Strata Guard Freeによるネットワーク保護
インターネットへの接続は、好ましくない要素も含めて外界のものにさらされることを意味する。インターネットに接続するたびに、ネットワークをセキュリティ侵害するおそれのある脅威にさらされるわけだ。近年、ネットワークセキュリティのソリューションは進化しているが、それはネットワーク攻撃の手法も同じである。進化を続ける攻撃からネットワークを守るには、悪意のあるトラフィックがネットワークに入り込む前にブロックしなければならない。Snortのようなフリーのオープンソースプログラムを使えばそれが可能だが、IDS(Intrusion Detection System:侵入検知システム)センサの完全なセットアップは(特に企業のネットワークの場合は)時間がかかるし、ユーザフレンドリともいえない。しかし、StillSecureの Strata Guard Free なら、それほど手間をかけなくても外界の脅威に対する防衛線になってくれるはずだ。
SnortテクノロジをベースにしたStrata Guardは、侵入防止システム(IPS:Intrusion Prevention System)やIDSの役割を果たすことができる。Strata Guardでは、攻撃シグネチャのデータベースが頻繁に更新されており、新たな脅威からもネットワークが保護される。WebベースのGUI管理およびレポート機能により、ネットワークのセキュリティ設定をすばやく済ませて、ネットワーク情報をリアルタイムで監視することができる。
フリー版は、個人や小規模事業者にふさわしいものだが、外部接続のスループットが最大5Mbpsとなっているなど、いくつかの制限がある。ネットワーク上のデバイスの自動検出、可用性を高めるバイパススイッチング(問題が起こった場合にStrata Guardがパケットをスイッチに転送する)、マルチノード管理(複数のStrata Guardデバイスがある場合に有用)にも対応していない。また、シグネチャの更新のほか、攻撃、脅威、無害なトラフィックといったすべてのトラフィックログを含むデータベースコンテンツの更新は、手動で行うことになる。これは、そうしたデータの最大有効期限が7日しかないためで、特にトラフィックを解析してセキュリティをさらに最適化しようとする場合には短かすぎる。また、攻撃パターンのログを過去7日分しか保持できないので、セキュリティ監査上の制限も受ける可能性がある。こうした機能が重要なら、商用版(SMB、Enterprise、またはGigE)を検討したほうがよいだろう。
Strata Guard Freeの最新の安定版は、2005年にリリースされたバージョン4.5だが、バージョン5のベータ版も入手できる。Strata Guardは、Pentium 4 1.4GHz以上のCPU(2.0GHz以上推奨)、512MB以上のRAM(1GB以上推奨)、10GBの空きディスク容量(36GB以上推奨)のマシンで動作させる必要がある。また、マシンのネットワークカード(NIC)は10/100Mbでも構わないが、パフォーマンス向上のために1GbのNICが推奨されている。
Strata Guardには、標準(Standard)とゲートウェイ(Gateway)という2つの動作モードがある。標準モードでは、侵入検知の機能だけが実行される。侵入防止の機能は実行できず、検出された脅威または攻撃に応じて、外部ファイアウォール(CiscoのファイアウォールやJuniper NetScreenなど)の自動設定に必要なファイアウォールポリシーの転送を行う。Cisco PIX、Juniper NetScreen、Check Point、Linuxのiptablesといったファイアウォールが最初からサポートされているとはいえ、一部のオペレーティングシステムやそうしたファイアウォールの特定のバージョンにしか対応していない(詳細はドキュメントを参照)。なお、ネットワークにまだファイアウォールがない場合は、ゲートウェイモードを使用する必要がある。標準モードでは、最低2枚(管理用とトラフィック用)のNICが必要になる。
Strata Guardには、独自のファイアウォールも用意されている。ゲートウェイモードのStrata Guardは、侵入の検知だけでなく防御も行う。ゲートウェイモードには、管理用、トラフィック用、内部ネットワークのブリッジング用という最低3枚のNICが必要になる。物理的な配置構成の詳細については、Strata Guardのインストールガイドを参照してほしい。
