侵入検知・防御システム

ホワイトペーパー
侵入検知・防御システム
ネットワークのアタック防御
Sarah Sorensen
Product Marketing Manager
Juniper Networks, Inc.
1194 North Mathilda Avenue
Sunnyvale, CA 94089 USA
408 745 2000 or 888 JUNIPER
www.juniper.net
ジュニパーネットワークス株式会社
東京本社
〒163-1035 東京都新宿区西新宿 3-7-1
新宿パークタワーN 棟 35 階
電話:03-5321-2600 FAX:03-5321-2700
www.juniper.co.jp
Part Number: 200065-001JP 06/04
1
ジュニパーネットワークス株式会社
西日本事務所
〒541-0054
大阪府大阪市中央区南本町 3-5-3-203
電話: 06-6281-6166 FAX: 06-6281-6164
www.juniper.co.jp
目 次
1. ネットワークのアタック対策は万全ですか? .............................................................. 3
2. 侵入検知防御システムの必要条件 ........................................................................... 5
2.1. NIDSの検知能力と不足能力 .................................................................................. 5
2.2. 侵入検知技術 ....................................................................................................... 6
2.2.1. プロトコル異常検知方式 ..................................................................................... 6
2.2.2. ステートフルシグネチャ侵入検知方式 ................................................................. 8
2.2.3. バックドア侵入検知方式 ................................................................................... 10
2.2.4. トラフィック異常侵入検知方式 ........................................................................... 11
2.2.5. 正規表現方式によるパターンマッチング方式 ..................................................... 12
2.3. 侵入検知防御機能はインラインモードが必須条件 ................................................. 12
2.3.1. 回避技術の阻止 ................................................................................................ 12
2.3.2. 侵入防御 ........................................................................................................... 16
2.4. 管理性 ...................................................................................................................17
3. ジュニパーネットワークスのアプローチ ......................................................................18
3.1. 高精度を実現したMMD技術 ................................................................................. 18
3.1.1. 正確なデータ表示を実現するパケット処理 .......................................................... 19
3.2. 真の防御を実現するインライン処理 ....................................................................... 19
3.3.きめ細かな制御を実現するルールベースの集中管理方式 ........................................ 20
4. まとめ ....................................................................................................................... 21
2
1. ネットワークのアタック対策は万全ですか?
ビジネス活動の展望は5年前と著しく異なります。企業はネットワーク拡大が継続することを前提としてさらに
企業間の結びつきを強めていきます。このため、企業成長や生産性を犠牲にせずにネットワークの安全を維
持する方策を確保しなければなりません。
インターネット接続を利用している企業が考える
最初の対策は、一般的には、ファイアウオールの
設置です。ファイアウオールはネットワークと外部
との境界点に配置され、ネットワークを出入りす
るトラフィックの許可または禁止を制御します。送
信元、送信先、プロトコル等の各種条件に基づい
て“許可”や“禁止”等のポリシーを適用し目的の機
能を実現します。アクセス制御により、ファイアウ
オールは第一段階の防御機能として申し分のな
い働きをします。ファイアウオールで使われるポリ
シーの大半が、インターネット上のビジネスを可
能にするSMTP、FTP、HTTP、SMTP、DNS等
のプロトコルをサポートし、内部システムに脅威を
与えるトラフィックを締め出します。
第二段階の防御機能としてネットワークへの進入が許可されたトラフィックに対しアタックの有無を検知しネッ
トワークを保護します。現在、一般的には、パッシブ型のネットワーク侵入検知システム(NIDS)がアタックか
ら組織を保護できると考えられています。しかし、残念ながら、この考え方には以下の問題があります。
„ 誤報:NIDSソリューションの多くは侵入検知メカニズムが十分でないため不正確な結果を生み出します。
そしてシステム管理者を多量の誤報で悩ませ、手動により誤報と真のアタックとの識別が必要になりま
す。最終的にはアラーム情報を無視する企業も多くなりシステムを無用なものにしてしまいます
„ 低い管理性・維持性:現在のNIDSソリューションは管理や維持が難しく、センサーの更新やセキュリティ
ポリシーの維持に途方もない時間と手間を要することで有名です
