ ィルタで指定されたネッ ト ワーク基準から外れて ト リガーするセキュ リティ イベン トに対

して、 レスポンスを設定する

� アプライアンスがコンソールにレポートするセキュ リ ティ イベン ト数を削減する

たとえば、 安全で信頼されるネッ ト ワーク上のホス ト 、 またはその他の理由で無視したいホス トがある場合、 IGNORE レスポンスを有効にした状態で、 レスポンス フ ィルタを使用するこ とができます。

イベン トイベン トイベン トイベン ト フ ィルタの属フ ィルタの属フ ィルタの属フ ィルタの属

性性性性

レスポンス フ ィルタには、 次のよ うな設定可能な属性があ り ます。

� アダプタ

� 仮想 LAN (VLAN)

� 発信元または宛先 IP アドレス

� 発信元またはターゲッ ト ポート番号 ( すべてのポート、 または特定のサービスに関連付けられ

たポート )、 または ICMP タイプ / コード ( どちらか一方を使用 )

フ ィルタとその他イベンフ ィルタとその他イベンフ ィルタとその他イベンフ ィルタとその他イベントトトト

アプライアンスは、 レスポンス フ ィルタ と一致する ト ラフ ィ ッ クを検出する場合、 フ ィルタで指定したレスポンスを実行します。 それ以外の場合、 アプライアンスは、 イベン ト自体で指定されたとおりにセキュ リティ イベン ト を実行します。

注記注記注記注記 : セキュ リティ イベン トが無効の場合、 対応するレスポンス フ ィルタも無効です。

レスポンスレスポンスレスポンスレスポンス フ ィルタのフ ィルタのフ ィルタのフ ィルタの

順序順序順序順序

レスポンス フ ィルタは、 ルール順に従います。 たとえば、 1 つ以上のフィルタを同じイベン トに対して追加した場合、 アプライアンスは 初に一致したものに対してレスポンスを実行します。 アプライアンスは、 フ ィルタのリ ス ト を上から下に読み取り ます。

レスポンスレスポンスレスポンスレスポンス フ ィルタのフ ィルタのフ ィルタのフ ィルタの

追加追加追加追加

レスポンス フ ィルタを追加するには、 次の手順に従います。

注記注記注記注記 : この手順に出てく る設定は、 [Response Filters] タブに表示される列に対応しています。

1. [Security Events] を選択します。

2. [Response Filters] タブを選択します。

3. [Add] をク リ ッ ク します。

97Proventia Network IPS G and GX Appliance User Guide

第第第第 8 章章章章 : セキュリテ ィセキュリテ ィセキュリテ ィセキュリテ ィ イベン トでの作業イベン トでの作業イベン トでの作業イベン トでの作業

4. 次の表に示されている とおりに設定、 または設定を変更します。

設定設定設定設定 説明説明説明説明

Enabled フ ィルタは、 デフォルトで有効になっています。 フ ィルタを無効にするには、 このチェ ック ボックスをオフにします。

Protection Domain このフ ィルタを設定するプロテクシ ョ ン ド メインを選択します。

注記注記注記注記 : レスポンス フ ィルタをアクテ ィブにするには、 対応するセ

キュリテ ィ イベン トが、 ここで指定するプロテクシ ョ ン ド メイン

に対して有効である必要があります。

Event Name 短縮されたイベン ト名を表示します。 このボタンをクリ ックしてイベン ト を追加します。

ヒン トヒン トヒン トヒン ト : 一度に複数のイベン ト を追加することができます。 フ ィル

タ設定を使用して、 リス トからソート します。

Event Name Info 必要であれば、 イベン トに関する追加情報を表示します。

この設定は、 読み取り専用です。

Comment イベン ト フ ィルタの固有の説明を入力します。

Severity フ ィルタ リングするためのイベン トの危険度 (high、 medium、 low) を選択します。

Adapter レスポンス フ ィルタが適用されるアプライアンスのポートを選択し

ます。

注記注記注記注記 : アプライアンスは、 特定のアプライアンスに適用されない

ポート構成を無視します。 たとえば、 構成に使用可能な追加ポートがあっても、 お使いのアプライアンスでは、 2 つのアダプタ ポート

のみが設定可能な場合があります。

VLAN レスポンス フ ィルタが適用される仮想 LAN タグの範囲を入力しま

す。

Event Throttling 時間間隔を秒単位で入力します。

指定間隔中に、 攻撃と一致するイベン トが 大で 1 つレポート され

ます。

デフォルト値は 0 ( ゼロ ) で、 イベン ト調整を無効にします。

Ignore Events このイベン トに対して設定された基準と一致するイベン ト をアプライアンスに無視させるには、 このチェ ック ボックスをオンにしま

す。

Display マネージメン ト コンソールでのイベン トの表示方法を選択します。

• No Display - 検出されたイベン ト を表示しません。

• WithoutRaw - イベン トの概要を記録します。

• WithRaw - 概要と関連するパケッ ト キャプチャーを記録します。

Block パケッ ト をドロップし、 TCP 接続に対してリセッ ト パケッ ト を送

信することによって、 攻撃をブロックするには、 このチェ ック ボッ

クスをオンにします。

ICMP Type/Code パケッ トの両側に対して ICMP タイプかコードを入力、 または [Well Known] をクリ ックしてよ く使用するタイプとコードを選択し

ます。

98

レスポンスレスポンスレスポンスレスポンス フ ィルタの設定フ ィルタの設定フ ィルタの設定フ ィルタの設定

5. 次の表に示されている とおりに、 IP アドレス とポート を設定します。

Log Evidence /var/iss/ ディ レク ト リに対してイベン ト を ト リガーしたパケッ ト を

ログに記録するには、 このチェ ック ボックスをオンにします。

Responses レスポンスを有効にするには、 次のいずれかのタブを選択します。

• Email - リストから Email レスポンスを選択します。

• Quarantine - 1 つ以上のチェ ック ボックスをオンにして、

Quarantine レスポンスを有効にします。

• SNMP - リス トから SNMP レスポンスを選択します。

• User Defined - 1 つ以上のチェ ック ボックスをオンにして、

ユーザー定義レスポンスを有効にします。

注記注記注記注記 : [Edit] をクリ ックして、 リスト内の任意のレスポンスのプロパ

ティを変更します。

詳細については、 「レスポンスの設定」 (75 ページ ) を参照して く だ

さい。

IP Address and Port フ ィルタ リングする発信元および / または宛先 IP アドレスまたは

ポートに対して、 手順 5 に記載されているように設定、 またはその

設定を変更します。

設定設定設定設定 説明説明説明説明

Address Not 指定するアドレスを除外するには、 このチェ ッ ク ボックスをオンにします。

Any すべてのアドレスを含めるには、 このオプシ ョ ンをオンにします。

Single Address 1 つのアドレスをフ ィルタ リングするには、 このオ

プシ ョ ンをオンにし、 [Address] にアドレスを入力

します。

Address Range アドレス範囲をフ ィルタ リングするには、 このオプシ ョ ンをオンにし、 [Range] に 初と 後のアドレ

スを入力します。

注記注記注記注記 : サイ ト範囲として 0.0.0.0 ～ 255.255.255.255 を使用しないで ください。 これをサイ ト範囲として使用すると、 [Ungrouped Assets] フォルダにランダ

ムな IP アドレス (Web サイ トの IP アドレスなど ) が追加されます。

Network Address/# Network Bit (CIDR)

サブネッ ト上の IP アドレスを含めるには、 このオ

プシ ョ ンをオンにします。 IP アドレスとマスクを入

力します。

マスクとは、 ネッ トワーク識別子のことで、 1 ～ 32 の数値です。 例 : 128.8.27.18 / 16

設定設定設定設定 説明説明説明説明

99Proventia Network IPS G and GX Appliance User Guide

第第第第 8 章章章章 : セキュリテ ィセキュリテ ィセキュリテ ィセキュリテ ィ イベン トでの作業イベン トでの作業イベン トでの作業イベン トでの作業

6. [OK] をク リ ッ ク します。

7. 変更内容を保存します。

Port Not 指定するポート を除外するには、 このチェ ッ ク ボッ

クスをオンにします。

Any すべてのポート を含めるには、 このオプシ ョ ンをオンにします。

Single Port 1 つのポートを含めるには、 このオプシ ョ ンをオン

にし、 [Port] にポートを入力します。

Port Range ポート範囲を含めるには、 このオプシ ョ ンをオンにし、 [Range] に 初と 後のアドレスを入力しま

す。

設定設定設定設定 説明説明説明説明

100

レスポンスレスポンスレスポンスレスポンス フ ィルタの設定フ ィルタの設定フ ィルタの設定フ ィルタの設定

レスポンスレスポンスレスポンスレスポンス フ ィルタのフ ィルタのフ ィルタのフ ィルタの

順序変更順序変更順序変更順序変更

レスポンス フ ィルタの順序を変更するには、 次の手順に従います。

1. [Security Events] を選択します。

2. [Response Filters] タブを選択します。

3. 項目を選択し、 上矢印上矢印上矢印上矢印のアイコン ( ) または下矢印下矢印下矢印下矢印のアイコン ( ) をク リ ッ ク してフ ィル

タを移動します。

4. 変更内容を保存します。

レスポンスレスポンスレスポンスレスポンス フ ィルタでフ ィルタでフ ィルタでフ ィルタで

の操作の操作の操作の操作

レスポンス フ ィルタを編集、 コピー、 または削除するには、 次の手順に従います。

1. [Security Events] を選択します。

2. [Response Filters] タブを選択し、 次のいずれかを行います。

3. 変更内容を保存します。

実行内容実行内容実行内容実行内容 手順手順手順手順

編集 ヒン トヒン トヒン トヒン ト : 設定したい項目をダブルクリ ッ クすることで、

[Response Filter] タブの一部のプロパティを直接編集するこ

とができます。

1. フ ィルタを選択し、 編集編集編集編集のアイコン ( ) をクリ ッ クしま

す。

2. [Enabled] チェ ック ボックスをオンまたはオフにします。

3. フ ィルタを編集し、 [OK] をクリ ックします。

コピー 1. フ ィルタを選択し、 コピーコピーコピーコピーのアイコン ( ) をクリ ッ クし

ます。

2. 貼り付け貼り付け貼り付け貼り付けのアイコン ( ) をクリ ックします。

3. 必要に応じてフ ィルタを編集し、 [OK] をクリ ックします。

削除 1. フ ィルタを選択します。

2. 削除削除削除削除のアイコン ( ) をクリ ックします。

101Proventia Network IPS G and GX Appliance User Guide

第第第第 8 章章章章 : セキュリテ ィセキュリテ ィセキュリテ ィセキュリテ ィ イベン トでの作業イベン トでの作業イベン トでの作業イベン トでの作業

レスポンスレスポンスレスポンスレスポンス フ ィルタ情報の表示フ ィルタ情報の表示フ ィルタ情報の表示フ ィルタ情報の表示

はじめにはじめにはじめにはじめに [Response Filters] タブには、 マネージメン ト コンソールに対するセキュ リティ イベン トの表示方法を制御するために定義した、 レスポンス フ ィルタがリ ス ト アップされています。

表示する列の選択表示する列の選択表示する列の選択表示する列の選択 表示する列を選択するには、 次の手順に従います。

1. [Security Events] を選択します。

2. [Response Filters] タブを選択します。

3. [Select Columns] をク リ ッ ク します。

4. タブ上に表示したい列の隣にあるチェッ ク ボッ クスをオンにします。

5. Click[OK] をク リ ッ ク します。

6. 変更内容を保存します。

注記注記注記注記 : フ ィルタをグループ化およびサブグループ化している場合、 それらフ ィルタの列は [Response Filters] タブに表示されなくな り ます。 その代わり、 展開または省略できるグループ化ツ

リーに、 項目と して表示されます。

レスポンスレスポンスレスポンスレスポンス フ ィルタのフ ィルタのフ ィルタのフ ィルタの

グループ化グループ化グループ化グループ化

レスポンス フ ィルタをグループ化するには、 次の手順に従います。

1. [Security Events] を選択します。

2. [Response Filters] タブを選択します。

3. [Group By] をク リ ッ ク します。

4. [All Columns] リ ス トから、 フ ィルタをグループ化する列を選択し、 [Add] をク リ ッ ク します。

選択した列が [Group by These Columns] リ ス トに表示されます。

5. フ ィルタをグループ化するそれぞれの列に対して、 手順 4 を繰り返します。

グループ化するために選択したそれぞれの列には、 作成した 後の 「グループ」 の下にサブグループが作成されます。

6. [OK] をク リ ッ ク します。

7. フ ィルタを表示するには、 [Response Filters] タブのグループを省略または展開します。

8. 変更内容を保存します。

レスポンスレスポンスレスポンスレスポンス フ ィルタのフ ィルタのフ ィルタのフ ィルタの

フ ィルタリングフ ィルタリングフ ィルタリングフ ィルタリング

レスポンス フ ィルタをフ ィルタ リ ングするには、 次の手順に従います。

1. [Security Events] を選択します。

2. [Response Filters] タブを選択します。

3. [Filter] チェッ ク ボッ クスをオンにして、 フ ィルタ リ ングを有効にします。

4. [Filter] をク リ ッ ク します。

カテゴ リ ごとに、 適用するフ ィルタを選択します。 デフォルトは [Any] で、 この場合、 アプラ

イアンスはそのカテゴ リの任意の結果を検索します。

5. [OK] をク リ ッ ク します。

6. 変更内容を保存します。

102

第第第第 9 章章章章

その他の不正侵入防御設定の構成その他の不正侵入防御設定の構成その他の不正侵入防御設定の構成その他の不正侵入防御設定の構成

概要概要概要概要

はじめにはじめにはじめにはじめに この章では、 ユーザー定義イベン ト、 接続イベン ト、 Trons イベン ト などのその他不正侵入防御設定の構成と管理方法を説明します。 また、 検疫済み不正侵入の管理、 アプライアンスのグローバル調整パラ メータの表示、 X-Force ブロ ッキングの監視の方法についても説明します。

この章の内容この章の内容この章の内容この章の内容 この章では、 次のト ピッ クについて説明します。

ト ピックト ピックト ピックト ピック ページページページページ

検疫済み不正侵入の管理 104

接続イベン トの設定 105

ユーザー定義イベン トの設定 109

ユーザー定義イベン トのコンテキスト 112

ユーザー定義イベン トでの正規表現 117

ユーザー定義イベン ト情報の表示 119

OpenSignature の設定 120

グローバル調整パラ メータの設定 122

X-Force デフォルト ブロッキングの設定 124

103Proventia Network IPS G and GX Appliance User Guide

第第第第 9 章章章章 : その他の不正侵入防御設定の構成その他の不正侵入防御設定の構成その他の不正侵入防御設定の構成その他の不正侵入防御設定の構成

検疫済み不正侵入の管理検疫済み不正侵入の管理検疫済み不正侵入の管理検疫済み不正侵入の管理

はじめにはじめにはじめにはじめに [Quarantined Intrusions] ページに、 検出された侵入者イベン トへのレスポンス時に動的に生成された検疫ルールが表示されます。 これらのルールは、 ブロ ッ クするパケッ トやそのブロ ッ ク期間を指定します。 これらは、 ワームが拡散するのを防ぎ、 バッ ク ドアまたはト ロイの木馬に感染したシステムへのアクセスを拒否します。

重要重要重要重要 : Proventia Manager からのみ、 検疫済み不正侵入を表示または削除するこ とができます。

Quarantine Rules の列の列の列の列 [Quarantine Rules] タブには、 次の情報が表示されます。

注記注記注記注記 : フ ィールド内のアスタ リ スク (*) は、 ルールのこの部分が無視されているこ とを示します。

検疫ルールの詳細の表示検疫ルールの詳細の表示検疫ルールの詳細の表示検疫ルールの詳細の表示 検疫ルールの詳細を表示するには、 次の手順に従います。

1. Proventia Manager で、 [Intrusion Prevention] [Quarantined Intrusions] の順に選択します。

2. [Quarantined Rules] タブでルールを選択し、 [Display] をク リ ッ ク します。

3. [OK] をク リ ッ ク し、 [Quarantined Rules] タブに戻り ます。

検疫ルールの削除検疫ルールの削除検疫ルールの削除検疫ルールの削除 検疫ルールを削除するには、 次の手順に従います。

1. Proventia Manager で、 [Intrusion Prevention] [Quarantined Intrusions] の順に選択します。

2. [Quarantine Rules] 表から検疫ルールを選択し、 [Remove] をク リ ッ ク します。

3. 変更内容を保存します。

フ ィールドフ ィールドフ ィールドフ ィールド 説明説明説明説明

Source IP ブロック対象パケッ トの発信元 IP アドレス

Source Port ブロック対象パケッ トのソース ポート番号 ( プロ ト コルが 6 または 17 の場合 )

Dest IP ブロック対象パケッ トの宛先 IP アドレス

Dest Port ブロック対象パケッ トの宛先ポート番号 ( プロ ト コルが 6 または 17 の場

合 )

ICMP Type ブロック対象パケッ トの ICMP タイプ ( プロ ト コルが 1 の場合 )

ICMP Code ブロック対象パケッ トの ICMP コード番号 ( プロ ト コルが 1 の場合 )

Protocol ルールの IP プロ ト コル (ICMP = 1、 TCP = 6、 UDP = 17)

Expiration Time ルールの有効期限

Block Percentage ドロップされるパケッ トの割合 ( 一部のサービス不能攻撃の影響を弱め

るために、 100% 以下の値を使用 )

表表表表 32: Quarantine Rules の列

104

接続イベン トの設定接続イベン トの設定接続イベン トの設定接続イベン トの設定

接続イベン トの設定接続イベン トの設定接続イベン トの設定接続イベン トの設定

はじめにはじめにはじめにはじめに 接続イベン トは、 特定のアドレスまたはポート間の接続開始を知らせるユーザー定義の通知です。アプライアンスが指定ポートでネッ ト ワーク アクティビティを検出した場合に、 アクティビティやネッ ト ワーク パケッ トの種類、 または交換されるネッ ト ワーク パケッ トの内容にかかわらず、接続イベン トが生成されます。

[Connection Events] ページには、 WWW、 FTR、 IRC などのさまざまな接続タイプの事前定義済み接続イベン トが リ ス ト アップされています。 このページを使用して、 これらのイベン ト をカスタマイズ、 または監視する必要のある ト ラフ ィ ッ クをカバーする独自のイベン ト を作成します。

たとえば、 誰かが FTP を使用してネッ ト ワークに接続するたびに、 コンソールに警告する接続イベン ト を発生させるシグネチャを定義するこ とができます。

注記注記注記注記 : 接続は、 常に指定する宛先ポートに対して登録されるため、 FTP 接続を監視するには、 FTP ポート を使用する必要があ り ます。 各方向のト ラフ ィ ッ クには、 接続ごとに 1 つの項目で十分で

す。

接続イベン トの機能接続イベン トの機能接続イベン トの機能接続イベン トの機能 接続イベン トは、 ネッ ト ワーク ト ラフ ィ ッ クが、 特定のネッ ト ワーク プロ ト コルを使用して、 特定のアドレスから特定のポート を経由して、 監視するネッ ト ワークに接続する場合に発生します。アプライアンスは、 パケッ トのヘッダー値を使用して、 これらの接続を検出します。 接続イベン トは、 攻撃やその他疑わしいアクティビティを必ずしも構成している とは限り ませんが、 場合によってはセキュ リティ管理者にとって興味深いネッ ト ワーク事象です。

注記注記注記注記 : 接続イベン トは、 特定の攻撃シグネチャに対してネッ ト ワークを監視しません。 これらのタイプの攻撃を監視するには、 セキュ リ ティ イベン ト を使用します。 詳細については、 「セキュ リ

ティ イベン トの設定」 (90 ページ ) を参照して ください。

接続イベン トの削除につ接続イベン トの削除につ接続イベン トの削除につ接続イベン トの削除についていていていて

どの接続イベン ト も リ ス トから削除するこ とができます。 ただし、 事前定義済み接続イベン ト を編集した後に削除しよ う と しても、 そのイベン トは事前定義済みの状態に戻らないので注意してください。 イベン トは、 リ ス トから完全に削除されます。 このイベン ト を今後再び使用しよ う と しても、 利用できなくなり ます。

イベン ト を無効にし、 リ ス トに保持しておく こ とを検討してください。 こ うするこ とによって、 別の機会にも う一度イベン ト を使用する場合、 なんらかの形でそのイベン ト を使用するこ とができます。

接続イベン トの追加接続イベン トの追加接続イベン トの追加接続イベン トの追加 接続イベン ト を追加するには、 次の手順に従います。

注記注記注記注記 : この手順に出てく る設定は、 [Connection Events] ページに表示される列に対応しています。

1. [Connection Events] ページで、 [Add] をク リ ッ ク します。

2. 次の表に示されている とおりに設定します。

設定設定設定設定 説明説明説明説明

Enabled イベン トは、 デフォルトで有効になっています。 必要であれば、チェ ック ボックスをオフにしてイベン ト を無効にします。

Event Name イベン トの固有の記述名を入力します。

事前定義済みイベン ト を編集中の場合、 名前が読み取り専用としてここに表示されます。

Comment イベン トの固有の説明を入力します。

Severity イベン トの危険度 (Low、 Medium、 High) を選択します。

105Proventia Network IPS G and GX Appliance User Guide

第第第第 9 章章章章 : その他の不正侵入防御設定の構成その他の不正侵入防御設定の構成その他の不正侵入防御設定の構成その他の不正侵入防御設定の構成

3. 必要に応じて、 次の表に示されている とおりに、 IP アドレス とポートアドレス とポートアドレス とポートアドレス とポート を設定します。

Event Throttling 時間間隔を秒単位で入力します。

指定間隔中に、 攻撃と一致するイベン トが 大で 1 つレポート さ

れます。

デフォルト値は 0 ( ゼロ ) で、 イベン ト調整を無効にします。

Protocol イベン トのプロ ト コルを入力します。

ICMP プロ ト コルを選択する場合、パケッ トの両側に対して ICMP タイプかコードを入力、 または [Well Known] をクリ ッ クして頻繁

に使用するタイプとコードを選択します。

Display マネージメン ト コンソールでのイベン トの表示方法を選択しま

す。

• No Display - 検出されたイベン ト を表示しません。

• WithoutRaw - イベン トの概要を記録します。

• WithRaw - 概要と関連するパケッ ト キャプチャーを記録しま

す。

Block パケッ ト をドロップし、 TCP 接続に対してリセッ ト パケッ ト を送

信することによって、 攻撃をブロックするには、 このチェ ック ボックスをオンにします。

Log Evidence /var/iss/ ディレク ト リに対してイベン ト を ト リガーしたパケッ ト を

ログに記録するには、 このチェ ック ボックスをオンにします。

IP Address and Port 手順 3 を参照して ください。

Responses 手順 4 を参照して ください。

設定設定設定設定 説明説明説明説明

Address Not 指定するアドレスを除外するには、 このチェ ッ ク ボックスをオンにします。

Any すべてのアドレスを含めるには、 このオプシ ョ ンをオンにします。

Single Address 1 つのアドレスをフ ィルタ リングするには、 このオ

プシ ョ ンをオンにし、 [Address] にアドレスを入力

します。

Address Range アドレス範囲をフ ィルタ リングするには、 このオプシ ョ ンをオンにし、 [Range] に 初と 後のアドレ

スを入力します。

注記注記注記注記 : サイ ト範囲として 0.0.0.0 ～ 255.255.255.255 を使用しないで ください。 これをサイ ト範囲として使用すると、 [Ungrouped Assets] フォルダにランダ

ムな IP アドレス (Web サイ トの IP アドレスなど ) が追加されます。

Network Address/# Network Bit (CIDR)

