FireSIGHT システム インストレーション ガイド バージ ョ ン 5.3.1
展開について
展開について
発行日;2015/06/03 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 8MB) | フィードバック

目次

展開について

展開のオプションについて

インターフェイスについて

パッシブ インターフェイス

インライン インターフェイス

スイッチド インターフェイス

ルーテッド インターフェイス

ハイブリッド インターフェイス

ネットワークへのデバイスの接続

ハブの使用

SPAN ポートの使用

ネットワーク タップの使用

銅線インターフェイスのインライン展開のケーブル配線

特別な場合

デバイスの接続

リモート コンソールの変更

展開のオプション

仮想スイッチを使用した展開

仮想ルータの展開

ハイブリッド インターフェイスによる展開

ゲートウェイ VPN の展開

ポリシーベース NAT による展開

アクセス制御による展開

ファイアウォールの内側

DMZ 上

内部ネットワーク上

コア ネットワーク上

リモートまたはモバイル ネットワーク上

複数ポートの管理対象デバイスの使用

複雑なネットワークの展開

との統合

他のエントリ ポイントでの侵入検知

複数サイト環境での展開

複雑なネットワーク内の管理対象デバイスの統合

プロキシ サーバと NAT との統合

ロード バランシング方式との統合

検出に関するその他の考慮事項

展開について

固有なネットワーク アーキテクチャごとのニーズに対応するように、FireSIGHT システムを展開できます。防御センターは、FireSIGHT システムのための一元管理コンソールとデータベース リポジトリを提供します。デバイスは、分析のためにトラフィック接続を収集するように、ネットワーク セグメントにインストールされます。

パッシブ展開に含まれるデバイスにより、スイッチの SPAN、仮想スイッチ、またはミラー ポートを使用してネットワークを通過するトラフィックを監視して、ネットワークを横断するトラフィックの特性に関するデータを収集できます。インライン展開に含まれるデバイスにより、ネットワーク上のホストの可用性、整合性、機密性に影響を及ぼす可能性のある攻撃を見つけるために、ネットワークを監視できます。デバイスは、インライン、スイッチド、ルーテッド、またはハイブリッド (レイヤ 2/レイヤ 3) 環境に展開できます。


) ASA FirePOWER のデバイスの展開シナリオについて詳しくは、ASA のマニュアルを参照してください。


展開オプションについて詳しくは、以下の項を参照してください。

「展開のオプションについて」では、展開を設計する際に考慮する必要のある要素について説明します。

「インターフェイスについて」では、さまざまなインターフェイスの相違点と、それらが展開内でどのように機能するかについて説明します。

「ネットワークへのデバイスの接続」では、ハブ、スパン、およびネットワーク タップを展開内で使用する方法について説明します。

「展開のオプション」では、基本的な展開について説明し、その中にある主な機能場所を示します。

「アクセス制御による展開」では、インライン展開でアクセス コントロールを使用する利点について説明します。

「複数ポートの管理対象デバイスの使用」では、複数のネットワーク用に、またはネットワーク展開で仮想ルータや仮想スイッチとして利用するために、管理対象デバイスを使用する方法について説明します。

「複雑なネットワークの展開」では、VPN を使用したり複数のエントリ ポイントが存在したりするような、高度な展開シナリオについて説明します。

展開について詳しくは、シスコ の営業部門から入手可能な 『Best Practices Guide』 を参照してください。

展開のオプションについて

の展開に関する決定は、さまざまな要素に基づいて行います。以下の質問に答えることにより、ネットワークの脆弱なエリアを理解し、侵入検知と侵入防御のニーズを明確にすることができます。

パッシブまたはインラインのどちらのインターフェイスで管理対象デバイスを展開しますか。デバイスはパッシブと他のインラインが混在しているインターフェイスをサポートしますか。詳細については、「インターフェイスについて」を参照してください。

どのようにして管理対象デバイスをネットワークに接続しますか。ハブを使用しますか。タップを使用しますか。スイッチのスパニング ポートを使用しますか。仮想スイッチを使用しますか。詳細については、「ネットワークへのデバイスの接続」を参照してください。

ネットワーク上のすべての攻撃を検出しますか、またはファイアウォールを通過する攻撃だけを検出しますか。特殊なセキュリティ ポリシーを必要とする、財務、会計、人事記録、生産コード、その他の機密性の高い保護された情報など、特定の資産がネットワーク上に存在しますかか。詳細については、「展開のオプション」を参照してください。

管理対象デバイスの複数のポートを、ネットワーク タップからのさまざまな接続を再結合するために使用しますか、またはさまざまなネットワークからのトラフィックをキャプチャして評価するために使用しますか。複数のポートを、仮想ルータまたは仮想スイッチのどちらとして機能するように使用しますか。詳細については、「複数ポートの管理対象デバイスの使用」を参照してください。

リモート ワーカーには、VPN またはモデムアクセスのどちらを提供しますか。侵入防御の展開を必要とするリモート オフィスがありますか。請負業者その他の臨時スタッフを雇用していますか。それらのスタッフは、特定のネットワーク セグメントにアクセスが制限されていますか。ネットワークを顧客、サプライヤ、ビジネス パートナーなど他の組織のネットワークと統合しますか。詳細については、「複雑なネットワークの展開」を参照してください。

インターフェイスについて

以下の項では、さまざまなインターフェイスが FireSIGHT システムの機能に与える影響について説明します。パッシブおよびインライン インターフェイスに加えて、ルーテッド、スイッチド、ハイブリッドの各インターフェイスもあります。詳細については、次の項を参照してください。

「パッシブ インターフェイス」

「インライン インターフェイス」

「スイッチド インターフェイス」

「ルーテッド インターフェイス」

「ハイブリッド インターフェイス」

パッシブ インターフェイス

ライセンス:すべて

サポートされるデバイス:すべて

スイッチの SPAN、仮想スイッチ、またはミラー ポートを使用して、ネットワークで送られるトラフィックを監視するパッシブ展開を設定し、スイッチ上の他のポートからトラフィックをコピーできるようにすることができます。パッシブ インターフェイスを使用すると、ネットワーク トラフィックのフローに含まれていなくても、ネットワーク内のトラフィックを検査できます。パッシブ展開で設定されている場合、システムはトラフィックのブロッキングやシェーピングなど、特定のアクションを実行できません。パッシブ インターフェイスはすべてのトラフィックを無条件で受信し、受信したトラフィックを再送信しません。

管理対象デバイスの一つ以上の物理ポートをパッシブ インターフェイスとして設定できます。詳細については、「ネットワークへのデバイスの接続」を参照してください。パッシブ モードの ASA FirePOWER デバイスを設定する方法について詳しくは、ASA のマニュアルを参照してください。

インライン インターフェイス

ライセンス:すべて

サポートされるデバイス:すべて

2 つのポートを一緒にバインドすることで、インライン構成をネットワーク セグメントにトランスペアレントに設定します。インライン インターフェイスを使用すると、隣接するネットワーク デバイスを設定しなくても、デバイスを任意のネットワーク設定でインストールできます。インライン インターフェイスは、すべてのトラフィックを無条件に受信します。その後、明示的にドロップされたものを除いて、それらのインターフェイスで受信されたすべてのトラフィックが再送信されます。