導入
まず、Strata Guardのサイトから最新版をダウンロードする。ただし、その前に登録が必要になる。ダウンロードファイルは、ISOのブータブルCDイメージかVMwareイメージのどちらかを選択する。ダウンロードが済んだら、Strata Guard Freeのライセンスキーを受け取る。このキーがないとStrata Guardの機能は使えない。フリー版のライセンスには機能制限があるが、有効期限は設けられていない。ここでは、ISOイメージをダウンロードし、ハードウェアの推奨スペックを満たしたVMwareマシンにインストールした。
インストール手順は非常に単純で、管理インタフェースのIPアドレス、DNS、ホスト名、タイムゾーンなど、一般的なネットワークパラメータを入力するだけでよい。あとはrootのパスワードとデータベースのパスワードを入力して、インストール作業が完了するのを待ってマシンを再起動する。
Strata Guardによるサービスの読み込みが終わると、ログインできる状態になる。管理インタフェースのIPアドレスなど初期設定の編集が必要な場合は、rootアカウントを使ってコンソールに入り、変更を行えばよい。続いて、ブラウザのアドレスバーに「https://<Strata Guardサーバのアドレス> 」と入力して、設定画面に進む。初めてログインする際には、新規のユーザ名とパスワードの入力を求められる。
初期設定はわずか数分で済む。まずはライセンスキーを入力し、管理インタフェースでそのアドレス(必要な場合のみ)と外側インタフェースの設定を行う。続いて、Strata Guardのモードを標準(Standard)またはゲートウェイ(Gateway)のどちらかに設定する。私と同じようにゲートウェイモードを選んだ場合は、デフォルトのファイアウォールポリシーの指定も必要になる。ポリシーには、レスポンシブ(送信元のブロック)、プリエンプティブ(コンテンツのブロック)、両者の組み合わせの3つがある。最後に、Strata Guardからの通知を受け取るメールアドレスを指定する。以上の設定を適用すると、Strata Guardマシンが再起動される。Strata Guardをゲートウェイモードに設定した場合は、内部ネットワークにつながるインタフェースがシステム設定の「System」タブの下に表示される。この画面では、トラフィック解析に使用するネットワークインタフェースを指定する必要がある。ここでは、内部ネットワークへのインタフェースを通過しようとするすべてのトラフィックを解析して脅威を排除したいので、そのインタフェースを指定する。
こうしてインストール作業も含めて10分か20分で、IDS/IPSマシンをセットアップすることができた。設定後、アクティビティモニタ(activity monitor)に悪意のあるアクティビティがいくつか表示され、どのように対処するかについて私の判断を待つ状態になった。その一部はWebサイトアクセス時の実際のJPEGエクスプロイトであり、ほかのものは私が検出レベルのテスト用に生成したICMPフラッドだった。Strata Guardは、軽微なものから重大なものまで、パターンデータベースにあるすべての攻撃およびエクスプロイトを検出した。セキュリティを強化するため、特定の脅威または脆弱性の許可またはブロックの判断を求める際には、判断待ちの間はアクセスを拒否するのがデフォルトの設定になっている。
また、実行中のOS、Webサービス(IISやApacheなど)、回避したい過検出(ICMPやSMTPのHELOなど)に基づいてファイアウォールポリシーを調整できるクイックチューン(quick-tune)機能もある。なお、ICMPおよびSMTP HELO自体は過検出にはあたらない。いずれもフラッディングのような攻撃で使われる可能性があるため、攻撃として検出できるようになっている。ただし、これら2つによって生成されるトラフィックは、大量のメールによって生じるSMTP HELOやサイトとの通信で生じるICMPトラフィックなど、正当なものである場合もある。あまりに過剰なICMPまたはSMTP HELOトラフィックは攻撃として解釈されることが多いため、Strata Guardには、ユーザの許可を得てこうしたトラフィックを受け入れるようにポリシーを調整するオプションが用意されている。最初の調整を終えたら、Strata Guardによってこうした侵入や脆弱性がどのように検出されるかを確認する。Strata Guardは効き目が強いので、最初のうちはパフォーマンスを自分の目で確認し、必要であればルールを調整して行き過ぎがないようにする必要がある。