サブネッ ト上の IP アドレスを含めるには、 このオ

プシ ョ ンをオンにします。 IP アドレスとマスクを入

力します。 マスクとは、 ネッ トワーク識別子のことで、 1 ～ 32 の数値です。 例 : 128.8.27.18 / 16

設定設定設定設定 説明説明説明説明

106

接続イベン トの設定接続イベン トの設定接続イベン トの設定接続イベン トの設定

4. 必要に応じて、 次の表に示されている とおりに、 レスポンスを設定します。 [Edit] をク リ ッ ク

して、 リ ス ト内のレスポンスのプロパティを変更します。 詳細については、 「レスポンスの設定」 (75 ページ ) を参照してください。

5. [OK] をク リ ッ ク します。

6. 変更内容を保存します。

接続イベン トのフ ィルタ接続イベン トのフ ィルタ接続イベン トのフ ィルタ接続イベン トのフ ィルタリングリングリングリング

接続イベン ト をフ ィルタ リ ングするには、 次の手順に従います。

1. [Connection Events] ページで、 [Filter] チェッ クボッ クスをオンにしてフ ィルタ リ ングを有効

にします。

2. [Filter] をク リ ッ ク します。

3. カテゴ リ ごとに、 適用するフ ィルタを選択します。

デフォルトでは、 すべてのフ ィルタは [Any] に設定され、 この場合、 アプライアンスはそのカ

テゴ リの任意の結果を検索します。

4. [OK] をク リ ッ ク します。

5. 変更内容を保存します。

Port Not 指定するポート を除外するには、 このチェ ッ ク ボッ

クスをオンにします。

Any すべてのアドレスを含めるには、 このオプシ ョ ンをオンにします。

Single Port 1 つのポートを含めるには、 このオプシ ョ ンをオン

にし、 [Port] にポートを入力します。

Port Range ポート範囲を含めるには、 このオプシ ョ ンをオンにし、 [Range] に 初と 後のアドレスを入力しま

す。

レスポンスレスポンスレスポンスレスポンス 説明説明説明説明

Email リス トから Email レスポンスを選択します。

Quarantine 1 つ以上のチェ ック ボックスをオンにして、 Quarantine レスポンス

を有効にします。

SNMP リス トから SNMP レスポンスを選択します。

User Defined 1 つ以上のチェ ック ボックスをオンにして、 ユーザー定義レスポン

スを有効にします。

設定設定設定設定 説明説明説明説明

107Proventia Network IPS G and GX Appliance User Guide

第第第第 9 章章章章 : その他の不正侵入防御設定の構成その他の不正侵入防御設定の構成その他の不正侵入防御設定の構成その他の不正侵入防御設定の構成

接続イベン トでの作業接続イベン トでの作業接続イベン トでの作業接続イベン トでの作業 接続イベン ト を編集、 コピー、 または削除するには、 次の手順に従います。

1. [Connection Events] ページで、 次のいずれかを行います。

2. 変更内容を保存します。

実行内容実行内容実行内容実行内容 手順手順手順手順

編集 ヒン トヒン トヒン トヒン ト : 設定したい項目をダブルクリ ッ クすることで、

[Connection Events] ページの一部のプロパティを直接編集す

ることができます。

1. イベン ト を選択し、 編集編集編集編集のアイコン ( ) をクリ ッ クしま

す。

2. [Enabled] チェ ック ボックスをオンまたはオフにします。

3. イベン ト を編集し、 [OK] をクリ ックします。

コピー 1. イベン ト を選択し、 コピーコピーコピーコピーのアイコン ( ) をクリ ッ クし

ます。

2. 貼り付け貼り付け貼り付け貼り付けのアイコン ( ) をクリ ックします。

3. 必要に応じてイベン ト を編集し、 [OK] をクリ ックします。

削除 1. イベン ト を選択します。

2. 削除削除削除削除のアイコン ( ) をクリ ックします。

詳細については、 「接続イベン トの削除について」 (105 ペー

ジ ) を参照して ください。

108

ユーザー定義イベン トの設定ユーザー定義イベン トの設定ユーザー定義イベン トの設定ユーザー定義イベン トの設定

ユーザー定義イベン トの設定ユーザー定義イベン トの設定ユーザー定義イベン トの設定ユーザー定義イベン トの設定

はじめにはじめにはじめにはじめに ポリ シー内の有効なイベン トは、 アプライアンスが検出するものを決定します。 ユーザー定義イベン ト をコンテキス トの周りに作成し、アプライアンスにイベン ト をスキャンさせたいネッ ト ワーク パケッ トの種類と部分を基本的に指定します。

グローバルグローバルグローバルグローバル プロテクプロテクプロテクプロテク

シ ョ ンシ ョ ンシ ョ ンシ ョ ン ド メインについド メインについド メインについド メインについ

てててて

イベン トはすべて、 グローバル プロテクシ ョ ン ド メ インの欄にリ ス ト アップされるこ とに注意してください。 アプライアンスは、 常にグローバル ポリシーを使用します。 つま り、 ネッ ト ワークのすべての領域に対して同じ方法でイベン ト を処理します。 ネッ ト ワークのすべてのセグメン トに適用したいグローバル レベルで、 イベン ト を設定する必要があ り ます。 ネッ ト ワーク上の特定セグメン トに対してポ リシーを設定する場合、 各セグメン トに対してプロテクシ ョ ン ド メ インを作成する必要があ り ます。 詳細については、 「プロテクシ ョ ン ド メ インの設定」 (88 ページ ) を参照してください。

次の点に注意してください。

� 一方はグローバル プロテクシ ョ ン ド メ インに、 も う一方はカスタム プロテクシ ョ ン ド メ イン

に割り当てられている、 同じ名前のユーザー定義イベン トが 2 つあ り、 イベン トがアプライア

ンス上で ト リガーされる場合、 カスタム ド メ インに割り当てられたイベン トのみがアラート

を生成します。 この場合、 カスタム ド メ インが常に、 グローバル ド メ インに優先します。

� 同一であるが名前の違うユーザー定義イベン トが 2 つある場合、 一方のイベン トが ト リガーさ

れる と、 それぞれのイベン トは独自にアラート を生成します。 この場合、 どちらのイベン ト も優先しません。

重要重要重要重要 : アプライアンスは、 コンテキス トやクエ リ文字列が異なっていても、 同じ名前の同じイベン トである 2 つのイベン ト を検討します。

ユーザー定義イベン トのユーザー定義イベン トのユーザー定義イベン トのユーザー定義イベン トの追加追加追加追加

ユーザー定義イベン ト を追加するには、 次の手順に従います。

注記注記注記注記 : この手順に出てく る設定は、 [User Defined Events] ページに表示される列に対応しています。

1. [User Defined Events] ページで、 [Add] をク リ ッ ク します。

2. 次の表に示されている とおりに設定します。

設定設定設定設定 説明説明説明説明

Enabled イベン トは、 デフォルトで有効になっています。 無効にするには、 このチェ ッ ク ボックスをオフにします。

Name イベン トの固有名を入力します。

Protection Domain プロテクシ ョ ン ド メインが設定済みの場合、 リス トから 1 つ選択し

ます。

一度に 1 つのド メインに対して 1 つのイベン ト しか適用することがで

きません。 このイベン ト を別のド メインに設定するには、 イベン ト をコピーして名前を変更してから、 別のド メインに割り当てて く ださい。

注記注記注記注記 : プロテクシ ョ ン ド メインを設定していない ( または使用してい

ない ) 場合、 プロテクシ ョ ン ド メインは、 「Global」 と してリストに

表示されます。

Comment イベン トの固有の説明を入力します。

Severity フ ィルタ リングするためのイベン トの危険度 (high、 medium、 low) を選択します。

109Proventia Network IPS G and GX Appliance User Guide

第第第第 9 章章章章 : その他の不正侵入防御設定の構成その他の不正侵入防御設定の構成その他の不正侵入防御設定の構成その他の不正侵入防御設定の構成

3. [OK] をク リ ッ ク します。

イベン トが リ ス トの一番下に表示されます。

4. 変更内容を保存します。

Context アプライアンスがスキャンする必要のあるネッ トワーク パケッ トの

種類と部分を選択します。

詳細については、 「ユーザー定義イベン トのコンテキスト」 (112 ペー

ジ ) を参照して く ださい。

Search String イベン トがこのシグネチャと一致するかどうかを決定する、パケッ ト ( コンテキスト ) 内のテキスト文字列を入力します。 文字列には、 ワ

イルドカード とほかの式を使用することができます。

詳細については、 「ユーザー定義イベン トでの正規表現」 (117 ページ

) を参照して ください。

Event Throttling 時間間隔を秒単位で入力します。

指定間隔中に、 攻撃と一致するイベン トが 大で 1 つレポート されま

す。

デフォルト値は 0 ( ゼロ ) で、 イベン ト調整を無効にします。

Display マネージメン ト コンソールでのイベン トの表示方法を選択します。

• No Display - 検出されたイベン ト を表示しません。

• WithoutRaw - イベン トの概要を記録します。

• WithRaw - 概要と関連するパケッ ト キャプチャーを記録します。

Block パケッ ト をドロップし、 TCP 接続に対してリセッ ト パケッ ト を送信

することによって、 攻撃をブロックするには、 このチェ ック ボック

スをオンにします。

Log Evidence /var/iss/ ディ レク ト リに対してイベン ト を ト リガーしたパケッ ト をロ

グに記録するには、 このチェ ッ ク ボックスをオンにします。

Responses レスポンスを有効にするには、 次のいずれかのタブを選択します。

• Email - リス トから Email レスポンスを選択します。

• Quarantine - 1 つ以上のチェ ック ボックスをオンにして、

Quarantine レスポンスを有効にします。

• SNMP - リス トから SNMP レスポンスを選択します。

• User Defined - 1 つ以上のチェ ック ボックスをオンにして、 ユー

ザー定義レスポンスを有効にします。

注記注記注記注記 : [Edit] をクリ ックして、 リスト内の任意のレスポンスのプロパ

ティを変更します。

詳細については、 「レスポンスの設定」 (75 ページ ) を参照して くださ

い。

設定設定設定設定 説明説明説明説明

110

ユーザー定義イベン トの設定ユーザー定義イベン トの設定ユーザー定義イベン トの設定ユーザー定義イベン トの設定

ユーザー定義イベン トでユーザー定義イベン トでユーザー定義イベン トでユーザー定義イベン トでの作業の作業の作業の作業

ユーザー定義イベン ト を編集、 コピー、 または削除するには、 次の手順に従います。

1. [User Defined Events] ページで、 次のいずれかを行います。

2. 変更内容を保存します。

実行内容実行内容実行内容実行内容 手順手順手順手順

編集 ヒン トヒン トヒン トヒン ト : 設定したい項目をダブルクリ ッ クすることで、 [User Defined Events] ページの一部のプロパティ を直接編集するこ

とができます。

1. イベン ト を選択し、 編集編集編集編集のアイコン ( ) をクリ ッ クしま

す。

2. [Enabled] チェ ック ボックスをオンまたはオフにします。

3. イベン ト を編集し、 [OK] をクリ ックします。

コピー 1. イベン ト を選択し、 コピーコピーコピーコピーのアイコン ( ) をクリ ッ クし

ます。

2. 貼り付け貼り付け貼り付け貼り付けのアイコン ( ) をクリ ックします。

3. 必要に応じてイベン ト を編集し、 [OK] をクリ ックします。

削除 1. イベン ト を選択します。

2. 削除削除削除削除のアイコン ( ) をクリ ックします。

111Proventia Network IPS G and GX Appliance User Guide

第第第第 9 章章章章 : その他の不正侵入防御設定の構成その他の不正侵入防御設定の構成その他の不正侵入防御設定の構成その他の不正侵入防御設定の構成

ユーザー定義イベン トのコンテキストユーザー定義イベン トのコンテキストユーザー定義イベン トのコンテキストユーザー定義イベン トのコンテキスト

はじめにはじめにはじめにはじめに ユーザー定義イベン トのシグネチャを作成する場合、 イベン ト を監視するネッ ト ワーク パケッ トの種類と特定部分をアプライアンスに指示するコンテキス ト を選択します。 コンテキス トの指定後、 パケッ ト をスキャンする と きの検索対象を正確にアプライアンスに指示する文字列を追加します。 詳細については、 「ユーザー定義イベン トでの正規表現」 (117 ページ ) を参照してください。

たとえば、 email_subject コンテキス トは、 メール パケッ ト ( メ ッセージ ) の件名を監視するよ うに、 アプライアンスを設定します。

DNS_Query コンテキスコンテキスコンテキスコンテキス

トトトト

ほとんどのプログラムは、 ド メ イン名を使用して、 インターネッ ト上のリ ソースにアクセスします。 これらのプログラムは、 サーバー上で DNS 名を検索して、 インターネッ ト リ ソースの特定 IP を割り出します。 DNS_Query コンテキス ト を使用して、 特定の IP アドレスを知るこ となしに、 特定のサイ ト またはサイ トのク ラスへのアクセスを監視します。

� 監視内容監視内容監視内容監視内容

DNS_Query コンテキス トは、 UDP および TCP 上の DNS 照会パケッ トや DNS 応答パケッ ト内

の DNS 名を監視します。 アプライアンスは、 [String] ボッ クス内の情報と、 パケッ ト内のド メ

イン名の拡張 ( 人間が読み取れる ) バージ ョ ンを比較します。

ユーザーが IP アドレスを使用してサイ トに直接アクセスする場合、 DNS ルッ クアップは生じ

ず、 アプライアンスはイベン ト を検索するこ とができません。

特定の URL を監視するには、 ド メ イン名は 初の要素でしかないという こ とを覚えておいて

ください。 たとえば、 「//www.cnn.com」 は 「http://www.cnn.com/stories」 の 初の要素です。

URL_Data コンテキス ト ( 「URL_Data コンテキス ト 」 (115 ページ ) を参照 ) を使用して、 URL の残りの部分を検出してください。

� 例例例例

DNS_Query コンテキス ト と文字列値 「www.microsoft.com」 を併用して、 Microsoft の Web サイ

トにアクセスするユーザーを監視するこ とができます。

インターネッ ト上でハッカーと関連する素材にアクセスする、 サイ ト上のユーザーを懸念する場合、 次のよ う なド メ インへのアクセスを監視するこ とができます。

� hackernews.com

� rootshell.com

Email_Receiver コンテコンテコンテコンテ

キストキス トキス トキス ト

Email_Receiver コンテキス ト を使用して、 特定の受信者に対する送受信メールを監視します。

� 監視内容監視内容監視内容監視内容

Email_Receiver コンテキス トは、 SMTP、 POP、 IMAP プロ ト コルを使用して、 メール ヘッ

ダーの受信者アドレス部分を監視します。 アプライアンスが、 Email_Receiver コンテキス ト を

使用して、 シグネチャ と一致するイベン ト を検出する場合、 イベン トの詳細を調査するこ とによ り、 メールが使用したプロ ト コルを判断するこ とができます。

注記注記注記注記 : このコンテキス トは、 MAPI プロ ト コルで送信されたメールを監視しません。

� 例例例例

何者かが 「ソーシャル エンジニア リ ング」 を使用して特定の従業員を操作している疑いがあ

る場合、 その従業員のアドレス宛ての着信メールを監視し、 発信元 IP のログを記録するこ と

ができます。 または、 何者かが企業内の機密情報を特定の外部メール アドレスへ漏えいして

いる疑いがある場合、 そのアドレス宛てのメールを追跡するこ とができます。

Email_Sender コンテキコンテキコンテキコンテキ

ストス トス トス ト

Email_Sender コンテキス ト を使用して、 特定の受信者に対する送受信メールを監視します。

� 監視内容監視内容監視内容監視内容

112

ユーザー定義イベン トのコンテキス トユーザー定義イベン トのコンテキス トユーザー定義イベン トのコンテキス トユーザー定義イベン トのコンテキス ト

Email_Sender コンテキス トは、 SMTP、 POP、 IMAP プロ ト コルを使用して、 メール ヘッダー

の送信者アドレス部分を監視します。 アプライアンスが、 Email_Sender コンテキス ト を使用し

て、 シグネチャ と一致するイベン ト を検出する場合、 イベン トの詳細を調査して、 メールが使用したプロ ト コルを判断するこ とができます。

注記注記注記注記 : このコンテキス トは、 MAPI プロ ト コルで送信されたメールを監視しません。

� 例例例例

Email_Sender コンテキス ト を使用して、 ソーシャル エンジニア リ ングやその他従業員操作 ( イ

ンバウンド ) のインスタンスを検出、 または企業からの情報漏えい ( アウ トバウンド ) を検出

します。

Email_Subject コンテコンテコンテコンテ

キストキス トキス トキス ト

Email_Subject コンテキス ト を使用して、 メールの件名を監視します。

� 監視内容監視内容監視内容監視内容

Email_Subject コンテキス トは、 SMTP、 POP、 IMAP プロ ト コルを使用して、 メール ヘッダー

の件名を監視します。

注記注記注記注記 : このコンテキス トは、 MAPI プロ ト コルで送信されたメールを監視しません。

� 例例例例

重要なプロジェク ト名やファイル名を監視するこ とによ り、 情報漏えいを検出するためのシグネチャを作成するこ とができます。

また、 Email_Subject を使用して、 I LOVEYOU ウ ィルスなどのウ ィルスを検出するこ と もでき

ます。

ヒン トヒン トヒン トヒン ト : ウ ィルスやその他の攻撃は、 件名を体系的に変更するプログラムを開発したため、Email_Content コンテキス ト を使用して、 これらのウ ィルスを追跡して ください。

File_Name コンテキスコンテキスコンテキスコンテキス

トトトト

File_Name コンテキス ト を使用して、 組織内のネッ ト ワーク上にある機密ファイルにアクセスする人を監視します。

� 監視内容監視内容監視内容監視内容

File_Name コンテキス トは、 次のいずれかのプロ ト コルを使用して、 リモートからファ イルの

読み取り または書き込みを試みる人 ( またはプログラム ) を検出します。

� TFTP

� FTP

� Windows のファイル共有 (CIFS または Samba)

� NFS

注記注記注記注記 : NFS は、 直接ファイル名を参照せずにファイルを開く こ とができます。 このコンテキ

ス ト を使用してファイルへの NFS アクセスを監視しても、 100% 有効ではあ り ません。

� 例例例例

Windows ネッ ト ワークに広がった 1999 年の ExploreZip ワームは、 リモートの Windows 共有の

特定ファイルへ書き込みを試みました。 このよ う なワームの場合、 ファ イルへのアクセスの試みを監視して、 ワームがローカルで蔓延するのを阻止するこ とができます。

News_Group コンテキコンテキコンテキコンテキ

ストス トス トス ト

News_Group コンテキス ト を使用して、 企業内のユーザーがアクセスするニュース グループ名を監視します。

� 監視内容監視内容監視内容監視内容

News_Group コンテキス トは、 NNTP プロ ト コルを使用してニュース グループにアクセスする

ユーザーを監視します。

� 例例例例

113Proventia Network IPS G and GX Appliance User Guide

第第第第 9 章章章章 : その他の不正侵入防御設定の構成その他の不正侵入防御設定の構成その他の不正侵入防御設定の構成その他の不正侵入防御設定の構成

このコンテキス ト を使用して、 企業のインターネッ ト使用ポ リシーによれば不適切であるハッカーやポルノなどのニュース グループの購読を検出するこ とができます。

Password コンテキストコンテキストコンテキストコンテキスト Password コンテキス ト を使用して、 ネッ ト ワーク上を平文形式で通過するパスワードを特定します。 パスワードが暗号化されていない場合、 攻撃者は別のサイ トからスニファー プログラムで トラフ ィ ッ クを監視して、 パスワードを容易に盗むこ とができます。

� 監視内容監視内容監視内容監視内容

Password コンテキス トは、 FTP、 POP、 IMAP、 NNTP、 HTTP プロ ト コルを使用して、 平文形

式でパスワードを送信するプログラムまたはユーザーを監視します。

また、 Password コンテキス ト を使用して次のこ と もするこ とができます。

� セキュ リティを侵害されたアカウン ト を監視して、 フォレンジッ ク データを得る

� 解雇された従業員のアカウン ト を監視する

� デフォルト パスワードの使用を検出する

注記注記注記注記 : このコンテキス トは、 暗号化されたパスワードを監視しません。

� 例例例例

セキュリテ ィ を侵害されたアカウン トの監視 ：セキュリテ ィ を侵害されたアカウン トの監視 ：セキュリテ ィ を侵害されたアカウン トの監視 ：セキュリテ ィ を侵害されたアカウン トの監視 ： セキュ リティを侵害されたアカウン トの取り

消し後、 このアカウン ト を使おう とする外部からの試みを監視するためにシグネチャを作成し、 セキュ リ ティを侵害されたデータにアクセスした人物を検出するこ とができます。

解雇された従業員のアカウン トの監視 ：解雇された従業員のアカウン トの監視 ：解雇された従業員のアカウン トの監視 ：解雇された従業員のアカウン トの監視 ： 解雇された従業員のパスワードの検索を追加して、

閉鎖アカウン トへのリモートからの不正アクセスの試みを検出します。

デフォルトデフォルトデフォルトデフォルト パスワードの使用の検出パスワードの使用の検出パスワードの使用の検出パスワードの使用の検出 自分のサイ トに関連するデフォルト パスワードを検索す

るシグネチャを設定し、 一般的な脆弱性を調査する攻撃者を検出します。

注記注記注記注記 : X-Force のデータベースには、 このよ うなアカウン ト名について詳し く述べたレコード

が多く含まれています。 デフォルト パスワードの詳細については、 X-Force データベース (http://xforce.iss.net) でパスワードを検索してください。

� このシグネチャのこのシグネチャのこのシグネチャのこのシグネチャの Internet Scanner との併用との併用との併用との併用

Internet Scanner を使用してネッ ト ワークをスキャンする場合、 このコンテキス ト を使用してデ

フォルト パスワードをチェッ クするシグネチャは、 パスワード スキャンに応じて、 このイベ

ン ト を多数検出する可能性があ り ます。

114

ユーザー定義イベン トのコンテキス トユーザー定義イベン トのコンテキス トユーザー定義イベン トのコンテキス トユーザー定義イベン トのコンテキス ト

SNMP_Community ココココンテキストンテキストンテキストンテキスト

SNMP_Community コンテキス ト を使用して、 SNMP コ ミ ュニティ文字列の使用と悪用の可能性を監視します。

� 監視内容監視内容監視内容監視内容

SNMP_Community コンテキス トは、 SNMP コ ミ ュニティ文字列を含むパケッ ト を監視します。

SNMP コ ミ ュニティ文字列は、 SNMP メ ッセージ内の平文形式のパスワードです。 このパス

ワードは、 それぞれのメ ッセージを認証します。 パスワードが有効なコ ミ ュニティ名でない場合、 そのメ ッセージは拒否されます。

権限のないユーザーがコ ミ ュニティ文字列の知識を得る と、 そのユーザーはこの情報を利用して機器から貴重な設定データを入手し、 場合によっては機器を再設定する可能性があ り ます。

重要重要重要重要 : 独自性の高いコ ミ ュニティ文字列を使用し、 定期的に設定変更を行う こ とを強くお勧めします。

� 例例例例

旧文字列を使おう とするユーザーの検出旧文字列を使おう とするユーザーの検出旧文字列を使おう とするユーザーの検出旧文字列を使おう とするユーザーの検出 SNMP コ ミ ュニティ文字列を変更する場合、 このコ

ンテキス ト を使用してシグネチャを作成し、 旧文字列を使おう と しているユーザーを検索するよ う アプライアンスへ指示します。

デフォルト文字列の使用の検出デフォルト文字列の使用の検出デフォルト文字列の使用の検出デフォルト文字列の使用の検出 X-Force データベースには、 一般的な機器におけるデフォル

トのコ ミ ュニティ文字列に関するいくつかの脆弱性についての情報が含まれています。 攻撃者は、 これらのデフォルト パスワードを使用するこ とで機器にアクセスしよ う とする可能性が

あ り ます。 アプライアンスによってこのアクティビティを検出するには、 このコンテキス ト を使用してシグネチャを作成し、 サイ ト内の機器に関連するデフォルト パスワードを監視しま

す。 これらのシグネチャは、 一般的な脆弱性を調査しよ う とする攻撃者を検出するこ とができます。

参照参照参照参照 : デフォルト パスワードの詳細については、 X-Force データベース (http://xforce.iss.net) で SNMP を検索して ください。

� このシグネチャのこのシグネチャのこのシグネチャのこのシグネチャの Internet Scanner との併用との併用との併用との併用

Internet Scanner を使用してネッ ト ワークをスキャンする場合、 このコンテキス ト を使用して SNMP コ ミ ュニティ文字列をチェッ クするシグネチャは、 SNMP スキャンに応じて、 このイベ

ン ト を多数検出する可能性があ り ます。

URL_Data コンテキスコンテキスコンテキスコンテキス

トトトト

URL_Data コンテキス ト を使用して、 HTTP GET リ クエス トに関連するさまざまなセキュ リティ問題やポ リシー問題を監視します。 HTTP GET リ クエス トは、 Web ブラウザなどのク ライアン トが Web サーバーからファイルを要求する と きに発生します。 HTTP GET リ クエス トは、 Web サーバー上のファイルを取得する も一般的な方法です。

