Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

IDP 移行の概要

このトピックでは、スタンドアロンのジュニパーネットワークス IDP シリーズ侵入検知防御アプライアンス、または IDP セキュリティ モジュールを備えたジュニパーネットワークス ISG シリーズ統合セキュリティー ゲートウェイからジュニパーネットワークス SRX シリーズ サービス ゲートウェイに移行する際の基本的な考慮事項について簡単に説明します。

詳細については、以下のトピックを参照してください。

IDPシリーズ・アプライアンスからSRXシリーズ・デバイスへの移行の概要

導入

SRX シリーズ デバイスは、完全なセキュリティ機能とネットワーク機能を備え、ジュニパーネットワークス IDP シリーズ侵入検知防御アプライアンスの IPS(フル侵入防御システム)技術をネイティブに統合した最高パフォーマンスのファイアウォールであり、ネットワーク全体で現在および新たな脅威に対するインライン保護を提供します。

SRX シリーズの IDP ポリシーは、ジュニパーネットワークスの J-Web ソフトウェア内から完全に構成できますが、本書では主に CLI および Junos Space Security Director の構成手順に焦点を当てています。このガイドは、IDP シリーズに初めてアクセスするシステム エンジニアと、スタンドアロン IDP シリーズおよび ISG シリーズと IDP ソリューションの管理に精通している方の両方に、簡単に移行および学習できるパスを提供することを目的としています。

スタンドアロン IDP シリーズ デバイスは通常、スニッファー モードまたは透過モードで導入されるため、ネットワーク設計に関する追加の考慮事項に対処する必要があります。これには以下が含まれます。

  • ネットワーク インターフェイスの設定

  • セキュリティ ゾーンの構成

また、以下のセキュリティ機能についても検討事項があります。

  • サービス拒否(DoS)およびフラッド防御。

  • トラフィック異常検知またはスクリーニング(および SRX シリーズ デバイスに適用される検知方法の一部)。

  • 新しいデバイスを追加すると、特にレイヤー 3 の処理に関してネットワーク トラフィックに影響を与える可能性があるため、構成した設定とアクションを綿密に分析する必要があります。

SRXシリーズサービスゲートウェイは、Snifferモード(SRX5400、SRX5600、SRX5800デバイスでのみ)導入できます。Sniffer モードは、SRX300、SRX340、SRX345、SRX550HM のデバイスではサポートされていません。

マルチメソッド検出

SRX シリーズ デバイスは、メインの IDP ルールベースと免除ルールベースという 2 つのルールベースを導入します。

さらに、SRX シリーズ デバイスは、ScreenOS ベースのセキュリティ デバイスで利用可能な技術に基づくセキュリティ ゾーンを使用し、基本的なスタンドアロンの検知方法やルールベースの代替として詳細な画面保護を提供します。

ログ

SRX シリーズ デバイスのロギングは、システム ロギングを介してセキュリティ イベントに応じて、Juniper Networks Juniper Secure Analytics(JSA)などの事前設定済みの syslog サーバーにレコードを送信するように設定する必要があります。

センサー構成設定

スタンドアロン IDP シリーズと SRX シリーズの両方のデバイスでは、多数のセンサー構成設定を構成して IDP シリーズの動作を微調整したり、CLI および Junos Space Security Director(SD)からアクセスしたりできます。いずれかの設定がデフォルト値から変更されたか、さらに変更する必要がある場合は、手動で変更する必要があります。変更された設定をエクスポートまたはインポートするための自動化されたプロセスはありません。

検討すべき重要ポイント

IDP シリーズ アプライアンスから SRX シリーズ デバイスに移行する場合、以下の重要な点に注意してください。

  • ScreenOSのディープインスペクションと比較すると、SRXシリーズデバイスの基本的なIPS検出機能は、IDPシリーズアプライアンスやIDPセキュリティモジュールを備えたISGシリーズで使用可能な機能と異なるわけではありません。

