×

クリックして
目次を表示

メニュー UniFi セキュリティガイド

前書き


ネットワーク侵入検知・防止システム (IPS / IDS) は、シグニチャ (攻撃の特徴やパターン) に基づいて潜在的に悪意のあるトラフィックを識別するエンジンです。

シグニチャには、マルウェアが使用する既知のトラフィックパターンまたは命令シーケンスが含まれます。このタイプのシグニチャベースエンジンは、既知の悪意のあるトラフィックパターンに基づいてのみ異常を検出できます。

適用可能なシステム

UniFi Security Gateway
UniFi Dream Machine
UniFi Dream Machine Pro


侵入検知と防止


IPS / IDSを有効にするには、UniFiネットワークコントローラの[Internet Security]セクションに移動します。

なお、IPS / IDSを有効にすると、VLAN間および出力トラフィックの最大スループットが概算で以下まで抑制されます。

脅威管理モード

[Internet Security] > [Threat Management] 設定画面

システム感度レベル

システム感度レベル (System Sensitivity Levels) は、脅威管理デーモンにロードされる、事前定義されたセキュリティカテゴリのレベルです。なお、レベルを上げるごとにより多くのメモリとCPUの使用量が必要になります。手動でカテゴリを選択するときには「カスタム」レベルが使用されます。

Activex

ActiveXに関する攻撃と脆弱性 (CVEなど) 。

攻撃応答

侵入を示す応答-LMHostファイルのダウンロード、特定のバナー、Metasploit Meterpreter killコマンドの検出など。これらは、成功した攻撃の結果をキャッチするように設計されています。「id = root」のようなもの、または侵害があったことを示すエラーメッセージが発生した可能性があります。

Botcc
(Bot Command and Control)

既知の確認済みのアクティブなボットネットおよび他のコマンドアンドコントロールホストのいくつかのソースから自動生成されます。毎日更新され、主要なデータソースはShadowserver.orgです。shadowserver.org, spyeyetracker, palevotrackerおよびzeustrackerから生成されたボットコマンドおよび制御ブロックルール。

CIArmy

CINSscore.comのCollective Intelligenceがブロック用のIPルールを生成します。

DNS

DNSに関する攻撃と脆弱性のルール。また、トンネリングなどのプロトコル乱用のカテゴリ。

DOS

サービス拒否攻撃の試みの検出。インバウンドDOSアクティビティとアウトバウンド表示をキャッチすることを目的としています。

Dshield

DShield.orgのトップ攻撃者リストについて毎日更新されるリスト。

エクスプロイト

特定のサービスカテゴリに含まれないエクスプロイト。直接の悪用を検出するためのルール。一般に、Windowsエクスプロイト、Veritasなどを探している場合は、ここにあります。SQLインジェクションなどはエクスプロイトですが、独自のカテゴリがあります。

FTP

FTPに関する攻撃、エクスプロイト、および脆弱性のルール。また、ログインなどのロギング目的の基本的な悪意のないFTPアクティビティも含まれます。

ゲーム

ゲームトラフィックの識別とそれらのゲームに対する攻撃のルール。World of Warcraft, Starcraftなど人気のオンラインゲームに関連するシグネチャがあります。私たちはこれらのことを悪とラベル付けするつもりはありません。

ICMP

ICMPに関する攻撃および脆弱性のルール。また、ロギングの目的でプロトコルの基本的なアクティビティを検出するルールも含まれます。

IMAP

IMAPプロトコルに関する識別および攻撃と脆弱性のルール。また、ロギングの目的でプロトコルの基本的なアクティビティを検出するルールも含まれます。

マルウェア

マルウェアとスパイウェアに関連し、明確な犯罪目的はありません。このセットに含めるためのしきい値は、通常、明らかな犯罪活動がなければ停止する追跡の形式です。このセットはもともとスパイウェアであることが意図されていました。実際には、いくつかのルールカテゴリにはこれで十分です。最初にこのセットを開始して以来、スパイウェアと悪意のある悪意のあるものとの境界が曖昧になりすぎています。ここにはスパイウェアだけではありませんが、ネットやPCで実行したいものは何もありません。既知の更新スキーム、既知のマルウェアのユーザーエージェント文字列、およびその他の負荷に対するURLフックがあります。

モバイルマルウェア

マルウェアとスパイウェアに関連し、明確な犯罪目的はありません。

Netbios

Netbiosに関する識別、攻撃、エクスプロイト、および脆弱性のルール。また、ロギングの目的でプロトコルの基本的なアクティビティを検出するルールも含まれます。

P2P

ピアツーピアトラフィックと攻撃に対する識別ルール。torrent, edonkey, Bittorrent, Gnutella, Limewireなどが含まれます。これらのものを悪意のあるものとしてラベル付けしているわけではありません。

POP3

POP3プロトコルに関する識別および攻撃と脆弱性のルール。また、ロギングの目的でプロトコルの基本的なアクティビティを検出するルールも含まれます。

RPC

RPC関連の攻撃、脆弱性、プロトコル検出。また、ロギングの目的でプロトコルの基本的なアクティビティを検出するルールも含まれます。

スキャン

偵察と精査を検出するためのもの。Nessus, Nikto, portscanningなど。

Shellcode

リモートシェルコード検出。リモートシェルコードは、攻撃者がローカルネットワークまたはイントラネット上の別のマシンで実行されている脆弱なプロセスをターゲットにしたい場合に使用されます。正常に実行されると、シェルコードは攻撃者にネットワーク経由でターゲットマシンへのアクセスを提供できます。リモートシェルコードは通常、標準のTCP / IPソケット接続を使用して、攻撃者がターゲットマシンのシェルにアクセスできるようにします。このようなシェルコードは、この接続の設定方法に基づいて分類できます。シェルコードがこの接続を確立できる場合、シェルコードは攻撃者のマシンに接続するため、「リバースシェル」またはコネクトバックシェルコードと呼ばれます。