� 監視内容監視内容監視内容監視内容

URL_Data コンテキス トは、 HTTP GET リ クエス トからアクセスした場合に、 特定の文字列の URL の内容 ( ド メ イン名またはアドレス自体を除く ) を監視します。

注記注記注記注記 : このコンテキス トは、 HTTP GET リ クエス トに関連する ド メ イン名を監視しません。

� 例例例例

このコンテキス ト を使用して、 脆弱な CGI スク リプ トに関する攻撃を監視します。 1999 年 8 月 9 日にリ リースされた ISS アドバイザリ #32 ( 英語版 ) では、 このコンテキス ト を使用して Microsoft Internet Information Server コンポーネン トでの脆弱性を悪用する試みを検索する方法

が説明されています。

参照参照参照参照 : 詳細については、 「Vulnerabilities in Microsoft Remote Data Service」 (http://xforce.iss.net/alerts/advise32.php) を参照して ください。

このコンテキス ト を使用して、 従業員が社内で禁止されているサイ ト ( ポルノ サイ ト など ) へのアクセスにコンピュータを使用しているかど うかを全般的に検索するこ と もできます。

115Proventia Network IPS G and GX Appliance User Guide

第第第第 9 章章章章 : その他の不正侵入防御設定の構成その他の不正侵入防御設定の構成その他の不正侵入防御設定の構成その他の不正侵入防御設定の構成

User_Login_Name ココココンテキストンテキストンテキストンテキスト

User_Login_Name コンテキス ト を使用して、 認証リ クエス ト中にプレーン テキス ト形式で公開されるユーザー名を検出します。 このコンテキス トは多数のプロ ト コルに対して機能するため、 攻撃者が使用するプロ ト コルに関係なく、 特定アカウン ト を使用する試みを追跡するこ とができます。

� 監視内容監視内容監視内容監視内容

User_Login_Name コンテキス トは、 FTP、 POP、 IMAP、 NNTP、 HTTP、 Windows、 R* プロ ト

コルを使用して認証リ クエス ト内のプレーン テキス ト形式のユーザー名を監視します。

� 例例例例

セキュ リティを侵害されたアカウン トの使用を追跡する場合や、 近解雇された従業員が旧アカウン トにオンラインでアクセスしよ う と している疑いがある場合に、 このコンテキス ト を使用します。 「Fred」 とい う名前のアカウン トが攻撃によってセキュ リティ侵害されているこ と

がわかっている場合、 このコンテキス ト を使用して、 アカウン トにアクセスする試みを検索するシグネチャを構成します。

User_Probe_Name ココココンテキストンテキストンテキストンテキスト

User_Probe_Name コンテキス ト を使用して、 デフォルトのプログラム パスワードを利用してネット ワーク上のコンピュータへアクセスしよ う とする試みを特定します。

� 監視内容監視内容監視内容監視内容

User_Probe_Name コンテキス トは、 FINGER、 SMTP、 VRFY、 SMTP EXPN に関連するユー

ザー名を監視します。 攻撃者は、 これらのデフォルト アカウン ト を使用して、 サーバーやそ

の他コンピュータへ今後アクセスするこ とができます。

� 例例例例

Password コンテキス トや SNMP_Community コンテキス ト と同様に、 X-Force データベースを

使用して、 ネッ ト ワーク上のシステムおよびソフ ト ウェアに関連するデフォルトのアカウン トとパスワードの一覧を作成するこ とができます。

参照参照参照参照 : デフォルト パスワードの詳細については、 X-Force データベース (http://xforce.iss.net) で SNMP を検索して ください。

116

ユーザー定義イベン トでの正規表現ユーザー定義イベン トでの正規表現ユーザー定義イベン トでの正規表現ユーザー定義イベン トでの正規表現

ユーザー定義イベン トでの正規表現ユーザー定義イベン トでの正規表現ユーザー定義イベン トでの正規表現ユーザー定義イベン トでの正規表現

はじめにはじめにはじめにはじめに 正規表現 ( 文字列 ) とは、 ユーザー定義イベン ト シグネチャに対して指定するコンテキス ト ( ネット ワーク パケッ ト ) 内でのパターンを検出するためにアプライアンスが使用する、 静的テキス トと変数の組み合わせです。 1 つ以上の静的テキス ト文字列を検出するためにアプライアンスが必要な場合、 ユーザー定義イベン ト シグネチャを作成する と きに正規表現を使用します。

正規表現ライブラリ正規表現ライブラリ正規表現ライブラリ正規表現ライブラリ アプライアンスは、 Deterministic Finite Automata (DFA) 正規表現と呼ばれる ISS のカスタム正規表現ライブラ リ を使用します。

優先順位の変更優先順位の変更優先順位の変更優先順位の変更 正規表現で括弧を使用して、 標準的な優先順位を補正します。

通常の優先順位では、 乗算が加算に優先するため、 4+2*4 は 12 と解釈されます。 ただし、 括弧を使用して、 この優先順位を変更するこ とができます。 たとえば、 (4+2)*4 の場合、 答えは 12 ではなく 24 とな り ます。 この例では、 優先順位の数学的用法について説明していますが、 数値以外の用法も数多くあ り ます。

参照参照参照参照 : 優先順位または正規表現の使用については、 Jeffrey E. Friedl ( 編者 )、 Andy Oram ( 編者 ) による 「Mastering Regular Expressions Powerful Techniques for Perl and Other Tools (O 坦 eilly Nutshell)」を参照してください。

正規表現構文正規表現構文正規表現構文正規表現構文 ユーザー定義イベン ト シグネチャに、 次の正規表現構文を使用するこ とができます。

メ タ文字メ タ文字メ タ文字メ タ文字 説明説明説明説明

(r) r と一致します。

x x と一致します。

xr 後ろに r が続く x と一致します。

\s スペースまたはタブのどちらかと一致します ( 改行には一致しない )。

\d 10 進数字と一致します。

\” 二重引用符と一致します。

\’ 一重引用符と一致します。

\\ バックスラッシュと一致します。

\n 改行文字と一致します (ASCII NL または LF)。

\r 復帰文字と一致します (ASCII CR)。

\t 水平タブ文字と一致します (ASCII HT)。

\v 垂直タブ文字と一致します (ASCII VT)。

\f 用紙送り文字と一致します (ASCII FF)。

\b バックスペースと一致します (ASCII BS)。

\a ベル文字と一致します (ASCII BS)。

\ooo 指定の 8 進数文字コード と一致します。

\xhhh 指定の 16 進数文字コード と一致します。

表表表表 33: 文字列の定型表現

117Proventia Network IPS G and GX Appliance User Guide

第第第第 9 章章章章 : その他の不正侵入防御設定の構成その他の不正侵入防御設定の構成その他の不正侵入防御設定の構成その他の不正侵入防御設定の構成

. 改行を除く任意の文字と一致します。

\@ 空文字列と一致します ( 受付位置を表す )。

““ 空文字列と一致します。

[xy-z] x、 または y から z までの範囲にある任意の 1 文字 ( 文字クラス ) と一致

します。

[^xy-z] x 以外の文字、 または y から z までの範囲にない任意の 1 文字と一致しま

す。

• キャレッ ト を先頭文字として く ださい。 そう しないと、 キャレッ トは文字列の一部と見なされます。

• キャレッ ト を含める場合は、 ダッシュを先頭文字として入力して く ださい。

“text” 内部のメ タ文字とは関係な く、 テキスト と文字どおりに一致します。

• テキストは 1 つの単位として扱われません。

r? 0 回または 1 回出現する r と一致します ( 任意の演算子 )。

r* 0 回以上出現する r と一致します (kleene 閉包 )。

r+ 1 回以上出現する r と一致します ( 正の kleene 閉包 )。

r{m,n} m 回以上 n 回以下出現する r と一致します ( 繰り返し演算子 )。

r|l r または l のどちらかと一致します ( 代替演算子 )。

r/l 後に l が続く r のみと一致します ( 先読み演算子 )。

^r 行の先頭にある r のみと一致します (bol アンカー )。

r$ 行の末尾にある r のみと一致します (eol アンカー )。

r, l 任意の正規表現と一致します。

m, n 整数と一致します。

x,y,z 印刷可能またはエスケープされた任意の ASCII 文字と一致します。

text 印刷可能またはエスケープされた ASCII 文字列と一致します。

ooo 8 進数字列 ( 大 3 文字 ) と一致します。

hhh 16 進数字列と一致します。

メ タ文字メ タ文字メ タ文字メ タ文字 説明説明説明説明

表表表表 33: 文字列の定型表現 ( 続き )

118

ユーザー定義イベン ト情報の表示ユーザー定義イベン ト情報の表示ユーザー定義イベン ト情報の表示ユーザー定義イベン ト情報の表示

ユーザー定義イベン ト情報の表示ユーザー定義イベン ト情報の表示ユーザー定義イベン ト情報の表示ユーザー定義イベン ト情報の表示

はじめにはじめにはじめにはじめに [User Defined Events] ページには、 アプライアンス用に作成されたカスタム イベン ト シグネチャがすべて表示されます。 このビューでのユーザー定義イベン トの表示方法を調節して、 イベン ト を管理および検索しやすくするこ とができます。

表示する列の選択表示する列の選択表示する列の選択表示する列の選択 表示する列を選択するには、 次の手順に従います。

1. [User Defined Events] ページで、 [Select Columns] をク リ ッ ク します。

2. 表示したい列の隣にあるチェッ ク ボッ クスをオンにします。

3. [OK] をク リ ッ ク します。

注記注記注記注記 : イベン ト をグループ化およびサブグループ化している場合、 それらイベン トの列は [User-Defined Events] ページに表示されなくな り ます。 その代わり、 展開または省略できるグ

ループ化ツ リーに、 項目と して表示されます。

4. 変更内容を保存します。

ユーザー定義イベン トのユーザー定義イベン トのユーザー定義イベン トのユーザー定義イベン トのグループ化グループ化グループ化グループ化

ユーザー定義イベン ト をグループ化するには、 次の手順に従います。

1. [User Defined Events] ページで、 [Group By] をク リ ッ ク します。

2. [All Columns] リ ス トから、 イベン ト をグループ化する列を選択し、 [Add] をク リ ッ ク します。

選択した列が [Group by These Columns] リ ス トに表示されます。

3. イベン ト をグループ化するそれぞれの列に対して、 手順 3 を繰り返します。

グループ化するために選択したそれぞれの列には、 作成した 後の 「グループ」 の下にサブグループが作成されます。

4. [OK] をク リ ッ ク します。

5. イベン ト を表示するには、 [User Defined Events] タブのグループを省略または展開します。

6. 変更内容を保存します。

ユーザー定義イベン トのユーザー定義イベン トのユーザー定義イベン トのユーザー定義イベン トのフ ィルタリングフ ィルタリングフ ィルタリングフ ィルタリング

ユーザー定義イベン ト をフ ィルタ リ ングするには、 次の手順に従います。

1. [User Defined Events] ページで、 [Filter] チェッ クボッ クスをオンにしてフ ィルタ リ ングを有効

にします。

2. [Filter] をク リ ッ ク します。

3. カテゴ リ ごとに、 適用するフ ィルタを選択します。

デフォルトは [Any] で、 この場合、 アプライアンスは入力した正規表現と一致する任意の結果

を検索します。

4. [OK] をク リ ッ ク します。

5. 変更内容を保存します。

119Proventia Network IPS G and GX Appliance User Guide

第第第第 9 章章章章 : その他の不正侵入防御設定の構成その他の不正侵入防御設定の構成その他の不正侵入防御設定の構成その他の不正侵入防御設定の構成

OpenSignature の設定の設定の設定の設定

はじめにはじめにはじめにはじめに OpenSignature ( 以前は Trons) は、 IPS 製品でまだ先制して対象と されていない特定の脅威を検出するために、 ユーザーがカスタマイズされたパターン マッチング IDS シグネチャを作成するこ とができるよ うに、 フレキシブルなルール言語を使用します。 この機能は、 ルール インタープリ ターと して ISS Protocol Analysis Module (PAM) に組み込まれています。

OpenSignature に関連に関連に関連に関連

したリスクしたリスクしたリスクしたリスク

カスタム シグネチャ開発の機能は、 非常に広範囲にわたり ます。 この柔軟性によって、 追加リ スクが生じます。 不十分に作成されたルールやシグネチャは、 センサーのパフォーマンスに影響を与えたり、ほかの結果をもたらします。 自身のカスタム シグネチャの使用による リ スクには、 次の内容が含まれますが、 これに限定されるものではあり ません。

� 許容できないアプライアンスのパフォーマンス

� PAM の無限ループへの投入 (PAM のクラ ッシュ )

� 特定セグメン トに対するすべてのネッ ト ワーク ト ラフ ィ ッ クのブロッ ク ( バイパス有り または無

しのインライン モード )

� アプライアンスの工場出荷時イ メージを再インス トールして、 「正常な」 状態に戻すために必要な

必須解像度

注意注意注意注意 : OpenSignature を使用する場合、 ISS はアプライアンスのパフォーマンスを保証しません。 自己

責任にて、 この機能を有効にしてください。 ISS のカスタマー サポートでは、 環境のカスタム ルール

の作成や障害追及についてのサポートは行っており ません。 カスタム シグネチャの作成支援が必要な

場合は、 本製品の保守契約を締結されている販売代理店までご連絡ください。

OpenSignature 構文構文構文構文 各カスタム ルールの構文オプシ ョ ンは、 次のとおりです。

< アクシ ョ ン > ： alert

< プロ ト コル > ： tcp, udp, icmp, ip

<IP およびネッ トマスク > ： 単一 IP アドレス (a.b.c.d)、 IP アドレス範囲 (a.b.c.d-w.x.y.z)、 CIDR 表記法を使用したネッ ト ワーク アドレス (a.b.c.0/24)

否定演算子は、 次のよ うに 「!」 で表示されます。

alert tcp !192.168.1.0/24

つま り、 「!」 で示されているもの以外の何かが使用されたと きに、 アラートが表示されます。

重要重要重要重要 : OpenSignature ルールを不適切にフォーマッ ト した場合、 PAM 構成エラー レスポンスを受信

する可能性があ り ます。

120

OpenSignature の設定の設定の設定の設定

OpenSignature パーパーパーパー

サーの有効化サーの有効化サーの有効化サーの有効化

OpenSignature パーサーを有効にするには、 次の手順に従います。

1. [Global Tuning Parameters] を選択します。

2. [Tuning Parameters] タブで、 [Add] をク リ ッ ク します。

3. 次の表に示されている とおりに設定します。

4. 変更内容を保存します。

ルールの追加または変更ルールの追加または変更ルールの追加または変更ルールの追加または変更 ルールを追加または変更するには、 次の手順に従います。

1. [OpenSignature] ページで、 [Add] をク リ ッ ク、 または編集するルールを反転表示させてから [Edit] をク リ ッ ク します。

ヒン トヒン トヒン トヒン ト : 設定したい項目をダブルク リ ッ クするこ とで、 [OpenSignature] ページの一部のプロパ

ティを直接編集するこ とができます。

2. 次の表に示されている とおりに設定、 または設定を変更します。

3. [OK] をク リ ッ ク します。

4. 変更内容を保存します。

設定設定設定設定 説明説明説明説明

Name 次のように入力し、 OpenSignature を有効にします。

pam.trons.enabledValue 次のように入力します。

true

設定設定設定設定 説明説明説明説明

Enabled ルールを有効にするには、 このチェ ック ボックスをオンにします。

Comment ルールの固有の説明を入力します。

Rule String イベン トがト リガーされた時およびイベン トへの対応方法をアプライアンスに通知するテキスト文字列を入力します。

Event Throttling 時間間隔を秒単位で入力します。

指定間隔中に、 攻撃と一致するイベン トが 大で 1 つレポート され

ます。

デフォルト値は 0 ( ゼロ ) で、 イベン ト調整を無効にします。

121Proventia Network IPS G and GX Appliance User Guide

第第第第 9 章章章章 : その他の不正侵入防御設定の構成その他の不正侵入防御設定の構成その他の不正侵入防御設定の構成その他の不正侵入防御設定の構成

グローバル調整パラ メータの設定グローバル調整パラ メータの設定グローバル調整パラ メータの設定グローバル調整パラ メータの設定

はじめにはじめにはじめにはじめに グローバル調整パラ メータは、 グループおよびサイ ト レベルで不正侵入防御設定に影響します。

セキュ リティ ニーズをよ り満足させるため、 またはハードウェアのパフォーマンスを強化するために、 グローバル調整パラ メータを使用して、 特定のパラ メータを設定 ( または調整 ) し、 アプライアンスのグループへ全体的に適用します。 一般的に、 SiteProtector で管理するアプライアンスのグループに対してグローバル調整パラ メータを編集または設定しますが、 特定のアプライアンスに影響するグローバル調整パラ メータを Proventia Manager で表示するこ とができます。

また、 ISS X-Force が推奨する Blocking レスポンスを使用するかど うかも指定するこ とができます。ISS では、 原則と して X-Force ブロ ッキングを無効にしないこ とをお勧めしていますが、 ネッ トワーク上で現在疑わしいアクティビティが有効かど うかを判断できるよ うに、 またはネッ ト ワークに対して明白な脅威から保護できるよ うに、 時々このオプシ ョ ンを無効にする必要がある場合があり ます。

グローバルグローバルグローバルグローバル パラメータパラメータパラメータパラメータ

とローカルとローカルとローカルとローカル パラメータパラメータパラメータパラメータ

の違いの違いの違いの違い

グローバル調整パラ メータは、 次の点においてローカル調整パラ メータ と異なり ます。

� グローバル調整パラ メータは、 不正侵入防御アプライアンスのグループに影響する不正侵入防

御設定です。

� ローカル調整パラ メータは、 ネッ ト ワーク アダプタ カード設定などの特定の不正侵入防御ア

プライアンスに影響する設定です。

ローカル調整パラ メータは特定のアプライアンスに特有なため、 デバイス レベルでのみ設定

するこ とができます。

適用できる場合、 有効にしたローカル調整パラ メータは、 グローバル調整パラ メータに優先します。

調整可能なコンポーネン調整可能なコンポーネン調整可能なコンポーネン調整可能なコンポーネントトトト

アプライアンスのグループで、 次のコンポーネン ト を調整するこ とができます。

� 不正侵入防御レスポンス

� 不正侵入防御セキュ リティ リ ス ク

� ファ イアウォール

� 自動アップデート

1 台のアプライアンスへの高度なパラ メータの適用については、 「高度なパラ メータの設定」(143 ページ ) を参照して ください。

高度なパラメータについ高度なパラメータについ高度なパラメータについ高度なパラメータについてててて

高度なパラ メータは、 名前と値のペアで構成されています。 各ペアには、 デフォルト値が設定されています。

たとえば、 パラ メータ np.firewall.log は、 有効にしたファイアウォール ルールに一致するパケッ トの詳細をログに記録するかど うかを決定するパラ メータです。 このパラ メータのデフォルト値は、on です。

[Advanced Parameters] タブのリ ス トに表示されているパラ メータの値を編集するこ とができます。リ ス トにパラ メータが表示されていない場合、 そのパラ メータにデフォルト値がないという こ とを意味しています。 その場合、 新しい値でパラ メータを リ ス トに追加すればいいだけです。

調整パラメータの追加調整パラメータの追加調整パラメータの追加調整パラメータの追加 調整パラ メータを追加するには、 次の手順に従います。

1. [Global Tuning Parameters] を選択します。

2. [Tuning Parameters] タブで、 [Add] をク リ ッ ク します。

122

グローバル調整パラメータの設定グローバル調整パラメータの設定グローバル調整パラメータの設定グローバル調整パラメータの設定

3. 次の表に示されている とおりに設定します。

4. [OK] をク リ ッ ク します。

5. 変更内容を保存します。

グローバル調整パラメーグローバル調整パラメーグローバル調整パラメーグローバル調整パラメータでの作業タでの作業タでの作業タでの作業

グローバル調整パラ メータを編集、 コピー、 または削除するには、 次の手順に従います。

1. [Global Tuning Parameters] を選択します。

2. [Tuning Parameters] タブを選択し、 次のいずれかの操作を行います。

3. 変更内容を保存します。

設定設定設定設定 説明説明説明説明

Name パラ メータの名前を入力します。

例例例例 : np.log.count

Value パラ メータに関連付けられた値のタイプに従って、 値を入力します。

• Boolean - 値 True または False を入力します。

• Number - パラメータの適切な数値を入力します。 例例例例 : 10

• String - ログ ファイルの場所などのパラメータの値を入力しま

す。

Comment パラ メータの固有の説明を入力します。

例例例例 : イベン ト ログ ファイル数

実行内容実行内容実行内容実行内容 手順手順手順手順

編集 ヒン トヒン トヒン トヒン ト : 設定したい項目をダブルクリ ッ クすることで、

[Tuning Parameters] タブの一部のプロパティを直接編集する

ことができます。

1. パラ メータを選択し、 編集編集編集編集のアイコン ( ) をクリ ッ クし

ます。

2. [Enabled] チェ ック ボックスをオンまたはオフにします。

3. パラ メータを編集し、 [OK] をクリ ックします。

コピー 1. パラ メータを選択し、 コピーコピーコピーコピーのアイコン ( ) をクリ ッ ク

します。

2. 貼り付け貼り付け貼り付け貼り付けのアイコン ( ) をクリ ックします。

3. 必要に応じてパラ メータを編集し、 [OK] をクリ ックしま

す。

削除 1. パラ メータを選択します。

2. 削除削除削除削除のアイコン ( ) をクリ ックします。

123Proventia Network IPS G and GX Appliance User Guide

第第第第 9 章章章章 : その他の不正侵入防御設定の構成その他の不正侵入防御設定の構成その他の不正侵入防御設定の構成その他の不正侵入防御設定の構成

X-Force デフォルトデフォルトデフォルトデフォルト ブロッキングの設定ブロッキングの設定ブロッキングの設定ブロッキングの設定

はじめにはじめにはじめにはじめに X-Force デフォルト ブロ ッキングを使用する場合、 X-Force が推奨するイベン ト ( またはシグネチャ ) に対して Block レスポンスが自動的に有効になり ます。

手順手順手順手順 デフォルト ブロ ッキングを設定するには、 次の手順に従います。

1. [Global Tuning Parameters] を選択します。

2. [X-Force Default Blocking] タブを選択します。

3. X-Force ブロ ッキングは、 デフォルトでは有効になっています。 無効にするには、 [Use X-Force blocking recommendations] ボッ クスをオフにします。

4. 変更内容を保存します。

124

第第第第 10 章章章章

ファイアウォール設定の構成ファイアウォール設定の構成ファイアウォール設定の構成ファイアウォール設定の構成

概要概要概要概要

はじめにはじめにはじめにはじめに ファ イアウォール ルールを設定し、 さまざまな発信元および宛先情報に基づいて、 攻撃をブロ ックするこ とができます。 ルール ステート メン トで、 この情報を指定します。

この章の内容この章の内容この章の内容この章の内容 この章では、 次のト ピッ クについて説明します。

ト ピックト ピックト ピックト ピック ページページページページ

ファイアウォール ルールの設定 126

ファイアウォール ルールの言語 130

ファイアウォール ロギングの調整 133

125Proventia Network IPS G and GX Appliance User Guide

第第第第 10 章章章章 : ファイアウォール設定の構成ファイアウォール設定の構成ファイアウォール設定の構成ファイアウォール設定の構成

ファイアウォールファイアウォールファイアウォールファイアウォール ルールの設定ルールの設定ルールの設定ルールの設定

はじめにはじめにはじめにはじめに ファ イアウォール ルールを追加して、 ネッ ト ワークに入る前に、 不要なパケッ ト を ド ロ ップまたはブロ ッ クするこ とができます。 手動でファイアウォール ルールを追加するこ と も、 アプライアンスが指定の値を使用してルールを作成するこ と もできます。 これによって、 ファ イアウォール設定をよ り柔軟に構成するこ とができます。

重要重要重要重要 : ファ イアウォール ルールは、 アプライアンスがインライン モードに設定されている場合に

のみ機能します。 パッシブ モードのアプライアンスは、 従来のセンサーと同じよ うに機能し、 パ

ケッ トの直接パスには存在しません。 シ ミ ュレーシ ョ ン モードでは、 パケッ トは依然と してアプ

ライアンスを通過し、 アプライアンスはプロテクシ ョ ン モードで ト ラフ ィ ッ クに対してどのよ う

に対応していたのかを記述します。

[Firewall Rules] ページを使用して、 パケッ ト内のさまざまな発信元および宛先情報に基づいて攻撃をブロ ッ クするよ うにファ イアウォール ルールを設定します。