管理対象デバイスの一つ以上の物理ポートをインライン インターフェイスとして設定できます。インライン展開でトラフィックを処理するには、その前に、インライン セットにインライン インターフェイスのペアを割り当てる必要があります。


) インターフェイスをインライン インターフェイスとして設定する場合、NetMod での隣接ポートも自動的にインライン インターフェイスとなり、ペアが完成します。


設定可能なバイパスのインライン セットによって、ハードウェアに重大な障害(デバイスへの電力供給の停止など)が生じた場合に、トラフィックを処理する方法を選択できます。あるネットワーク セグメントでは接続性が重要であると判断し、別のネットワーク セグメントでは未検査のトラフィックを許可できないと判断する場合があります。設定可能なバイパスのインライン セットを使用すると、ネットワーク トラフィックのトラフィック フローを次のいずれかの方法で管理できます。

バイパス :バイパスに設定されたインターフェイス ペアでは、デバイスに障害が生じた場合に、すべてのトラフィックのフローが続行します。トラフィックは、デバイスをバイパスし、そのデバイスによるインスペクションや他の処理をバイパスします。バイパスでは、インスペクションが行われないトラフィックがネットワーク セグメント間を通過する可能性がありますが、ネットワークの接続性は保持されます。

非バイパス :非バイパスの設定されたインターフェイス ペアでは、デバイスに障害が生じた場合に、すべてのトラフィックが停止します。障害が発生しているデバイスに到達したトラフィックは、そのデバイスに入れられません。非バイパスでは、インスペクションが行われずにトラフィックが通過することはありませんが、デバイスに障害が生じた場合に、ネットワーク セグメントの接続性が失われます。展開の状態として、トラフィックを失うことよりもネットワーク セキュリティの方が重要な場合は、非バイパス インターフェイスを使用します。

デバイスに障害が生じた場合にトラフィック のフローが続行するようにするには、インライン セットをバイパスとして設定します。デバイスに障害が生じた場合にトラフィック を停止させるには、インライン セットを非バイパスとして設定します。再イメージングを行うと、バイパス モードのアプライアンスが非バイパス設定にリセットされて、バイパス モードに再設定されるまではネットワークのトラフィックが中断されることに注意してください。詳細については、「復元プロセスの間のトラフィック フロー」を参照してください。

すべてのアプライアンスに、設定可能なバイパス インターフェイスを含めることができます。8000 シリーズ のアプライアンスには、バイパスに設定できないインターフェイスを持つ NetMods を含めることもできます。NetMods の詳細については、「8000 シリーズ モジュール」を参照してください。

[Advanced] オプションはアプライアンスによって異なり、タップ モード、伝播リンク ステート、トランスペアレント インライン モード、厳格な TCP モードが含まれることがあります。インライン インターフェイス セットを設定する方法について詳しくは、 『FireSIGHT System User Guide』 の「インライン セットの設定」を参照してください。インライン インターフェイスの使用方法について詳しくは、「ネットワークへのデバイスの接続」 を参照してください。

FireSIGHT システムを使用して ASA FirePOWER デバイスのバイパス インターフェイスを設定することはできません。インライン モードの ASA FirePOWER デバイスを設定する方法について詳しくは、ASA のドキュメントを参照してください。

スイッチド インターフェイス

ライセンス:制御

サポートされるデバイス:シリーズ 3

レイヤ 2 展開の管理対象デバイスのスイッチド インターフェイスを設定して、複数のネットワーク間のパケット スイッチングを提供できます。また、管理対象デバイスに仮想スイッチを設定して、ネットワークを論理セグメントに分割する、スタンドアロンのブロードキャスト ドメインとして機能させることができます。仮想スイッチは、ホストからの Media Access Control(MAC)のアドレスを使用して、パケットの送信先を判別します。

スイッチド インターフェイスには、物理設定または論理設定を使用できます。

物理スイッチド インターフェイス は、スイッチングが設定された物理インターフェイスです。タグなし VLAN トラフィックを処理するために物理スイッチド インターフェイスを使用します。

論理スイッチド インターフェイス は、物理インターフェイスと VLAN タグを関連付けます。VLAN タグが指定されたトラフィックを処理するために論理インターフェイスを使用します。

仮想スイッチは、ネットワークを論理セグメントに分割する、スタンドアロンのブロードキャスト ドメインとして機能させることができます 仮想スイッチは、ホストからの Media Access Control(MAC)のアドレスを使用して、パケットの送信先を判別します。仮想スイッチを設定すると、そのスイッチは最初、スイッチ内にある使用可能なすべてのポートを介してパケットをブロードキャストします。時間の経過と共に、スイッチはタグの付けられたリターン トラフィックを使用して、各ポートに接続されたネットワークにどのホストが存在するかを学習します。

デバイスを仮想スイッチとして設定し、残りのインターフェイスを使用して監視対象のネットワーク セグメントに接続できます。デバイスで仮想スイッチを使用するには、物理スイッチド インターフェイスを作成し、 『FireSIGHT System User Guide』 の「仮想スイッチのセットアップ」の手順に従ってください。

ルーテッド インターフェイス

ライセンス:制御

サポートされるデバイス:シリーズ 3

ルーテッド インターフェイスをレイヤ 3 展開の管理対象デバイスに設定して、複数のインターフェイス間でトラフィックをルーティングできます。トラフィックをルーティングするには、各インターフェイスに IP アドレスを割り当て、インターフェイスを仮想ルータに割り当てる必要があります。

ゲートウェイのバーチャル プライベート ネットワーク(ゲートウェイ VPN)または Network Address Translation(NAT)と共に使用するための、ルーテッド インターフェイスを設定できます。詳細については、「ゲートウェイ VPN の展開」および「ポリシーベース NAT による展開」を参照してください。

また、宛先アドレスに基づいてパケット転送の決定を行ってパケットをルーティングするように、システムを設定できます。ルーテッド インターフェイスとして設定されるインターフェイスは、レイヤ 3 トラフィックを受信および転送します。ルータは転送基準に基づいて発信インターフェイスから宛先を取得し、適用されるセキュリティ ポリシーがアクセス コントロール規則によって指定されます。

ルーテッド インターフェイスには、物理設定または論理設定を使用できます。

物理ルーテッド インターフェイス は、ルーティングが設定された物理インターフェイスです。タグなし VLAN トラフィックを処理するために物理ルーテッド インターフェイスを使用します。

論理スイッチド インターフェイス は、物理インターフェイスと VLAN タグを関連付けます。VLAN タグが指定されたトラフィックを処理するために論理インターフェイスを使用します。

レイヤ 3 展開でルーテッド インターフェイスを使用するには、仮想ルータを設定し、それらにルーテッド インターフェイスを割り当てる必要があります。仮想ルータは、レイヤ 3 トラフィックをルーティングするルーテッド インターフェイスのグループです。

デバイスを仮想ルータとして設定し、残りのインターフェイスを使用して監視対象のネットワーク セグメントに接続できます。また、TCP のセキュリティを最大にするために、厳格な TCP を適用することもできます。デバイスで仮想ルータを使用するには、デバイス上に物理ルーテッド インターフェイスを作成し、 『FireSIGHT System User Guide』 の「仮想ルータのセットアップ」の手順に従ってください。