„ 保守の委託:大半の企業がNIDSを導入する場合、その真価を発揮させるためには保守をマネージドセ
キュリティサービス事業者に外部委託しなければならないと考えています
„ アタック防御機構の欠落:現在のNIDSソリューションはアタックを阻止することができません。宣伝には
アタック防御機能が含まれていますが、これらの製品は単にアタックを検知するだけで、将来的な対応を
先取りした宣伝文句にすぎない場合がほとんどです
本書ではこれらの問題を克服する技術的特長及びファイアウオールの脆弱性を補う強力で経済的なソリュ
ーションを提供する侵入検知システムの正しい実装方法について詳しく説明します。技術的な特長には侵入
検知精度や侵入防御能力の向上がありますが、他にもシステムの導入、設定、運用管理の簡素化を挙げる
ことができます。NetScreen Intrusion Detection and Prevention (NetScreen-IDPTM)と呼ぶNIDSシステム
には防御メカニズムが設計仕様に組み込まれています。侵入を正確に検知するだけではなく、ネットワーク
リソースを侵入による被害から保護という次の段階の機能を企業に提供します。
本書を読み終えられた読者は以下の知識を身につけることができます。
„ 各種侵入検知メカニズムの動作原理と各種メカニズムの組み合わせの重要性
„ 広く知られている侵入検知メカニズムであるパケットシグネチャが廃れた背景とステートフルシグネチャ
TM
システムの検知速度と精度向上の技術
„ ネットワークの侵入回避や完全防御の実現にインライン型侵入検知防御ソリューションが必要な理由
„ 複数の検知・対応メカニズムの最適化にきめ細かなコントロールオプションが必要な理由
3
2. 侵入検知防御システムの必要条件
2.1. NIDSの検知能力と不足能力
ネットワーク内部には悪い(不正)トラフィックが混入します。情報の横取りを企む外部者もいれば、企業を大
混乱に陥れようと企む不満分子が内部にいるかも知れません。犯罪者が誰であろうと、不正トラフィックの情
報を入手し対策を講じたいと考えます。アタックに関するこうした情報を提供するのがNIDSの役割で、企業
ビジネスに影響を与えないように情報を保護します。ただしNIDSは検知能力に優れているだけですので、ネ
ットワークに入り込むトラフィックが正当なトラフ
ィックか、不当なトラフィックかを十分に識別で
きる精度であることが重要です。侵入検知には
以下の状況が想定されます(図2参照):
1.不正トラフィックを検知できなかった場合
2.不正トラフィックを検知できた場合
3.正当トラフィックを不正トラフィックとして誤
検知した場合(誤報)
4.正当トラフィックを正当トラフィックとして正
しく検知(識別)した場合
1. 不正トラフィックをアタックとして識別できなかった場合
最悪の事態は侵入検知システムがその役割を果たすことができなかった場合です。アタックの検知失敗は
NIDSに適切で包括的な侵入検知メカニズムが備わっていない場合に発生します。また新型のアタックの発
生に対し、検知メカニズムが貧弱であるがために見逃してしまう場合もあります。全てのアタックを検知する
ことは実質的には不可能ですが、未検知のアタック数を最小化することを目的としたシステムでなければな
りません。
2. “真のアタック”をアタックとして識別できた場合
侵入検知システムにおける最も理想的な結果です。悪いトラフィックの検知能力を検知速度と信頼性の視点
から評価することを侵入検知精度と言います。侵入検知システムの他の機能の全てがこの能力に依存しま
す。システムの精度が高いほどシステムの能力を信頼することができます。ネットワークをセキュア化するた
めに必要なアクション(コネクションのドロップ等)を実施する前にシステムの精度が実証されていなければな
りません。
3. 正当なトラフィックをアタックとして識別した場合(誤報または誤検知)
この状況は現在のNIDSソリューションで最も厄介で手間と時間を要する問題です。この問題は正当かつ善
意のトラフィックの中にアタックの存在を信じさせる何かをNIDSが見出したときに発生します。これは有害で
しかありません。アタック成功の可否を判断するために各アラームを全て調査し、ダメージ結果を評価する必
要があるからです。誤報の調査に費やされる時間だけ真の脅威の調査に費やすべき時間が短縮されます。
この結果、製品の信頼性が薄れていきます。真のアタックに対するアラームが無視されてしまう事態も発生
します(“crying wolf”効果)。大半のNIDSは誤報の発生を最小化するように最適化できますが、最適化処理
の時間が長引きがちで、数週間を要することもあります。さらに、現在のNIDSのマネージメントデザインによ
り、調整が”all or nothing”方式になりがちです。すなわち、どのアタックを探すか、探さないかといった選択を
強いられます。誤報を最小化する目的で、あるアタックの検出を完全に“off”とした場合、これらのアタックは
NIDSに検知されることなく通過してしまいます。
最後に、誤報が多数量発生することで確実なコネクションドロップを困難にしていますが、コネクションのドロ
ップがアタックを実際に防御する唯一の方法です(2.3節参照)。
4. 正当なトラフィックを正当なトラフィックとして認識
侵入検知メカニズムにおける理想的な結果であり、トラフィックがどのようなものであろうと正当なトラフィック
4
を正当なトラフィックとして認識しなければなりません。
2.2. 侵入検知技術
NIDSに求められる理想的なパフォーマンスとは多くのアタックが識別できることと誤報の抑制にあります。残
念ながら、現在、1つの検知メカニズムで各種のネットワークアタックを検知できるNIDSを導入することはで
きません。ただし、各種アタックを検知できるように多彩な技術を組み合わせたシステムを構築することでこ
の目的を達成することができます。NetScreen-IDPシステムが発表される前(3.1節参照)は複数の異なる製
品を購入し並列稼動させる方法しかありませんでした。現在最も広く利用されているネットワーク検知メカニ
ズムにシグネチャ検知方式とプロトコル異常検知方式があります。シグネチャ方式は既知の攻撃パターン
(シグネチャ)をトラフィックから探し出しますが、新型のアタックや多数の極めて複雑なアタックは検知するこ
とはできません。一方、プロトコル異常検知方式は未知のアタックに対してもある程度の検知能力を発揮しま
すが、プロトコル違反を犯していないアタックは識別できません。これが高度に洗練された各種の検知技術
が求められている理由です。次節では各検知方式の利用技術と機能について説明します。
2.2.1. プロトコル異常検知方式
プロトコル異常検知(またはプロトコル解析)方式は、パケットフロー(2システム間における単方向通信トラフ
ィック)を解析し、一般に受け入られているインターネット通信規則に従わない異常トラフィックを識別します。
これらの規則にはオープンプロトコルや公開標準仕様(RFC)、ネットワーク装置間通信仕様(ベンダー定義)
があります。目的はこれらの要求仕様を満足しないトラフィックや関連標準に違反しているトラフィックを識別
する侵入検知メカニズムの実現にあり、異常が認識された際のネットワークセキュリティの決定に適用されま
す。この方式はバッファオーバーフロー攻撃等の疑わしき動作の検知に極めて効果があります。
プロトコル異常検知方式の利点は以下のアタックに対し高い検知能力を発揮します。