SMTP

SMTPに関する攻撃、エクスプロイト、および脆弱性のルール。また、ロギングの目的でプロトコルの基本的なアクティビティを検出するルールも含まれます。

SNMP

SNMPに関する攻撃、エクスプロイト、および脆弱性のルール。また、ロギングの目的でプロトコルの基本的なアクティビティを検出するルールも含まれます。

SpamHaus

Spamhausによって調査された既知のスパマーおよびスパムネットワークの日次リストを取得します。

SQL

SQLに関する攻撃、エクスプロイト、および脆弱性のルール。また、ロギングの目的でプロトコルの基本的なアクティビティを検出するルールも含まれます。

TELNET

TELNETサービスに関する攻撃と脆弱性のルール。また、ロギングの目的でプロトコルの基本的なアクティビティを検出するルールも含まれます。

TFTP

TFTPサービスに関する攻撃と脆弱性のルール。また、ロギングの目的でプロトコルの基本的なアクティビティを検出するルールも含まれます。

TOR

TOR出口ノードとの間のトラフィックを識別するためのIPベースのルール。

トロイの木馬

犯罪目的が明確な悪意のあるソフトウェア。ここでのルールは、転送中、アクティブ、感染中、攻撃中、更新中など、ネットワーク上で検出できる悪意のあるソフトウェアを検出します。これは、選択する必要がある場合に実行する非常に重要なルールセットでもあります。

ユーザーエージェント

ユーザーエージェントの識別と検出。

VoIP

SIP, H.323, RTPなどのVoIP関連プロトコルに関する攻撃と脆弱性のルール。

Webクライアント

Webクライアント側の攻撃と脆弱性。

Webサーバー

Webサーバーに対する攻撃および脆弱性のルール。

アプリ

非常に特定のWebアプリケーションのルール。

WORM

ネットワークベースのワームの活動を示すトラフィック。

これらのカテゴリはProofpointのET Proのルールセットに基づきます。Proofpoint ET Proは、次世代ファイアウォール (NGFW) やネットワーク侵入検知・防止システム (IDS / IPS) などの既存のネットワークセキュリティアプライアンスを使用して高度な脅威を検出およびブロックするためのタイムリーで正確なルールセットです。

ET Proは毎日更新され、SNORTおよびSuricata形式で利用できます。40以上の異なるカテゴリのネットワーク動作、マルウェアのコマンドとコントロール、DoS攻撃、ボットネット、情報イベント、エクスプロイト、脆弱性、SCADAネットワークプロトコル、エクスプロイトキットアクティビティなどをカバーします。

ホワイトリスト

IPSエンジンのホワイトリスト機能により、UniFi管理者は信頼できるIPのリストを作成できます。選択した方向に応じて、トラフィックは識別されたIPとの間でブロックされません。

以下のスクリーンショットでは、サブネット100.64.0.0/16との間のトラフィックは、IPSエンジンによって追跡されません。

[Internet Security] > [Advanced] 設定画面


GeoIPフィルタリング


ブロッキング

個別の国のブロックは、コントローラの脅威管理ダッシュボードセクションで設定できます。ブロックするには地図上でその国を[Block]するだけです。

[Internet Security] > [Threat Management Dashboard] 設定画面

注意点

USG (UniFi Security Gateway) でGeoIPフィルタリングを機能させるには、ハードウェアオフロードを有効にする必要があります。脅威管理を有効にするとハードウェアオフロードが無効になります。つまり、USGで一度に有効にできるのはこれら2つの機能のうち1つだけです。



DNSフィルタリング


フィルタレベル

DNSフィルタを有効にすると、管理者はネットワークごとにフィルタリングのレベルを選択できます。これにより、適用されたLAN上のクライアントから送信されるすべてのDNS要求が3つのカテゴリのポリシーに基づいて除去されます。

[Internet Security] > [DNS Filters] 設定画面

注意点

DNSフィルタリングは、UniFi Dream Machineプラットフォームでのみ使用できます。



精密パケット検査


ディープパケットインスペクション

ディープパケットインスペクション (DPI: Deep Packet Inspection) を有効にすると、クライアントのトラフィック検査と利用アプリケーションの可視化が可能となります。

[Internet Security] > [Deep Packet Inspection] 設定画面
[Clients] > [Deep Packet Inspection] 参照画面

デバイスフィンガープリント

[Clients] > [Device Fingerprint] 参照画面


ネットワーク検査


エンドポイントのスキャン

ネットワークに接続されているエンドポイント (クライアント) を自動的にスキャンし、潜在的なセキュリティの脅威と脆弱性を特定します。

この情報の集計レポートは、脅威管理ダッシュボード (Threat Management Dashboard) で確認できます。

内部ハニーポットの設置

この仕組みは無許可のサービスまたはホストにアクセスしようとするLANクライアントをリッスンするパッシブな検出システムです。ワームや侵入型の脆弱性に感染している可能性のあるクライアントは、ネットワークをスキャンし、他のホストに感染し、アクセスしやすいサーバーの情報を盗み見ている可能性があります。ハニーポットは、ホストがハニーポットにアクセスしようとすると報告します。

この情報の集計レポートは、脅威管理ダッシュボード (Threat Management Dashboard) で確認できます。

[Internet Security] > [Network Scanners] 設定画面