ハイブリッド インターフェイス

ライセンス:制御

サポートされるデバイス:シリーズ 3

FireSIGHT システムが仮想ルータと仮想スイッチ間のトラフィックをブリッジングできるようにする論理ハイブリッド インターフェイスを、管理対象デバイスに設定できます。仮想スイッチのインターフェイスで受信した IP トラフィックが、関連付けられているハイブリッド論理インターフェイスの MAC アドレスにアドレス指定されている場合、システムはそれをレイヤ 3 トラフィックとして処理して、送信先 IP アドレスに応じてトラフィックをルーティングするかまたはトラフィックに応答します。他のトラフィックを受信した場合、システムはそれをレイヤ 2 トラフィックとして扱い、適切にスイッチングします。

ハイブリッド インターフェイスを作成するには、まず仮想スイッチと仮想ルータを設定してから、仮想スイッチと仮想ルータをハイブリッド インターフェイスに追加します。仮想スイッチと仮想ルータの両方に関連付けられていないハイブリッド インターフェイスは、ルーティング用に使用することができず、トラフィックの生成やトラフィックへの応答は行いません。

Network Address Translation (NAT) とのハイブリッド インターフェイスを設定して、ネットワーク間でトラフィックを渡すことができます。詳細については、「ポリシーベース NAT による展開」を参照してください。

デバイスでハイブリッド インターフェイスを使用する場合、デバイスにハイブリッド インターフェイスを定義してから、 『FireSIGHT System User Guide』 の「ハイブリッド インターフェイスのセットアップ」に示された手順に従います。

ネットワークへのデバイスの接続

管理対象デバイスを複数の方法でネットワークに接続できます。パッシブまたはインライン インターフェイスを使用してハブまたはネットワーク タップを設定するか、またはパッシブ インターフェイスを使用して Span ポートを設定します。以下の項では、サポートされている接続方法およびケーブル配線に関する考慮事項について説明します。

「ハブの使用」

「SPAN ポートの使用」

「ネットワーク タップの使用」

「銅線インターフェイスのインライン展開のケーブル配線」

「特別な場合」

ハブの使用

イーサネット ハブは、管理対象デバイスがネットワーク セグメント上のすべてのトラフィックを確実に認識できるようにするシンプルな方法です。このタイプのほとんどのハブは、セグメント上のいずれかのホストの IP トラフィックを受け取って、ハブに接続されたすべてのデバイスにブロードキャストします。ハブに設定されたインターフェイスを接続して、セグメント上のすべての入力および出力トラフィックを監視します。ハブを使用しても、パケット衝突が生じる可能性があるため、検出エンジンが大量のネットワーク上のパケットをすべて認識できるとは限りません。トラフィックの少ないシンプルなネットワークでは、このことはほとんど問題になりません。トラフィックの多いネットワークでは、別のオプションによって結果が改善されることがあります。ハブに障害が発生したり、電源が失われた場合は、ネットワーク接続が切断されることに注意してください。シンプルなネットワークでは、そのネットワークが停止します。

一部のデバイスは、ハブとして販売されていても実際にはスイッチとして機能するものであり、各パケットをすべてのポートに伝送しません。ハブに管理対象デバイスを接続しても、すべてのトラフィックが認識されないときには、別のハブを購入するか、または SPAN ポートを持つスイッチを使用しなければならない場合があります。

SPAN ポートの使用

多くのネットワーク スイッチには、1 つ以上のポートからのトラフィックをミラーイングする SPAN ポートが含まれています。SPAN ポートに設定されたインターフェイスを接続することにより、すべてのポートから混合トラフィック(通常は入力および出力)を監視できます。この機能を含むスイッチがネットワーク上の適切な場所にすでに存在する場合は、管理対象デバイスのコスト以外には追加の機器コストをほとんどかけずに、複数セグメントでの検出を展開できます。トラフィックの多いネットワークの場合、このソリューションには制限があります。SPAN ポートが 200Mbps を処理することができ、3 つのミラー対象ポートのそれぞれが 100Mbps まで処理できる場合、SPAN ポートはオーバーサブスクライブされてパケットをドロップするようになり、管理対象デバイスの効率が減少する可能性があります。

ネットワーク タップの使用

ネットワーク タップにより、ネットワーク フローを中断したりネットワーク トポロジを変更しなくても、トラフィックをパッシブに監視できます。さまざまな帯域幅に対応したタップをすぐに使用できるので、ネットワーク セグメントの着信パケットと発信パケットの両方を分析できます。ほとんどのタップでは 1 つのネットワーク セグメントだけを監視できるため、スイッチ上に 8 つあるポートの内の 2 つでトラフィックを監視するには得策ではありません。代わりに、ルータとスイッチの間にタップを設置すれば、スイッチへの IP ストリーム全体にアクセスすることができます。

設計上、ネットワーク タップは入力トラフィックと出力トラフィックを、2 つの異なるケーブルでの 2 つの異なるストリームに分割します。管理対象デバイスは、通信の 2 つの部分を再結合する複数ポートのオプションを提供し、トラフィック ストリーム全体がデコーダ、プリプロセッサ、および検出エンジンによって評価されるようにします。

銅線インターフェイスのインライン展開のケーブル配線

ネットワークにデバイスをインラインで展開し、デバイスのバイパス機能を使用してデバイスの障害時にネットワーク接続が維持されるようにする場合は、接続箇所をケーブル配線する方法に特別な注意を払ってください。

光ファイバ バイパス ケーブル インターフェイスによってデバイスを展開する場合は、接続箇所が確実に結合され、ケーブルがよじれていないことを確認する以外に、特別なケーブル配線の問題はありません。ただし、光ファイバ ネットワーク インターフェースではなく銅線を使用してデバイスを展開している場合は、デバイス モデルが異なれば使用するネットワーク カードも異なるので、使用するデバイス モデルに注意する必要があります。一部の 8000 シリーズ NetMods では、バイパス設定が許可されないことに注意してください。

デバイスのネットワーク インターフェイス カード(NIC)は、自動メディア依存インターフェイス クロスオーバー(Auto-MDI-X)と呼ばれる機能をサポートします。この機能により、ネットワーク インターフェイスは、ストレートまたはクロスのどちらのイーサネット ケーブルを使用して別のネットワーク デバイスに接続するかを自動的に設定できます。次の表は、さまざまなデバイスと、それらがストレートまたはクロスのどちらの接続によってバイパスするかをリストしています。

 

表 2-1 デバイスとバイパス特性

デバイス
フェール オープンの形式

3D500、3D1000、3D2000

ストレート

7000 シリーズ

クロス

8000 シリーズ

クロス

ストレート接続でバイパスする管理対象デバイスでは、ネットワーク上で稼働しているデバイスに対して通常行うのと同じ方法で、デバイスを配線します。ほとんどの場合、1 本のストレート ケーブルと 1 本のクロス ケーブルを使用して、デバイスを 2 つのエンドポイントに接続する必要があります。

図 2-1 ストレート線のバイパス接続のケーブル配線

 

クロス接続でバイパスする管理対象デバイスでは、配置されたデバイスがない場合に通常行うのと同じ方法で、デバイスを配線します。デバイスへの電源供給が失われても、リンクは機能する必要があります。ほとんどの場合、2 本のストレート ケーブルを使用して、デバイスを 2 つのエンドポイントに接続する必要があります。

図 2-2 クロス線のバイパス接続のケーブル配線

 