1. 未知の新型アタック(プロトコル標準からの逸脱を根拠)
2. 他の検知方式を実装しているシステムの回避に成功したアタック
3. 既知の攻撃パターン形式に多少の修正を加えたアタック(アタックの破壊力は変わりませんが、シグネ
チャ型システムの隙を狙った攻撃)
例1:FTPバウンスアタックの検知
本例ではFTPバウンスアタックとプロトコル異常検知方式を用いた識別方法について説明します。FTPバウ
ンスアタックはFTP(ファイル転送プロトコル)仕様の欠点を悪用します。ファイルをダウンロードまたはアップ
ロードする際、ユーザ(FTPクライアント)は最初にFTPサーバに接続します(1)。この時にFTPサーバはクラ
イアントに対しファイルの送受信先IPアドレスとポート番号を要求します。これは“PORTコマンド”と呼ぶメカ
ニズムを介して実行されます。実際、このIPアドレスはユーザアドレスですが、PORTコマンドではユーザアド
レスに対するIPアドレスが制限されていません。このため、アタッカーはユーザアドレスと異なるIPアドレスに
対しコネクションを開放するようにFTPサーバに要求し(2)、次に開放されたポートを使用しFTPサーバ経由
で標的に対しトロイの木馬等を含んだファイルを転送します(3)。
以上のプロセスを完了すると、アタッカーは標的にアクセスし、標的上のファイルをアタッカーのマシンに直接
転送することができます。NIDSはこのアタックを検知するためにPORTコマンドの要求内容とクライアントIP
アドレスとを比較し、それらが合致しない場合にはアラームを起動しなくてはなりません。これはシグネチャマ
ッチングでは実現することができません。なぜならこのアタックは特定の文字列(パターン)にマッチするもの
ではなく、ネットワークプロトコルの2つの要素の関係をベースにしているからです。一方、プロトコル異常検
知方式はネットワーク関係をチェックするように設計されているため、それらが仕様に従って正しく動作してい
るかどうかを判断します。NIDSは、プロトコル異常検知方式を実装することにより、PORTコマンドとその送
信元IPアドレスと比較しコマンドの要求内容を解析することができます。
例2:バッファオーバーフローアタックの検知
本例ではバッファオーバーフローアタックの攻撃内容とプロトコル異常検知方式による検知方法について説
5
明します。これらのアタックはオーバーフローをチェックせずに無制限のデータを固定サイズのメモリバッファ
に読み込ませてしまう一般的なプログラミング誤りを悪用したもので、多量の入力データがバッファから溢れ、
アプリケーションソフトウエアによるチェックを行うことができません。この時、任意のメモリアドレスが悪意の
ある過剰データに上書きされ実行されてしまう危険があります。プログラミングが正しく作られている場合に
は過剰データは実行されません。アタックが成功した場合、アタッカーはいつでも好きなときに標的のホスト
にアクセスすることができます。
アタッカーはこの種の攻撃が失敗することは覚悟の上で敢えて実施します。通常アタッカーはシステムまた
はアプリケーションの動作について事前に知識武装しており、システムやアプリケーションの適用外であると
分かっていながらデータを計画的に送り込みます。この時点ではアタックパターンは存在しません。従って、
この種のアタックを検知できる唯一の方法はプロトコル異常検知しかありません。データ伝送が異常であり、
仕様規格から外れ、アタックであると判断することができます。
バッファオーバーフローアタックが発見され特徴が公開されると(アタッカーの自己宣伝または既知の単純な
アタックであるため)、その後はシグネチャ方式のシステムによりアタックの識別が可能になります。アタック
が特徴付けられると、アタックの手順が記述され、“アタックパターン”が判明するからです。この結果、シグネ
チャの書き込みにより、以後アタックの“検知”が可能になります。
2.2.2. ステートフルシグネチャ侵入検知方式
アタックシグネチャ(パターン)の認識とマッチングがベースとなる侵入検知は極めて簡単な方式です。基本
的には既知の手法を利用した脆弱なトラフィック内における特定のパターンの発見という機能を備えていま
す。NIDSの進化はスニファーと呼ばれる名前から分かるようにネットワーク上のパケットを「スニフ」する非割
込型パケットモニタの開発から始まりました。侵入検知製品のベンダーはパケットモニタのコンセプトを適用
したパケットシグネチャ検知方式のシステムを作りました。このシステムでは、パケットストリーム内の情報を
チェックし既に知られているアタックシグネチャのデータベースと比較します。こうした簡単な侵入検知方式に
は多くの欠点があります。特に、トラフィックの再組立(リアセンブリ)、復号化、正規化、分析等の仕組みを無
視し、単に大規模なアタックシグネチャ用データベースの構築に主眼を置いた場合です。
ネットワーク伝送 – 見たものと実物は必ずしも同じではない
ネットワーク上では、情報は順番にTCP(伝送制御プロトコル)セグメントに分割されパケットとして送られま
す。理想的な伝送環境では、パケットはロスなしで順序通りに伝送されます(図3a)。しかし実際にはそのよう
なことはありません。メッセージが送信された場合(図3b)、ネットワークはパケットをランダム(順番誤り)また
はフラグメントと呼ばれる小さなデータのかたまりとして送り、ルータ等のネットワーク装置で分割し伝送を容
易にします。最悪の場合、“パケットロス”が発生する可能性があります。受信側システムはパケットを情報ス
トリームとしてリアセンブリし、紛失したパケットがある場合はその再送を要求します。このようにメッセージは
全体として完全な形でアプリケーションに手渡されます。図3aと3bはクライアントからサーバに向かう単方向
の流れのみを示していますが、実際にはほとんどの場合クライアント-サーバ間の通信は2つのフローで成り
立ちます。1つはクライアントからサーバに向かうフローで、もう1つはサーバからクライアントに戻るフローで
す。
6
トラフィックを正確に処理するためには、データの誤り解釈を無くす仕組みが必要です。
„ IPのデフラグメンテーション:パケットフラグメントをパケットに正しく組み立てる能力
„ TCPのリアセンブリ:TCPセグメントを正しい順序で組立て、複製データや重複データを取り除く能力
„ フロートラッキング:フロー(クライアントからサーバ、サーバからクライアントに向かうフロー)を追跡し、1
つの通信セッションに関連付ける能力
„ ノーマリゼーション(正規化):正しい解釈を実行し、必要に応じて符号化された表示や特殊文字をリアセ
ンブリしたメッセージから取り除く能力
最適化分析手法 = ステートフルシグネチャ
ネットワークによるパケットの送信、処理、再組立てが終了すると、次にこのトラフィックフロー内の侵入者を
正確に検知することが必要になります。一般には大半のNIDSシステムがパケットシグネチャ検知方式を実
装しており、フロー内の各パケットの生バイトをチェックしアタックパターンのマッチングを見つけようと努めま
す。NIDSの中にはIPのデフラグメンテーションやTCPリアセンブリ対応機能を備え誤り解釈を最小化してい
る製品がありますが、マッチングパターンを探す際に全体の順序通りにデータストリームをチェックしていま
す。この仕組みには2つの問題があります。
„ フロー全体をサーチするためパフォーマンスが著しく低下します
„ 誤検知の発生頻度が高くなります。簡単な理由ですが、システムがサーチするデータ量が多いほど、関