ファイアウォールファイアウォールファイアウォールファイアウォール ルールールールー

ルの基準ルの基準ルの基準ルの基準

次の基準を任意に組み合わせて、 ファ イアウォール ルールを定義するこ とができます。

� アダプタ

� VLAN 範囲

� プロ ト コル (TCP、 UDP、 ICMP)

� 発信元または宛先の IP アドレスおよびポート範囲

ファイアウォールファイアウォールファイアウォールファイアウォール ルールールールー

ルの順序ルの順序ルの順序ルの順序

アプライアンスは、 表示順に上から下へファイアウォール ルールのリ ス ト を読み取り、 対応するアクシ ョ ンを適用します。 接続がファイアウォール ルールに一致する と、 これよ り先の接続の処理は停止し、 アプライアンスは、 設定しているその他のファイアウォール ルールを無視します。

例例例例

次のステート メン ト を使用して、 特定ホス ト上の特定ポート用の接続を除く、 ネッ ト ワーク セグメン トへのすべての接続を強制終了します。

adapter any IP src addr any dst addr 1.2.3.4 tcp dst port 80

(Action = "ignore")

adapter any IP src addr any dst addr 1.2.3.1-1.2.3.255

(Action = "drop")

初のルールでは、 ホス ト 1.2.3.4 のポート 80 に対するすべてのト ラフ ィ ッ クは、 Web サーバーに対する正当な ト ラフ ィ ッ ク と して通過するこ とができます。 このネッ ト ワーク セグメン ト上のほかのト ラフ ィ ッ クは、 すべてド ロ ップされます。

ルールの順序を逆にする と、 1.2.3.4 上の Web サーバーに対する ト ラフ ィ ッ クであっても、 このセグメン トに対するすべてのト ラフ ィ ッ クはド ロ ップされます。

126

フ ァイアウォールファイアウォールファイアウォールファイアウォール ルールの設定ルールの設定ルールの設定ルールの設定

ファイアウォールファイアウォールファイアウォールファイアウォール ルールールールー

ルとアクシ ョ ンルとアクシ ョ ンルとアクシ ョ ンルとアクシ ョ ン

ファ イアウォールは、 ルールまたはステート メン ト と一致するパケッ トに対処する方法を説明する、 いくつかのアクシ ョ ンをサポート しています。 表 19 では、 これらのアクシ ョ ンについて説明します。

ファイアウォールファイアウォールファイアウォールファイアウォール ルールールールー

ルの追加ルの追加ルの追加ルの追加

ファ イアウォール ルールを追加するには、 次の手順に従います。

5. [Firewall Settings] ページで、 [Add] をク リ ッ ク します。

6. 次の表に示されている とおりに設定します。

ルールルールルールルール 説明説明説明説明

Ignore (Permit) パケッ ト上でこれ以上のアクシ ョ ンやレスポンスが取られないように、一致するパケッ ト を通過させます。

Protect このルールと一致するパケッ トは、 PAM によって処理されます。 ロギン

グ、 Block レスポンス、 Quarantine レスポンスなど ( これらに限定されな

い ) 通常のレスポンスによって、 一致するパケッ トが処理できるようにし

ます。

Monitor IP のホワイ ト リス ト と して機能します。 Quarantine レスポンスの回避や Block レスポンスの回避などのステート メン ト と一致するパケッ トに適用

されます。 ただし、 その他すべてのレスポンスは、 依然としてパケッ トに適用されます。

Drop (Deny) パケッ トがファイアウォールを通過するときに、 パケッ ト をドロップします。 ファイアウォールはインラインのため、 このアクシ ョ ンにより、パケッ トがターゲッ ト システムに到達するのを防ぎます。 パケッ ト をド

ロップしたユーザーに対しては、 ターゲッ ト システムが単に応答してい

ないかのように見えます。 接続が何度か再試行される可能性があり、終的にはタイムアウト します。

Drop and Reset Drop アクシ ョ ンと同じように機能しますが、 TCP リセッ ト パケッ ト を

発信元システムに送信します。 Drop アクシ ョ ンの場合よりも早く接続が

終了します ( 自動的にリセッ ト されるため )。

表表表表 34: ファイアウォール アクシ ョ ン

設定設定設定設定 説明説明説明説明

Rule ID リスト内のルールの順序を示します。

詳細については、 「ファイアウォール ルールの順序の変更」

(128 ページ ) を参照して ください。

Enabled ルールを有効にするには、 このチェ ッ ク ボックスをオンにします。

Rule Comment ルールの固有の説明を入力します。

Log /var/iss/ ディ レク ト リにあるファイアウォール ログで、 ルールと一

致するパケッ トの詳細をログに記録するかどうかを選択します。

Action リストから、 ファイアウォール アクシ ョ ンを選択します。

各アクシ ョ ンについては、 「ファイアウォール ルールとアクシ ョ ン」

(127 ページ ) を参照して ください。

127Proventia Network IPS G and GX Appliance User Guide

第第第第 10 章章章章 : ファイアウォール設定の構成ファイアウォール設定の構成ファイアウォール設定の構成ファイアウォール設定の構成

7. [OK] をク リ ッ ク します。

8. 変更内容を保存します。

ファイアウォールファイアウォールファイアウォールファイアウォール ルールールールー

ルの順序の変更ルの順序の変更ルの順序の変更ルの順序の変更

ファ イアウォール ルールの順序を変更するには、 次の手順に従います。

1. [Firewall Settings] ページでルールを選択し、 上矢印上矢印上矢印上矢印のアイコン ( ) または下矢印下矢印下矢印下矢印のアイコン

( ) をク リ ッ ク してルールを移動します。

2. 変更内容を保存します。

アプライアンスは、 指定の順序でファイアウォール ルールを処理します。

Rule Type リストから、 ルール タイプを選択します。

• Constructed - Proventia Manager が指定の値を使用してファイ

アウォール ルールを作成できるようにするには、 このオプシ ョ

ンを選択します。

• Manually Entered - 独自のファイアウォール ルールを作成する

には、 このオプシ ョ ンを選択します。 [Firewall Rule] 領域に、

ファイアウォール ルール ステート メン ト を入力して く ださい。

詳細については、 「ファイアウォール ルールの言語」 (130 ページ )を参照して ください。

VLAN VLAN タグの範囲を入力します。

Protocol リストからプロ ト コルを選択します。

ルールのプロ ト コルとして [Any] を選択すると、 次の条件を満たす

場合に次の基準が適用されます。

• ICMP コードを設定した場合、 ICMP 節がルールに追加されま

す。

• 発信元または宛先のポート を設定した場合、 UDP 節と TCP 節の両方がルールに追加されます。

• ゼロ (0) より大きいプロ ト コル番号が設定された場合、 Protocol Number 節がルールに追加されます。

• プロ ト コルの設定を指定しない場合、 IP 節がルールに追加され

ます。 発信元および宛先の IP アドレスが指定されている場合、

それらも追加されます。

注記注記注記注記 :[Any] 以外のプロ ト コル値を設定した場合、 ファイアウォール ルールはそのプロ ト コルにのみ設定されます。

IP Address and Port 発信元と宛先の IP アドレスおよびポートを設定します。

設定設定設定設定 説明説明説明説明

128

フ ァイアウォールファイアウォールファイアウォールファイアウォール ルールの設定ルールの設定ルールの設定ルールの設定

ファイアウォールファイアウォールファイアウォールファイアウォール ルールールールー

ルでの作業ルでの作業ルでの作業ルでの作業

ファ イアウォール ルールを編集、 コピー、 または削除するには、 次の手順に従います。

1. [Firewall Settings] を選択します。

2. 次のいずれかを行います。

3. 変更内容を保存します。

実行内容実行内容実行内容実行内容 手順手順手順手順

編集 ヒン トヒン トヒン トヒン ト : 設定したい項目をダブルクリ ッ クすることで、

[Firewall Rules] タブの一部のプロパティを直接編集すること

ができます。

1. ルールを選択し、 編集編集編集編集のアイコン ( ) をクリ ッ クします。

2. [Enabled] チェ ック ボックスをオンまたはオフにします。

3. ルールを編集し、 [OK] をクリ ックします。

コピー 1. ルールを選択し、 コピーコピーコピーコピーのアイコン ( ) をクリ ッ クしま

す。

2. 貼り付け貼り付け貼り付け貼り付けのアイコン ( ) をクリ ックします。

3. 必要に応じてルールを編集し、 [OK] をクリ ックします。

削除 1. ルールを選択します。

2. 削除削除削除削除のアイコン ( ) をクリ ックします。

129Proventia Network IPS G and GX Appliance User Guide

第第第第 10 章章章章 : ファイアウォール設定の構成ファイアウォール設定の構成ファイアウォール設定の構成ファイアウォール設定の構成

ファイアウォールファイアウォールファイアウォールファイアウォール ルールの言語ルールの言語ルールの言語ルールの言語

はじめにはじめにはじめにはじめに ファ イアウォール ルールは、 ルールが適用される ト ラフ ィ ッ クを定義するいくつかのステート メン ト ( または節 ) で構成されています。 アプライアンスに対してファイアウォール ルールを手動で作成して使用する場合、 この ト ピッ クで説明する構文を使用するこ とができます。

ファイアウォール節ファイアウォール節ファイアウォール節ファイアウォール節 ファ イアウォール ルールは、 各パケッ トに対する特定の基準と一致するよ うに連結されたいくつかの節で構成されています。 その節は、 プロ ト コル スタ ッ クの特定の層を表しています。 各節は、条件と式に分解するこ とができます。 式は、 アドレス、 ポート、 または数値パラ メータに関係のあるルールの変数部分です。

次のファイアウォール節を使用するこ とができます。

� Adapter 節節節節

特定のアダプタにルールを付ける一連のアダプタ (A ～ H) を指定します。 Adapter 節は、 ルー

ルが適用された特定のアダプタを示します。 サポート されているアダプタ式は、 any と、 A ～ H の文字です。 Adapter 節を指定しない場合、 ルールはどのアダプタ と も一致します。

adapter <adapter-id>adapter Aadapter anyadapter A,Cadapter A-C

� Ethernet 節節節節

802.1 フレームと一致するよ うに、 ネッ ト ワーク プロ ト コルのタイプ、 または仮想 LAN (VLAN) 識別子のどちらかを指定します。 Ethernet 節を使用して、 801.1q VLAN ト ラフ ィ ッ ク

をフ ィルタ リ ング、 または特定タイプのイーサネッ ト プロ ト コルを許可あるいは拒否するこ

とができます。 プロ ト コル タイプの一覧を http://www.iana.org/assignments/ethernet-numbers で確認するこ とができます。 10 進法、 8 進法、 16 進法、 またはエイ リ

アス表記で、 イーサネッ ト プロ ト コル定数を指定するこ とができます。 特定タイプのイーサ

ネッ ト ト ラフ ィ ッ クをブロ ッ ク しやすくするには、 既知の番号ではなくエイ リ アスを指定す

るこ とができます。 場合によっては、 エイ リ アスが 1 つ以上のポート をブロ ッ ク します ( 例 ：

IPX と PPPoE)。

ether proto <protocol-id>ether proto {arp|aarp|atalk|ipx|mpls|netbui|pppoe|rarp|sna|xns}ether vid <vlan-number>ether vid <vlan-number> proto <protocol-id>ether proto !arpether vid 1 proto 0x0800ether vid 2 proto 0x86ddether vid 3-999 proto 0x0800,0x86dd

� IP Datagram 節節節節

Ipv4 アドレス、 TCP/UDP の発信元または宛先ポート、 ICMP のタイプまたはコード、 特定の IP プロ ト コル番号などの、 ト ランスポート レベルのフ ィルタ リ ング フ ィールドを指定しま

す。 IP Datagram 節は、 IP データグラム内に存在するプロ ト コルと、 ステート メン トが一致す

るために満たす必要のあるプロ ト コル固有の条件を特定します。 現時点では、 ICMP、 TCP、UDP の条件のみがサポート されていますが、 任意のプロ ト コルに基づいてフ ィルタを指定す

るこ とができます。 IP Datagram 節を指定しない場合、 ステート メン トは任意の IP データグラ

ム プロ ト コルと一致します。

次の 1 番目と 2 番目のステート メン トは、 IP アドレス式と一致する発信元と宛先の IP パケッ

ト をブロ ッ ク します。 3 番目のステート メン トは、 IP アドレス式と一致する発信元または宛先 IP パケッ ト をブロ ッ ク します。 4 番目のステート メン トは、 プロ ト コル タイプと一致する IP パケッ ト をブロ ッ ク します。 5 番目のステート メン トは、 1 番目と 2 番目のステート メン ト を

130

フ ァイアウォールファイアウォールファイアウォールファイアウォール ルールの言語ルールの言語ルールの言語ルールの言語

組み合わせたものです。 6 番目のステート メン トは、 1 番目、 2 番目、 4 番目のステート メン ト

を組み合わせたものです。

1. ip src addr <IPv4-addr>2. ip dst addr <IPv4-addr>3. ip addr <IPv4-addr>4. ip proto <protocol-type>5. ip src addr <IPv4-addr> dst addr <IPv4-addr>6. ip src addr <IPv4-addr> dst addr <IPv4-addr> proto <protocol-type>例例例例

ip addr 192.168.10.1/24ip addr 192.168.10.0-192.168.10.255

ファイアウォールの条件ファイアウォールの条件ファイアウォールの条件ファイアウォールの条件 TCP およびおよびおよびおよび UDP の条件の条件の条件の条件

10 進法、 8 進法、 16 進法で、 TCP および UDP のポート番号を指定するこ とができます。 ポートの値の範囲は、 0 ～ 65534 です。

tcp src port <TCP-UDP-port>tcp dst port <TCP-UDP-port>tcp dst port <TCP-UDP-port> src port <TCP-UDP-port> udp src port <TCP-UDP-port>udp dst port <TCP-UDP-port>udp dst port <TCP-UDP-port> src port <TCP-UDP-port>

ICMP の条件の条件の条件の条件

10 進法、 8 進法、 16 進法で、 ICMP の条件を指定するこ とができます。 タイプおよびコードの有効な数値は、 http://www.iana.org/assignments/icmp-parameters で確認するこ とができます。

icmp type <protocol-type>icmp code <message-code>icmp type <protocol-type> code <message-code>

式式式式 式は、 節のプロ ト コル パーサーと一致する必要のあるヘッダー値のリ ス ト を表しています。 各節は、 プロ ト コル スタ ッ クの特定層との一致に直接関与しています。 構文と値の許容範囲は、 節によって決定されます。 式は、 単一値、 コンマ区切りの値リ ス ト 、 または範囲セッ トです。 現在のところ、 式は、 アダプタ番号、 IPv4 アドレス、 TCP および UDP のポート番号、 ICMP メ ッセージのタイプおよびコード、 IP データグラム プロ ト コル番号を指定するために存在しています。

<value><value>, <value><value> - <value>

感嘆符 (!) で始まる式は、 Not 演算子と呼ばれています。 Not 演算子は、 指定した値以外のすべての値と一致します。 どの値と も一致しない Not 演算子は、 エラーを引き起こします。

131Proventia Network IPS G and GX Appliance User Guide

第第第第 10 章章章章 : ファイアウォール設定の構成ファイアウォール設定の構成ファイアウォール設定の構成ファイアウォール設定の構成

IPv4 アドレス式の例アドレス式の例アドレス式の例アドレス式の例

<n> は、 0 ～ 255 の範囲の 16 進数または 10 進数である可能性があ り ます。 すべての 16 進数には、0x とい うプレフ ィ ッ クスが付いている必要があ り ます。 いくつかの例を次の表に示します。

TCP/UDP ポート、 プロ ト コル識別子、 または数値ポート、 プロ ト コル識別子、 または数値ポート、 プロ ト コル識別子、 または数値ポート、 プロ ト コル識別子、 または数値

任意の定数に対して リ ス ト アップされる値は、 要求された範囲内にある必要があ り ます。 範囲内にない場合、 パーサーは Parse 節を拒否します。

0xFFFF655350, 1, 20 - 2 ! 3 - 65535

完全なファイアウォール完全なファイアウォール完全なファイアウォール完全なファイアウォール ルールの例ルールの例ルールの例ルールの例

次のステート メン トは、 完全なファイアウォール ルールの例です。 プロ ト コルを指定しない場合、ルールは 「Any」 が指定されたと見なして任意のプロ ト コルを使用します。

� adapter A ip src addr xxx.xxx.x.x (x は IP アドレスの数字を表します )

� adapter A ip src addr xxx.xxx.x dst addr any tcp src port 20 dst port 80(x は IP アドレスの数字を表します )

� adapter any ip src addr any dst addr xxx.xxx.xx.x� adapter any ip src addr any dst addr any icmp type 8� tcp� adapter B icmp� udp

例例例例 説明説明説明説明

n.n.n.n 単一アドレス

n.n.n.n, n.n.n.n アドレス リスト

n.n.n.n/<netmask> CIDR 形式を使用した特定アドレスであり、 ネッ トマスクの値は 1 ～ 32 の範囲である必要があります

n.n.n.n - n.n.n.n 初の値が 後の値よりも大きいアドレス範囲

表表表表 35: IPv4 アドレス構文

132

ファイアウォールファイアウォールファイアウォールファイアウォール ロギングの調整ロギングの調整ロギングの調整ロギングの調整

ファイアウォールファイアウォールファイアウォールファイアウォール ロギングの調整ロギングの調整ロギングの調整ロギングの調整

はじめにはじめにはじめにはじめに ローカルの高度なパラ メータを使用する と、 アプライアンスに対するファイアウォール ロギングが機能する方法を調整するこ とができます。 ファ イアウォール ログの数、 ログ名、 大ログ サイズなどの値を指定するこ とができます。

ファイアウォールファイアウォールファイアウォールファイアウォール ロギロギロギロギ

ングングングング パラメータパラメータパラメータパラメータ

次のファイアウォール ロギング パラ メータを編集するこ とができます。

手順手順手順手順 ファ イアウォール ログの設定を調整するには、 次の手順に従います。

1. [Local Tuning Parameters] を選択します。

2. [Advanced Parameters] タブを選択します。

3. 変更するパラ メータを選択し、 [Edit] をク リ ッ ク します。

4. 次の表に示されている とおりに設定、 または設定を変更します。

5. [OK] をク リ ッ ク します。

6. 変更内容を保存します。

名前名前名前名前 説明説明説明説明 値値値値

np.firewall.log 有効なファイアウォール ルールと一致するパケッ

トの詳細をログに記録するかどうかを決定します

String ( 文字列 )

デフォルト : on

np.firewall.log.count ファイアウォール ログ ファイルの数 Number ( 数値 )

デフォルト : 10

np.firewall.log.prefix ファイアウォール ログ ファイル名のプレフ ィ ッ ク

ス

String ( 文字列 )

デフォルト : /var/iss/fw

np.firewall.log.size ファイアウォール ログ ファイルの 大サイズ ( バイ ト単位 )

Number ( 数値 )

デフォルト : 1400000

np.firewall.log.suffix ファイアウォール ログ ファイル名のサフ ィ ッ クス String ( 文字列 )

デフォルト : .log

表表表表 36: ファイアウォールの高度なパラメータ

設定設定設定設定 説明説明説明説明

Enabled パラメータを有効にするには、 このチェ ック ボックスをオンにします。

Name パラメータの名前を表示します。

注記注記注記注記 : パラメータ名を編集しないことをお勧めします。

Comment パラメータを説明します。 必要であれば、 新しい説明を入力します。

Value パラメータの値を編集します。

注記注記注記注記 : デフォルト パラメータ値を保持してお く ことをお勧めします。

133Proventia Network IPS G and GX Appliance User Guide

第第第第 10 章章章章 : ファイアウォール設定の構成ファイアウォール設定の構成ファイアウォール設定の構成ファイアウォール設定の構成

134

第第第第 11 章章章章

ローカル調整パラメータの設定ローカル調整パラメータの設定ローカル調整パラメータの設定ローカル調整パラメータの設定

概要概要概要概要

はじめにはじめにはじめにはじめに ローカル調整パラ メータは、 個々のアプライアンスに対して、 デバイス レベルで不正侵入防御設定に影響を与えます。 この章では、 アプライアンスのローカル調整パラ メータ ( アラート キュー、ネッ ト ワーク カード アダプターのプロパティ、 高度なパラ メータなど ) の設定方法について説明します。

この章の内容この章の内容この章の内容この章の内容 この章では、 次のト ピッ クについて説明します。

ト ピックト ピックト ピックト ピック ページページページページ

アラートの設定 136

ネッ トワーク アダプタ カードの管理 139

アラート キューの管理 142

高度なパラ メータの設定 143

TCPReset の設定 147

135Proventia Network IPS G and GX Appliance User Guide

第第第第 11 章章章章 : ローカル調整パラメータの設定ローカル調整パラメータの設定ローカル調整パラメータの設定ローカル調整パラメータの設定

アラートの設定アラートの設定アラートの設定アラートの設定

はじめにはじめにはじめにはじめに アプライアンス関連のイベン ト を通知するアラート メ ッセージを設定するこ とができます。 また、イベン トがアラート を引き起こしたと きにアプライアンスが取る必要のあるアクシ ョ ン ( アプライアンス管理者へのメール送信、 イベン トに応じた実行ファイルの起動 ) を決定するこ と もできます。

アラートアラートアラートアラート タイプタイプタイプタイプ 3 種類のセンサー イベン ト アラート を有効にするこ とができます。

� Error ( エラーエラーエラーエラー ) - これらのアラートは、 センサーのシステム エラーが発生した場合に通知しま

す。

� Warning ( 警告警告警告警告 ) - これらのアラートは、アプライアンス自体に問題が発生した場合に通知しま

す。

� Informative ( 通知通知通知通知 ) - これらのアラートは、 アプライアンス上でユーザーが実行した可能性の

あるアクシ ョ ン ( パスワードの変更、 ログのダウンロード、 パラ メータの編集など ) について

通知します。

システムシステムシステムシステム アラート とアラート とアラート とアラート と SNMP

アプライアンスの設定メニューから、 次のよ う なシステム ヘルス関連のイベン トが発生した場合に SNMP ト ラ ップを送信するよ うに、 アプライアンスを設定するこ とができます。

� ディ スクの空き容量不足

� ディ スク障害

� 高すぎる CPU 使用率

アプライアンスがこれらの問題を検出した場合、 アプライアンスのインス トール時に指定した SNMP レシーバーに SNMP ト ラ ップを送信するこ とができます。 このよ う なシステム関連アラート を、 SNMPv1 または SNMPv2c ト ラ ップと して送信するこ とができます。 SNMP システム ヘルス関連アラートの設定については、 「SNMP configuration」 (28 ページ ) を参照して ください。

G400 およびおよびおよびおよび G2000 にににに対応しているハードウェ対応しているハードウェ対応しているハードウェ対応しているハードウェアアアア アラートアラートアラートアラート

G400 または G2000 では、 HDD 障害に関する SNMP アラート を送信できません。

ハードウェア アラート を有効にするには、 管理者と してログインし、 [SNMP Configuration] メニューから SNMP を有効にする必要があ り ます。

G400 では、 次のハードウェア アラートに対応しています。

� BIOS ECC エラー

� BIOS Post エラー

� 筐体の開閉

� FRB の障害

� ファンの不具合

� 致命的な NMI

� 電源の障害

� 適応範囲を超える温度

� 適応範囲を超える電圧

� システムの再起動

重要重要重要重要 : これらのハードウェア アラートは、 G2000 には対応していません。

136

アラートの設定アラートの設定アラートの設定アラートの設定

手順手順手順手順 アラート を設定するには、 次の手順に従います。

1. [Local Tuning Parameters] を選択します。

2. [Alerts] タブを選択します。

3. 設定するアラートのタイプ (Sensor Error、 Warning、 Informative) の領域で、 [Enable] チェッ ク ボッ クスをオンにします。