次の表は、ハードウェア バイパス設定で、クロス ケーブルまたはストレート ケーブルを使用するケースを示しています。レイヤ 2 ポートは展開のストレート(MDI)エンドポイントとして機能し、レイヤ 3 ポートは展開のクロス(MDIX)エンドポイントとして機能することに注意してください。バイパスが正常に機能するためには、クロスの合計(ケーブルとアプライアンス)が奇数であることが必要です。

 

表 2-2 ハードウェア バイパスの有効な設定

エンドポイント 1
ケーブル
管理対象デバイス
ケーブル
エンドポイント 2

MDIX

ストレート

ストレート

ストレート

MDI

MDI

クロス

ストレート

ストレート

MDI

MDI

ストレート

ストレート

クロス

MDI

MDI

ストレート

ストレート

ストレート

MDIX

MDIX

ストレート

クロス

ストレート

MDIX

MDI

ストレート

クロス

ストレート

MDI

MDI

クロス

クロス

クロス

MDI

MDIX

クロス

クロス

ストレート

MDI

すべてのネットワーク環境は固有のものであり、さまざまな組み合わせで Auto-MDI-X をサポートするエンドポイントを持っている可能性があることに注意してください。正しいケーブル配線によってデバイスを設置していることを確認する最も簡単な方法は、デバイスの電源を落とした状態で、まず 1 本のクロス ケーブルと 1 本のストレート ケーブルを使用してデバイスを 2 つのエンドポイントに接続することです。2 つのエンドポイントが通信可能であることを確認します。それらが通信できない場合は、いずれかのケーブルのタイプが正しくありません。いずれかのケーブル(1 本のみ)を他のタイプ(ストレートまたはクロス)に切り替えてください。

インライン デバイスの電源を落とした状態で 2 つのエンドポイントが正常に通信可能になった後に、デバイスの電源を入れます。Auto-MDI-X 機能は、2 つのエンドポイントが通信を続行するようにします。インライン デバイスを交換する必要がある場合は、元のデバイスとそれに代わるデバイスとでバイパス特性が異なる場合に備えて、新しいデバイスの電源を落とし、その新しいデバイスとエンドポイントとが通信できるようにする手順を繰り返す必要があります。

Auto-MDI-X 設定は、ネットワーク インターフェイスの自動ネゴシエーションを許可した場合にのみ正しく機能します。ネットワーク環境で [Network Interface] ページの [Auto Negotiate] オプションを無効にすることが必要な場合は、インライン ネットワーク インターフェイス用に正しい MDI/MDIX オプションを指定します。詳しくは、 『FireSIGHT System User Guide』 の「インライン インターフェイスの設定」を参照してください。

特別な場合

8000 シリーズ デバイスの接続

8000 シリーズの管理対象デバイスを防御センターに登録するときは、接続の両側で自動ネゴシエーションを使用するか、またはその両側を同じ固定速度に設定して、ネットワーク リンクが安定したものとなるようにする必要があります。8000 シリーズの管理対象デバイスは、半二重ネットワーク リンクをサポートしません。また、接続の反対側での速度の違いやデュプレックス設定をサポートしません。

リモート コンソールの変更

70xx ファミリ のデバイスで、リモート コンソールを物理シリアル ポートから Lights-Out Management に、または Lights-Out Management から物理シリアル ポートに変更する際に、予想される LILO のブートのプロンプトが表示されるようにアプライアンスを 2 回リブートしなければならないことがあります。

展開のオプション

ネットワーク セグメントに管理対象デバイスを展開すると、侵入検知システムを使用してトラフィックを監視したり、侵入防止システムを使用してネットワークを脅威から保護することができます。

また、仮想スイッチ、仮想ルータ、またはゲートウェイ VPN として動作するように管理対象デバイスを配置することもできます。さらに、ポリシーを使用して、ネットワークのトラフィックをルーティングしたり、トラフィックへのアクセスを制御することができます。詳細については、次の項を参照してください。

「仮想スイッチを使用した展開」

「仮想ルータの展開」

「ハイブリッド インターフェイスによる展開」

「ゲートウェイ VPN の展開」

「ポリシーベース NAT による展開」

「アクセス制御による展開」

仮想スイッチを使用した展開

ライセンス:制御

サポートされるデバイス:シリーズ 3

インライン インターフェイスをスイッチド インターフェイスとして設定することにより、管理対象デバイスに 仮想スイッチ を作成できます。仮想スイッチは、展開にレイヤ 2 パケット スイッチングを提供します。[Advanced] オプションには、スタティック MAC アドレスの設定、スパニング ツリー プロトコルの有効化、厳密な TCP の適用、およびドメイン レベルでのブリッジ プロトコル データ ユニット(BPDU)のドロップが含まれます。スイッチド インターフェイスについて詳しくは、「スイッチド インターフェイス」を参照してください。

仮想スイッチには、トラフィックを処理するために複数のスイッチド インターフェイスを含める必要があります。それぞれの仮想スイッチで、システムは、スイッチド インターフェイスとして設定されたポートのセットに対してのみトラフィックをスイッチングします。たとえば、4 つのスイッチド インターフェイスのある仮想スイッチを設定した場合、システムが 1 つのポートを介してトラフィック パケットを受信すると、それらのパケットはスイッチ上の残りの 3 つのポートだけにブロードキャストされます。

トラフィックを許可するように仮想スイッチを設定するには、物理ポートに複数のスイッチド インターフェイスを設定し、仮想スイッチを追加して設定してから、仮想スイッチをスイッチド インターフェイスに割り当てます。システムは、外部物理インターフェイスで受信される、待機するスイッチド インターフェイスのないトラフィックをドロップします。システムが VLAN タグのないパケットを受信し、そのポートの物理スイッチド インターフェイスが設定されていない場合、そのパケットはドロップされます。システムが VLAN タグのあるパケットを受信し、論理スイッチド インターフェイスが設定されていない場合も、そのパケットはドロップされます。

必要に応じて追加の論理スイッチド インターフェイスを物理ポートに定義できますが、トラフィックを処理するために、論理スイッチド インターフェイスを仮想スイッチに割り当てる必要があります。

仮想スイッチには、拡張性の利点があります。物理スイッチを使用する場合、スイッチ上の使用可能なポートの数によって制限されます。物理スイッチを仮想スイッチに置き換える場合は、使用する帯域幅と、展開に導入する複雑さのレベルによってのみ制限されます。

ワークグループ接続やネットワーク セグメントなど、レイヤ 2 スイッチを使う場合、仮想スイッチを使用します。作業者が大半の時間をローカル セグメントで費やす場合、レイヤ 2 スイッチは特に効果的です。大規模な展開(たとえば、ブロードキャスト トラフィック、Voice-over-IP、複数ネットワークを含む展開など)では、仮想スイッチを、展開の小規模なネットワーク セグメントで使用できます。

複数の仮想スイッチを同じ管理対象デバイスに展開する場合、各ネットワークの必要に応じて、さまざまなレベルのセキュリティを維持できます。

図 2-3 管理対象デバイスの仮想スイッチ

 