連性のないデータとシグネチャがマッチングする可能性が高くなるからです
パケットシグネチャ検知方式のパフォーマンスや精度の欠点を補うステートフルシグネチャTMと呼ばれる最
先端の検知方式が登場したことは、朗報と言えます。アタックパターンをステートフルインスペクションとプロ
トコル解析の両方で識別し、それらをプロトコル異常検知の一部として実行します。この結果、ステートフル
シグネチャは、伝送時の各データバイトのコンテキストとクライアント/サーバの状態を理解し、シグネチャに
関連する通信状態のデータバイトのみを比較します。つまり、アタックによるダメージが予測される通信に対
してのみアタックを追跡するため、高いパフォーマンスと誤検知の最小化を実現します。
例3:SMTP Wizアタックの検知
本例ではSMTP(sendmail)‘wiz’アタックの概要及びステートフルシグネチャ方式v.s.パケットシグネチャ方式
の同アタックに対する検知手法について説明します。‘wiz’アタックはアタッカーのSMTPサーバホストへのル
ートアクセスを可能にさせようとするものです。アタッカーはアクセスに成功すると、“標的”ホストの完全な支
配権を握り、それをプラットフォームとしてさらなる攻撃やeメールその他データの入手を開始し、最終的には
ネットワークやシステムに奥深く入り込みます。このアタックは‘wiz’コマンドをサーバに送信することで実行さ
れ、クライアントとサーバ間のsendmailセッションは“command mode”になります。
7
ステートフルシグネチャが何故アタックをより正確に検知できるのか、それを検証するために代表的なSMTP
セッションをさらに詳しく調べてみましょう。
1. TCPコネクションの確立(3ウエイハンドシェーク)
2. コマンドモード:
(ア) 送信者の設定(“MAIL FROM”フィール
ド)
(イ) 受信者の設定(“RCPT TO”フィールド)
(ウ) 他のコマンドの実行
3. データモード(e-メールのコンテンツ)
4. TCPコネクションの閉鎖(4ウエイクローズ)
パケットシグネチャ検知方式は通信のコンテキストや
クライアント/サーバの状態を見ずに各パケット内のア
タックパターンの有無をチェックするので、通信セッシ
ョンのあらゆる部分に‘wiz’を含んだストリングを検知
します。‘wiz’はeメールの本文(データモード)または
e-メールの受信者リスト(コマンドモード)、さらに‘wiz’コマンド(コマンドモード)に使用されるため、誤報が発
生する可能性が高くなります。些細なことのようですが、実際‘wiz’はeメールに頻繁に発生します(特に100K
以上の添付データ)。eメールの添付情報の全てが‘base64’ (RFC 1421)により符号化され、印刷可能な64
文字でバイナリーデータ(Word、PowerPoint、その他アプリケーション)を表示しているからです。
‘wiz’とは、‘w’, ‘W’, ‘i’, ‘I’, ‘z’, ‘Z’の6文字を指します。添付データは完全にランダムなため、‘wiz’が1つのラ
ンダム文字ストリーム(大文字または小文字を含む)に発生する可能性は数学的には32,768文字に1つ
(32*32*32)ということになります。さらに、‘wiz’はthewizard@company.comのeメールアドレス等のeメー
ルクライアントやサーバまたは“wizardry”、“wizened”等の語に含まれるeメールメッセージなど、一般的な用
語に使用されています。パケットシグネチャ検知方式ではこれらの全てがアラームのトリガーとなる可能性を
含んでいます。
ステートフルシグネチャ方式は“Command Mode”時のクライアント〜サーバ間SMTPフロー内に含まれる
“wiz”パターンのみしかチェックしません。また“Command Mode”時のeメールアドレスを無視します。eメール
アドレスがアタックの対象領域から外れているからです。ステートフルシグネチャは仲裁的にセッション全体
の文字列をサーチするのではなく、脆弱性なクライアント-サーバーセッションに対しパターン比較を実行しま
す。このため、システムの微調整や誤検知の調査に要する時間を最小化し、システムアラームの信頼性を
高めます。
2.2.3. バックドア侵入検知方式
プロトコル違反(プロトコル異常検知)を犯すアタック及び公開されているアタック(シグネチャ検知)の検知方
法について説明してきましたが、さらにトロイの木馬やワーム等のプロトコル違反を犯さない未知のアタック
の検知方法についても理解する必要があります。これらのアタックは、ネットワークリソースにバックドアを送
り込みそこから侵入を謀ろうとするものです。バックドアはアタッカーがそれを利用しリソース支配を行うまで
は休眠状態にあります。アタッカーは一連のやりとりを通しバックドアを仕掛け、そこからコマンドを送り、リソ
ースの支配を企みます。アタックパターンやプロトコル違反がないため、こうしたインタラクティブ型トラフィック
の検知には別の手法が必要です。
ワームやトロイの木馬の移植は、バックドア(モデム接続、インスタントメッセージまたは企業ネットワークにプ
ラグイン接続する家庭用ラップトップ)や、他の検知方式での見逃しが原因であり、複数の検知方式を使用
することでアタック検知の可能性を大幅に向上させることができます。
例4:インスタントメッセージングによるワームの移植
例えば、大半の企業は社員にインスタントメッセージングの使用を許可しています。便利な通信ツールです
8
が、アタッカーにネットワーク侵入の糸口を開かせてしまいます。Yahoo! Messenger™等のインスタントメッ
セージング製品の多くは添付データの送信を可能にしています。これらの添付データにはワーム等の不正コ
ードを仕掛けることができ、ダウンロード時にユーザに気づかれずにユーザのコンピュータに移植することが
できます。移植に成功すると、アタッカーは不正コードによりファイルを送り込み、ハードドライブの再フォーマ
ット化、他のアタックの起動、その他を命令します。この種のアタックはリソースから始まり最終的にはネット
ワークまで、アタッカーの完全な支配を可能にします。
ジュニパーネットワークスはバックドア検知方式と呼ぶインタラクティブトラフィックの特性を検知可能な方法
を考案しました。NetScreen-IDPは全てのインタラクティブトラフィックを見つけ出し、システム管理者が
“allowed”として定義したルールベースに従い無認可トラフィックを検知します。この方法は実質的にあらゆる
バックドアの検知を可能にするもので、トラフィックが暗号化されていようと、未知のプロトコルであろうと一向
に問題にしません。
2.2.4. トラフィック異常侵入検知方式
通信セッションには多くのアタックが潜んでいますが、複数セッションにまたがるトラフィック上で発生するアタ
ックの検知も重要です。この種のアタックの代表例がポートスキャンやネットワークスキャンです。これらはシ
ステム上で許可されアクセス可能なサービスを判断するツールをアタッカーが使用した場合に発生します。
特定マシンの各ポートをスキャン(ポートスキャニング)するか、ネットワーク全体の特定ポートをスキャン(ネ
ットワークスキャニング)することにより実行されます。アタッカーはこうして得た情報を基にオープンポート上
でサービスのアクセスを可能にしているシステムの脆弱性を悪用します。この種のアタックはトラフィックフロ