4. [Priority] で、 アラートの優先度 (Low、 Medium、 High) を選択します。

5. [Display on console] チェッ ク ボッ クスをオンにして、 アラートがコンソールに表示されるよ う

にします。

注記注記注記注記 : Proventia Manager では、 アラートは [Alerts] タブに表示されます。 SiteProtector では、 コ

ンソールの [Analysis] タブに表示されます。

6. SNMP ト ラ ップを送信するには、 次の表に示されている とおりに設定、 または設定を変更しま

す。

7. メールによる通知を送信するには、 次の表に示されている とおりに設定、 または設定を変更します。

設定設定設定設定 説明説明説明説明

Send SNMP Trap このオプシ ョ ンを有効にするには、 チェ ック ボックスをオンに

してから次のいずれかを行います。

• 以前に設定した SNMP ト ラ ップを使用するには、 リス トから

選択し、 手順 7 に進みます。

• 新規に SNMP ト ラ ップを設定するには、 [Configure SNMP] をクリ ックします。

Configure SNMP [Add] をクリ ックし、 次の項目を指定します。

• Name - SNMP ト ラ ップまたはレスポンスの名前を入力しま

す。

• Manager - SNMP マネージャが作動している IP アドレスを

入力します。

SNMP ト ラ ップを送信するには、 アプライアンスが SNMP ホストにアクセス可能である必要があります。

• Community - 適切なコ ミ ュニテ ィ名 (public または private) を入力します。

設定設定設定設定 説明説明説明説明

Send Email このオプシ ョ ンを有効にするには、 チェ ック ボックスをオンに

してから次のいずれかを行います。

• 以前に設定したメール通知を使用するには、 リス トから選択し、 手順 8 に進みます。

• 新規にメール通知を設定するには、 [Configure Email] をク

リ ックします。

137Proventia Network IPS G and GX Appliance User Guide

第第第第 11 章章章章 : ローカル調整パラメータの設定ローカル調整パラメータの設定ローカル調整パラメータの設定ローカル調整パラメータの設定

8. 変更内容を保存します。

Configure Email [Add] をクリ ックし、 次の項目を指定します。

• Name - 名前を入力します。

• SMTP Host - メール サーバー (完全修飾ド メイン名または IP アドレスとして ) を入力します。

注記注記注記注記 : メールによる通知を送信するには、 SMTP ホストがア

プライアンスにアクセス可能である必要があります。

• From - 個人またはグループのメール アドレス (1 つまたは複

数 ) を入力します。

コンマでアドレスを区切ります。

• To - 個人の受信者またはメール グループを入力します。

コンマでアドレスを区切ります。

• Subject - 件名を入力するか、 リス トから共通パラメータを選

択します。

共通パラメータを選択した場合、 そのパラメータは対応するイベン ト情報に組み込まれています。

• Body - メ ッセージ本文を入力するか、 リス トから共通パラ

メータを選択します。

共通パラメータを選択した場合、 そのパラメータは対応するイベン ト情報に組み込まれています。

設定設定設定設定 説明説明説明説明

138

ネッ トワークネッ トワークネッ トワークネッ トワーク アダプタアダプタアダプタアダプタ カードの管理カードの管理カードの管理カードの管理

ネッ トワークネッ トワークネッ トワークネッ トワーク アダプタアダプタアダプタアダプタ カードの管理カードの管理カードの管理カードの管理

はじめにはじめにはじめにはじめに アプライアンスのネッ ト ワーク アダプタ カードの設定を、 表示および管理するこ とができます。

重要重要重要重要 : このページで設定を変更する と、 一時的にアプライアンス と リ ンクできなくなる場合があり ます。

ハイハイハイハイ アベイラビリテ ィアベイラビリテ ィアベイラビリテ ィアベイラビリテ ィ モードについてモードについてモードについてモードについて

Proventia Network IPS のハイ アベイラビ リ ティ機能 (HA) によって、 アプライアンスは既存のハイ アベイラビ リ ティ ネッ ト ワーク環境で動作するこ とができます。 両アプライアンスは、 アプライアンス間のすべてのト ラフ ィ ッ クを ミ ラー リ ンク経由で通過させ、 ネッ ト ワーク上のすべてのトラフ ィ ッ クを監視して確実に状態を維持します。 また、 アプライアンスは、 非対称的にルーティングされた ト ラフ ィ ッ クを監視し、ネッ ト ワークを完全に防御するこ と も可能になり ます。 Proventia Network IPS におけるハイ アベイラビ リ ティのサポートは、 連動する 2 台のアプライアンスに限定されています。

どちらのアプライアンスも、 パケッ ト をインラインで処理し、 相互接続 / ミ ラー ポートではなく、インライン監視ポートに到達する ト ラフ ィ ッ クをブロ ッ ク します。 また、 インライン監視ポートで受信したイベン ト をマネージメン ト コンソールへレポート します。

ハイ アベイラビ リ ティの詳細については、 「ネッ ト ワーク可用性の維持」 (35 ページ ) を参照してください。

ネッ トワークネッ トワークネッ トワークネッ トワーク アダプタアダプタアダプタアダプタ カードのプロパティの編カードのプロパティの編カードのプロパティの編カードのプロパティの編集集集集

ネッ ト ワーク アダプタ カードのプロパティを編集するには、 次の手順に従います。

1. [Local Tuning Parameters] を選択します。

2. [Adapter Management] タブを選択します。

3. リ ス ト内のアダプタを選択し、 [Edit] をク リ ッ ク します。

4. ポートに関連付ける名前を [Port] に入力します。

注記注記注記注記 : ポート名は、 アプライアンスの前面にあるラベル (1A、 1B、 2C、 2D、 3E、 3F、 4G、

4H など ) と対応しています。 ポートは、 カード上では次のよ うに、 ポートのペアと して配置

されています。

� 1A と 1B (Card1)

� 2C と 2D (Card2)

� 3E と 3F (Card3)

� 4G と 4H (Card4)

5. [TCP Resets] ド ロ ップダウン メニューで、 Kill をこのポートから送信するか、 外部の Kill ポー

トから送信するかど うかを指定します。

139Proventia Network IPS G and GX Appliance User Guide

第第第第 11 章章章章 : ローカル調整パラメータの設定ローカル調整パラメータの設定ローカル調整パラメータの設定ローカル調整パラメータの設定

6. [Port/Duplex Speed Settings] には、 ネッ ト ワーク アダプタがリ ンク速度とモードを決定するの

に使用する方法を選択します。

7. [Unanalyzed Policy] リ ス トで次のいずれかのオプシ ョ ンを選択し、 ネッ ト ワークが混雑したと

きにエージェン トが ト ラフ ィ ッ クを処理する方法を決定します。

8. リ ンクの一方がダウンした ( ケーブル破損、 ケーブル切断など ) と きに、 対応するインライン ポート上のリ ンク もネッ ト ワーク ド ラ イバによって遮断されてしま う場合、 [Propagate Link] オプシ ョ ンを [True] に設定します。

注記注記注記注記 : [Adapter Mode] が [Inline Protection] または [Inline Simulation] に設定されている場合に、

この設定を選択してください。

9. [Adapter Mode (Non HA)] リ ス トで、 アプライアンスのモードを選択します。

重要重要重要重要 : アプライアンスの監視モードをシ ミ ュレーシ ョ ンからプロテクシ ョ ンに変更する と、次の高度なパラ メータがデフォルトで有効になり ます。

- np.drop.invlid.checksum

- np.drop.invalid.protocol

10. アプライアンスの [Fail Mode] を選択します。

方式方式方式方式 説明説明説明説明

Auto Negotiate リンク上の 2 つのインターフェースが、 ケーブルが接続された瞬間に、

自動的に 善の共通モードを選択できるようにします。

注記注記注記注記 : オートネゴシエーシ ョ ンをサポート しないスイッチまたはその他

ネッ トワーク デバイスの設定を変更する必要がない場合、 またはオー

トネゴシエーシ ョ ンの処理がリンクを確立するのに時間がかかりすぎる場合に、 この設定を使用することをお勧めします。

10 MB Half Duplex デバイスは、 1 秒あたり 10 メガビッ トで情報を送信あるいは受信しま

す ( 同時にではない )。

10 MB Full Duplex デバイスは、 1 秒あたり 10 メガビッ トで情報を両方向へ同時に送信し

ます。

100 MB Half Duplex

デバイスは、 1 秒あたり 100 メガビッ トで情報を送信あるいは受信し

ます ( 両方同時にではない )。

100 MB Full Duplex

デバイスは、 1 秒あたり 100 メガビッ トで情報を両方向へ同時に送信

します。

1000 MB Full Duplex

デバイスは、 1 秒あたり 1000 メガビッ トで情報を両方向へ同時に送信

します。

オプオプオプオプシ ョ ンシ ョ ンシ ョ ンシ ョ ン

説明説明説明説明

Forward ト ラフ ィ ックを処理せずに転送します。 つまり、 異常時にト ラフ ィ ックを通過させます ( フェールオープン )。 ト ラフ ィ ック レベルが通常に戻ると、 エージェン

トは通常動作を再開します。

注記注記注記注記 : アプライアンスがインライン シミ ュレーシ ョ ン モードに設定されている場

合は、 常に [Forward] 設定を使用して く ださい。

Drop ト ラフ ィ ックの一部を処理せずにブロックします。 つまり異常時にト ラフ ィ ックを遮断します ( フェールクローズ )。 ト ラフ ィ ック レベルが通常に戻ると、 エー

ジェン トは通常動作に戻ります。

140

ネッ トワークネッ トワークネッ トワークネッ トワーク アダプタアダプタアダプタアダプタ カードの管理カードの管理カードの管理カードの管理

重要重要重要重要 : GX4000 シ リーズのアプライアンスはデフォルトでフェールオープンします。 GX5000 シ リーズのアプライアンスはデフォルトでフェールクローズします。 これらのモードを変更するこ とはできません。

11. [OK] をク リ ッ ク します。

12. 変更内容を保存します。

HA の有効化の有効化の有効化の有効化 ハイ アベイラビ リ ティを有効にするには、 両方のアプライアンス上で次の作業を行います。

1. [Local Tuning Parameters] を選択します。

2. [Adapter Management] タブを選択します。

[Sensor High Availability Mode] が、 ページの下部に表示されています。

3. 次のいずれかのモードを選択します。

� HA simulation (HA シ ミ ュレーシ ョ ンシ ミ ュレーシ ョ ンシ ミ ュレーシ ョ ンシ ミ ュレーシ ョ ン )

� HA protection (HA プロテクシ ョ ンプロテクシ ョ ンプロテクシ ョ ンプロテクシ ョ ン )

注記注記注記注記 : 両方のアプライアンスで同じモードを選択してください。

4. 変更内容を保存します。

注記注記注記注記 : HA モードが有効な場合、 アダプタ モードは事前設定され、 編集できません。 すべての

監視アダプタは、 HA シ ミ ュレーシ ョ ン モードを選択した場合にはインライン シ ミ ュレー

シ ョ ン モードにな り、 HA プロテクシ ョ ン モードを選択した場合にはインライン プロテク

シ ョ ン モードにな り ます。 アプライアンスは、 HA アダプタ モード以外の設定を保持します

が、 その設定は通常モードに切り替えられるまでは使用されません。

HA の無効化の無効化の無効化の無効化 ハイ アベイラビ リ ティを無効にするには、 次の手順に従います。

1. [Local Tuning Parameters] を選択します。

2. [Adapter Management] タブを選択します。

[Sensor High Availability Mode] が、 ページの下部に表示されています。

3. [Normal] を選択します。

4. 変更内容を保存します。

141Proventia Network IPS G and GX Appliance User Guide

第第第第 11 章章章章 : ローカル調整パラメータの設定ローカル調整パラメータの設定ローカル調整パラメータの設定ローカル調整パラメータの設定

アラートアラートアラートアラート キューの管理キューの管理キューの管理キューの管理

はじめにはじめにはじめにはじめに アプライアンスは、 SensorEventQueue.adf という名前のキュー ファ イルを使用して、 イベン ト アラート を保存します。 [Alert Queue] ページを使用して、 このファ イルがどの程度大き くなる とアラートが消えるのか、 また 大ファイルサイズに達した後にキュー ファ イルがアラート をどのように処理するのかを決定します。

重要重要重要重要 : このページで設定を変更する と、 一時的にアプライアンス と リ ンクできなくなる場合があり ます。

アラートアラートアラートアラート キューとキューとキューとキューと SiteProtector

このページで選択するオプシ ョ ンのみが、 Proventia Manager キュー ファ イルの設定を変更します。SiteProtector によってアプライアンスを管理している場合、 イベン ト データは直接キューから Event Collector を通過して Site Database に流れます。 しかし、 アプライアンス と Event Collector 間、または Event Collector と Site Database 間の通信がダウンする と、 イベン ト データはキュー ファ イルに保存されます。 通常の通信が復旧する と、 Event Collector から Site Database までのキュー データはコ ミ ッ ト されます。

手順手順手順手順 アラート キューのサイズを管理するには、 次の手順に従います。

1. [Local Tuning Parameters] を選択します。

2. [Alert Queue] タブを選択します。

3. 次の表に示されている とおりに設定、 または設定を変更します。

4. 変更内容を保存します。

重要重要重要重要 : このページで変更内容を保存する場合、 エージェン ト を再起動する必要があ り ます。変更によって、 エージェン トが短時間バイパス モードになるため、 一時的にネッ ト ワーク と

セキュ リ ティに影響を与える可能性があ り ます。

設定設定設定設定 説明説明説明説明

Proventia Manager Alert Queue Max Size

アラート キュー ファイルの 大サイズを入力します。

Proventia Manager Alert Queue Full Policy

キューが 大サイズに達したときにアプライアンスが使用する方法を、 次のいずれかから選択します。

• Stop Logging - 大ファイル サイズに達すると、 キュー ファイルはアラートの記録を停止します。

• Wrap Around - 大ファイル サイズに達すると、 キュー ファイルは新規アラート用の容量を確保するために、 も古いアラートを上書きします。

142

高度なパラメータの設定高度なパラメータの設定高度なパラメータの設定高度なパラメータの設定

高度なパラメータの設定高度なパラメータの設定高度なパラメータの設定高度なパラメータの設定

はじめにはじめにはじめにはじめに セキュ リティ ニーズをよ り良く満たすため、 またはハードウェアのパフォーマンスを強化するために、 [Advanced Parameters] タブを使用して、 特定アプライアンスの特定パラ メータを設定 ( または調整 ) するこ とができます。

各アプライアンスの次のコンポーネン ト を調整するこ とができます。

� 不正侵入防御レスポンス

� 不正侵入防御セキュ リティ リ ス ク

� ファ イアウォール

� 自動アップデート

高度なパラメータについ高度なパラメータについ高度なパラメータについ高度なパラメータについてててて

高度なパラ メータは、 名前と値のペアで構成されています。 各ペアには、 デフォルト値が設定されています。 たとえば、 パラ メータ np.firewall.log は、 有効にしたファイアウォール ルールに一致するパケッ トの詳細をログに記録するかど うかを決定するパラ メータです。 このパラ メータのデフォルト値は、 on です。

[Advanced Parameters] タブのリ ス トに表示されているパラ メータの値を編集するこ とができます。リ ス トにパラ メータが表示されていない場合、 そのパラ メータにデフォルト値がないという こ とを意味しています。 その場合、 新しい値でパラ メータを リ ス トに追加すればいいだけです。

ファ イアウォール ロギング パラ メータについては、 「ファ イアウォール ロギングの調整」(133 ページ ) を参照して ください。

共通の高度な調整パラ共通の高度な調整パラ共通の高度な調整パラ共通の高度な調整パラメータメータメータメータ

次の表では、 共通の高度な調整パラ メータについて説明します。

名前名前名前名前 タイプタイプタイプタイプ デフォルト値デフォルト値デフォルト値デフォルト値 説明説明説明説明

crm.history.enabled Boolean (ブール値)

True 管理履歴をログに記録するかどうかを決定します。

crm.history.file String (文字列 )

/var/iss/crmhistory.log

管理履歴ファイルの名前。

crm.policy.numbackups Number (数値 )

4 保存できる旧ポリシー ファイ

ル数。

engine.adapter.high-water.default Number (数値 )

5 各アダプタで流れると予想される、 ト ラフ ィ ッ ク抽出間隔あたりのパケッ ト数。 高水準点は、 ト ラフ ィ ッ クが 低水準点前後である場合に、 ト ラフ ィ ックが低いという複数の警告が出されないようにするために使用されます。

engine.adapter.low-water.default Number (数値 )

1 各アダプタで流れると予想される、 ト ラフ ィ ッ ク抽出間隔あたりの 小パケッ ト数。 低水準点は、 Network_Quiet および Network_Normal 監査イベン ト

を発行するためのしきい値として使用されます。

表表表表 37: 共通の高度な調整パラ メータ

143Proventia Network IPS G and GX Appliance User Guide

第第第第 11 章章章章 : ローカル調整パラメータの設定ローカル調整パラメータの設定ローカル調整パラメータの設定ローカル調整パラメータの設定

engine.droplog.enabled Boolean (ブール値)

False ドロップされたパケッ トのロギングを有効にするかどうかを決定します。

engine.droplog.fileprefix String (文字列 )

/var/iss/drop ドロップ ログ ファイル名のプ

レフ ィ ッ クス。

engine.droplog.filesuffix String (文字列 )

.enc ドロップ ログ ファイル名のサ

フ ィ ッ クス。

engine.droplog.flush Boolean (ブール値)

False ドロップされたパケッ トのバッファ リングを無効にします。 この設定を有効にすると、 パフォーマンスに悪影響が出ます。

engine.droplog.maxfiles Number (数値 )

10 保存できるドロップ ログ ファ

イル数。

engine.droplog.maxkbytes Number (数値 )

10000 (kb) ドロップ ログ ファイルの 大

サイズ。

engine.evidencelog.fileprefix String (文字列 )

/var/iss/evidence

証拠ファイル名のプレフ ィ ッ クス。

engine.evidencelog.filesufffix String (文字列 )

.enc 証拠ファイル名のサフ ィ ッ クス。

engine.evidencelog.maxfiles Number (数値 )

10 保存できる証拠ファイル数。

engine.evidencelog.maxkbytes Number (数値 )

10000 (kb) 証拠ファイルの 大サイズ。

engine.log.file String (文字列 )

/var/iss/engine#.log

エンジン ログ ファイルの名前。

engine.pam.logfile String (文字列 )

/var/iss/pam#.log

PAM ログ ファイルの名前。

engine.statistics.interval Number (数値 )

120 統計値収集の間隔 ( 秒数 )。

np.drop.invalid.checksum String (文字列 )

True インライン プロテクシ ョ ン モードにおいて、チェ ッ クサム エラーのあるパケッ ト をブロックするかどうかを決定します。

np.drop.invalid.protocol String (文字列 )

True インライン プロテクシ ョ ン モードにおいて、 プロ ト コルに違反するパケッ ト をブロックするかどうかを決定します。

np.drop.resource.error String (文字列 )

False インライン プロテクシ ョ ン モードにおいて、 パケッ ト を検査するのに十分なリソースがない場合に、 パケッ ト をブロックするかどうかを決定します。

名前名前名前名前 タイプタイプタイプタイプ デフォルト値デフォルト値デフォルト値デフォルト値 説明説明説明説明

表表表表 37: 共通の高度な調整パラ メータ ( 続き )

144

高度なパラメータの設定高度なパラメータの設定高度なパラメータの設定高度なパラメータの設定

np.drop.rogue.tcp.packets String (文字列 )

False インライン プロテクシ ョ ン モードにおいて、 既知の TCP 接続の一部でないパケッ ト をブロックするかどうかを決定します。

np.firewall.log String (文字列 )

On 有効なファイアウォール ルー

ルと一致するパケッ トの詳細をログに記録するかどうかを決定します

np.log.quarantine.added String (文字列 )

On 検疫テーブルに追加されたルールの詳細をログに記録します。

np.log.quarantine.expired String (文字列 )

On 検疫テーブルで期限切れになったルールの詳細をログに記録します。

np.log.quarantine.removed String (文字列 )

On 期限切れ前に検疫テーブルから削除されたルールの詳細をログに記録します。

np.statistics String (文字列 )

On PAM 統計値のロギングを有効

にするかどうかを決定します。

np.statistics.file String (文字列 )

/var/iss/pamstats.dat

PAM 統計値ファイルの名前。

pam.traffic.sample Boolean (ブール値)

True 異常なレベルのネッ トワーク アクテ ィビテ ィ を検出するために、 ト ラフ ィ ッ クの抽出を有効にします。 このパラメータは、Network_Quiet および Network_Normal 監査イベン ト

に影響を与えます。

pam.traffic.sample.interval Number (数値 )

300 異常なレベルのネッ トワーク アクテ ィビテ ィ を検出するために、 ト ラフ ィ ッ クの流れを抽出する間隔 ( 秒単位 )。 このパラ

メータは、 Network_Quiet およ

び Network_Normal 監査イベン

トに影響を与えます。

sensor.trace.level Number (数値 )

3 Proventia Network IPS のログ レベル。

名前名前名前名前 タイプタイプタイプタイプ デフォルト値デフォルト値デフォルト値デフォルト値 説明説明説明説明

表表表表 37: 共通の高度な調整パラ メータ ( 続き )

145Proventia Network IPS G and GX Appliance User Guide

第第第第 11 章章章章 : ローカル調整パラメータの設定ローカル調整パラメータの設定ローカル調整パラメータの設定ローカル調整パラメータの設定

高度なパラメータの追加高度なパラメータの追加高度なパラメータの追加高度なパラメータの追加 高度なパラ メータを追加するには、 次の手順に従います。

1. [Local Tuning Parameters] を選択します。

2. [Advanced Parameters] タブを選択します。

3. [Add] をク リ ッ ク します。

4. 次の表に示されている とおりに設定します。

5. [OK] をク リ ッ ク します。

6. 変更内容を保存します。

高度なパラメータでの作高度なパラメータでの作高度なパラメータでの作高度なパラメータでの作業業業業

高度なパラ メータを編集、 コピー、 または削除するには、 次の手順に従います。

1. [Local Tuning Parameters] を選択します。

2. [Advanced Parameters] タブを選択し、 次のいずれかの操作を行います。

3. 変更内容を保存します。

設定設定設定設定 説明説明説明説明

Enabled パラ メータを有効にするには、 このチェ ッ ク ボックスをオンにします。

Name パラ メータの名前を入力します。

例例例例 : engine.log.file

Comment パラ メータの固有の説明を入力します。

例例例例 : エンジン ログ ファイル

Value 次のオプシ ョ ンのいずれかを選択します。

• Boolean - 値 True または False を入力します。

• Number - パラメータの適切な数値を入力します。

• String - ログ ファイルの場所などのパラメータの値を入力します。例 : /var/iss/engine#.log

実行内容実行内容実行内容実行内容 手順手順手順手順

編集 ヒン トヒン トヒン トヒン ト : 設定したい項目をダブルクリ ッ クすることで、

[Advanced Parameters] タブの一部のプロパティ を直接編集す

ることができます。

1. パラ メータを選択し、 編集編集編集編集のアイコン ( ) をクリ ッ クし

ます。

2. [Enabled] チェ ック ボックスをオンまたはオフにします。

3. パラ メータを編集し、 [OK] をクリ ックします。

コピー 1. パラ メータを選択し、 コピーコピーコピーコピーのアイコン ( ) をクリ ッ ク

します。

2. 貼り付け貼り付け貼り付け貼り付けのアイコン ( ) をクリ ックします。

3. 必要に応じてパラ メータを編集し、 [OK] をクリ ックしま

す。

削除 1. パラ メータを選択します。

2. 削除削除削除削除のアイコン ( ) をクリ ックします。

146

TCPReset の設定の設定の設定の設定

TCPReset の設定の設定の設定の設定

はじめにはじめにはじめにはじめに アプライアンスを使用して、 ネッ ト ワーク機器上の ( 読み取り専用 ) SPAN ポート を監視するこ とができます。 ( 読み取り専用 ) SPAN ポート を監視するには、 アプライアンスの TCPReset (Kill) ポート を設定する必要があ り ます。 ( 読み取り専用 ) 監視ポート を使用する場合、 アプライアンスは別のインターフェースに Kill を送信する必要があ り ます。

