[an error occurred while processing this directive]
製品情報トップ
Cisco IOS ソフトウェア
Cisco IOS テクノロジー
Cisco IOS Security
Cisco IOS Intrusion Prevention System(IPS)
製品資料

Cisco IOS Intrusion Prevention System(IPS)
Cisco IOS IPS データ シート

データ シート





Cisco IOS IPS


このデータ シートでは、Cisco IOS® Intrusion Prevention System(IPS; 侵入防御システム)の概要を示します。


製品概要

今日のビジネス環境では、ネットワークに対する侵入および攻撃は、ネットワークの外部だけでなく内部から発生する可能性があります。攻撃者は、DoS(サービス拒否)攻撃または Distributed Denial of Service(DDoS; 分散型サービス拒否)攻撃を仕掛けてくる場合があります。また、インターネット接続に対して攻撃を行ったり、ネットワークやホストの脆弱性を悪用することもあります。さらに、インターネットのワームやウイルスは、数分で世界中に拡散するまでになっています。この場合、人的介入を待っている余裕はありません。このような攻撃、脅威、悪用、ワーム、およびウイルスを瞬時に識別して軽減するためのインテリジェンスをネットワーク自体が備えている必要があります。

Cisco IOS IPS は、業界初のインライン型の詳細なパケット インスペクション ベースのソリューションであり、ルータのパフォーマンスを損なうことなく、Cisco IOS ソフトウェアによるさまざまなネットワーク攻撃の効率的な軽減を可能にします。Cisco IOS IPS は、シスコの自己防衛型ネットワークの中心的なコンポーネントとして機能し、悪意のある、または有害なトラフィックをリアルタイムで正確に識別、分類、および阻止するインテリジェンスとパフォーマンスを使用して、ネットワークが自己防衛できるようにします。


Cisco IOS IPS:利点と機能

一般的な攻撃防御策は、ヘッドエンドでファイアウォールを展開してトラフィックを検査することです。しかし、ブランチ オフィスの保護を行うことにより、悪意のあるトラフィックを可能なかぎりネットワークのエントリ ポイント付近で阻止することも重要です。ブランチに Cisco IOS IPS を導入すると、トラフィックの削除、アラームの送信、または接続のリセットを必要に応じてゲートウェイで実行することにより、発生元で攻撃を阻止したり、不要なトラフィックをネットワークから迅速に削除することができます。

主な利点

  • Cisco IOS IPS は、基盤となるルーティング インフラストラクチャを使用して新たなセキュリティ レイヤを提供するため、投資の保護が可能です。
  • Cisco IOS IPS はインライン型であり、広範囲にわたるルーティング プラットフォームでサポートされているため、攻撃を効率的に軽減して、ネットワークの内部および外部の両方からの不正なトラフィックを拒否することができます。
  • Cisco IOS IPS を Cisco IOS FirewallVPN、および NAC(Network Admission Control)ソリューションと組み合わせて使用すると、ネットワークにおけるすべてのエントリ ポイント上で、脅威に対する優れた保護を実現できます。
  • Cisco IOS IPS は、CiscoWorks VMS(VPN/Security Management Solution)の一部である Cisco Router and Security Device Manager(SDM)、Cisco Management Center for IPS Sensors などの、使いやすく効率的な管理ツールによりサポートされています。これにより、運用の複雑性とコストを軽減できます。

シスコの IPS ソリューションは、お客様のネットワーク インフラストラクチャへのスムーズな統合や重要なリソースの予防的な保護を提供するように設計されており、エンドポイント、サーバ、またはネットワーク インフラストラクチャにおけるさまざまな脅威に対応します。

シスコは、IPS 機能を備えた業界初のルータを提供することで、市場をリードします。Cisco IOS IPS はインライン型の詳細なパケット インスペクション ベースのソリューションであり、Cisco IOS ソフトウェアによるネットワーク攻撃の効率的な軽減を可能にします。また、Cisco IPS 4200 シリーズ センサー アプライアンス、Cisco Catalyst® 6500 シリーズ IDS サービス モジュール、およびサービス統合型ルータ向けの Cisco IDS ネットワーク モジュールなどと同様の Cisco IPS および IDS テクノロジーを使用して、侵入の防御およびイベントの通知を行います。Cisco IOS IPS はインライン型であるため、トラフィックの削除、アラームの送信、接続のリセット、または攻撃者の拒否が可能です。ルータは、これらの機能を使用して、セキュリティの脅威に迅速に対応し、ネットワーク保護を実現します。

一般的に、ファイアウォールの展開および攻撃に対するトラフィックの検査はハブで行いますが、攻撃はブランチでも発生する可能性があるため、ハブ以外の場所でのセキュリティ展開も考慮する必要があります。Cisco IOS IPS は、IP Security(IPSec)VPN、Generic Routing Encapsulation(GRE; 総称ルーティング カプセル化)、および Cisco IOS Firewall と連携することにより、ネットワークにおける最初のエントリ ポイント(ブランチまたはハブ)での暗号解読、トンネル終端、ファイアウォール展開、およびトラフィック検査を実行できます。これは業界初の機能です。これにより、できるだけ発生源に近い場所でのネットワーク攻撃の阻止を実現できます。