ー全体に対しパターンを検知する必要があり、通常は頻度や上限値等のトリガーが要求されます。この種の
アタックがまさにトラフィック異常検知方式の標的となります。
例5:ネットワークスキャンの検知
本例ではネットワークスキャン“アタック”とその検知方法について説明します。前述したように、ネットワークス
キャンでは、アタッカーはSMTPポート等の特定のサービスに対しネットワーク全体を通しアクセスを試みま
す。これがアタックの前兆となる典型例です。プロトコル異常検知、ステートフルシグネチャ検知いずれもこの
“アタック”を検知することができません。スキャンがこれらのプロトコルに合致し、パターンが特定のセッション
内で表れないからです。この“アタック”を検知する方法はトラフィック異常検知しかなく、トラフィックフロー全
体に対しパターンマッチングを実行します。ネットワークスキャンは実際にはアタックではありませんが、アタ
ックが身近に迫っている兆候であることは間違いありません。システム上で実行中のアプリケーションが何で
あるかを誰かが見つけようとしているからです。ネットワークスキャンの知識があれば、次に来るアタックを予
期することができます。これがネットワークスキャンの検知もまたアタック検知と同様に重要である理由です。
2.2.5. 正規表現方式によるパターンマッチング
システムの精度は、システムに導入されている検知方式だけでなく、システム定義のアタックパターンを見つ
け出すサーチ方法にも依存します。システムの中には固定パターンを定義しサーチする方式もあります。こ
の方式は極めて非効率的です。多数のアタックシグネチャが順列を変え存在しているからです。理想的には
正規表現型パターンマッチングのサポートが最善です。正規表現型パターンマッチングはワイルドカードや
複雑なパターンマッチングを提供し、より精度の高いアタックを表現することができます。正規表現方式は他
にもシステムの振る舞いのコントロールに高い柔軟性を発揮します。
例えば、NIDSは実行可能な添付データのあるe-メールを見つけ出すために次のパターンを探し出さなけれ
ばなりません。
name = “<some-name>.EXE”
ここで、some-nameは有効ファイル名であると考えます。問題は‘=’記号を任意の数のスペースやタブの前
後に配置できるという点です。例えば、このパターンは‘name = “run-me.ExE”’に合致しなければなりません。
正規表現マッチング機能を搭載していないNIDS製品は‘=’記号の前後に任意の数のスペースとタブがある
可能性を指摘する能力がなく、‘=’記号の前後にスペースが全くない“標準”ケースのみを探します。スペース
やタブで‘=’の前後を囲むことにより、アタッカーはウイルスを送り込み、一方で正規表現マッチング機能を搭
9
載していないNIDSからアタックを隠すことができます。
2.3. 侵入検知防御機能はインラインモードが必須条件
大半のNIDS製品は“パッシブ”なスニファーベースの侵入検知システムであるためにアタックを阻止すること
ができません。これらのシステムはトラフィックに“耳を傾ける”だけで、適切なタイミングでのパケットのドロッ
プ、修正、操縦(steering)、遅延等や、システムパケットをネットワークに送り込む等のトラフィック制御ができ
ません。大半のNIDSがパッシブデバイスである理由が容易に理解できると思います。パケットフローへの介
在はアタックの識別結果が信用できない場合には危険かも知れません。現在のNIDSは誤検知や不正確な
アタック識別が障害となっており、実装されている検知方法も1つしかなく貧弱です。しかし、NIDSが正確な
識別ができるのでのであれば、インラインモードで動作し完全な保護を提供することが何故必要かを理解す
ることが重要です。
2.3.1. 回避技術の阻止
パッシブ型侵入検知システムは回避技術に対する対策が脆弱です。パッシブ型ネットワーク監視機能がトラ
フィックを曖昧にし、信頼性の高い侵入検知メカニズムの実現を困難にしているからです。本節では侵入検
知システムを回避する基本的な仕組み、実際の回避プロセス、パッシブ型侵入検知システムの回避が可能
な理由について説明します。本節を読み終えれば、回避を阻止するには侵入検知システムをインラインデバ
イスとして使用することがトラフィックの曖昧性をなくす唯一の解決策であることが明白になります。
2.3.1.1. 侵入検知システムの回避技術:理論
回避技術の背景にある基本的な考え方は、標的
ホスト(“ビクテム”)と異なるデータを侵入検知シス
テムに“見せ”、騙すことで、アタッカーは検知され
ずにホストに攻撃を仕掛けることができます。こ
れはシグネチャ方式やプロトコル異常方式の侵
入検知システムいずれにも適用されます。
この手法を理解するためには最初にNIDSが
TCPアセンブリを実行する方式を理解しなければ
なりません(図5の例を参照)。アプリケーション1
が通信用情報をデータストリーム(メッセージ)とし
て生成します。オペレーティングシステムはこの
データストリームを複数のセグメント(“TCPセグメ
ント”)に分解しネットワークに送ります。受信側の
オペレーティングシステムはTCPセグメントを収
集し元のデータストリーム(メッセージ)に再生し、受信側のアプリケーションに提供します。基盤ネットワーク
はTCPセグメントの配信を保証しないため、受信側は受信に成功したセグメントと不成功セグメントを送信側
に伝えます。送信側は紛失したセグメントを再送します。
TCPリアセンブリは、NIDSの中では、送信側アプリケーションから届いたTCPセグメントを順に収集し、その
中からアプリケーションデータストリームを抽出するプロセスを言います。TCPリアセンブリをパッシブシステ
ムで実行する場合、各TCPセグメント(パケット)を見ることは容易にできますが、受信側で“見る”のと同じイメ
ージでTCPリアセンブリを実行するのは極めて困難な作業となります。NIDSセンサーはTCPセグメントを受
信すると、その処理を決定しなければなりませんが、TCPセグメントの受信側では以下の処理オプションが
あります。
10
1. セグメント全体を使用する – これは最も一般的なシナリ
オです
2. TCPリアセンブリのセグメントの一部を使用し、残りは無
視する – このシナリオはセグメントが既に受信されてい
る別のセグメントとオーバーラップするか、セグメントの一
部がウインドウ(受信側が予知しているパケットシーケン
ス番号)を超えた場合に発生します。従って、無視されま
す
3. 完全にセグメントを無視する – このシナリオはセグメント
が既に受信されている場合または無効である場合に発
生します。無効パケットには、誤ったIPまたはTCPチェッ
クサム、無効TCPフラグ、古いTCPタイムスタンプ、その
他多くの状況が含まれます
4. セグメントを受信しなかった – 受信側はネットワークの
問題(セグメントが消えた場合)またはパケット設定(IP
TTL)等によりTCPセグメントを受信しない場合がありま
す。このシナリオは#3に相当します
NIDSセンサーは目的の受信側のTCPセグメントの処理方法を読み取り、同様の方法で正確に処理します。
NIDSが誤った判断を行うと、
„ NIDSセンサーは受信側が使用しないセグメントを使用し、受信側が無視するデータをチェックします
„ NIDSセンサーは受信側が使用するセグメントを無視し、データを紛失します
いずれの場合も、NIDSセンサーは誤りデータ上でチェック(シグネチャマッチングまたはプロトコル異常検