注記注記注記注記 : アプライアンスは、 パッシブ モニタ リ ング モードであっても、 監視ポートから Kill を送信

するよ うにデフォルト設定されています。 たとえば、 ハブから監視をしている場合、 外部の Kill ポート を設定する必要はあ り ません。

手順手順手順手順 TCPReset を設定するには、 次の手順に従います。

1. Kill ポート ( アプライアンス前面の 「2」 という右側の管理ポート ) をネッ ト ワークに接続しま

す。

2. Kill ポート (eth0) のルーターの MAC アドレスを確定するには、 次のいずれかを行います。

� システム管理者に問い合わせ、 ルーターの MAC アドレスを入手します。 MAC アドレスを

入手したら、 手順 4 に進みます。

� アプライアンス上で get-reset-config スク リプ ト を実行し、 MAC アドレスを入手します。 手

順 3 に進みます。

3. アプライアンスに root と してログインし、 get-reset-config を実行します。

次の点に注意してください。

� パラ メータを指定せずにスク リプ ト を実行する と、 使用方法が表示されます。

� 必須パラ メータを指定してスク リプ ト を実行する と、 MAC アドレスが表示されます。

注記注記注記注記 : get-reset-config ユーティ リ ティでは、 ルーターの MAC アドレスを検出するため

に、 ネッ ト ワークに接続するための一時的な IP アドレスが必要とな り ます。 通常動作中、 Kill ポートはステルス モードにあ り、 IP アドレスは必要あ り ません。

4. Proventia Manager で、 [System] [Local Tuning Parameters] の順に選択します。

5. [Advanced Parameters] タブを選択します。

6. ローカル調整パラ メータ np.macaddress.destination を追加して、 ルーターの MAC アドレスを設定します。

np.macaddress.destination = XX:XX:XX:XX:XX:XX注記注記注記注記 : ローカル パラ メータの追加については、 「高度なパラ メータの追加」 (146 ページ ) を参

照してください。

7. [Adapter Management] タブを選択します。

8. 外部 Kill ポート を有効にするアダプタを選択し、 [Edit] をク リ ッ ク します。

9. 外部 Kill ポート を有効にする各ポート上で、 [TCP Resets] を 「This Port」 から 「TCP Reset Port」 に変更し、 [OK] をク リ ッ ク します。

10. 外部 Kill ポート をほかのアダプタ上で有効にするには、 手順 8 ～ 9 を繰り返します。

例例例例 : 外部 Kill ポート を有効にし、 ポート A、 B、 C、 D で受信するイベン トに対して TCP リセッ ト を送信するこ とができますが、 ポート E および F で受信するイベン トに対して TCP リセッ ト をポート E および F から送信するよ うに選択するこ と もできます。

11. [Save Changes] をク リ ッ ク します。

147Proventia Network IPS G and GX Appliance User Guide

第第第第 11 章章章章 : ローカル調整パラメータの設定ローカル調整パラメータの設定ローカル調整パラメータの設定ローカル調整パラメータの設定

大ネッ トワーク大ネッ トワーク大ネッ トワーク大ネッ トワーク フレームフレームフレームフレーム サイズの増加サイズの増加サイズの増加サイズの増加

はじめにはじめにはじめにはじめに Proventia Network IPS GX5000 シ リーズのアプライアンスは、 デフォルトで、 9246 バイ トの 大ネッ ト ワーク フレーム サイズに対応しています (Ethernet FCS [Frame Check Sequence] を含む )。 通常のイーサネッ ト ( 特に IEEE 802.3 標準の ) フレームは、 1518 バイ トに制限されています。

特定タイプのネッ ト ワーク機器は、 「ジャンボ」 フレームに対応しています。 一般的に、 1518 バイト以上のフレームがジャンボ フレームと見なされています。 新のネッ ト ワーク機器、 特にギガビッ ト ケーブル機器は、 現在ジャンボ フレームに対応していますが、 多くの機器タイプではフレーム サイズが約 9000 バイ トに制限されています。 ネッ ト ワークが 9216 バイ ト以上のジャンボ フレームを使用する場合、 高度な調整パラ メータを設定するこ とで、 フレームのバッファ サイズを増加させるこ とができます。

重要重要重要重要 : ネッ ト ワークに絶対必要な場合にのみ、 フレーム サイズを増加させてください。 大フ

レーム サイズを増加させても、 ネッ ト ワーク フレームを保持するのに利用できる メモ リ容量は増

加しません。 そのかわり、 よ り多くのバッファを使用する と、 アプライアンスの保持できるフレームは、 これに相応してよ り少なくなる という こ とになり ます。 結果と して、 分析待ちの受信パケットの 「バッ ク ログ」 が短くなり、 ト ラフ ィ ッ クの多いネッ ト ワークでは、 すぐに分析できないパケッ ト をアプライアンスがド ロ ップする場合があ り ます。

手順手順手順手順 ネッ ト ワーク フレームのサイズを増加させるには、 次の手順に従います。

1. [Local Tuning Parameters] を選択します。

2. [Advanced Parameters] タブを選択します。

3. [Add] をク リ ッ ク します。

4. 次の表に示されている とおりに設定、 または設定を変更します。

5. [OK] をク リ ッ ク します。

6. 変更内容を保存します。

設定設定設定設定 説明説明説明説明

Enabled パラメータを有効にするには、 このチェ ック ボックスをオンに

します。

Name 「adapter.MaxFrameSize」 と入力します。

Comment パラメータの固有の説明を入力します。

例例例例 : フレーム サイズ割当量

Value [Number] を選択し、 フレーム サイズに適切な数値を入力します。

重要重要重要重要 :1536 以上かつ 16384 以下の数値を入力する必要がありま

す。 この数値は、 512 の倍数として ください。 それ以外の場合、

この値は無視されます。

148

第第第第 12 章章章章

システム設定の管理システム設定の管理システム設定の管理システム設定の管理

概要概要概要概要

はじめにはじめにはじめにはじめに この章では、 システム ステータスの表示方法と、 システム設定およびプロパティの変更方法について説明します。 この章の手順では、 Proventia Manager を使用します。 SiteProtector によってアプライアンスを管理している場合でも、 これらのローカル設定を構成するのに Proventia Manager を使用する必要があ り ます。

この章の内容この章の内容この章の内容この章の内容 この章では、 次のト ピッ クについて説明します。

ト ピックト ピックト ピックト ピック ページページページページ

システム ステータスの表示 150

ログ ファイルの管理 151

システム ツールでの作業 152

ユーザー アクセスの設定 153

新ライセンスのインストールと表示 154

149Proventia Network IPS G and GX Appliance User Guide

第第第第 12 章章章章 : システム設定の管理システム設定の管理システム設定の管理システム設定の管理

システムシステムシステムシステム ステータスの表示ステータスの表示ステータスの表示ステータスの表示

はじめにはじめにはじめにはじめに アプライアンスがネッ ト ワーク ト ラフ ィ ッ クに圧倒されていないこ とを確認する時だけ、 システム ステータス情報を表示します。 システム設定は、 メモ リや CPU 使用率の急激な変化を検出するのにも役立ちます。

手順手順手順手順 システム ステータスを表示するには、 次の手順に従います。

1. ナビゲーシ ョ ン ウ ィンド ウ枠で、 [System] を選択します。

次のシステム情報が表示されます。

2. 情報を更新するには、 [Refresh Data] リ ス トから値を選択します。

ヒン トヒン トヒン トヒン ト : ページを手動で更新するには、 [Refresh Now] を選択します。

表表表表 統計値統計値統計値統計値 説明説明説明説明

Memory Usage Total Memory アプライアンスにインス トールされているメモリ容量

Used Memory 動作中のプロセスによって現在使用されているメモリ容量

Free Memory アプライアンス上の未使用メモリ容量

CPU Usage User ユーザーレベルのプロセスによって使用されている CPU リソースの割合

System カーネルによって使用されているシステム リソースの

割合

Idle 現在使用されていない CPU リソースの割合

150

ログログログログ ファイルの管理ファイルの管理ファイルの管理ファイルの管理

ログログログログ ファイルの管理ファイルの管理ファイルの管理ファイルの管理

はじめにはじめにはじめにはじめに Proventia Manager の [Log Files] ページには、 アプライアンスに関連するログ ファ イルがすべて表示されます。 このページを使用して、 システム ログの表示、 ダウンロード、 削除を行います。

ログログログログ ファイルのタイムファイルのタイムファイルのタイムファイルのタイム

スタンプについてスタンプについてスタンプについてスタンプについて

ログ ファ イルのタイムスタンプは、 Unix タイム (UTC 1970 年 1 月 1 日から経過した秒数 ) で保存されます。

logtime とい う ツールを使用して、 これらのタイムスタンプをローカル タイムに変換するこ とができます。

重要重要重要重要 : この操作は、 アプライアンス本体で行う必要があ り ます。

ログログログログ ファイルのダウンファイルのダウンファイルのダウンファイルのダウン

ロードロードロードロード

ログ ファ イルをダウンロードするには、 次の手順に従います。

1. ナビゲーシ ョ ン ウ ィンド ウ枠で、 [System] [Log Files] の順に選択します。

2. ダウンロードするファ イルを選択し、 [Download] をク リ ッ ク します。

3. [Save the file to disk] を選択し、 [OK] をク リ ッ ク します。

4. [File Name] にファイル名を入力し、 [Save] をク リ ッ ク します。

注記注記注記注記 : ダウンロード後も、 保存したログ ファ イルはアプライアンスに存在します。

ログログログログ ファイルのタイムファイルのタイムファイルのタイムファイルのタイム

スタンプの変換スタンプの変換スタンプの変換スタンプの変換

ログ ファ イルのタイムスタンプを変換するには、 次の手順に従います。

1. アプライアンスに root と してログオンします。

2. 必須パラ メータを使って logtime を実行します。 引数を指定せずに logtime を実行する と、 使

用方法が表示されます。

例例例例 : ファ イアウォール ログ ファ イル frw000.log のタイムスタンプを変換するには、 次のコマ

ンドを実行します。

logtime /var/iss/frw000.log /var/iss/newfrw000.logこのコマンドによって、 frw000.log ファ イルをベース と した newfrw000.log とい う新規ファイ

ルが作成され、 この新規ファイルのタイムスタンプは、 ローカル タイムに変換されています。

元のログ ファ イルは変更されません。

新規の変換済みログ ファ イルを /var/iss ディ レク ト リに作成する と、 このファ イルを Proventia Manager からダウンロードできるよ うにな り ます。

151Proventia Network IPS G and GX Appliance User Guide

第第第第 12 章章章章 : システム設定の管理システム設定の管理システム設定の管理システム設定の管理

システムシステムシステムシステム ツールでの作業ツールでの作業ツールでの作業ツールでの作業

はじめにはじめにはじめにはじめに [System Tools] ページを使用して、 次のよ うな基本的なシステム タスクを行います。

� アプライアンスの管理ポートに関する問題の処理

� アプライアンスが SiteProtector と正し く通信しているかど うかのテス ト

� アプライアンスが、 設定済みの SNMP ト ラ ップ レシーバー、 メール サーバー、 または NTP サーバーと通信可能かど うかのテス ト

重要重要重要重要 : これらのタスクは、 Proventia Manager でのみ行う こ とができます。

アプライアンスの再起動アプライアンスの再起動アプライアンスの再起動アプライアンスの再起動 アプライアンスを再起動するには、 次の手順に従います。

1. Proventia Manager で、 [System] [Tools] の順に選択します。

2. [Reboot] をク リ ッ ク します。

3. [OK] をク リ ッ ク して、 アプライアンスを再起動します。

アプライアンスのシャッアプライアンスのシャッアプライアンスのシャッアプライアンスのシャットダウントダウントダウントダウン

アプライアンスをシャ ッ ト ダウンするには、 次の手順に従います。

1. Proventia Manager で、 [System] [Tools] の順に選択します。

2. [Shut Down] をク リ ッ ク します。

3. [OK] をク リ ッ ク して、 アプライアンスをシャ ッ ト ダウンします。

コンピュータへのコンピュータへのコンピュータへのコンピュータへの ping コンピュータに対して ping を打つには、 次の手順に従います。

1. Proventia Manager で、 [System] [Tools] の順に選択します。

2. [Diagnostics] 領域の [Ping] ボッ クスに、 テス ト対象コンピュータの IP アドレスを入力します。

3. [Submit] をク リ ッ ク します。

Traceroute ユーティ リユーテ ィ リユーテ ィ リユーテ ィ リ

テ ィの使用ティの使用ティの使用ティの使用

Traceroute ユーティ リ ティ を使用するには、 次の手順に従います。

1. [System] [Tools] の順に選択します。

2. [Diagnostics] 領域の [Traceroute] ボッ クスに、 追跡対象の IP アドレスを入力します。

3. 次のとおりにプロ ト コルプロ ト コルプロ ト コルプロ ト コルを選択します。

4. [Submit] をク リ ッ ク します。

プロ ト コプロ ト コプロ ト コプロ ト コルルルル

説明説明説明説明

UDP UDP traceroute プロ ト コル (UNIX の 「traceroute」 コマンド ) を選択した場合、

アプライアンスは UDP パケッ ト を対象ホストの任意のポートに送信します。

TTL (Time to Live) フ ィールド と宛先ポート フ ィールドの値は、 「ICMP Port Unreachable」 メ ッセージが返されるごと、 または 30 ホップに達するごとに増

えていきます。

ICMP ICMP traceroute プロ ト コル (Windows の 「tracert」 コマンド ) を選択した場

合、 TTL (Time to Live) フ ィールド と宛先ポート フ ィールドの値は、 「ICMP Echo Request」 メ ッセージが返されるごと、 または 30 ホップに達するごとに

増えていきます。

152

ユーザーユーザーユーザーユーザー アクセスの設定アクセスの設定アクセスの設定アクセスの設定

ユーザーユーザーユーザーユーザー アクセスの設定アクセスの設定アクセスの設定アクセスの設定

はじめにはじめにはじめにはじめに Proventia Manager インターフェースで、 次のパスワードを変更するこ とができます。

� コマンド ラ インの root パスワード

� Proventia アプライアンスの管理用パスワード

� Proventia Manager の Web 管理用パスワード

重要重要重要重要 : パスワードを記録し、 保護してください。 パスワードがわからなくなった場合は、 アプライアンスを再インス トールし、 ネッ ト ワーク設定を構成しなおす必要があ り ます。

ブート ローダ (root) パスワードを有効または無効にするこ と もできます。 ブート ローダ パスワードは、 起動処理中に不正ユーザーからアプライアンスを保護します。 ブート ローダ パスワードを有効にする場合、 デフォルト以外の起動オプシ ョ ンを使用するのに root パスワードを入力する必要があ り ます。

パスワードの変更パスワードの変更パスワードの変更パスワードの変更 パスワードを変更するには、 次の手順に従います。

1. Proventia Manager で、 [System] → [Access] の順に選択します。

2. 変更するパスワードの領域で、 [Current Password] に現在のパスワードを入力します。

3. [Set Password] をク リ ッ ク します。

4. 新しいパスワードを確認のため 2 回入力し、 [OK] をク リ ッ ク します。

5. [Save Changes] をク リ ッ ク します。

ブートローダブートローダブートローダブートローダ パスワーパスワーパスワーパスワー

ドの有効化または無効化ドの有効化または無効化ドの有効化または無効化ドの有効化または無効化

ブート ローダ パスワードを有効にするには、 次の手順に従います。

1. ナビゲーシ ョ ン ウ ィンド ウ枠で、 [System] → [Access] の順に選択します。

2. パスワードを有効にするか無効にするかによって、 [Enable bootloader password] チェッ ク ボッ クスをオンまたはオフにします。

3. [Save Changes] をク リ ッ ク します。

153Proventia Network IPS G and GX Appliance User Guide

第第第第 12 章章章章 : システム設定の管理システム設定の管理システム設定の管理システム設定の管理

新ライセンスのインストールと表示新ライセンスのインストールと表示新ライセンスのインストールと表示新ライセンスのインストールと表示

はじめにはじめにはじめにはじめに [Licensing] ページを使用して、 ライセンス ファ イルの現在のステータスに関する重要な情報 ( 有効期限を含む ) の表示や、 Proventia Manager を有効化するための新規ライセンス キー ファ イルの入力を行います。 インス トールする各ライセンス キー ファ イルは、 製品ライセンスに固有のもので、ネッ ト ワークに特有の IP アドレス範囲情報が必要である場合があ り ます。 また、 新ライセンスの入手方法が記載されている [License Information] ページにアクセスするこ と もできます。

重要重要重要重要 : ISS は、 法令等に基づく場合を除き、 ネッ ト ワーク情報を他の機関と共有しないという同社

の機密性ポ リシーによる制約を受けています。

ライセンスライセンスライセンスライセンス キーキーキーキー ファイファイファイファイ

ルのインス トールルのインストールルのインストールルのインストール

ライセンス キー ファ イルをインス トールするには、 次の手順に従います。

1. Proventia Manager で、 [System] [Licensing] の順に選択します。

2. [Upload a new License Key] ボッ クス横の [Browse] をク リ ッ ク します。

3. ダウンロード したライセンス キー ファ イルの場所を特定します。

4. [OK] をク リ ッ ク します。

5. [Upload] をク リ ッ ク します。

現在のライセンス設定の現在のライセンス設定の現在のライセンス設定の現在のライセンス設定の表示表示表示表示

現在のライセンス設定を表示するには、 次の手順に従います。

1. Proventia Manager で、 [System] [Licensing] の順に選択します。

2. [Status] 領域で、 次のステータス情報を確認します。

3. ライセンスの入手または継続に関する情報を入手するには、 [License Renewal Information] をク リ ッ ク します。

[License Information] ページが表示されます。

ステータスステータスステータスステータス 説明説明説明説明

Serial Number ライセンス キーのシリアル番号

注記注記注記注記 : 各ライセンス キーには、 ID および OCN に特有のシリアル

番号が独自に割り振られています。

OCN 注文確認番号 (Order Confirmation Number: OCN)、 または ISS における顧客番号

Expiration ライセンスの期限が切れる日時 (yyyy-mm-dd 形式 )

Maintenance Expiration 保守契約の期限が切れる日時 (yyyy-mm-dd 形式 )

154

第第第第 13 章章章章

アラート とシステム情報の表示アラート とシステム情報の表示アラート とシステム情報の表示アラート とシステム情報の表示

はじめにはじめにはじめにはじめに この章では、 Proventia Manager でのシステム アラート、 イベン ト ログ、 統計値の表示方法について説明します。

この章では、 次のト ピッ クについて説明します。

ト ピックト ピックト ピックト ピック ページページページページ

アラートの表示 156

保存されたアラート ファイルの管理 159

通知ステータスの表示 160

統計値の表示 161

155Proventia Network IPS G and GX Appliance User Guide

第第第第 13 章章章章 : アラート とシステム情報の表示アラート とシステム情報の表示アラート とシステム情報の表示アラート とシステム情報の表示

アラートの表示アラートの表示アラートの表示アラートの表示

はじめにはじめにはじめにはじめに Proventia Manager の [Alerts] ページを使用して、 システムおよびセキュ リティ関連のアラート を表示および管理します。 アラート リ ス トには、 次のタイプのアラートが含まれています。

� ネッ ト ワークで発生する攻撃の試みに関連する、 不正侵入防御アラート

� アプライアンス とその操作に関連する、 システム アラート

参照参照参照参照 : マネージメン ト コンソールに表示するアラートの作成については、 「アラートの設定」(136 ページ ) を参照して ください。

アプライアンスのアラーアプライアンスのアラーアプライアンスのアラーアプライアンスのアラートトトト リス ト保存方法リス ト保存方法リス ト保存方法リス ト保存方法

現在のリ ス トは、 3 つのコンマ区切り値ファイル (.csv ファ イル ) と して保存されます。 この 3 つのファイルは、 [Alerts] ページに表示されるデータを相互参照するために使用されます。 ファ イルは次のとおりです。

アラート情報の表示アラート情報の表示アラート情報の表示アラート情報の表示 アラート情報を表示するには、 次の手順に従います。

1. 次のいずれかを行います。

� [Alerts] ボタンをク リ ッ ク します。

� 次のいずれかを選択します。

[Notifications] [Alerts]

[Intrusion Prevention] [Alerts]

[System] [Alerts]

[Alerts] タブには、 各アラートに関する次の情報が表示されます。

ファイルファイルファイルファイル 内容内容内容内容

filename_eventdata.csv アラート レコード番号と一致する個別レコード。 このファイル

には、 アラート名と危険度もリストアップされます。

filename_eventinfo.csv アラートのアラート固有情報セクシ ョ ンに挙げられたデータ。

filename_eventresp.csv アラートのレスポンス実行済みセクシ ョ ンからのデータ。

表表表表 38: アラート リスト ファイル

列列列列 説明説明説明説明

Rec.# アラートのレコード番号

Risk Level アラートの危険度アイコン

Alert Name アラート名

Source IP アラートの発信元 IP アドレス

Source Port アラートの発信元ポート とポート名

Destination IP アラートの宛先 ( または対象 ) IP アドレス

Destination Port アラートの宛先 ( または対象 ) ポート とポート名

Protocol アラートのプロ ト コルとプロ ト コル番号

Vuln Status 脆弱性の状況

Alert Date & Time アラートの発生日時

156

アラートの表示アラートの表示アラートの表示アラートの表示

2. アラートの詳細を表示するには、 アラート名アラート名アラート名アラート名をク リ ッ ク します。

ヒン トヒン トヒン トヒン ト : 前後のアラートの詳細を表示するには、 上矢印または下矢印をク リ ッ ク します。

3. ビューを更新するには、 [Refresh Data] リ ス トから次のいずれかを選択します。

� リ ス ト を直ちに更新するには、 [Refresh Now] を選択します。

� リ ス ト を自動的に更新するには、 更新間隔を選択します。

ヒン トヒン トヒン トヒン ト : 自動更新を無効にするには、 [Auto Off] を選択します。 このオプシ ョ ンを選択した場

合、 手動でページを更新して 新アラート を表示する必要があ り ます。

アラートのフ ィルタリンアラートのフ ィルタリンアラートのフ ィルタリンアラートのフ ィルタリンググググ

アラート をフ ィルタ リ ングするには、 次の手順に従います。

1. 次のいずれかを行います。

� [Alerts] ボタンをク リ ッ ク します。

� 次のいずれかを選択します。

[Notifications] [Alerts]

[Intrusion Prevention] [Alerts]

[System] [Alerts]

2. [Alerts] タブで、 次の表を参照して [Filter Options] からフ ィルタ オプシ ョ ンを 1 つ選択しま

す。

オプシ ョ ンオプシ ョ ンオプシ ョ ンオプシ ョ ン 説明説明説明説明

Risk Level [Risk Level] リス トから選択したレベルのアラートが表示されま

す。

Alert Name 検索するアラートの名前を [Alert Name] に入力します。

アラート名の検索には、 ワイルドカード文字を使用できます。

Alert Type アラートアラートアラートアラート タイプタイプタイプタイプ (Intrusion Prevention または System) を選択しま

す。

Date and Time アラート を検索する特定の開始日時を [Start Date and Time]、 ま

たは終了日時を [End Date and Time] に入力します。

Source IP 指定した発信元発信元発信元発信元 IP アドレスアドレスアドレスアドレスに対して、 アラート を検索します。

Target IP 指定した対象対象対象対象 IP アドレスアドレスアドレスアドレスに対して、 アラート を検索します。

Source and Target IP 指定した発信元および対象発信元および対象発信元および対象発信元および対象 IP アドレスアドレスアドレスアドレスに対して、 アラート を検

索します。

Source Port Number 指定した発信元ポート番号発信元ポート番号発信元ポート番号発信元ポート番号に対して、 アラート を検索します。

Target Port Number 指定した対象ポート番号対象ポート番号対象ポート番号対象ポート番号に対して、 アラート を検索します。

Protocol Number 指定したプロ ト コル番号プロ ト コル番号プロ ト コル番号プロ ト コル番号によって、 アラート を検索します。

Multiple Values アラート を検索するためのフ ィルタの組み合わせを入力します。

たとえば、 日時、 発信元 IP、 プロ ト コル タイプの値を入力し、

検索を絞り込むことができます。

157Proventia Network IPS G and GX Appliance User Guide

第第第第 13 章章章章 : アラート とシステム情報の表示アラート とシステム情報の表示アラート とシステム情報の表示アラート とシステム情報の表示

アラートアラートアラートアラート リス トの保存リス トの保存リス トの保存リス トの保存 アラート リ ス ト を保存するには、 次の手順に従います。

1. 次のいずれかを行います。

� [Alerts] ボタンをク リ ッ ク します。

� 次のいずれかを選択します。

[Notifications] [Alerts]

[Intrusion Prevention] [Alerts]

[System] [Alerts]