Cisco IOS IPS の機能は次のとおりです。

  • 選択された IPS シグニチャのロードと有効化を Cisco IPS センサー アプライアンスと同じ方法で行うことができます。
  • Cisco IDS センサー アプライアンスでサポートされる 1500 を超えるシグニチャをサポートします。
  • ユーザは既存のシグニチャの変更や新規シグニチャの作成により、新たに検出された脅威に対応できます(各シグニチャを有効化して、アラームの送信、パケットの削除、接続のリセット、または攻撃者からのすべての悪意のあるトラフィックの拒否を実行できます)。

最大限の侵入防御を必要とするユーザに対しては、「発生の可能性の高い」ワームと攻撃に対するシグニチャを含んだ使いやすいシグニチャ ファイルを選択できるオプションもあります。信頼のおけるこれらのワームおよび攻撃用シグニチャに対してトラフィックが一致した場合、削除の対象となります。Cisco SDM は、これらのシグニチャのプロビジョニングのためのわかりやすいユーザ インターフェイスを提供します。これには、ソフトウェア イメージを変更しなくても Cisco.com から新しいシグニチャをアップロードできる機能も含まれます。また、Cisco SDM は、これらのシグニチャに合わせた適切なルータ設定も行います。


Signature Definition File(SDF)

SDF は、シグニチャの詳細と設定を含むファイルです。Cisco IOS IPS 対応ルータでは、この SDF を使用して、既存の IPS 設定をリアルタイムでアップデートします。つまり、実行中のシグニチャ数の変更やシグニチャ照合の際に行われるアクション(攻撃者の警告、削除、リセット、拒否)に対するシグニチャの設定の変更は、すべて Cisco IOS イメージをアップデートすることなく行えます。

Cisco IOS IPS には、128MB.sdf、256MB.sdf、または attack-drop.sdf の 3 つの事前定義済み SDF のいずれかが付属しています。この 3 つのファイルのうち少なくとも 1 つは、Cisco IOS ソフトウェア リリース 12.3(14)T 以上が付属するすべての Cisco IOS IPS 対応ルータのフラッシュ メモリに含まれています。これらの SDF には、セキュリティに対する脅威を検出し、ユーザがシグニチャの展開および管理を容易にできるようにする、最新かつ高性能の(フォールス ポジティブが少ない)ワーム/ウイルス/IM/ピアツーピア(P2P)ブロッキング シグニチャが含まれています。SDF が事前に組み込まれているため、ユーザは、Cisco IOS ソフトウェアで提供されるさまざまなシグニチャを使用して、独自の SDF を最初から作成する必要がありません。シグニチャの追加または変更は、これらの SDF を使用して行うこともできます。

シスコが作成した新しいシグニチャは、Cisco.com の http://www.cisco.com/pcgi-bin/tablebuild.pl/ios-sigup で参照できます。最新のシグニチャは、ダウンロードしてルータ上の既存のシグニチャと結合させることができます。シグニチャの結合には、Cisco SDM や Cisco Management Center for IPS Sensors などのシスコ製管理ツールを使用します。お客様が選択するシグニチャは、保護する対象、シグニチャ、メモリ、およびプラットフォームのタイプなどによって異なります。ただし、プラットフォーム、メモリ、またはシグニチャのタイプを確認せずに、すべてのシグニチャをロードすることは推奨しません。


Signature Micro Engine

Cisco IOS IPS は、Signature Micro Engine(SME)を使用して SDF をロードし、シグニチャのスキャニングを行います。各 SME は、検査対象のプロトコルとフィールドに合わせてカスタマイズされており、許容範囲または値のセットを含む、適切なパラメータ セットを定義しています。SME は、パラレル シグニチャ スキャニング技法を使用して常に SME 内の複数のパターンをスキャンすることにより、特定のプロトコル内の不正なアクティビティを検出します。


攻撃の軽減

一般的に、Cisco IOS IPS は分散型の IPS 軽減方式で使用されます。通常の Cisco IOS ルータ ネットワークにおいて、ルータは、リモート VPN ブランチ オフィス、パートナーが接続されたリンク、在宅勤務者のリモートアクセス接続など、外部ネットワークからのすべてのエントリ ポイントを含むネットワーク全体に展開されます。お客様は、Cisco IOS IPS を使用することで、保護されたネットワークへのバックドアとしてこれらのリモート ロケーションを利用しようとする外部のハッカーからの攻撃を検出できます。これにより、このような攻撃がネットワークにさらに侵入する前に検出できるようになり、分散型のネットワーク接続における早期の攻撃検出が実現します。Cisco IOS IPS で検出できる攻撃(ワームおよびウイルス)の例は、次のとおりです。

  • ANTS、Bagle、MyDoom、Netsky、Agobot、Minmai、Klez、Sober、Zotob、Norvag、Phatbot、MyTob、GaoBot、Blaster、W2K RPC DoS、ZAFI.D、Slapper、Apache/mod_ssl、Slammer、Nachi、Ping Tunnel

管理

Cisco SDM 2.2 と CiscoWorks VMS のコンポーネントである Cisco Management Center for IPS Sensors 2.2 を使用すると、Cisco IOS ルータで実行されている IPS 機能を完全に管理できるようになります。これには、ルータ上の既存のシグニチャの調整、カスタム シグニチャの作成、新しいシグニチャの追加などが含まれます。さらに、Cisco Management Center for IPS Sensors 2.2 では、多数のルータへのシグニチャの展開も行えます。


関連情報

Cisco IOS IPS の詳細については、http://www.cisco.com/jp/product/hs/ios/security/ips/ を参照してください。



[an error occurred while processing this directive]