1

©2013 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties

IPS 簡易利用ガイド

チェック・ポイント・ソフトウェア・テクノロジーズ(株)

2 ©2013 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties |

アジェンダ

IPS Software Blade の概要

IPS の有効化

プロファイルの活用

シグネチャ・アップデート

個々の防御機能の管理

例外の管理

Follow Up の活用

モデル運用例

2

©2013 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties

IPS Software Blade の概要

4 ©2013 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties |

Firewall + IPS は 以下を提供:

Firewall は 以下を提供:

IPS によるセキュリティの拡張

脆弱性を突く攻撃

マルウェア/ワームへの感染

バッファ・オーバフロー攻撃

スニファー

ゼロ・デイ攻撃など …

きめ細やかなアクセス制御

ステートフル・インスペクション

ユーザ認証

ネットワーク・アドレス変換

+

きめ細やかなアクセス制御

ステートフル・インスペクション

ユーザ認証

ネットワーク・アドレス変換

統合化された、広範囲の防御を提供!

ゲートウェイ上の

セキュリティを強化!

3

5 ©2013 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties |

IPS の防御手法

標準に適合しているかの妥当性検査

プロトコルの利用方法が適切かを検査

悪意のあるデータを

ブロック

危険なアプリケーション操作を制御

通信が適切な標準仕様に添って行われているか? 例: HTTP ヘッダにバイナリ・データは無効

プロトコルが期待通りまたは“典型的な”手順で利用されているか? 例: 異常な HTTP ヘッダの長さやディレクトリ操作

アプリケーションが危険なデータまたはコマンドを挿入していないか? 例: クロス・サイト・スクリプティングやアタック・シグネチャの検出

アプリケーションが権限外の操作を行っていないか? 例: FTP コマンド

実行可能なコードの検査

有害な実行コードが含まれていないか? 例: バッファ・オーバーフロー

6 ©2013 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties |

プロトコルを幅広く理解

通信に対しパケットのすべての情報に基づくステートフルな検査

アプリケーションの各プロトコルの奥深く幅広い理解、脆弱性の根本的理解

パケットの再構成、データ・ストーリムとして、ステートフルなプロトコルの正常性検査、データの検査

新しいプロトコル、新しい脆弱性に対する判断知識、防御知識情報の拡張が容易

• ネットワーク・レイヤのファイアウォール、IDS/IPS では、パケット単位で検査・防御を実施するため、部分的な防御のみが可能

• Check Point の IPS ではパケットの再構成を行い、アプリケーション レベルの詳細な検査が可能

4

7 ©2013 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties |

HTTPS通信の防御も可能！

ゲートウェイが通信を仲介し、HTTPS通信を

複合化して検査します。

8 ©2013 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties |

高負荷時に IPS をバイパス処理し、

ファイアウォールの動作を保障!

安定性をさらに確実に実現するため、

「Bypass Under Load」機能を利用して

万一高い負荷が掛かった場合 IPS を自動的に

無効にする

CPU またはメモリ使用率が High で指定された

閾値を越えた場合、Low で指定された閾値内

に低下するまで IPS インスペクション機能は

無効になる

フェイル・セーフなメカニズム

5

9 ©2013 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties |

日本語による脆弱性情報

10 ©2013 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties |

86.6% デフォルト設定

97.3% 最適化

NSS Labs による評価(2011)

6

11 ©2013 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties |

98.9% 98.3% 96.6% 96.0% 95.0% 94.8% 92.5% 90.9% 88.8%

77.5%

0.0%

20.0%

40.0%

60.0%

80.0%

100.0%

120.0%

VendorA

CheckPoint

VendorB

VendorC

VendorD

VendorE

VendorF

VendorG

VendorH

VendorI

Overall Achievable Block Rate (Tuned*)

*NSS Labs tested only tuned configurations in 2012

NSS Labs による評価(2012)

©2012 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties ©2013 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties

IPS の有効化

7

13 ©2013 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties |

ネットワーク構成概要

インターネット

ファイアウォール＋ＩＰＳ

SmartConsole

(GUI) クライアントPC (内部ユーザ)