2. [Alerts] タブで、 [Save alerts list to file] をク リ ッ ク します。

3. 情報を保存するログを選択し、 [Download] をク リ ッ ク します。

4. [File Download] ダイアログ ボッ クスで、 [Save] をク リ ッ ク します。

5. 次のいずれかを行います。

� この情報を新規ファイルに保存するには、 新規ファイル名を入力し、 [Save] をク リ ッ ク し

ます。

� この情報を既存ファイルに保存するには、 [Save] をク リ ッ ク します。

リス トからのアラートのリス トからのアラートのリス トからのアラートのリス トからのアラートの消去消去消去消去

アラート を リ ス トから消去するには、 次の手順に従います。

1. 次のいずれかを行います。

� [Alerts] ボタンをク リ ッ ク します。

� 次のいずれかを選択します。

[Notifications] [Alerts]

[Intrusion Prevention] [Alerts]

[System] [Alerts]

2. [Alerts] タブで、 [Clear alerts list] をク リ ッ ク します。

3. [OK] をク リ ッ ク します。

158

保存されたアラート保存されたアラート保存されたアラート保存されたアラート ファイルの管理ファイルの管理ファイルの管理ファイルの管理

保存されたアラート保存されたアラート保存されたアラート保存されたアラート ファイルの管理ファイルの管理ファイルの管理ファイルの管理

はじめにはじめにはじめにはじめに Proventia Manager の [Log File Management] ページを使用して、 別のシステムへのファイルのダウンロード、 ファ イルの削除、 またはその両方を行う こ とによって、 保存されたアラート ファ イルを表示および管理するこ とができます。 別のシステムへファイルをダウンロード した後も、 保存ファイルはアプライアンス上に存在します。

アラートアラートアラートアラート ファイルのダファイルのダファイルのダファイルのダ

ウンロードウンロードウンロードウンロード

アラート ファ イルをダウンロードするには、 次の手順に従います。

1. 次のいずれかを行います。

� [Alerts] ボタンをク リ ッ ク します。

� 次のいずれかを選択します。

[Notifications] [Alerts]

[Intrusion Prevention] [Alerts]

[System] [Alerts]

2. [Alerts] ページで、 [View/manage alerts files] をク リ ッ ク します。

3. ダウンロードするファ イルを選択し、 [Download] をク リ ッ ク します。

4. [Save the file to disk] を選択し、 [OK] をク リ ッ ク します。

5. [File Name] にファイル名を入力し、 [Save] をク リ ッ ク します。

アラートアラートアラートアラート ファイルの削ファイルの削ファイルの削ファイルの削

除除除除

アラート ファ イルを削除するには、 次の手順に従います。

1. 次のいずれかを行います。

� [Alerts] ボタンをク リ ッ ク します。

� 次のいずれかを選択します。

[Notifications] [Alerts]

[Intrusion Prevention] [Alerts]

[System] [Alerts]

2. [Alerts] ページで、 [View/manage alerts files] をク リ ッ ク します。

3. 次のいずれかを行います。

� 削除するファイルを選択し、 [Delete] をク リ ッ ク します。

� [Delete All] をク リ ッ ク します。

4. [OK] をク リ ッ ク します。

159Proventia Network IPS G and GX Appliance User Guide

第第第第 13 章章章章 : アラート とシステム情報の表示アラート とシステム情報の表示アラート とシステム情報の表示アラート とシステム情報の表示

通知ステータスの表示通知ステータスの表示通知ステータスの表示通知ステータスの表示

はじめにはじめにはじめにはじめに [Notifications Status] 領域には、 アプライアンス上で行われるアクシ ョ ンに関する有益な情報が表示されます。

次の情報を参照または変更するこ とができます。

� アラート イベン ト ログ データ

� システム ログ

アラートアラートアラートアラート イベン トイベン トイベン トイベン ト ログログログログ データの表示データの表示データの表示データの表示

[Notifications Status] ページのアラート イベン ト ログ情報を使用して、 イベン ト ログのサイズと数を監視します。 情報を監視するこ とによ り、 システムおよびイベン ト データを効率的に管理するこ とができます。 深刻なイベン トが発生した場合、 情報を探し出し、 その問題を迅速に解決することができます。

[Alert Event Log] 表には、 次の情報が表示されます。

システムシステムシステムシステム ログの表示ログの表示ログの表示ログの表示 [System Logs] ページを使用して、 システム ログを表示します。 システム ログには、 ユーザーがアクシ ョ ン ( システムの再起動、 手動による機能設定 ) を実行したため、 またはアプライアンス本体がアクシ ョ ン ( 自動アップデート など ) を行ったために、 アプリ ケーシ ョ ンが取ったアクシ ョ ンに関する重要な情報が含まれています。

通知ステータス通知ステータス通知ステータス通知ステータス データデータデータデータ

の更新の更新の更新の更新

このページを、 特定の間隔で手動更新または自動更新するこ とができます。

データを更新するには、 次の手順に従います。

� [Refresh Data] リ ス トからオプシ ョ ンを選択します。

� Refresh Now ( このオプシ ョ ンは、 手動でページを更新する場合に使用します )

� every 10 seconds (10 秒ごと )

� every 20 seconds (20 秒ごと )

� every 30 seconds (30 秒ごと )

� every 1 minute (1 分ごと )

� every 2 minute (2 分ごと )

� Auto Off ( このオプシ ョ ンは、 自動更新を無効にする場合に使用します )

ページが更新され、 新のイベン トが表示されます。

項目項目項目項目 説明説明説明説明

Number of Logged Alerts ログ ファイルに書き込まれたアラート数

Percentage Full アラート ログ項目を含む割り当て済み容量のパーセンテージ

Time of Last Alert ログ ファイルにアラートが 後に書き込まれた日時

表表表表 39: アラート イベン ト ログ データ

160

統計値の表示統計値の表示統計値の表示統計値の表示

統計値の表示統計値の表示統計値の表示統計値の表示

はじめにはじめにはじめにはじめに [Statistics] ページを使用して、 アプライアンスによって処理されるネッ ト ワーク ト ラフ ィ ッ クの統計値を表示します。 テス ト目的、 ト ラブルシューティング、 ある種の監査にこれらの統計値を使用し、 ネッ ト ワーク データや攻撃傾向を発見するこ とができます。

統計値の表示統計値の表示統計値の表示統計値の表示 統計値を表示するには、 次の手順に従います。

1. Proventia Manager のナビゲーシ ョ ン ウ ィンド ウで、 [Statistics] を選択します。

2. 表示する統計値ページを次のうちから 1 つ選択します。

ド ライバドライバドライバドライバ パケッ トの種パケッ トの種パケッ トの種パケッ トの種

類類類類

次の表では、 ド ライバ パケッ トについて説明します。

統計値統計値統計値統計値 説明説明説明説明

Protection Statistics [Protection Statistics] ページを使用して、 現在のアプライアンス

設定と、 設定の結果として生じた動作に関する情報を表示します。 この情報には、 使用可能なイベン ト チェ ッ クに関する統計

値のほか、 アプライアンスが取った攻撃やブロック アクシ ョ ン

に関する詳細も含まれています。

Packet Analysis Statistics

[Packet Analysis Statistics] ページを使用して、 PAM (Protocol Analysis Module) によって出力される統計値すべてを表示しま

す。 この情報を使用して、 プロ ト コル数やプロ ト コルの処理を追跡することができます。

Driver Statistics [Driver Statistics] ページを使用して、 アプライアンス上で使用さ

れる各アダプタでのネッ トワーク アクティ ビティのほか、 パ

ケッ ト数 ( 挿入、 拒否、 またはドロップされたパケッ トなど ) や、 ネッ トワークを通過した分析されていないパケッ トに関する情報を表示します。 分析されていないパケッ トは、 アプライアンスがオーバーロード している場合、 またはグループ経由のポリシーの 「プッシュ」 配信のようなルーチン イベン トのために、

通過可能となります。

パケッ トパケッ トパケッ トパケッ ト 説明説明説明説明

Received Packets アダプタ インスタンスの作成以降に受信されたパケッ トの数。

Transmitted Packets アダプタ インスタンスの作成以降に送信されたパケッ トの数。

この数には、 転送、 挿入、 未分析のパケッ トが含まれます。

Forwarded Packets アダプタ インスタンスの作成以降に、 二重インターフェースま

たはミ ラー インターフェースに転送されたパケッ トの数。 この

数には、 挿入パケッ トは含まれませんが、 分析されずに転送されたパケッ トは含まれます。

Dropped Packets アダプタ インスタンスの作成以降に転送されなかった ( ドロップ

された ) パケッ トの数。 分析されずにドロップされたパケッ ト も

含まれます。

Injected Packets アダプタ インスタンスの作成以降に挿入されたパケッ ト ( つま

り、 アプリケーシ ョ ンによって構成された送信パケッ ト ) の数。

表表表表 40: ド ライバ パケッ ト

161Proventia Network IPS G and GX Appliance User Guide

第第第第 13 章章章章 : アラート とシステム情報の表示アラート とシステム情報の表示アラート とシステム情報の表示アラート とシステム情報の表示

Unanalyzed Packets アダプタ インスタンスの作成以降に、 分析されずに転送または

ドロップされたパケッ トの数。 アプリケーシ ョ ンが受信後すぐに未分析パケッ ト を処理できない場合、 このパケッ トはド ライバによって処理されます。 未分析パケッ ト を転送またはドロップするかどうかや、 アプリケーシ ョ ンが動作を継続していないと ド ライバが判断するしきい値は、 設定パラ メータによって決定されます。

パケッ トパケッ トパケッ トパケッ ト 説明説明説明説明

表表表表 40: ド ライバ パケッ ト

162

索引索引索引索引

aAdapter 節 130Agent Manager 66, 69

bBlock レスポンス 76

cCPU 使用率 150

dDNS

セカンダ リ 25プライマ リ 25

DNS_Query コンテキスト 112Driver statistics 161Dropped Packets 161Duplex Speed Settings 140

eEmail_Receiver コンテキスト 112Email_Sender コンテキスト 112Email_Subject コンテキスト 113Email レスポンス 77Ethernet 節 130

fFail Mode 140File_Name コンテキスト 113Forwarded Packets 161

hHome ページ 50Host Configuration 22

Proventia Network IPS G and GX Appliance User Guide

iICMP traceroute プロ ト コル 152ICMP の条件 131Ignore レスポンス 76Injected Packets 161Internet Security Systems

Web サイ ト xiiテクニカル サポート xii

IP Datagram 節 130IP アドレス 25IP 設定 26ISS MIB ファイル 82

lLog Evidence レスポンス 79

nNetwork Time Protocol (NTP) 27News_Group コンテキスト 113

oOpenSignature 120構文 120パーサー 121リ スク 120

pPacket analysis statistics 161Password コンテキスト 114ping 152Port Speed Settings 140Protection statistics 161Proventia Manager 44, 50

Home ページ 50アイコン 47システム ステータス 50システム メ ッセージ 51

163

索引索引索引索引

ナビゲーシ ョ ン ウ ィンド ウ 46ナビゲーシ ョ ン ボタン 46パスワード 28防御ステータス 50

Proventia Setup 21SNMP 構成 28アプライアンス管理 25アプライアンス情報 24エージェン ト管理 26時刻設定 27設定のチェッ ク リ ス ト 20ネッ ト ワーク構成 26パスワード管理 28

PXE ブート

サポート対象のネッ ト ワーク カード 30PXE ブート サーバー 31

qquarantine rules 104Quarantine レスポンス 80

Quarantine Intruder 80Quarantine Trojan 80Quarantine Worm 80

rReceived Packets 161root アクセス 25root パスワード 28RS Kill 147

ポート リ ンクの設定 26

sSiteProtector

サポート対象バージ ョ ン viiiAgent Manager 66, 69アイコン 71アップデート 67アプライアンス イベン ト 67アプライアンス管理 66管理オプシ ョ ン 67登録 68ナビゲーシ ョ ン 71ハイ アベイラビ リ ティ (HA) サポート 36ポリシーと設定 71レスポンス オブジェク ト 76

SNMP

164

ISS MIB ファ イル 82アラート 136レスポンス 82

SNMP_Community コンテキスト 115SNMP 管理

ト ラ ップ レシーバー 28SNMP 構成 28

SNMP デーモン 28SNMP レスポンス 82

tTCP Resets 139TCPReset 147

ポート リ ンクの設定 26TCP および UDP の条件 131Traceroute プロ ト コル

ICMP 152UDP 152

Traceroute ユーティ リテ ィ 152Transmitted Packets 161

uUDP traceroute プロ ト コル 152Unanalyzed Packets 162URL_Data コンテキスト 115User_Login_Name コンテキスト 116User_Probe_Name コンテキスト 116

vVirtual Patch 55

wWeb サイ ト、 Internet Security Systems xii

xX-Force デフォルト ブロッキング 124X-Press Update Server 54XPU バージ ョ ン 24

ああああアダプタ モード

インライン シ ミ ュレーシ ョ ン 17

索引索引索引索引

インライン プロテクシ ョ ン 17設定 23ネッ ト ワーク アダプタ カード 140パッシブ モニタ リ ング 17

アップデート 54SiteProtector 67Virtual Patch 55X-Press Update Server 54高度なパラ メータ 61自動 56手動 59設定 57ファームウェア 54不正侵入防御 54利用可能なダウンロード 59累積 60ロールバッ ク 54, 60

アップデート設定 57アップデート ツール 60アプライアンス

ping 152SiteProtector 66Traceroute ユーティ リ ティ 152アダプタ モード 17アップデート 54アラート 156管理 25管理機能 15再起動 152システム ログ 160シャ ッ ト ダウン 152情報 24設定のチェッ ク リ ス ト 20通知 160統計値 161ド ライバ パケッ ト 161パスワード 22ファームウェアの再インス トール 30防御機能 14マニュアル ixモデル viiiユーザー アクセス 153リモート接続 21

アプライアンス管理 25root アクセス 25再起動 25シャ ッ ト ダウン 25バッ クアップ 25

Proventia Network IPS G and GX Appliance User Guide

復元 25アプライアンス情報

IP アドレス 25XPU バージ ョ ン 24エージェン ト名 24基本バージ ョ ン 24ゲート ウェイ 25シ リアル番号 24セカンダ リ DNS 25ネッ ト マスク 25ファームウェア バージ ョ ン 24プライマ リ DNS 25ホス ト名 25

アラート 136, 156SNMP 136アラート キュー 142アラート リ ス ト 156イベン ト ログ データ 160エラー 136警告 136通知 136ハードウェア 136フ ィルタ 157保存ファイル 159

アラート キュー 142

いいいいイベント

SiteProtector 67接続 105ユーザー定義 109

印刷上の表記規則 xインライン シミ ュレーシ ョ ン 17ハイ アベイラビ リ ティ (HA) 18

インライン プロテクシ ョ ン 17ハイ アベイラビ リ ティ (HA) 18

ええええエージェン ト

ステータス 26名前 26

エージェン ト管理 26エージェン ト ステータス 26エージェン ト名 26

エージェン ト名 22, 24

165

索引索引索引索引

かかかか管理パスワード 28管理ポート リンク 26

きききき基本バージョ ン 24

くくくくグローバル調整パラメータ 122グローバル プロテクシ ョ ン ド メイン 90, 109

けけけけゲートウェイ 25検疫済み不正侵入 104

ここここ高度なパラメータ

アップデート 61コンテキスト

DNS_Query 112

ささささ再インストール 30

サポート対象のネッ ト ワーク カード 30要件 31リ カバリ CD 30

再起動 25, 152大ネッ トワーク フレーム サイズ 148

しししし時刻設定 27

Network Time Protocol (NTP) 27タイム ゾーン 27日時 27

システム ステータス 50, 150CPU 使用率 150メモ リ使用率 150

システム ツール 152ping 152Traceroute ユーティ リ ティ 152再起動 152

166

シャ ッ ト ダウン 152システム メ ッセージ 51システム ログ 160自動アップデート 56シャッ トダウン 25, 152出荷時のデフォルト設定 25手動アップデート 59シリアル番号 24

すすすすステータス

システム 150通知 160

せせせせ正規表現 117構文 117優先順位 117ライブラ リ 117

セカンダリ DNS 25セキュリテ ィ イベン ト 87, 90

Group By 95イベン ト値 96フ ィルタ 95プロテクシ ョ ン ド メ イン 94列 95

接続イベン ト 105設定

Host Configuration 22アダプタ モード 23アプライアンス情報 24エージェン ト名 22タイム ゾーン 22ネッ ト ワーク構成 22日付 / 時刻 22ポート リ ンク速度 23

設定のチェ ックリスト 20

たたたたタイム ゾーン 22, 27

ちちちち調整パラメータ

グローバル 122

索引索引索引索引

つつつつ通知 160

ててててテクニカル サポート、 Internet Security Systems xii

とととと統計値 161

Driver 161Packet analysis 161Protection 161

ド ライバ パケッ ト 161Dropped 161Forwarded Packets 161Injected 161Received Packets 161Transmitted Packets 161Unanalyzed 162

ト ラ ップ レシーバー 28ト ラフ ィ ック処理

Drop 140Forward 140

ねねねねネッ トマスク 25ネッ トワーク アダプタ カード 139

Adapter Mode (Non-HA) 140Duplex Speed Settings 140Fail Mode 140Propagate Link 140TCP Resets 139ト ラフ ィ ッ ク処理 140ハイ アベイラビ リ ティ (HA) モード 141ポート速度設定 140

ネッ トワーク カード

PXE ブート 30ネッ トワーク構成 22, 26

IP 設定 26RS Kill ポート リ ンク 26TCPReset ポート リ ンク 26管理ポート リ ンク 26ホス ト名 26

Proventia Network IPS G and GX Appliance User Guide

ははははハイ アベイラビリテ ィ (HA)

SiteProtector 管理 36概要 38ク ラスタ リ ング 36サポート 36実装 39制約事項 38ネッ ト ワーク アダプタ カード 139, 141プライマ リ / セカンダ リ構成 36モード 18ライセンス 38

ハイパーターミナル 21パスワード 22, 153

Proventia Manager 28root 28管理 28ブート ローダ 28, 153

パスワード管理 28Proventia Manager 28root パスワード 28管理パスワード 28ブート ローダ パスワード 28

バックアップ 25パッシブ モニタ リング 17パラメータ

共通の調整 143グローバル調整 122ファ イアウォール ロギング 133ローカル調整 143

ひひひひ日付 / 時刻 22表記規則、 印刷上

コマンド x手順 x本書 x

ふふふふファームウェア

再インス トール 30ファームウェア アップデート 54ファームウェア バージョ ン 24ファイアウォール式 131ファイアウォール節 130

Adapter 節 130

167

索引索引索引索引

Ethernet 節 130IP Datagram 節 130

ファイアウォールの条件 131ICMP の条件 131TCP および UDP の条件 131

ファイアウォール ルール 126アクシ ョ ン 127基準 126言語 130式 131ファ イアウォール節 130ファ イアウォールの条件 131ルールの順序 126, 128例 132

ファイアウォール ロギング パラメータ 133フ ィルタ

アラート 157セキュ リティ イベン ト 95接続イベン ト 107ユーザー定義イベン ト 119レスポンス 97

ブートローダ パスワード 28, 153復元 25不正侵入防御

OpenSignature 120X-Force デフォルト ブロ ッキング 124アップデート 54グローバル調整パラ メータ 122検疫済み不正侵入 104セキュ リティ イベン ト 87, 90接続イベン ト 105プロテクシ ョ ン ド メ イン 88ユーザー定義イベン ト 109レスポンス 76

プライマリ DNS 25プロテクシ ョ ン ド メイン 88

グローバル 90セキュ リティ イベン ト 94ユーザー定義イベン ト 109

ほほほほ防御ステータス 50ポート リンク速度 23ホスト名 25, 26ポリシー

セキュ リティ 87

168

ままままマニュアル ix

めめめめメモリ使用率 150

ももももモード

インライン シ ミ ュレーシ ョ ン 17インライン プロテクシ ョ ン 17ハイ アベイラビ リ ティ (HA) 18パッシブ モニタ リ ング 17

ゆゆゆゆユーザー アクセス 153ユーザー指定レスポンス 84

シェル スク リプ ト 84実行ファイル 84

ユーザー定義イベン ト 109Group By 119イベン ト コンテキス ト 112グローバル プロテクシ ョ ン ド メ イン 109正規表現 117フ ィルタ 119プロテクシ ョ ン ド メ イン 109列 119

ユーザー定義イベン ト コンテキスト 112DNS_Query 112Email_Receiver コンテキス ト 112Email_Sender コンテキス ト 112Email_Subject コンテキス ト 113File_Name コンテキス ト 113News_Group コンテキス ト 113Password コンテキス ト 114SNMP_Community コンテキス ト 115URL_Data コンテキス ト 115User_Login_Name コンテキス ト 116User_Probe_Name コンテキス ト 116

ららららライセンス 49

新 154ハイ アベイラビ リ ティ (HA) 38

索引索引索引索引

りりりりリカバリ CD 30リモート接続 21

れれれれレスポンス 76

Block 76Ignore 76Log Evidence 79Quarantine 80SNMP 82SNMP ISS MIB ファ イル 82メール 77ユーザー指定 84レスポンス オブジェク ト 76

レスポンス フ ィルタ 97Group By 102イベン ト属性 97順序 97フ ィルタ 102列 102

ろろろろローカル調整パラメータ 135アラート 136アラート キュー 142共通 143高度なパラ メータ 143ネッ ト ワーク アダプタ カード 139ファ イアウォール ロギング 133

ロールバック 54ログ

アラート イベン ト データ 160システム 160

ログ ファイル 151タイムスタンプ 151

Proventia Network IPS G and GX Appliance User Guide

169

索引索引索引索引

170

IBM Internet Security Systems, Inc. Software License Agreement THIS SOFTWARE PRODUCT IS PROVIDED IN OBJECT CODE AND IS LICENSED, NOT SOLD. BY INSTALLING, ACTIVATING, COPYING OR OTHERWISE USING THIS SOFTWARE PRODUCT, YOU AGREE TO ALL OF THE PROVISIONS OF THIS SOFTWARE LICENSE AGREEMENT (“LICENSE”). EXCEPT AS MAY BE MODIFIED BY AN APPLICABLE ISS LICENSE NOTIFICATION THAT ACCOMPANIES, PRECEDES, OR FOLLOWS THIS LICENSE, AND AS MAY FURTHER BE DEFINED IN THE USER DOCUMENTATION ACCOMPANYING THE SOFTWARE PRODUCT, YOUR RIGHTS AND OBLIGATIONS WITH RESPECT TO THE USE OF THIS SOFTWARE PRODUCT ARE AS SET FORTH BELOW. IF YOU ARE NOT WILLING TO BE BOUND BY THIS LICENSE, RETURN ALL COPIES OF THE SOFTWARE PRODUCT, INCLUDING ANY LICENSE KEYS, TO ISS WITHIN FIFTEEN (15) DAYS OF RECEIPT FOR A FULL REFUND OF ANY PAID LICENSE FEE. IF THE SOFTWARE PRODUCT WAS OBTAINED BY DOWNLOAD, YOU MAY CERTIFY DESTRUCTION OF ALL COPIES AND ANY LICENSE KEYS IN LIEU OF RETURN. 1. License - Upon your payment of the applicable fees and ISS delivery to you of the applicable license notification, Internet Security Systems, Inc. (“ISS”) grants to

you as the only end user (“Licensee”) a nonexclusive and nontransferable, limited license for the accompanying ISS software product, the related documentation, and any associated license key(s) (Software), for use only on the specific network configuration, for the number and type of devices, and for the time period (“Term”) that are specified in ISS quotation and Licensees purchase order, as accepted by ISS. ISS limits use of Software based upon the number of nodes, users and/or the number and type of devices upon which it may be installed, used, gather data from, or report on, depending upon the specific Software licensed. A device includes any network addressable device connected to Licensees network, including remotely, including but not limited to personal computers, workstations, servers, routers, hubs and printers. A device may also include ISS hardware (each an Appliance) delivered with pre-installed Software and the license associated with such shall be a non-exclusive, nontransferable, limited license to use such pre-installed Software only in conjunction with the ISS hardware with which it is originally supplied and only during the usable life of such hardware. Except as provided in the immediately preceding sentence, Licensee may reproduce, install and use the Software on multiple devices, provided that the total number and type are authorized by ISS. Licensee may make a reasonable number of backup copies of the Software solely for archival and disaster recovery purposes. In connection with certain Software products, ISS licenses security content on a subscription basis for a Term. Content subscriptions are licensed pursuant to this License based upon the number of protected nodes or number of users. Security content is regularly updated and includes, but is not limited to, Internet content (URLs) and spam signatures that ISS classifies, security algorithms, checks, decodes, and ISS related analysis of such information, all of which ISS regards as its confidential information and intellectual property. Security content may only be used in conjunction with the applicable Software in accordance with this License. The use or re-use of such content for commercial purposes is prohibited. Licensees access to the security content is through an Internet update using the Software. In addition, unknown URLs may be automatically forwarded to ISS through the Software, analyzed, classified, entered into ISS URL database and provided to Licensee as security content updates at regular intervals. ISS URL database is located at an ISS facility or as a mirrored version on Licensees premises. Any access by Licensee to the URL database that is not in conformance with this License is prohibited. Upon expiration of the security content subscription Term, unless Licensee renews such content subscription, Licensee shall implement appropriate system configuration modifications to terminate its use of the content subscription. Upon expiration of the license Term, Licensee shall cease using the Software and certify return or destruction of it upon request.