この例では、管理対象デバイスが、2 つの別個のネットワーク(172.16.1.0/20 と 192.168.1.0/24)からのトラフィックを監視します。どちらのネットワークも同じ管理対象デバイスによって監視されますが、仮想スイッチは、同じネットワーク上にあるコンピュータやサーバにのみトラフィックを渡します。トラフィックは、172.16.1.0/24 仮想スイッチを介してコンピュータ A からコンピュータ B に(青色の線で示されているように)渡し、同じ仮想スイッチを介してとコンピュータ B からコンピュータから A に(緑色の線で示されているように)渡すことができます。同様に、トラフィックは、192.168.1.0/24 仮想スイッチを介してファイルと Web サーバ間で(赤色の線とオレンジ色の線で示されているように)受け渡すことができます。ただし、コンピュータがサーバと同じ仮想スイッチ上にないため、そのコンピュータと Web またはファイル サーバ間でトラフィックを受け渡すことができません。

スイッチド インターフェイスおよび仮想スイッチの設定について詳しくは、 『FireSIGHT System User Guide』 の「仮想スイッチのセットアップ」を参照してください。

仮想ルータの展開

ライセンス:制御

サポートされるデバイス:シリーズ 3

管理対象デバイスに 仮想ルータ を作成して、複数のネットワーク間のトラフィックをルーティングしたり、プライベート ネットワークをパブリック ネットワーク(インターネットなど)に接続することができます。仮想ルータは、2 つのルーテッド インターフェイスを接続して、展開のために、宛先アドレスに応じたレイヤ 3 パケット転送の決定を提供します。必要に応じて、仮想ルータでの厳密な TCP 適用を有効にすることができます。ルーテッド インターフェイスの詳細については、「ルーテッド インターフェイス」を参照してください。ゲートウェイ VPN と共に仮想ルータを使用する必要があります。詳細については、「ゲートウェイ VPN の展開」を参照してください。

仮想ルータには、同じブロードキャスト ドメイン内にある 1 つ以上の個別のデバイスから、物理的または論理的にルーティングされた設定を含めることができます。VLAN タグを持つ物理インターフェイスで受信されたトラフィックを処理するためには、各論理インターフェイスをその特定のタグに関連付ける必要があります。トラフィックをルーティングするには、論理ルーテッド インターフェイスを仮想ルータに割り当てる必要があります。

仮想ルータを設定するには、物理設定または論理設定によってルーテッド インターフェイスを設定します。タグのない VLAN のトラフィックを処理するために、物理ルーテッド インターフェイスを設定できます。また、指定の VLAN タグのあるトラフィックを処理するために、論理ルーテッド インターフェイスを作成することもできます。システムは、外部物理インターフェイスで受信される、待機するルーテッド インターフェイスのないトラフィックをドロップします。システムが VLAN タグのないパケットを受信し、そのポートの物理ルーテッド インターフェイスが設定されていない場合、そのパケットはドロップされます。システムが VLAN タグのあるパケットを受信し、論理ルーテッド インターフェイスが設定されていない場合も、そのパケットはドロップされます。

仮想ルータには、拡張性の利点があります。物理ルータによって接続可能なネットワークの数が制限されるときには、複数の仮想ルータを同じ管理対象デバイスに設定できます。同じデバイスにルータを配置すると、展開の物理的な複雑さが軽減され、1 つのデバイスから複数のルータを監視および管理できます。

レイヤ 3 物理ルータを使用して、展開内の複数のネットワーク間でトラフィックを転送したり、プライベート ネットワークをパブリック ネットワークに接続する場合、仮想ルータを使用します。仮想ルータは、さまざまなセキュリティ要件を持つ多数のネットワークまたはネットワーク セグメントを含む大規模な展開で、特に効果的です。

管理対象デバイスに仮想ルータを展開する場合、1 つのアプライアンスを使用して、複数のネットワークを相互に接続したり、インターネットに接続したりできます。

図 2-4 管理対象デバイスの仮想ルータ

 

この例では、トラフィックがネットワーク 172.16.1.0/20 上のコンピュータとネットワーク 192.168.1.0/24 上のサーバ間(青と緑の線で示されている)を移動できるように、管理対象デバイスに仮想ルータが含まれます。仮想ルータの 3 番目のインターフェイスにより、各ネットワークからのトラフィックを、ファイアウォールとの間で受け渡す(赤色とオレンジ色の線で示されている)ことができます。

詳しくは、 『FireSIGHT System User Guide』 の「仮想ルータのセットアップ」を参照してください。

ハイブリッド インターフェイスによる展開

ライセンス:制御

サポートされるデバイス:シリーズ 3

仮想スイッチと仮想ルータを使用して、レイヤ 2 とレイヤ 3 ネットワーク間でトラフィックをルーティングするために、管理対象デバイスに ハイブリッド インターフェイス を作成できます。これにより、スイッチ上でローカル トラフィックをルーティングしたり、外部ネットワークとの間でトラフィックをルーティングできる、1 つのインターフェイスが提供されます。最適な結果を得るために、このインターフェイスでポリシーベースの NAT を設定して、ハイブリッド インターフェイスでのネットワーク アドレス変換を提供します。「ポリシーベース NAT による展開」を参照してください。

ハイブリッド インターフェイスには、1 つ以上のスイッチド インターフェイスと 1 つ以上のルーテッド インターフェイスを含める必要があります。共通展開は 2 つのスイッチド インターフェイスで構成されています。それらは、プライベートまたはパブリックで、トラフィックをローカル ネットワークに渡すための仮想スイッチ、およびネットワークにトラフィックをルーティングするための仮想ルータとして設定されています。

ハイブリッド インターフェイスを作成するには、まず仮想スイッチと仮想ルータを設定してから、仮想スイッチと仮想ルータをハイブリッド インターフェイスに追加します。仮想スイッチと仮想ルータの両方に関連付けられていないハイブリッド インターフェイスは、ルーティング用に使用することができず、トラフィックの生成やトラフィックへの応答は行いません。

ハイブリッド インターフェイスは、コンパクトであり、拡張性に優れているという利点があります。単一のハイブリッド インターフェイスを使用すると、レイヤ 2 とレイヤ 3 の両方のトラフィック ルーティング機能が結合して 1 つのインターフェイスとなって、展開内の物理アプライアンスの数が減り、トラフィックのための単一の管理インタフェースが提供されます。

レイヤ 2 とレイヤ 3 の両方のルーティング機能が必要な場合、ハイブリッド インターフェイスを使用します。この展開は、スペースやリソースが限られている展開での小さなセグメントに最適です。

ハイブリッド インターフェイスを展開すると、トラフィックをローカル ネットワークから外部またはパブリック ネットワーク(インターネットなど)に渡すことができるとともに、ハイブリッド インターフェイスでの仮想スイッチと仮想ルータに関する個別のセキュリティ上の考慮事項に対応することができます。

図 2-5 管理対象デバイスのハイブリッド インターフェイス

 

この例では、コンピュータ A と コンピュータ B は同じネットワーク上に存在し、管理対象デバイスに設定されたレイヤ 2 の仮想スイッチを使用して通信します(青と緑の線で示されています)。管理対象デバイス上で設定されている仮想ルータは、ファイアウォールへのレイヤ 3 アクセスを提供します。ハイブリッド インターフェイスは、仮想スイッチと仮想ルータのレイヤ 2 およびレイヤ 3 機能を結合して、各コンピュータからハイブリッド インターフェイスを介してファイアウォールに(赤色とオレンジ色の線で示されているように)トラフィックを渡すことができるようにします。