192.168.88.x

192.168.1.x

192.168.1.10

192.168.88.10

192.168.88.2

14 ©2013 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties |

IPS ブレード有効化

ゲートウェイ・オブジェクトのプロパティで、

IPS ブレードを有効化します。

8

15 ©2013 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties |

トポロジーの確認

インタフェースのトポロジーが正しく設定されていることを確認します。

デフォルトでは、内部(DMZを含む)のサーバおよびクライアントが保護されます。

16 ©2013 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties |

利用プロファイルの指定

IPSプロファイルを指定します。プロファイルによりどの防御機能が有効化されるかが決まります。

Default：必要最低限の防御機能がオン

Recommended: 最大限の防御機能がオン

カスタマイズされた独自のプロファイルを利用することもできます。

9

17 ©2013 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties |

FireWall ポリシー (参考)

IPS防御機能は、ファイアウォールを通過した通信に対して実行されます。ファイアウォールでブロックされた通信は検査することができません。

18 ©2013 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties |

ポリシーのインストール

IPS関連の設定変更を行った場合、変更を有効化させるにはポリシーのインストールを行う必要があります。ポリシーのインストール完了後、IPS 機能が有効になります。

10

19 ©2013 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties |

IPS Overview ページ

プロファイル適用状況 アクション・アイテム

・コントラクト

・シグネチャ更新など・・・

インシデント発生状況 最新アドバイザリ

©2012 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties ©2013 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties

プロファイルの活用

11

21 ©2013 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties |

プロファイルとは

プロファイルとは各種防御機能を制御するグループです。

プロファイルごとに異なるセキュリティ設定を行うことができます。

ゲートウェイごとに異なるプロファイルを割り当てることができます。

–複数のゲートウェイを管理する場合に、ゲートウェイごとに異なるポリシーでIPSを運用することができます。

22 ©2013 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties |

プロファイル管理画面

プロファイルの一覧が表示されます。

デフォルトで、

Default：必要最低限の防御機能がオン

Recommended: 最大限の防御機能がオン

のプロファイルが用意されています。

12

23 ©2013 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties |

Recommended のクローンを作成

プロファイルは全く新しく作ることもできますが、既存のプロファイルのクローンを作成することもできます。ここでは、既存の「Recommended_Protection」のクローンを作成します。 「Recommended_Protection」を選択し、[New]-[Clone selected profile] を選択します。

24 ©2013 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties |

プロファイルの編集

クローンで作成したプロファイルは「Copy_of_xxx」の名前で作成されます。新しく作成されたプロファイルを選択し、[Edit] をクリックします。

13

25 ©2013 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties |

プロファイル名

クローンで作成したプロファイルは「Copy_of_xxx」の名前で作成されます。

適宜名前を変更します。

26 ©2013 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties |

IPS モード

IPS モード(Prevent)で動作させるか IDS モード(Detect)で動作させるか指定します。

後からモードを変更することもできますので、導入当初は IDS として導入して動作を確認し、その後

IPS に移行することもできます。

14

27 ©2013 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties |

IPS ポリシー

IPS ポリシーは、有効化する防御機能を制御します。各防御機能には、Client/Server、Severity、Confidence Level 等の情報が付加されており、それぞれのレベルに応じてオン/オフを制御できます。(例：緊急度が低いものはオフにするなど)

IPS ポリシーを変更すると、ポリシーに従って防御機能が変更されます。

28 ©2013 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties |

IPS ポリシー(参考)

各防御機能には、IPS ポリシーで利用される情報が付加されています。

15

29 ©2013 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties |

アップデート・ポリシー

シグネチャのアップデートを行った際に、新しく追加された防御機能をどのような状態にするか指定します。

例えば、「Detect」を選択すると、新規の防御機能は一旦 Detect に設定されます。これにより、新規の防御機能による誤検知の影響を最小化できます。

30 ©2013 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties |

新しいプロファイルを適用

新しく作成したプロファイルを利用するようにゲートウェイを設定します。

新しいプロファイルを適用するには、ポリシーのインストールが必要です。

16

©2012 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties ©2013 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties

シグネチャのアップデート

32 ©2013 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties |

3つの方法

シグネチャのアップデート方法は以下の3通りがあります。

–マニュアル

–自動

–オフライン

17

33 ©2013 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties |

マニュアル 自動 オフライン

34 ©2013 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties |

初めてアップデートをする前に・・・

IPS Software Blade を有効化後、初めてシグネチャのアップデートを行うと、大量のシグネチャが追加されます。

事前に以下を一時的に変更しておくことをお勧めします。

–アップデート・ポリシー

– プロファイルの IPS

ポリシーに合わせる

– Follow Up フラグ

– フラグを付けない

(チェックを外す)