知)を行うことになります(図6参照)。
2.3.1.2. 回避技術の実際
NIDS TCPリアセンブリの基本を理解されたところで、NIDS回避問題に戻りましょう。
NIDSバイパス問題はNIDSセンサーがTCPリアセンブリにおいてTCPセグメントの一部または全部を使用ま
たは使用しないといった誤った処理を犯した際に発生します。こうした誤りによりNIDSはTCPフローの送信
者や受信者以外の異なるデータを見るといった問題を生じさせます。
実際、アタッカーはNIDSセンサーを回避するために、“標的”のTCPセグメントの受け付け判断を擬似的に不
可能にするTCPセグメントを組み立てます。標的がこれらのTCPセグメントを受け付けない場合、NIDSはセ
グメントのどの部分を使用するかを判断することができません。こうしたTCPセグメントを“曖昧TCPセグメン
ト”と呼びます。
アタッカーは次に異なるデータを含んだ同一のTCPセグメントを再送し、下記いずれかの事態を引起します:
„ NIDSセンサーが、TCPセグメントのリアセンブリにオリジナルのダミーTCPセグメントを使用し、標的が
それをドロップした。アタックを含んでいる二番目のTCPセグメントをNIDSセンサーが見落とし(既に同セ
グメントを見ているため)、標的がそれを使用した(前に見落としているため)
„ NIDSセンサーが、TCPセグメントのリアセンブリにオリジナルアタックのTCPセグメントを無視し標的が
それを使用した。二番目のTCPセグメントはダミーであるが、NIDSセンサーはそれを受け付け標的は無
視した
2.3.1.3. 曖昧TCPセグメントの組立て
本節では曖昧TCPセグメントの各種組立て方法について紹介します。これらの一部についてはNIDS側で対
策を用意していますが、標的側のTCPセグメントの処理方法を決定する論理的なアルゴリズムをほとんどの
NIDSは持っていません。
曖昧TCPセグメントの簡単な組立て方法
11
曖昧TCPセグメントを極めて簡単に生成できる技術があります。従って高性能のNIDSは送信トラフィックを
正しく解釈できる為にこれらの曖昧TCPセグメントを取り除くことができなければなりません。
曖昧セグメントを生成する技術:
„ 無効TCPチェックサム – 標的は無効TCPチェックサムにより必ずパケットをドロップします。NIDSは
TCPチェックサムを確認できない場合、標的がドロップしたパケットを受け付けることになります。
„ アウトオブウインドウデータ – 受信者は“レシーバウインドウ”と呼ぶウインドウ内のデータのみを受け付
けます。受信者はこのウインドウ外のデータを無視しますが、NIDSは実際の受信者ではないので、パッ
シブリアセンブリを実行中のNIDSにとっては現在のレシーバウインドウが何であるかを正確に判断する
ことが極めて困難です。そこで、アタッカーは標的のレシーバウインドウの僅かに内外となるデータを送
信しNIDSを混乱させます。
TCP実装による不一致RFC解釈の利用
TCPの振る舞いを決める各種RFC(RFC793、RFC1323等)は複雑で実装者による解釈の余地があります。
さらにTCP実装の中には故意または偶然にこれらの仕様から派生しているものもあります。この結果、同一
のTCPセグメントが異なるTCPスタック実装により拒否されることもあり、アタッカーにとっては曖昧TCPセグ
メントを組み立てる多くの機会が与えられています。
例5:TCPセグメントの重複
本例ではTCPセグメントの重複による曖昧性の
創出方法及び曖昧性の防止対策について説明し
ます。アタッカーは重複しているTCPセグメントに
各種のコンテンツを送ることができます(例えば、
異なるデータを含んでいる2つの同一セグメント)。
異なるTCPスタック実装はその命令に対し最初ま
たは最後に受信したものを使用するなど、異なる
解釈をします。例えば、Windowsは常に古いセグ
メントからデータを順に取り込みますが、Solaris
は新しいものから取り込んでいきます。BSDや
Linuxは定まっていません。古いTCPセグメントを
順に取り込むこともあれば、新しいセグメントを取
り込むこともあります。NIDSは標的のTCP実装
の正確な振る舞いや環境を理解せずに、正しい
振る舞いやアラームの起動を判断することができ
ません。
2.3.1.4. NIDS回避の阻止
NIDS回避技術に対する朗報として曖昧パケットの検知が比較的に容易であるという点です。例えば、侵入
検知システムが異なるコンテンツを持つ2つの重複したTCPセグメントを見れば曖昧性が明らかであり恐らく
回避行為を試みています。但し、検知は可能ですが、曖昧パケットに対し標的ホストが取るべき対処方法を
決定することは現実的ではありません。つまり、標的ホストが脆弱であるかないかを判断することは不可能
です。さらに同一コネクション上で複数の曖昧パケットを見る場合、侵入検知装置はアタックが存在している
ことを知っていますが、どのアタックが試みられているかを判断することはできません。曖昧パケットをリアセ
ンブルする方法には潜在的には数百万の組み合わせがありますが、アタックとして判明されるのは1つしか
ないからです。この1つの組み合わせを見つけるには数時間、数日、または数年を要し、リアルタイム型侵入
検知システムでは実際的ではありません。
以上のことから次の結論が導かれます。
曖昧パケットが標的ホストで受信されると、侵入検知システムは盲目状態となり、仕掛けられているアタック
を判断できないばかりかアタックが成功したかどうかも分かりません。
つまり、侵入検知回避技術を回避する唯一の方法は曖昧パケットが標的ホストに到達するのを阻止するし
12
かありません。当然ながら、この場合、侵入検知装置はデータ伝送路上、つまりインラインであることが条件
となります。
2.3.2. 侵入防御
パッシブ型侵入検知システムの最も大きな欠点は、“パッシブ”あるという点です。アタックが標的ホストに到
達するのを許可すべきかどうかをコントロールすることができません。従って、パッシブ型システムは実際に
はアタックの検知のみに適用されアタック防御とはなりません。ただし、アタックを食い止められるパッシブ型
装置に適用可能な以下のメカニズムが提案されています。
„ TCPリセットの送信
„ ファイアウオールまたはルータに対しトラフィック遮断信号を送信
„ 本節ではこれらのメカニズムを説明し、それらが実際には真のアタック防御を実現できない理由を検証
します
2.3.2.1. TCPリセット
TCPリセットの背景にある基本的なメカニズムは侵入検知システムがアタックを検知した際にクライアントと
サーバの両方にリセットパケットを送信することです。この方式には幾つかの問題があります。最初に、侵入
を検知してからリセットパケットの送信を決定するのに多少の時間を要する点です。この間、攻撃用セグメン
ト及びそれに続くパケットの一部は既に標的ネットワークに転送され“標的”に到達しています。二番目の問題
はTCPリセットがTCPプロトコルに対してのみ有効であるという点です。TCPリセットはDNS等のUDP型プロ
トコルには適用できません。最も大きな問題が三番目となるTCPリセット方式そのものに対する問題です。
TCPリセットはサーバがTCPリセットを受け付けられるようにシーケンスを維持しなければなりません。この
方式が有効であるためには、シーケンス番号が比較的小さな"レシーバウインドウ”内になければなりません。
熟知しているアタッカーは攻撃用セグメントを高速転送し、パッシブ型装置がリセットパケットに挿入するシー