  • SRX シリーズ IDP ですべての IPS 機能を利用できるわけではありません。それらの違いを詳しく説明したマニュアルを理解することをお勧めします。

  • Sniffer モード(透過モード)では、SRX5400、SRX5600、SRX5800 のデバイスのみ設定できます。

  • IPS は、SRX シリーズ デバイス上でサービスとして動作するために個別のライセンスを必要としません。ただし、IPS の更新にはライセンスが必要です。

  • ベースとなるファイアウォールポリシーは必要であり、IPSインスペクションを有効にするには、IPSアプリケーションサービスステートメントを含める必要があります。

  • すべての攻撃の有効化はサポートされていません。ポリシーが読み込まれていない場合は、サービスログファイルでポリシーサイズとロード結果を確認します。

  • SRXシリーズのデータプレーンでメッセージが識別された場合、セキュリティイベント関連メッセージを収集するには、システムログ(syslog)サーバーが必要です。

  • 攻撃オブジェクトの数とポリシーのサイズによっては、IPS ポリシーのコンパイルと適用に時間がかかることを理解することが重要です。Junos OSリリース12.1およびJunos OSリリース17.3R1以降、SRXシリーズデバイスは、よりスマートなコンパイルエンジンに加え、キャッシュコンパイル情報を活用してコンパイルプロセスにかかる時間を大幅に短縮します。コンパイル プロセスは非同期で実行されるため、SRX シリーズ デバイスはプロセスを開始しますが、CLI や SD セッションは保持されませんが、後でステータスを確認できます。

侵入防御システムについて

概要

ジュニパーネットワークスの侵入防御システム(IPS)機能は、ネットワーク トラフィックの攻撃を検知して防止します。

SRX シリーズ デバイスは、Junos OS ソフトウェアに統合された IPS 機能を提供します。特別なハードウェアは必要ありません。IPS 管理者は、CLI または Junos Space Security Director を使用して IPS を導入および管理できます。

IPS アーキテクチャ

IPSアーキテクチャは、以下で構成されています。

  • IPS 搭載 SRX シリーズ デバイス - IPS 機能は Junos OS の一部として統合されており、特別なハードウェアは必要ありません。

  • 管理:SRX シリーズ デバイスは、CLI コマンドを使用して完全に管理できます。ただし、IPS の導入に複数の SRX シリーズ デバイスが含まれている場合は、Junos Space Security Director アプリケーションの使用をお勧めします。

  • ロギング:Juniper Secure Analytics(JSA)は、ジュニパーネットワークスのセキュリティ情報およびイベント管理(SIEM)ソリューションです。JSA には、SRX シリーズ デバイス IPS ソリューション用に定義済みのダッシュボードとレポートがあります。JSAは、ログ作成に加えて、イベントの関連付け、インシデント管理、フロー監視も提供します。SRXシリーズのログはsyslog(構造化データsyslog)形式で、JSAまたはユーザーがすでに導入している可能性のある他のsyslogサーバーに送信できます。

シャーシ クラスタリングの制限付き IPS

IPSは、SRXシリーズデバイスのアクティブ/パッシブおよびアクティブ/アクティブの両方のクラスターモードでサポートされており、以下の制限があります。

  • フェイルオーバーまたはフォールバックするセッションでは、検査は実行されません。フェイルオーバー後の新しいセッションのみがIPSによって検査され、古いセッションはファイアウォールセッションになります。

  • IP アクション テーブルはノード間で同期されません。セッションに対して IP アクションが実行され、送信元 IP、宛先 IP、またはその両方が IP アクション テーブルに追加された場合、この情報はセカンダリ ノードには同期されません。そのため、新しい攻撃が検知されるまで、送信元 IP、宛先 IP、またはその両方からのセッションが転送されます。

  • SSL セッション ID キャッシュは、ノード間で同期されません。SSLセッションがセッションIDを再利用し、たまたまセッションIDがキャッシュされているノード以外のノードで処理される場合、SSLセッションは復号化できず、IPSインスペクションにバイパスされます。

侵入防御システムの導入モードについて

このトピックでは、SRX シリーズ デバイスのさまざまなタイプの IPS 導入モードの概要について説明します。

IPS には、次の 3 つの異なる導入モードがあります。

  • 統合モード

  • Sniffer モード

統合型モード

統合モードは、SRX シリーズ デバイスでサポートされています。統合モードは、SRX シリーズ デバイスで IPS が動作するデフォルト モードです(デバイスが統合モードであることを示す具体的な兆候はありません)。