詳しくは、 『FireSIGHT System User Guide』 の「ハイブリッド インターフェイスのセットアップ」を参照してください。

ゲートウェイ VPN の展開

ライセンス:VPN

サポートされるデバイス:シリーズ 3

ローカル ゲートウェイとリモート ゲートウェイ間のセキュアなトンネルを確立するために、 ゲートウェイ バーチャル プライベート ネットワーク (ゲートウェイVPN)接続を作成できます。ゲートウェイ間のセキュアなトンネルは、それらの間の通信を保護します。

FireSIGHT システムを設定して、Internet Protocol Security(IPSec)プロトコル スイートを使用する、シスコの管理対象デバイスの仮想ルータからリモート デバイスや他のサードパーティの VPN エンドポイントへのセキュアな VPN トンネルを構築します。VPN 接続が確立されると、ローカル ゲートウェイの背後にあるホストは、セキュアな VPN トンネルを介してリモート ゲートウェイの背後にあるホストに接続できます。VPN エンドポイントは、トンネルのセキュリティ アソシエーションを作成するために、Internet Key Exchange(IKE)のバージョン 1 またはバージョン 2 のプロトコルを使用して相互に認証を行います。システムは、IPsec 認証ヘッダー(AH)モードまたは IPsec カプセル化セキュリティ ペイロード(ESP)モードで稼動します。AH と ESP はどちらも認証を提供し、ESP は暗号化も提供します。

ゲートウェイ VPN は、ポイントツーポイント、スター、またはメッシュの展開で使用できます。

ポイントツーポイント展開は、2 つのエンドポイントを直接的な 1 対 1 の関係で相互に接続します。両方のエンドポイントがピア デバイスとして設定され、どちらのデバイスもセキュアな接続を開始できます。少なくとも 1 台のデバイスは、VPN 対応の管理対象デバイスであることが必要です。

遠隔地のホストがパブリック ネットワークを使用してユーザーのネットワーク内のホストに接続する際のネットワーク セキュリティを維持するためには、ポイントツーポイント展開を使用します。

スター展開は、ハブと複数のリモート エンドポイント(リーフ ノード)間のセキュアな接続を確立します。ハブ ノードと個々のリーフ ノード間の接続は、それぞれ別個の VPN トンネルです。通常、ハブ ノードは本社にある VPN 対応の管理対象デバイスです。リーフ ノードは支店に配置し、大半のトラフィックを開始します。

インターネットまたは他のサードパーティのネットワークを介したセキュアな接続を使用して、組織の本社と支店を接続し、すべての社員に組織のネットワークに対する制御されたアクセス権を付与するには、スター展開を使用します。

メッシュ展開は、VPN トンネルによってすべてのエンドポイントをまとめて接続します。これにより、1 つのエンドポイントに障害が発生しても残りのエンドポイントは相互の通信を続行できるので、冗長性が提供されます。

分散した支店のグループを接続して、1 つまたは複数の VPN トンネルで障害が発生してもトラフィックが続行できるようにするには、メッシュ展開を使用します。この設定で展開する VPN 対応の管理対象デバイスの数により、冗長性のレベルが制御されます。

ゲートウェイ VPN の設定および展開について詳しくは、 『FireSIGHT System User Guide』 の「ゲートウェイ VPN」を参照してください。

ポリシーベース NAT による展開

ライセンス:制御

サポートされるデバイス:Any(ASA FirePOWER を除く)

ポリシーベースのネットワーク アドレス変換 (NAT)を使用して、NAT をどのように実行するかを指定するポリシーを定義できます。単一のインターフェイス、1 つ以上のデバイス、またはネットワーク全体をポリシーのターゲットにすることができます。

静的な変換(1 対 1)または動的な変換(1 対多)を設定できます。動的な変換は、最初に一致したルールが適用されるまでルールが順番に検索される、順序に依存したものであることに注意してください。

ポリシーベースの NAT は通常、以下の展開で機能します。

プライベート ネットワーク アドレスを非表示にする。

プライベート ネットワークからパブリック ネットワークにアクセスするとき、NAT はプライベート ネットワーク アドレスをパブリック ネットワーク アドレスに変換します。ユーザーの特定のプライベート ネットワーク アドレスは、パブリック ネットワークで非表示になります。

プライベート ネットワーク サービスへのアクセスを許可する。

パブリック ネットワークがプライベート ネットワークにアクセスするとき、NAT はパブリック アドレスをプライベート ネットワーク アドレスに変換します。パブリック ネットワークは、ユーザーの特定のプライベート ネットワーク アドレスにアクセスできます。

複数のプライベート ネットワーク間でトラフィックをリダイレクトする。

プライベート ネットワークのサーバが接続先のプライベート ネットワークのサーバにアクセスするとき、プライベート アドレスが重複しないようにするため、そしてトラフィックがそれらのサーバ間を移動できるようにするために、NAT は 2 つのプライベート ネットワーク間でプライベート アドレスを変換します。

ポリシーベースの NAT を使用すると、追加のハードウェアの必要がなくなり、侵入検知システムまたは侵入防御システムの設定と NAT が 1 つのユーザー インターフェースに統合されます。詳しくは、 『FireSIGHT System User Guide』 の「NAT ポリシーの使用」を参照してください。

アクセス制御による展開

ライセンス:すべて

サポートされるデバイス:すべて

アクセス制御は、ネットワークに出入りしたりネットワーク内を移動したりできるトラフィックに対して、指定、検査、およびログ記録を行えるようにするポリシーベースの機能です。以下の項では、アクセス制御が展開でどのように機能するかを説明します。この機能について詳しくは、 『FireSIGHT System User Guide』 を参照してください。

アクセス制御ポリシーは、システムがネットワークのトラフィックを処理する方法を指定します。アクセス制御ルールをポリシーに追加して、ネットワーク トラフィックの処理とログ記録の方法をより詳細に制御することができます。

アクセス制御ルールを含まないアクセス制御ポリシーは、以下のデフォルト アクションの 1 つを使用してトラフィックを処理します。

ネットワークに入らないようにすべてのトラフィックをブロックする

ネットワークに入るすべてのトラフィックを信頼して受け入れ、それ以上の検査は行わない

ネットワークに入るすべてのトラフィックを許可して受け入れ、ネットワーク検出ポリシーによるトラフィックの検査だけを実行する

ネットワークに入るすべてのトラフィックを許可して受け入れ、侵入ポリシーとネットワーク検出ポリシーによるトラフィックの検査を実行する

アクセス制御ルールはさらに、ターゲットのデバイスがトラフィックを処理する方法を定義します。これには、簡単な IP アドレス マッチングから、さまざまなユーザー、アプリケーション、ポート、および URL が関係する複雑なシナリオまで含まれます。各ルールに対して、ルール アクション(つまり、侵入ポリシーやファイル ポリシーに基づいて、一致するトラフィックに対して信頼、監視、ブロック、検査のどれを行うか)を指定します。

アクセス制御は、セキュリティ インテリジェンス データに基づいてトラフィックをフィルタリングできます。これは、送信元または宛先 IP アドレスに基づいて、アクセス制御ポリシーごとに、ネットワークを通過できるトラフィックを指定する機能です。この機能により、トラフィックがブロックされて検査されない、拒否される IP アドレスのブラックリストを作成できます。