2. Migration Utilities - For Software ISS markets or sells as a Migration Utility, the following shall apply. Provided Licensee holds a valid license to the ISS Software to which the Migration Utility relates (the Original Software), ISS grants to Licensee as the only end user a nonexclusive and nontransferable, limited license to the Migration Utility and the related documentation (“Migration Utility”) for use only in connection with Licensees migration of the Original Software to the replacement software, as recommended by ISS in the related documentation. The Term of this License is for as long as Licensee holds a valid license to the applicable Original Software. Licensee may reproduce, install and use the Migration Utility on multiple devices in connection with its migration from the Original Software to the replacement software. Licensee shall implement appropriate safeguards and controls to prevent unlicensed use of the Migration Utility. Licensee may make a reasonable number of backup copies of the Migration Utility solely for archival and disaster recovery purposes.

3. Third-party Products - Use of third party product(s) supplied hereunder, if any, will be subject solely to the manufacturers terms and conditions that will be provided to Licensee upon delivery. ISS will pass any third party product warranties through to Licensee to the extent authorized. If ISS supplies Licensee with Crystal Decisions Runtime Software, then the following additional terms apply: Licensee agrees not to alter, disassemble, decompile, translate, adapt or reverse-engineer the Runtime Software or the report file (.RPT) format, or to use, distribute or integrate the Runtime Software with any general-purpose report writing, data analysis or report delivery product or any other product that performs the same or similar functions as Crystal Decisions product offerings; Licensee agrees not to use the Software to create for distribution a product that converts the report file (.RPT) format to an alternative report file format used by any general-purpose report writing, data analysis or report delivery product that is not the property of Crystal Decisions; Licensee agrees not to use the Runtime Software on a rental or timesharing basis or to operate a service bureau facility for the benefit of third parties unless Licensee first acquires an Application Service Provider License from Crystal Decisions; CRYSTAL DECISIONS AND ITS SUPPLIERS DISCLAIM ALL WARRANTIES, EXPRESS, OR IMPLIED, INCLUDING WITHOUT LIMITATION THE WARRANTIES OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE, AND NONINFRINGEMENT OF THIRD PARTY RIGHTS. CRYSTAL DECISIONS AND ITS SUPPLIERS SHALL HAVE NO LIABILITY WHATSOEVER UNDER THIS AGREEMENT OR IN CONNECTION WITH THE SOFTWARE. In this section 3 Software means the Crystal Reports software and associated documentation supplied by ISS and any updates, additional modules, or additional software provided by Crystal Decisions in connection therewith; it includes Crystal Decisions Design Tools, Report Application Server and Runtime Software, but does not include any promotional software or other software products provided in the same package, which shall be governed by the online software license agreements included with such promotional software or software product.

4. Beta License - If ISS is providing Licensee with the Software, security content and related documentation, and/or an Appliance as a part of an alpha or beta test, the following terms of this Section 4 additionally apply and supersede any conflicting provisions herein or any other license agreement accompanying, contained or embedded in the subject prototype product or any associated documentation. ISS grants to Licensee a nonexclusive, nontransferable, limited license to use the ISS alpha/beta software program, security content, if any, Appliance and any related documentation furnished by ISS (Beta Products) for Licensees evaluation and comment (the “Beta License”) during the Test Period. ISS standard test cycle, which may be extended at ISS discretion, extends for sixty (60) days, commencing on the date of delivery of the Beta Products (the “Test Period”). Upon expiration of the Test Period or termination of the Beta License, Licensee shall, within thirty (30) days, return to ISS or destroy all copies of the beta Software, and shall furnish ISS written confirmation of such return or destruction upon request. If ISS provides Licensee a beta Appliance, Licensee agrees to discontinue use of and return such Appliance to ISS upon ISS request and direction. If Licensee does not promptly comply with this request, ISS may, in its sole discretion, invoice Licensee in accordance with ISS current policies. Licensee will provide ISS information reasonably requested by ISS regarding Licensee’s experiences with the installation and operation of the Beta Products. Licensee agrees that ISS shall have the right to use, in any manner and for any purpose, any information gained as a result of Licensees use and evaluation of the Beta Products. Such information shall include but not be limited to changes, modifications and corrections to the Beta Products. Licensee grants to ISS a perpetual, royalty-free, non-exclusive, transferable, sublicensable right and license to use, copy, make derivative works of and distribute any report, test result, suggestion or other item resulting from Licensee’s evaluation of its installation and operation of the Beta Products. LICENSEE AGREES NOT TO EXPORT BETA PRODUCTS DESIGNATED BY ISS IN ITS BETA PRODUCT DOCUMENTATION AS NOT YET CLASSIFIED FOR EXPORT TO ANY DESTINATION OTHER THAN THE U.S. AND THOSE COUNTRIES ELIGIBLE FOR EXPORT UNDER THE PROVISIONS OF 15 CFR 740.17(A) (SUPPLEMENT 3), CURRENTLY CANADA, THE EUROPEAN UNION, AUSTRALIA, JAPAN, NEW ZEALAND, NORWAY, AND SWITZERLAND. If Licensee is ever held or deemed to be the owner of any copyright rights in the Beta Products or any changes, modifications or corrections to the Beta Products, then Licensee hereby irrevocably assigns to ISS all such rights, title and interest and agrees to execute all documents necessary to implement and confirm the letter and intent of this Section. Licensee acknowledges and agrees that the Beta Products (including its existence, nature and specific features) constitute Confidential Information as defined in Section 18. Licensee further agrees to treat as Confidential Information all feedback, reports, test results, suggestions, and other items resulting from Licensee’s evaluation and testing of the Beta Products as contemplated in this Agreement. With regard to the Beta Products, ISS has no obligation to provide support, maintenance, upgrades, modifications, or new releases. However, ISS agrees to use its reasonable efforts to correct errors in the Beta Products and related documentation within a reasonable time, and will provide Licensee with any corrections it makes available to other evaluation participants. The documentation relating to the Beta Products may be in draft form and will, in many cases, be incomplete. Owing to the experimental nature of the Beta Products, Licensee is advised not to rely exclusively on the Beta Products for any reason. LICENSEE AGREES THAT THE BETA PRODUCTS AND RELATED DOCUMENTATION ARE BEING DELIVERED “AS IS” FOR TEST AND EVALUATION PURPOSES ONLY WITHOUT WARRANTIES OF ANY KIND, INCLUDING WITHOUT LIMITATION ANY IMPLIED WARRANTY OF NONINFRINGEMENT, MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE. LICENSEE ACKNOWLEDGES AND AGREES THAT THE BETA PRODUCT MAY CONTAIN DEFECTS, PRODUCE ERRONEOUS AND UNINTENDED RESULTS AND MAY AFFECT DATA NETWORK SERVICES AND OTHER MATERIALS OF LICENSEE. LICENSEES USE OF THE BETA PRODUCT IS AT THE SOLE RISK OF LICENSEE. IN NO EVENT WILL ISS BE LIABLE TO LICENSEE OR ANY OTHER PERSON FOR DAMAGES, DIRECT OR INDIRECT, OF ANY NATURE, OR EXPENSES INCURRED BY LICENSEE. LICENSEE’S SOLE AND EXCLUSIVE REMEDY SHALL BE TO TERMINATE THE BETA PRODUCT LICENSE BY WRITTEN NOTICE TO ISS.

5. Evaluation License - If ISS is providing Licensee with the Software, security content and related documentation on an evaluation trial basis at no cost, such license Term is 30 days from installation, unless a longer period is agreed to in writing by ISS. ISS recommends using Software and security content for evaluation in a non-production, test environment. The following terms of this Section 5 additionally apply and supercede any conflicting provisions herein. Licensee agrees to remove or disable the Software and security content from the authorized platform and return the Software, security content and documentation to ISS upon expiration of the evaluation Term unless otherwise agreed by the parties in writing. ISS has no obligation to provide support, maintenance, upgrades, modifications, or new releases to the Software or security content under evaluation. LICENSEE AGREES THAT THE EVALUATION SOFTWARE, SECURITY CONTENT AND RELATED DOCUMENTATION ARE BEING DELIVERED AS IS FOR TEST AND EVALUATION PURPOSES ONLY WITHOUT WARRANTIES OF ANY KIND, INCLUDING WITHOUT LIMITATION ANY IMPLIED WARRANTY OF NONINFRINGEMENT, MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE. IN NO EVENT WILL ISS BE LIABLE TO LICENSEE OR ANY OTHER PERSON FOR

DAMAGES, DIRECT OR INDIRECT, OF ANY NATURE, OR EXPENSES INCURRED BY LICENSEE. LICENSEES SOLE AND EXCLUSIVE REMEDY SHALL BE TO TERMINATE THE EVALUATION LICENSE BY WRITTEN NOTICE TO ISS.

6. Covenants - ISS reserves all intellectual property rights in the Software, security content and Beta Products. Licensee agrees: (i) the Software, security content or Beta Products is owned by ISS and/or its licensors, is a valuable trade secret of ISS, and is protected by copyright laws and international treaty provisions; (ii) to take all reasonable precautions to protect the Software, security content or Beta Product from unauthorized access, disclosure, copying or use; (iii) not to modify, adapt, translate, reverse engineer, decompile, disassemble, or otherwise attempt to discover the source code of the Software, security content or Beta Product; (iv) not to use ISS trademarks; (v) to reproduce all of ISS and its licensors copyright notices on any copies of the Software, security content or Beta Product; and (vi) not to transfer, lease, assign, sublicense, or distribute the Software, security content or Beta Product or make it available for time-sharing, service bureau, managed services offering, or on-line use.

7. Support and Maintenance - Depending upon what maintenance programs Licensee has purchased, ISS will provide maintenance, during the period for which Licensee has paid the applicable maintenance fees, in accordance with its prevailing Maintenance and Support Policy that is available at http://documents.iss.net/maintenance_policy.pdf. Any supplemental Software code or related materials that ISS provides to Licensee as part of any support and maintenance service are to be considered part of the Software and are subject to the terms and conditions of this License, unless otherwise specified.

8. Limited Warranty - The commencement date of this limited warranty is the date on which ISS provides Licensee with access to the Software. For a period of ninety (90) days after the commencement date or for the Term (whichever is less), ISS warrants that the Software or security content will conform to material operational specifications described in its then current documentation. However, this limited warranty shall not apply unless (i) the Software or security content is installed, implemented, and operated in accordance with all written instructions and documentation supplied by ISS, (ii) Licensee notifies ISS in writing of any nonconformity within the warranty period, and (iii) Licensee has promptly and properly installed all corrections, new versions, and updates made available by ISS to Licensee. Furthermore, this limited warranty shall not apply to nonconformities arising from any of the following: (i) misuse of the Software or security content, (ii) modification of the Software or security content, (iii) failure by Licensee to utilize compatible computer and networking hardware and software, or (iv) interaction with software or firmware not provided by ISS. If Licensee timely notifies ISS in writing of any such nonconformity, then ISS shall repair or replace the Software or security content or, if ISS determines that repair or replacement is impractical, ISS may terminate the applicable licenses and refund the applicable license fees, as the sole and exclusive remedies of Licensee for such nonconformity. THIS WARRANTY GIVES LICENSEE SPECIFIC LEGAL RIGHTS, AND LICENSEE MAY ALSO HAVE OTHER RIGHTS THAT VARY FROM JURISDICTION TO JURISDICTION. ISS DOES NOT WARRANT THAT THE SOFTWARE OR THE SECURITY CONTENT WILL MEET LICENSEE’S REQUIREMENTS, THAT THE OPERATION OF THE SOFTWARE OR SECURITY CONTENT WILL BE UNINTERRUPTED OR ERROR-FREE, OR THAT ALL SOFTWARE OR SECURITY CONTENT ERRORS WILL BE CORRECTED. LICENSEE UNDERSTANDS AND AGREES THAT THE SOFTWARE AND THE SECURITY CONTENT ARE NO GUARANTEE AGAINST UNSOLICITED E-MAILS, UNDESIRABLE INTERNET CONTENT, INTRUSIONS, VIRUSES, TROJAN HORSES, WORMS, TIME BOMBS, CANCELBOTS OR OTHER SIMILAR HARMFUL OR DELETERIOUS PROGRAMMING ROUTINES AFFECTING LICENSEE’S NETWORK, OR THAT ALL SECURITY THREATS AND VULNERABILITIES, UNSOLICITED E-MAILS OR UNDESIRABLE INTERNET CONTENT WILL BE DETECTED OR THAT THE PERFORMANCE OF THE SOFTWARE AND SECURITY CONTENT WILL RENDER LICENSEES SYSTEMS INVULNERABLE TO SECURITY BREACHES. THE REMEDIES SET OUT IN THIS SECTION 8 ARE THE SOLE AND EXCLUSIVE REMEDIES FOR BREACH OF THIS LIMITED WARRANTY.

9. Warranty Disclaimer - EXCEPT FOR THE LIMITED WARRANTY PROVIDED ABOVE, THE SOFTWARE AND SECURITY CONTENT ARE EACH PROVIDED AS IS AND ISS HEREBY DISCLAIMS ALL WARRANTIES, BOTH EXPRESS AND IMPLIED, INCLUDING IMPLIED WARRANTIES RESPECTING MERCHANTABILITY, TITLE, NONINFRINGEMENT, AND FITNESS FOR A PARTICULAR PURPOSE. LICENSEE EXPRESSLY ACKNOWLEDGES THAT NO REPRESENTATIONS OTHER THAN THOSE CONTAINED IN THIS LICENSE HAVE BEEN MADE REGARDING THE GOODS OR SERVICES TO BE PROVIDED HEREUNDER, AND THAT LICENSEE HAS NOT RELIED ON ANY REPRESENTATION NOT EXPRESSLY SET OUT IN THIS LICENSE.

10. Proprietary Rights - ISS represents and warrants that ISS has the authority to license the rights to the Software and security content that are granted herein. ISS shall defend and indemnify Licensee from any final award of costs and damages against Licensee for any actions based on infringement of any U.S. copyright, trade secret, or patent as a result of the use or distribution of a current, unmodified version of the Software and security content, but only if ISS is promptly notified in writing of any such suit or claim, and only if Licensee permits ISS to defend, compromise, or settle same, and only if Licensee provides all available information and reasonable assistance. In any such suit, if the use of the alleged infringing intellectual property is held to constitute an infringement and is enjoined, or if in light of any claim, ISS deems it reasonably advisable to do so, ISS may at ISS sole option: (i) procure the right to continue the use of such Software and security content for Licensee; (ii) replace or modify such Software and security content in a manner such that such Software and security content are free of the infringement claim; or (iii) require Licensee to return the same to ISS and ISS shall refund the fees paid for the affected Software, security content or portion thereof, less amortization for use (A) on a straight line basis over a period of three (3) years from the effective date of the applicable order for a perpetual license, or (B) on a straight line basis over the subscription term for a term license. The foregoing is the exclusive remedy of Licensee and states the entire liability of ISS with respect to claims of infringement or misappropriation relating to the Software and security content.

11. Limitation of Liability - ISS’ ENTIRE LIABILITY FOR MONETARY DAMAGES ARISING OUT OF THIS LICENSE SHALL BE LIMITED TO THE AMOUNT OF THE LICENSE FEES ACTUALLY PAID BY LICENSEE UNDER THIS LICENSE, PRORATED OVER A THREE-YEAR TERM FROM THE DATE LICENSEE RECEIVED THE SOFTWARE. OR SECURITY CONTENT, AS APPLICABLE, IN NO EVENT SHALL ISS BE LIABLE TO LICENSEE UNDER ANY THEORY INCLUDING CONTRACT AND TORT (INCLUDING NEGLIGENCE AND STRICT PRODUCTS LIABILITY) FOR ANY SPECIAL, PUNITIVE, INDIRECT, INCIDENTAL OR CONSEQUENTIAL DAMAGES, INCLUDING, BUT NOT LIMITED TO, COSTS OF PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES, DAMAGES FOR LOST PROFITS, LOSS OF DATA, LOSS OF USE, OR COMPUTER HARDWARE MALFUNCTION, EVEN IF ISS HAS BEEN ADVISED OF THE POSSIBILITY OF SUCH DAMAGES.

12. Termination - Licensee may terminate this License at any time by notifying ISS in writing. All rights granted under this License will terminate immediately, without prior written notice from ISS, at the end of the term of the License, if not perpetual. If Licensee fails to comply with any provisions of this License, ISS may immediately terminate this License if such default has not been cured within ten (10) days following written notice of default to Licensee. Upon termination or expiration of a license for Software, Licensee shall cease all use of such Software, including Software pre-installed on ISS hardware, and destroy all copies of the Software and associated documentation. Termination of this License shall not relieve Licensee of its obligation to pay all fees incurred prior to such termination and shall not limit either party from pursuing any other remedies available to it.

13. General Provisions - This License, together with the identification of the Software and/or security content, pricing and payment terms stated in the applicable ISS quotation and Licensee purchase order (if applicable) as accepted by ISS, constitute the entire agreement between the parties respecting its subject matter. Standard and other additional terms or conditions contained in any purchase order or similar document are hereby expressly rejected and shall have no force or effect. If Licensee has not already downloaded the Software, security content and documentation, then it is available for download at http://www.iss.net/download/. All ISS hardware with pre-installed Software and any other products not delivered by download are delivered f.o.b. origin. This License will be governed by the substantive laws of the State of Georgia, USA, excluding the application of its conflicts of law rules. This License will not be governed by the United Nations Convention on Contracts for the International Sale of Goods, the application of which is expressly excluded. If any part of this License is found void or unenforceable, it will not affect the validity of the balance of the License, which shall remain valid and enforceable according to its terms. This License may only be modified in writing signed by an authorized officer of ISS.

14. Notice to United States Government End Users - Licensee acknowledges that any Software and security content furnished under this License is commercial computer software and any documentation is commercial technical data developed at private expense and is provided with RESTRICTED RIGHTS. Any use, modification, reproduction, display, release, duplication or disclosure of this commercial computer software by the United States Government or its agencies is subject to the terms, conditions and restrictions of this License in accordance with the United States Federal Acquisition Regulations at 48 C.F.R. Section 12.212 and DFAR Subsection 227.7202-3 and Clause 252.227-7015 or applicable subsequent regulations. Contractor/manufacturer is Internet Security Systems, Inc., 6303 Barfield Road, Atlanta, GA 30328, USA.

15. Export and Import Controls; Use Restrictions - Licensee will not transfer, export, or reexport the Software, security content, Beta Products, any related technology, or any direct product of either except in full compliance with the export controls administered by the United States and other countries and any applicable import and use restrictions. Licensee agrees that it will not export or reexport such items to anyone on the U.S. Treasury Department’s list of Specially Designated Nationals or the U.S. Commerce Department’s Denied Persons List or Entity List or such additional lists as may be issued by the U.S. Government from time to time, or to any country to which the United States has embargoed the export of goods or for use with chemical or biological weapons, sensitive nuclear end-uses, or missiles. Licensee represents and warrants that it is not located in, under control of, or a national or resident of any such country or on any such list. Many ISS software products include encryption and export outside of the United States or Canada is strictly controlled by U.S. laws and regulations. ISS makes its current export classification information available at http://www.iss.net/export. Please contact ISS’ Sourcing and Fulfillment for export questions relating to the Software or security content (fulfillment@iss.net). Licensee understands that the foregoing obligations are U.S. legal requirements and agrees that they shall survive any term or termination of this License.

16. Authority - Because the Software is designed to test or monitor the security of computer network systems and may disclose or create problems in the operation of the systems tested, Licensee and the persons acting for Licensee represent and warrant that: (a) they are fully authorized by the Licensee and the owners of the computer network for which the Software is licensed to enter into this License and to obtain and operate the Software in order to test and monitor that computer network; (b) the Licensee and the owners of that computer network understand and accept the risks involved; and (c) the Licensee shall procure and use the Software in accordance with all applicable laws, regulations and rules.

17. Disclaimers - Licensee acknowledges that some of the Software and security content is designed to test the security of computer networks and may disclose or create problems in the operation of the systems tested. Licensee further acknowledges that neither the Software nor security content is fault tolerant or designed or intended for use in hazardous environments requiring fail-safe operation, including, but not limited to, aircraft navigation, air traffic control systems, weapon systems, life-support systems, nuclear facilities, or any other applications in which the failure of the Software and security content could lead to death or personal injury, or severe physical or property damage. ISS disclaims any implied warranty of fitness for High Risk Use. Licensee accepts the risk associated with the foregoing disclaimers and hereby waives all rights, remedies, and causes of action against ISS and releases ISS from all liabilities arising therefrom.

18. Confidentiality - “Confidential Information” means all information proprietary to a party or its suppliers that is marked as confidential. Each party acknowledges that during the term of this Agreement, it will be exposed to Confidential Information of the other party. The obligations of the party (“Receiving Party”) which receives Confidential Information of the other party (“Disclosing Party”) with respect to any particular portion of the Disclosing Party’s Confidential Information shall not attach or shall terminate when any of the following occurs: (i) it was in the public domain or generally available to the public at the time of disclosure to the Receiving Party, (ii) it entered the public domain or became generally available to the public through no fault of the Receiving Party subsequent to the time of disclosure to the Receiving Party, (iii) it was or is furnished to the Receiving Party by a third parting having the right to furnish it with no obligation of confidentiality to the Disclosing Party, or (iv) it was independently developed by the Receiving Party by individuals not having access to the Confidential Information of the Disclosing Party. Each party acknowledges that the use or disclosure of Confidential Information of the Disclosing Party in violation of this License could severely and irreparably damage the economic interests of the Disclosing Party. The Receiving Party agrees not to disclose or use any Confidential Information of the Disclosing Party in violation of this License and to use Confidential Information of the Disclosing Party solely for the purposes of this License. Upon demand by the Disclosing Party and, in any event, upon expiration or termination of this License, the Receiving Party shall return to the Disclosing Party all copies of the Disclosing Party’s Confidential Information in the Receiving Party’s possession or control and destroy all derivatives and other vestiges of the Disclosing Party’s Confidential Information obtained or created by the Disclosing Party. All Confidential Information of the Disclosing Party shall remain the exclusive property of the Disclosing Party.

19. Compliance - From time to time, ISS may request Licensee to provide a certification that the Software and security content is being used in accordance with the terms of this License. If so requested, Licensee shall verify its compliance and deliver its certification within forty-five (45) days of the request. The certification shall state Licensees compliance or non-compliance, including the extent of any non-compliance. ISS may also, at any time, upon thirty (30) days prior written notice, at its own expense appoint a nationally recognized software use auditor, to whom Licensee has no reasonable objection, to audit and examine use and records at Licensee offices during normal business hours, solely for the purpose of confirming that Licensees use of the Software and security content is in compliance with the terms of this License. ISS will use commercially reasonable efforts to have such audit conducted in a manner such that it will not unreasonably interfere with the normal business operations of Licensee. If such audit should reveal that use of the Software or security content has been expanded beyond the scope of use and/or the number of authorized devices or Licensee certifies such non-compliance, ISS shall have the right to charge Licensee the applicable current list prices required to bring Licensee in compliance with its obligations hereunder with respect to its current use of the Software and security content. In addition to the foregoing, ISS may pursue any other rights and remedies it may have at law, in equity or under this License.

20. Data Protection - The data needed to process this transaction will be stored by ISS and may be forwarded to companies affiliated with ISS and possibly to Licensees vendor within the framework of processing Licensees order. All personal data will be treated confidentially.

2005 年 10 月 7 日改訂