メモ:

IPS を統合モードで導入することをお勧めします。

スニッファー モード

Sniffer モードは、SRX5400、SRX5600、SRX5800 のデバイスでのみサポートされています。無差別モードでインターフェイスを設定し、ルーティングでトラフィックとフローの設定を操作することで、IPS導入のスニッファーモードを使用できます。

SRX5400、SRX5600、SRX5800のデバイスでは、Snifferモードでは、イングレスインターフェイスとエグレスインターフェイスは、送信元と宛先の両方のインターフェイスをエグレスインターフェイスとして示すフローで動作します。

回避策として、Snifferモードでは、タグ付きインターフェイスを使用します。そのため、ログには同じインターフェイス名が表示されます。例えば、ge-0/0/2.0をイングレス(Sniffer)インターフェイスとして、エグレスインターフェイスとしてge-0/0/2.100をログに表示し、送信元インターフェイスをge-0/0/2.100として表示します。

IPS の使用を開始する

SRX シリーズ デバイスを IPS 機能用に設定する前に、以下のタスクを実行します。

  1. Install the License—攻撃オブジェクトをダウンロードするには、IDP ライセンスをインストールする必要があります。カスタム攻撃オブジェクトのみを使用している場合、ライセンスをインストールする必要はありませんが、Juniper Networks定義済みの攻撃オブジェクトをダウンロードする場合は、このライセンスが必要です。ジュニパーは、30日間のトライアルライセンスをダウンロードして、この機能を短時間許可して機能を評価する機能を提供します。必要なのは、ファイルの保管場所を指定するか、コピーして端末に貼り付けるというコマンドを実行 request system license add することばかりです。

  2. Configure Network Access攻撃オブジェクトをダウンロードする前に、ジュニパーのダウンロードサーバーまたは署名をダウンロードできるローカルサーバーのいずれかへのネットワーク接続が必要です。これには通常、ネットワーク構成(IP/ネットマスク、ルーティング、DNS)と、サーバーへのアクセスが許可されている必要があります。この書き込み時には、HTTP プロキシはサポートされていませんが、ファイルの配信元となるローカル Web サーバーを構成できます。

  3. Download Attack ObjectsIPS を展開する前に、まずポリシーのコンパイル元となる攻撃オブジェクトをダウンロードする必要があります。手動ダウンロードをトリガーしても、SRX シリーズ デバイスがダウンロードするように設定されないため、ダウンロードするには自動更新を設定する必要があります。

  4. Install Attack Objectsダウンロードが完了したら、攻撃の更新プログラムをポリシーで実際に使用する前にインストールする必要があります。すでにポリシーが設定されている場合は、ポリシーを再度コミットする必要はありません。更新をインストールすると、ポリシーがポリシーに追加されます。インストールプロセスは、ステージディレクトリにダウンロードされた攻撃オブジェクトを設定されたポリシーにコンパイルします。

  5. Download Policy Templates (optional)オプションで、ジュニパーが提供するポリシーテンプレートと呼ばれる定義済みIPSポリシーをダウンロードしてインストールして開始できます。この章を終えた後は、独自のポリシーを設定できる必要があります。ポリシー テンプレートは必要ないでしょう。

メモ:

Junos OS リリース 12.1 および Junos OS リリース 17.3R1 以降、SRX シリーズ デバイスは自動的に署名パッケージをシャーシ クラスタのセカンダリ メンバーにプッシュします。Junos OS リリース 12.1 および Junos OS リリース 17.3R1 以前は、両方のメンバーが独自のインスタンスをダウンロードする必要があるため、クラスタの両方のメンバーで fxp0 を使用する必要がありました。12.1 および 17.3R1 を超える Junos OS リリースでは、明示的な設定はありません。SRX シリーズ デバイスは、ダウンロード プロセス中に署名パッケージをダウンロードし、セカンダリ メンバーにプッシュします。