サンプルの展開では、一般的なネットワーク セグメントを例示しています。これらの場所のそれぞれに管理対象デバイスを展開すると、さまざまな目的のために役立ちます。以下の項では、一般的な場所についての推奨事項を説明します。

「ファイアウォールの内側」では、アクセス制御がファイアウォールを通過するトラフィックに対してどのように機能するかを説明します。

「DMZ 上」では、DMZ 内のアクセス制御が外向きのサーバをどのように保護するかを説明します。

「内部ネットワーク上」では、アクセス制御が意図的または偶発的な攻撃から内部ネットワークをどのように保護するかを説明します。

「コア ネットワーク上」では、厳密なルールのアクセス制御ポリシーが重要な資産をどのように保護するかを説明します。

「リモートまたはモバイル ネットワーク上」では、アクセス制御がリモート ロケーションやモバイル デバイス上のトラフィックから、ネットワークをどのように監視し保護するかを説明します。

ファイアウォールの内側

ファイアウォールの内側の管理対象デバイスは、ファイアウォールによって許可された着信トラフィックや、誤った設定のためにファイアウォールを通過したトラフィックを監視します。一般的なネットワーク セグメントには、DMZ、内部ネットワーク、コア、モバイル アクセス、リモート ネットワークなどがあります。

次の図は、FireSIGHT システムを通過するトラフィック フローを例示して、そのトラフィックに実行される検査のタイプを詳しく示しています。システムは、高速処理されるトラフィックやブラックリストに記載されたトラフィックを検査しないことに注意してください。アクセス制御ルールやデフォルト アクションによって処理されるトラフィックの場合、フローと検査はルール アクションによって異なります。分かりやすくするために、ルール アクションは図に示されていませんが、システムは信頼されるトラフィックやブロックされたトラフィックに対してどのような検査も実行しません。また、デフォルト アクションではファイル検査がサポートされていません。

 

着信パケットは、まず高速処理のルールと突き合わせて検査されます。一致が見つかった場合、トラフィックは高速処理されます。一致しない場合、セキュリティ インテリジェンスベースのフィルタリングにより、パケットがブラックリストに含まれているかどうかを判別します。含まれていない場合は、アクセス制御ルールが適用されます。パケットがルールの条件を満たす場合、トラフィック フローと検査はルール アクションによって決まります。パケットがルールに一致しない場合、トラフィック フローと検査はデフォルト ポリシー アクションによって決まります。(モニタ ルールでは例外が生じ、トラフィックの評価が続行します。)各アクセス制御ポリシーのデフォルト アクションは、高速処理されず、ブラックリストに含まれていない、さらには監視以外のルールと一致しないトラフィックを管理します。高速処理は、8000 シリーズと 3D9900 デバイスでのみ使用可能であることに注意してください。

アクセス制御ルールを作成して、ネットワーク トラフィックの処理とログ記録の方法をより詳細に制御することができます。ルールごとに、特定の条件に一致するトラフィックに適用するアクション(信頼する、監視する、ブロックする、または検査する)を指定します。

DMZ 上

DMZ は外向きのサーバ(Web、FTP、DNS、メールなど)を含んでおり、内部ネットワークのユーザに対して、メール リレーや Web プロキシなどのサービスを提供することもあります。

DMZ に保存されるコンテンツは静的なものであり、変更が計画されて実行される場合には、明確な連絡と事前の通知が行われます。DMZ 内のサーバに生じる変更は計画されているものだけなので、このセグメントでの攻撃は通常はインバウンドで、すぐに明らかになります。このセグメントのための有効なアクセス制御ポリシーは、サービスへのアクセスを厳格に制御し、新しいネットワーク イベントを検索します。

DMZ 内のサーバには、DMZ がネットワークを介して照会できるデータベースを含めることができます。DMZ と同様に予期しない変更が生じることはありませんが、データベースのコンテンツはより機密性が高く、Web サイトや他の DMZ サービスよりも強力な保護を必要とします。DMZ のアクセス制御ポリシーに加えて強力な侵入ポリシーを設定することは、効果的な戦略となります。

このセグメントに展開された管理対象デバイスは、DMZ 内の侵害されたサーバから発信される、インターネットに対する攻撃を検出できます。ネットワーク ディスカバリを使用してネットワーク トラフィックの監視を行うと、それらの公開されているサーバで変更点(予期されないサービスが突然現れるなど)を監視して、DMZ 内の侵害されたサーバを発見するために役立ちます。

 

内部ネットワーク上

悪意のある攻撃は内部ネットワーク上のコンピュータから生じることがあります。これは、明確な行為(未知のコンピュータが不意にネットワークに出現するなど)または偶発的な感染(オフサイトで感染した作業用ラップトップがネットワークに接続してウイルスを拡散するなど)である可能性があります。内部ネットワークでのリスクはアウトバウンドである可能性もあります(コンピュータが疑わしい外部 IP アドレスに情報を送信するなど)。

このダイナミック ネットワークでは、アウトバウンド トラフィックに加えてすべての内部トラフィックにも、厳密なアクセス制御ポリシーが必要です。ユーザとアプリケーション間のトラフィックを厳密に制御する、アクセス制御ルールを追加します。

 

コア ネットワーク上

コア資産は、あらゆるコストを払ってでも保護する必要がある、ビジネスの成功に不可欠な資産です。コア資産はビジネスの性質によって異なりますが、典型的なコア資産には、財務センターや管理センター、さらには知的財産のリポジトリが含まれます。コア資産のセキュリティが侵犯された場合、ビジネスが破たんする可能性があります。

ビジネスが機能するためには、このセグメントが容易に使用可能でなければならないものの、厳密に制限され制御される必要もあります。アクセス制御では、リスクが最も高いネットワーク セグメント(リモート ネットワークやモバイル デバイスなど)が、それらの資産にアクセスできないようにする必要があります。このセグメントでは、ユーザやアプリケーションのアクセスに厳密なルールを適用して、最も積極的な制御を使用します。

 

リモートまたはモバイル ネットワーク上

オフサイトにあるリモート ネットワークは通常、仮想プライベート ネットワーク(VPN)を使用してプライマリ ネットワークにアクセスできるようにします。モバイル デバイスやパーソナル デバイスの業務目的での使用(「スマートフォン」を使用して社内電子メールにアクセスする、など)は、ますます一般的になっています。

これらのネットワークは、迅速かつ継続的に変更される、非常に動的な環境となることがあります。専用のモバイルまたはリモート ネットワークに管理対象デバイスを展開すると、不明な外部ソースに出入りするトラフィックを監視および管理するための、厳格なアクセス コントロール ポリシーを作成することができます。ポリシーは、ユーザ、ネットワーク、およびアプリケーションがコア リソースにアクセスする方法を厳密に制限して、リスクを軽減できます。

 

複数ポートの管理対象デバイスの使用

管理対象デバイスは、ネットワーク モジュールに、複数のセンシング ポートを提供します。以下の目的で、複数ポートの管理対象デバイスを使用できます。

ネットワーク タップから個々の接続を再結合する

さまざまなネットワークからのトラフィックを検知して評価する

仮想ルータとして実行する

仮想スイッチとして実行する


) 各ポートは、デバイスの評価対象となる完全なスループットを受信できますが、管理対象デバイスでの合計トラフィックが帯域幅の評価を超えるとパケットの消失が発生します。