ケンス番号を決定することが極めて困難となるようにレシーバウインドウを急激に変化させます。従って、
TCPリセットではアタックを食い止めることができません。もちろん有効となる場合もありますが、通常は有効
にはなりません。
2.3.2.2. ファイアウオールシグナリング
ファイアウオールシグナリングは本来の防御対策とは言えませんが、ファイアウオールやルータ等のアクセ
ス制御システムに対して有効なフィードバックメカニズムと言えます。ファイアウオールシグナリングは侵入検
知システムにファイアウオールで“遮断”すべきトラフィック種別をファイアウオールに伝える能力を提供します。
将来のアタック防御対策を目指したとしてファイアウオールポリシーの調整に適用でき、すばらしいアイデア
のようですが、この方式の危険性がそのメリットをはるかに上回ります。アタックのソースを比較的容易にス
プーフし、別のIPアドレスによるアタックであるとNIDSに信じ込ませることができます。例えば、アタッカーがA
という大手インターネット接続事業者のプロキシサーバをスプーフし、NIDSがファイアウオールにこのIPアド
レスを遮断するように命令した場合、Aのコミュニティ全体のサービスが遮断されます。アタッカーは必ずしも
IPアドレスをスプーフしなくても同じ結果を達成することもできます。単にAのユーザとしてアタックを仕掛ける
場合です。この結果、NIDSとファイアウオールの連携が、簡単でありながら甚大な被害をもたらすDoS攻撃
の道を開かせてしまいます。
2.3.2.3. 能動型防御装置はインラインでなければならない
侵入を防御する唯一の方法はインライン装置として機能することです。ネットワークセキュリティ装置に装置
上で攻撃パケットをドロップする能力を提供します。これによりシステムは各種のトラフィックを処理し、さらに
適切な侵入検知メカニズムを組み合わせることによりハイレベルなセキュリティを実現することができます。
2.4. 管理性
たとえ豊富な検知メカニズムやレスポンスオプションを備えていたとしても、NIDSの設定や管理が難しけれ
13
ば高い能力を維持するのが難しくなります。現在の市場で最善のソリューションはルールベースの集中管理
方式を用いてシステム機能をきめ細かにコントロールできる製品です。こうした方式がファイアウオールの管
理に効果的であることが立証されています。NIDSに適用すれば、個別のルールで作られた1つの論理的な
セキュリティポリシーで全管理対象装置をコントロールすることができます。ルールベースの管理方式の背
景にあるコンセプトは、条件と関連アクションをマッチングする基本フォーマットを含む論理表現の定義を容
易にできる方式の導入です。基本フォーマットはシステムが探し出すトラフィック、特定のトラフィックを検知し
た際の処理内容を正確にコントロールする能力を提供します。ルールベースの集中管理方式は各ルールの
適用方法の決定を支援します。例えば、1または全センサーにルールを適用し、ボタンを1回押すだけでル
ールの適用を可能にします。集中管理型システムは、各センサーの更新を個別に行う時間や手間を省略し、
単に中央のセキュリティポリシーを更新するだけで、関連のセンサーを自動的に更新することができます。こ
の方式はコンフィグレーションやシグネチャの更新作業を簡素化し、システム全体の精度を高め、ネットワー
クの脆弱性やニーズに基づいて特定デバイスに対し機能を適用することができます。
3. ジュニパーネットワークスのアプローチ
ジュニパーネットワークスは同社Intrusion Detection and PreventionTM (NetScreen- IDPTM)システムにネ
ットワークセキュリティに有効となる革新的なアプローチを導入しました。NetScreen-IDPはこれまで述べて
きた多数の最先端技術を取り入れるために基本設計の段階から作りこまれた最初の製品です。最初の革新
的技術はMulti-Method Detection (MMDTM)と呼ぶ技術です。MMDにより、ジュニパーネットワークスはプロ
トコル異常検知、トラフィック異常検知をはじめ、Stateful SignatureTMやバックドア検知等の最先端技術、さ
らに本書の対象外となる各種技術を含む8つの検知方式を導入しアタック検知を最適化するとともに、誤報
の発生を最小化します。二番目の革新技術はNetScreen-IDPがインラインソリューションであるという点です。
回避技術に対する防御機能を提供する唯一の方法で真の侵入防御を実現します。三番目の革新技術はル
ールベースの集中管理方式です。集中管理方式は極めてきめ細かなNetScreen-IDPシステムのコントロー
ルを実現すると同時にセキュリティポリシーやシグネチャの更新を簡素化します。
3.1. 高精度を実現したMMD技術
ジュニパーネットワークスは1つの対策技術では各種のネットワーク侵入を検知できないという前提を下に疑
わしいトラフィックの検知をMMDで最適化するシステムを開発しました。NetScreen-IDPシステムは、プロト
コル異常、ステートフルシグネチャ、トラフィック異常、バックドア、Synフラッド、IPスプーフ、レイヤ2検知、ネ
ットワークハニーポットの8種類の検知方法を実装することにより正確な侵入検知を実現します。1種類の侵
入検知メカニズムで製品全体のアーキテクチャを構成する他社のアプローチと異なり、NetScreen-IDPアー
キテクチャは利用可能な全ての検知メカニズムを適用できるように開発されています。これらの侵入検知技
術は情報を共有し連携しながら効率的にネットワーク層やアプリケーション層の各種アタックを識別します。
検知メカニズムは実質的なパフォーマンス低下を生じさせない超高速解析を実行するように最適化されてい
14
ます。プロトコル異常方式またはシグネチャ方式、いずれのシステムを導入すべきか悩む必要もなく、また複
数の製品を導入するといった経費の無駄を回避することができます。NetScreen-IDPは全ての検知メカニズ
ムを備えた包括的なソリューションを提供します。さらにMMDを実施することにより、システム管理者は発生
したアラームを信用することができ、誤報の調査に無駄な時間を割く心配を解消することができます。
3.1.1. 正確なデータ表示を実現するパケット処理
NetScreen-IDPシステムはトラフィックフローの正確な解釈と表現を実現するために、多彩なパケット処理技
術を備え正確なデータ表現を実現しています。
1. IPデフラグメンテーション、TCPリアセンブリ: トラフィックを正確に生成するため、実際のホストが見て
いるのと同じイメージで表示されます。
2. フロートラッキング: 複数のコネクションを1つのセッションとしてマッチングするので、より正確な分析
が可能です。
3. プロトコルノーマリゼーション: データストリームを共通フォーマットに複合化するため正確な分析を実
行することができます。
3.2. 真の防御を実現するインライン処理
NetScreen-IDPシステムはパケットのパス上でインライン処理を実行する設計仕様に基づいて開発されてい
ます。NetScreen-IDPは通常ファイアウオールの後に置かれ、防御対象ネットワークを出入りする各パケット
を検査します。不正トラフィックを検知すると、コネクションをドロップさせ不正トラフィックがネットワークに入り
込まないようにします。当然のことですが、コネクションのドロップを正当化するトラフィック種別を正確にコン