18

35 ©2013 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties |

Revision Control の有効化

IPS シグネチャはファイアウォールと密接にかかわっています。IPS のシグネチャのみをロールバックすることはできず、Revision Control 機能を利用して、セキュリティ・ポリシー全体をロールバックする必要があります。

©2012 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties ©2013 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties

マニュアル・アップデート

19

37 ©2013 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties |

User Center 認証情報

IPS シグネチャをアップデートする場合、有効な

IPS Software Blade を保有する User Center アカウントに属する ID/Password が必要です。

[Update Now] をクリックするとシグネチャの更新を開始します。

38 ©2013 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties |

アップデート中→完了

20

39 ©2013 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties |

完了

更新日、シグネチャIDが更新されています。

40 ©2013 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties |

完了(2)

Overview ページでもシグネチャのワーニングが出なくなりました。

21

41 ©2013 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties |

更新された防御機能

[Protections] ページを見ると防御機能が更新されていることが分かります。更新された防御機能は、

・一時的に防御機能名が強調表示されます。

・Follow Up フラグが付きます。

・アップデートポリシーに従いDetect/Prevent/

Inactive されます。

42 ©2013 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties |

Follow Up で更新を確認

追加された防御機能は、Follow Up フラグが付けられますので、Follow Up ページで確認することもできます。

22

43 ©2013 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties |

防御機能の状態

IPS ポリシー/アップデート・ポリシーに従って

Detect または Prevent に設定されます。

この例では、IPS ポリシーで有効化されますが、アップデート・ポリシーは Detect なので、Detect

になっています。

Follow Up フラグが付けられます。

44 ©2013 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties |

Override の解除(1)

アップデート・ポリシーによる Override を解除したいプロファイルを選択し、[Edit] をクリックし、プロファイルの Protection Settings ページを開きます(次ページ)。

23

45 ©2013 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties |

Override の解除(2)

[Clear Newly Downloaded Status] をクリックすると、プロファイルの IPS ポリシーで指定された本来のアクションに戻ります。

©2012 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties ©2013 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties

自動アップデート

24

47 ©2013 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties |

自動アップデートの有効化

[Scheduled Update] をクリックすると自動アップデートの設定を行えます。

[Enable IPS scheduled update] をチェックすると自動アップデートが有効化されます。

48 ©2013 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties |

スケジュールを指定(1)

アップデートを実行する時間、または間隔を指定します

25

49 ©2013 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties |

スケジュールを指定(2)

アップデートを実行する日を指定します。

50 ©2013 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties |

UserCenter ID/パスワード

IPS シグネチャをアップデートする場合、有効な

IPS Software Blade を保有する User Center アカウントに属する ID/Password が必要です。

26

51 ©2013 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties |

スケジュール、認証情報がセットされると、概要が表示されます。

52 ©2013 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties |

自動ポリシー・インストール

前述のとおり、IPS 設定の変更は、ポリシーインストール後に反映されます。自動アップデートの場合も同様にポリシーのインストールが必要です。

この設定を有効化すると、アップデートが完了すると自動的にポリシーのインストールを行うようになります。ただし、この時にファイアウォールのポリシーも同時にインストールされます。

27

53 ©2013 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties |

自動ポリシー・インストール

自動ポリシーインストールに関する詳細情報を設定できます。

©2012 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties ©2013 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties

オフライン・アップデート

28

55 ©2013 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties |

オフライン

ご相談ください

–個別の承認プロセスが必要です。

©2012 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties ©2013 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties

ロールバック

29

57 ©2013 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties |

シグネチャのロールバック

IPS のシグネチャのみを元の状態に戻すことはできません。

Revision Control 機能を用い、ポリシー全体を元に戻す必要があります。

IPS シグネチャ更新時に Revision Control を有効にした場合にのみロールバック可能です。

58 ©2013 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties |

シグネチャのロールバック(1)

メニューから [File] – [Database Revision

Control] を選択し、Database Revision Control

ウインドウを開きます。

30

59 ©2013 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties |

シグネチャのロールバック(2)

どの時点のポリシーに戻すかを選択します。

[Action] – [Restore Version] を選択すると、ウィザードが起動します。

60 ©2013 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties |

シグネチャのロールバック(3)

ロールバックが完了すると GUI が再起動され、指定のポリシーが起動します。

すべてのデータベースを復元するか、ユーザ・データベースを除くすべてのデータベースを復元するか選択できます。

31

©2012 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties ©2013 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties

個々の防御機能の管理

62 ©2013 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties |

ナビゲーション・・・全部

[Protections] ページを開くとすべての防御機能が一覧表示されます。

32

63 ©2013 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties |

ナビゲーション・・・カテゴリ

サブツリーを選択するとそのカテゴリに含まれる防御機能のみ一覧表示します。

64 ©2013 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties |

ナビゲーション・・・検索

キーワードでフィルタリングすることができます。

33

65 ©2013 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties |

個々の防御機能

個々の防御機能にはオプションのパラメータがある場合があります。これらのパラメータは各プロファイルごとに設定することができます。

個々の防御機能にはIPSポリシーをオーバライドして変更することができます。

個別にオフにする、Detect にするなど。

©2012 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties ©2013 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties

例外の管理

34

67 ©2013 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties |

例外とは

IPS 防御機能に例外を設け、すべてまたは特定の防御機能を適用しないネットワークを指定することができます。

利用シーン例

–特定の部門は業務上 IPS を適用したくない

–誤検知をさける

68 ©2013 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties |

各防御機能から例外を追加

例外を適用するプロファイルを選択します。

例外の条件を指定します。

防御機能の

[]network Exception]

ページを開きます。

35

69 ©2013 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties |

例外追加完了

例外を指定する条件がリスト表示されます。

70 ©2013 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties |

Network Exception ページから例外を追加

例外は様々な場所から指定することができます。Network Exception ページではすべての例外を一元管理できます。

36

©2013 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties

Follow Up フラグの活用

72 ©2013 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties |

Follow Up フラグとは

管理者が後から追跡調査が可能なように各防御機能にフラグを付けることができます。

フラグ付けをすることにより以下が可能になります。

–フラグの付いた防御機能によるログのみを参照

–フィルタリングして表示

– シグネチャのアップデートに活用

37

73 ©2013 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties |

Follow Up フラグを付ける(1)

各防御機能で、[Follow Up] – [Mark for Follow

Up] を選択すると、フラグの設定とコメントの記述が行えます。

74 ©2013 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties |

Follow Up フラグを付ける(2)

Follow Up フラグが付けられると、フラグのアイコンとコメントが表示されます。

38

75 ©2013 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties |

Follow Up フラグの確認(1)

Follow Up フラグの付いた防御機能は、防御機能一覧ページでも確認できます。

Follow Up フラグの付いた防御機能には、フラグのアイコンが表示されます。

76 ©2013 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties |

Follow Up フラグの確認(2)

[Follow Up] ページでは、フラグの付いた防御機能の一覧を確認できます。

39

77 ©2013 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties |

Follow Up ログ

SmartviewTracker で「Follow Up」のフラグが付いた防御機能に関するログのみを参照できます。

©2012 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties ©2013 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties

モデル運用

40

79 ©2013 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties |

IPS アップデート時の運用例

Detect モードで新規防御機能を追加 –新規防御機能のみ Detect モードで有効化することにより、

誤検知等による問題が発生しないようにします。

アップデートの有効化 –アップデート後はポリシーのインストールが必要です。

ログによる動作確認(フォローアップ・フラグを活用) – しばらくの間、新しい防御機能が問題ないかを確認します。

Detect モードから Prevent モードへ移行 –問題がないことが確認できたら、Prevent モードに移行し、

実際の通信を防御します。

80 ©2013 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties |

Detect モードで新規防御機能を追加

シグネチャのアップデートを行った際に、新しく追加された防御機能をどのような状態にするか指定します。

例えば、「Detect」を選択すると、新規の防御機能は一旦 Detect に設定されます。これにより、新規の防御機能による誤検知の影響を最小化できます。

41

81 ©2013 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties |

ポリシーのインストール

IPS関連の設定変更を行った場合、変更を有効化させるにはポリシーのインストールを行う必要があります。

82 ©2013 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties |

新防御機能の有効性確認

ログ等により検出された攻撃を調査

SmartviewTracker で「Follow Up」のフラグが付いた

防御機能に関するログのみを参照できますので、追加された防御機能の動作状況を確認できます。

42

83 ©2013 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties |

Override の解除

問題がなかった防御機能はアップデート・ポリシーによる

Override を解除し、本来の Prevent に移行します。

©2012 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties ©2013 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties

ありがとうございました！