ネットワーク タップのある複数ポートの管理対象デバイスを展開することは、簡単な処理です。次の図は、トラフィックの多いネットワーク セグメントに設置されたネットワーク タップを示しています。

 

このシナリオでは、タップが別個のポートを介して着信および発信トラフィックを伝送します。管理対象デバイス上の複数ポートのインターフェイス アダプタ カードをタップに接続すると、管理対象デバイスはトラフィックを単一のデータ ストリームに組み合わせて、分析可能にすることができます。

以下の図に示すようなギガビット光学タップでは、管理対象デバイス上にあるポートのセットは、どちらもタップからのコネクタによって使用されることに注意してください。

 

仮想スイッチを使用して、展開のタップとスイッチの両方を置き換えることができます。タップを仮想スイッチに置き換える場合は、タップのパケット配信保証を失うことに注意してください。

 

さまざまなネットワークからのデータを取得するインターフェイスを作成することもできます。次の図は、デュアルポートのアダプタがある単一のデバイスと、2 つのネットワークに接続された 2 つのインターフェイスを示しています。

 

1 つのデバイスを使用して両方のネットワーク セグメントを監視することに加えて、デバイスの仮想スイッチの機能を使用して、展開にある両方のスイッチを置き換えることができます。

 

複雑なネットワークの展開

エンタープライズのネットワークは、VPN などのリモート アクセスを必要とする場合や、ビジネス パートナーやバンキング接続などの複数のエントリー ポイントを持つ場合があります。以下の項では、これらの展開に関係する問題の一部について説明します。

「VPN との統合」

「他のエントリ ポイントでの侵入検知」

「複数サイト環境での展開」

「複雑なネットワーク内の管理対象デバイスの統合」

VPN との統合

バーチャル プライベート ネットワーク(VPN)は、IP トンネリング技術を使用して、ローカル ネットワークのセキュリティをインターネット上のリモート ユーザに提供します。一般に、VPN ソリューションは IP パケット内のデータ ペイロードを暗号化します。IP ヘッダーは暗号化されていないので、そのパケットを他のパケットと同様にパブリック ネットワーク経由で送信することができます。パケットが宛先ネットワークに到達すると、ペイロードが復号化されて、パケットは適切なホストに送られます。

ネットワーク アプライアンスは VPN パケットの暗号化されたペイロードを分析できないため、管理対象デバイスを VPN 接続の終端エンドポイントの外部に配置すると、すべてのパケット情報にアクセスできるようになります。次の図は、管理対象デバイスを VPN 環境に展開する方法を例示しています。

 

管理対象デバイスとの VPN 接続の両側で、ファイアウォールとタップを置き換えることができます。タップを管理対象デバイスに置き換える場合は、タップのパケット配信保証を失うことに注意してください。

 

他のエントリ ポイントでの侵入検知

多くのネットワークには、複数のアクセス ポイントが含まれています。インターネットに接続する単一の境界ルータの代わりに、一部の企業は、インターネット、モデム バンク、およびビジネス パートナーのネットワークへの直接リンクの組み合わせを使用します。一般に、管理対象デバイスは、ファイアウォールの近く(ファイアウォールの内部、ファイアウォールの外部、または両方)に、そしてビジネス データの整合性と機密性のために重要なネットワーク セグメントに展開する必要があります。次の図は、管理対象デバイスを、複数のエントリ ポイントが存在する複雑なネットワークの主な場所に設置する方法を示しています。

 

ファイアウォールとルータを、そのネットワーク セグメントに展開された管理対象デバイスに置き換えることができます。

 

複数サイト環境での展開

多くの組織では、地理的に分散している企業全体で侵入検知を展開し、1 か所からすべてのデータを分析することを望んでいます。FireSIGHT システムは、組織の多数の場所に展開された管理対象デバイスからのイベントを集約して関連付けする防御センターを提供して、これをサポートします。同じネットワーク上の同じ地理的な場所に複数の管理対象デバイスと防御センターを展開するのとは異なり、さまざまな地理的な場所に管理対象デバイスを展開する際には、管理対象デバイスとデータ ストリームのセキュリティを確保するために対策を講じる必要があります。データを保護するために、保護されていないネットワークから管理対象デバイスと防御センターを隔離する必要があります。これは、VPN を介した管理対象デバイスからのデータ ストリームを送信することによって、または次の図のように他のセキュアなトンネリング プロトコルによって実行できます。

 

ファイアウォールとルータを、各ネットワーク セグメントに展開された管理対象デバイスに置き換えることができます。

 

複雑なネットワーク内の管理対象デバイスの統合

単純な複数セクター ネットワークよりも複雑なネットワーク トポロジに、管理対象デバイスを展開できます。この項では、FireSIGHT 防御センターを使用した複数の管理対象デバイスの管理や、複数サイト環境での管理対象デバイスの展開と管理についての情報に加えて、プロキシ サーバ、NAT デバイス、および VPN が存在する環境に展開する際のネットワーク ディスカバリと脆弱性分析に関連した問題について説明します。

プロキシ サーバと NAT との統合

ネットワーク アドレス変換(NAT)のデバイスやソフトウェアがファイアウォールの外側に配置されており、ファイアウォールの内側に内部ホストの IP アドレスが効果的に隠されている場合があります。管理対象デバイスがこれらのデバイスやソフトウェアと監視されるホストの間に配置されている場合は、システムがプロキシや NAT デバイスの背後にあるホストを正確に識別しない可能性があります。このような場合、シスコでは、ホストが正しく検出されるように、プロキシまたは NAT デバイスで保護されているネットワーク セグメント内に管理対象デバイスを配置するように推奨しています。

ロード バランシング方式との統合

一部のネットワーク環境では、Web ホスティングや FTP ストレージ サイトなどのサービスに対してネットワーク ロード バランシングを実行するために、「サーバ ファーム」設定が使用されます。ロード バランシング環境では、IP アドレスが、固有のオペレーティング システムの複数のホスト間で共有されます。この場合、システムはオペレーティング システムの変更を検出するので、高い信頼値を持つ静的なオペレーティング システム ID を提供できません。影響を受けるホストにある別個のオペレーティング システムの数に応じて、システムは、多数のオペレーティング システムの変更イベントを生成するか、またはより低い信頼値を持つ静的なオペレーティング システム ID を示します。

検出に関するその他の考慮事項

識別されているホストの TCP/IP スタックに変更が生じた場合は、システムがホストのオペレーティング システムを正確に識別できないことがあります。場合によっては、パフォーマンスを向上させるためにこれを行うことがあります。たとえば、インターネット インフォメーション サービス(IIS)の Web サーバを実行する Windows ホストの管理者は、TCP ウィンドウ サイズを大きくして受信するデータの量を増やし、パフォーマンスを向上させるように勧められています。別の例として、TCP/IP スタックの変更によって本当のオペレーティング システムを不明瞭にして、正確に識別できないようにし、攻撃対象とならないようにする場合があります。この対処方法が用いられるシナリオとして考えられるのは、攻撃者がネットワークの偵察スキャンを実施して特定のオペレーティング システムを持つホストを識別してから、そのオペレーティング システムに合った手段を使用して、それらのホストを対象にした攻撃を行うことです。