トロールします。対照的に、パッシブ型NIDSが不正トラフィックを検出した場合には、唯一の手段としてTCP
リセットを送りアタックの停止を試みます。残念ながら、TCPリセットの性質上(2.3.2.1節参照)、アタックの停
止に間に合わせることができません。つまり、アタックが“標的”に既に到達したかどうかの調査に時間を要す
るからです。そこで、アタック手法を学習し同様の攻撃に備えるためにNIDSの最適化をしなければなりませ
ん。最終的に、アタックが成功した場合、アタックにより蒙った損害を評価しなければならず、この処理のため
にハード、ソフト両方の無駄な経費負担を強いられます。NetScreen-IDPでは、攻撃用トラフィックをドロップ
しアタックが攻撃対象に到達しないように確実な対策を実施します。
NetScreen-IDPがパケットのパス上で構えることには多くのメリットがあります
„ アタックを検知すると同時にストップ(ドロップ)することができ、アタックを確実に失敗させ、成功した場
合に蒙る損害を回避することができます
„ ドロップにより侵入を阻止できるため、無駄な時間をなくし、他のプロジェクトに専念することができます
„ パケットが標的ホストに到達する前にその構造とコンテンツをNetScreen-IDPが検証するためIDS装置
を回避する一般的な方法を阻止することができます
NetScreen-IDPはインライン装置としてルータまたはトランスペアレントスイッチとして利用することができ、
IPアドレスやルーティングの変更は一切不要です。NetScreen-IDPはまたMMDのメリットを利用しパッシブ
型NIDS(スニファー)としても導入が可能ですが、この場合はアタック防御の働きはありません。
3.3. きめ細かな制御を実現するルールベースの集中管理方式
NetScreen-IDPシステムはルールベースの集中管理方式の採用により多彩な能力を発揮します。
„ 検知・実行(センサー)、管理(サーバー)、アプ
リケーション(ユーザーインタフェース)からなる
真の3階層管理アーキテクチャ。複数のユー
ザーインタフェースを1つの管理サーバに接続
し全ての管理を実行することができます
„ NetScreen-IDPのきめ細かな振る舞いをコント
ロールするルールベースの管理。ルールを適
用するためには、送信元、送信先、サービス、
15
そしてサーチすべきアタックを指定しルールをセットします。次にセットしたアタックが検知されたときの
処理内容(コネクションのドロップまたは許可等)、アタックのログ方法を決めます
„ 同一の”セキュリティポリシー”を要求されるできるだけ多くの実施ポイントへの適用を可能にする”集中
型セキュリティポリシー”。ある装置から他の装置への移行には新しいセキュリティポリシーは必要あり
ません。セキュリティポリシー内の各ルールを適用すべき装置を指定するだけで簡単に実施することが
できます
„ クローズドループインベスチゲーション: サマリレポートから個々のルールに対するログとパケットに対
するログを自由に移動することができます。データポイントの関連付けや情報レベル間の移動が可能な
ため、ネットワーク上で進行している事象の正確な把握や新しい脅威に対する迅速な対策の実施を容
易に実現することができます
4. まとめ
ファイアウオールシステムはネットワークの出入りが許可されるトラフィックの制御については申し分のない
働きをしますが、ファイアウオールが許可したトラフィックの中に不正トラフィックが紛れ込むのを避けること
はできません。こうしたファイアウオールの弱点を補うために別の防御層を構築し、多彩なアタックの検知や
防御を実施する必要があります。これまでパッシブネットワーク型のIntrusion Detection Systems (NIDS:
侵入検知システム)がネットワークアタックの検知に導入されてきました。残念ながら、現在の侵入検知ソリュ
ーションは一般的には1種類の侵入検知メカニズムを提供するだけで、多くの誤検知やアタックの見落としが
発生しています。さらにパッシブ型であることから、アタックをストップさせることができず、管理が難しいこと
でも評判です。
ジュニパーネットワークスはこれらの問題を克服し、貴重な企業資産を保護する製品としてIntrusion
Detection and Prevention (NetScreen-IDPTM)システムを開発しました。NetScreen-IDPシステムは多くの
実績と知名度の高いコンセプトを1台の製品に統合し、高信頼性のソリューションを提供します。主な特徴:
„ マルチメソッド検知(MMDTM)
„ インラインオペレーション
„ ルールベースの集中管理
信頼性に優れたネットワークセキュリティについて検討される際には是非これらの特徴を考慮してください。
Copyright © 2004, Juniper Networks, Inc. All rights reserved.
Juniper Networks、Juniper Networksのロゴ、NetScreen、NetScreen Technologies、NetScreenのロゴ、NetScreen-Global Pro、ScreenOS、GigaScreenは米国特許庁に登録されてい
ます。また、Juniper Networks は諸外国においてJuniper Networks Inc. の商標として登録されています。ERX, ESP, Instant Virtual Extranet, Internet Processor, J-Protect, JUNOS,
JUNOScope, JUNOScript, JUNOSe, M5, M7i, M10, M10i, M20, M40, M40e, M160, M320, Mシリーズ, MMD, NetScreen-5GT, NetScreen-5XP, NetScreen-5XT, NetScreen-25,
NetScreen-50, NetScreen-204, NetScreen-208, NetScreen-500, NetScreen-5200, NetScreen-5400, NetScreen-IDP 10, NetScreen-IDP 100, NetScreen-IDP 500, NetScreen-ISG
2000, NetScreen-Remote Security Client, NetScreen-Remote VPN Client, NetScreen-SA 1000 Series, NetScreen-SA 3000 Series, NetScreen-SA 5000 Series, NetScreen-SA
Central Manager, NetScreen Secure Access, NetScreen-SM 3000, NetScreen-Security Manager, NMC-RX, SDX, Stateful Signature, Deep Inspection, T320, T640, Tシリーズは
Juniper Networks Inc. の商標です。その他記載されている商標、サービスマーク、登録商標、登録サービスマークは各所有者に所有権があります。
これらの仕様は予告なく変更されることがあります。ジュニパーネットワークスは、記載内容に誤りがあった場合でも、その責任は負いません。ジュニパーネットワークスは、予告なく本発行物
を変更、修正、転載、または改訂する権利を持っています。
16