管理
ファイアウォールポリシーを最適化したら、今度は検出された侵入のそれぞれに対して具体的なアクションを設定する。侵入イベントは、直接攻撃、偵察攻撃、不審なトラフィック、接続試行のいずれかに分類される。Webの脆弱性に関するものは大半が不審なトラフィックに分類され、分散サービス拒否(DDoS:Distributed Denial of Service)攻撃のほか、場合によってはピアツーピアのトラフィックも直接攻撃と見なされる。Strata Guardは、重大度の高い侵入の大部分(DDoS攻撃やウイルスなど)を自動的にブロックするが、WebのJPEG処理の脆弱性などといった脆弱性についてはユーザによる判断が求められる。侵入イベントに対するアクションを指定すると、その内容がファイアウォールポリシーのリストに追加される。ポリシーは、こうした侵入または脆弱性を狙ったトラフィックの送信元および宛先ごとに指定できる。このため、ネットワークに軽度の脆弱性があっても特定の信頼できるサイトからのアクセスは許可したい場合などに柔軟に対応することができる。管理インタフェース右側にあるルールのリストでアクションの設定を変更すれば、送信元や宛先に関係なく、指定した侵入ルールに自動的なアクションを適用することもできる。欲しいルールがなければ、自作することも可能だ。
具体的な攻撃をいくつか用意したうえで、Strata Guardのテストを行った。最初のテストでは、アダルトサイトや違法ソフトウェアサイトによくあるワームや自動インストールをブロックできるかどうかをチェックした。こうしたサイトを閲覧するとすぐに、Strata Guardによって悪意のあるインストーラやワームが検出され、自動的にブロックされた。Strata Guardの効果を確認するために、Webの閲覧に使ったマシンでKaspersky Labによる最新のウイルスチェックを実行したところ、確かにウイルスやワームは1つも検出されなかった。また、Limewireのようなピアツーピアソフトウェアの利用も試みたが、これもStrata Guardによって検出され、ブロックされた。
Strata GuardはWebページの脆弱性といったその他の侵入イベントも検出でき、それらをブロックするかどうかはユーザの判断に委ねられている。また、侵入アクティビティのレポートを、印刷用に最適化されたリストまたはグラフとして生成することもできる。データの日時を指定してレポートを作成できるほか、攻撃の詳細、カテゴリ、宛先、プロトコルなどによってレポートへの記載の要否を選択することも可能だ。このレポート機能のおかげで、ネットワークで発生した侵入イベントを容易に解析することができる。ただし、レポートツールを正しく動作させるには、Javaランタイム環境のインストールが必要になる。
Strata Guardの管理は十分に簡素化されているが、セキュリティポリシーとパフォーマンスの最適化にはある程度の時間がかかる。どんな侵入や脆弱性をブロックの対象とするか、またどんなサイトを排除するかを決める必要があるからだ。ルールデータベースの頻繁な更新によって過剰な検出は減少しているが、完全になくなることはない。セキュリティ関連のデバイスやStrata Guardのようなソフトウェアは、どちらかというと抜け目なく役割を果たすので、正当なトラフィックまでブロックしてしまうことがある。侵入に目を光らせるだけでなく、ときおり発生する過検出にも注意する必要がある。
まとめ
Strata Guardを小規模なネットワークで利用するなら、幸いフリー版で十分に間に合う。エンタープライズ環境で利用する場合はフリー版では物足りないだろうが、自動検出のような機能が追加された商用版にはそれだけの価値がある。Strata Guardの強みは、特定の要件に合うようにセキュリティシステムの最適化が必要な場合でも、設定と管理が簡単に行えることにある。
