Upload
dodan
View
242
Download
3
Embed Size (px)
Citation preview
Copyright 2012 FUJITSU SYSTEMS EAST LIMITED
株式会社富士通システムズ・イースト IPWATCHER
切断と遮断の違い
専用遮断装置 遮断方式
セグメント毎に遮断専用装置を配置(※)
①Arpパケット ②遮断パケット
偽装パケットを送信するなどの遮断方式
誰が何処に機器を持ち込んだのだろう?
遮断パケットへの対応策を実装されたら?
自動遮断は業務に影響を与えるので手動切断にしたい・・・
切断方式
スイッチポートをハード的に切断するので安心・確実!
犯人・機器確認後に手動切断もできるので安心して運用できる!
どのスイッチのどのポートで不正接続があったかが直ぐに判明する!!
IPWATCHER
インテリジェントスイッチ①
インテリジェントスイッチ ②
インテリジェントスイッチ ③
インテリジェントスイッチ ④
インテリジェントスイッチ ⑤
インテリジェントスイッチ ⑥
監視・検出・切断
IPWATCHER-PROは センターにのみ配置!
閉塞
スイッチ④8番ポート 認定外 MACアドレス:xxxxxx-xxxxxx 接続切断
J-SOX法対策として不正接続が無かった事の証明にも利用できそう!
※複数vlanを監視するタグVLAN対応製品有
Copyright 2012 FUJITSU SYSTEMS EAST LIMITED
株式会社富士通システムズ・イースト IPWATCHER
IPWATCHER-PRO
不正接続防止機能比較 スイッチ連動して切断する利点
監視 追跡
接続防止
◇フォレンジック(監査証跡)に優れます ⇒インテリジェントスイッチから接続情報を取得します ◎機器がどのスイッチの何番ポートに接続されているか管理できます。 ◎不正接続検出時の接続場所・機器・利用者の追跡調査・特定が容易です。
◇確実に切断します ⇒インテリジェントスイッチと連動し接続ポートを切断します ◎不正接続防止機能は、ハードウェア(スイッチポート)が制御します ので完璧に防止できます。 ◎ネットワーク接続するにはスイッチのポートに接続しますので機器や タイミングによって接続されてしまうことはありません。
遮断機能製品
製品の「注意・制限事項」の記載事項を抜粋・・・ ・不正接続防止機能は、ソフトウェアで実装しているため、完璧な防止が できない場合がありますので、ご注意下さい。 ・機器やタイミングによっては、不正接続防止機能で利用しているARPの 偽装方式でだますことができない場合があります。
・遮断したという情報(アドレス)だけでは接続場所・機器・利用者の 追跡調査や特定が不可能といえます。
使用技術
◇SNMP(Simple Network Management Protocol) ⇒標準プロトコルを利用して監視・切断の制御を行います。 ◎各ベンダーのインテリジェントスイッチにも標準実装されています。 ◎ハードウェアで切断しますので確実・安心してご利用いただけます。
・偽装ARPを不正接続機器に送信して防御する技術です。 ・今後、不正行為者側で偽装ARPを送信されてきた場合への対応方式が 一般化すると知らない間にネットワークへの侵入を許していたり、対応 不能状態に陥る、またはそれらへの対応はイタチゴッコになると予測し ます。
構成
◇安価でメンテナンス性・セキュリティに優れます ⇒IPWBOX600(またはCloserAG)は1台で16台のスイッチ(4,096ノード以内)を 監視します。 ⇒セグメント単位に配置する必要がありません。 ⇒センターにIPWBOX600(またはCloserAG)を集中して配置することも可能 ◎導入コストが安価 ◎メンテナンス性に優れます ◎装置を外される心配もありません
・監視サーバやアプライアンス装置をセグメント単位に配置する必要が あります。 ⇒高額な導入コスト(手配・設置) ⇒高額な管理コスト(メンテナンス) ⇒脆弱なセキュリティ(監視装置を外すなど)
2
Copyright 2012 FUJITSU SYSTEMS EAST LIMITED
株式会社富士通システムズ・イースト IPWATCHER
②SNMPルーター調査(IPWATCHER-Bee/PRO)
IPWATCHER調査方式の特長
①ICMPネットワーク調査(IPWATCHER-Bee/PRO)
IPWATCHER-Bee/PRO
ネットワーク
IPアドレス
MACアドレス
コンピュータ/ホスト名
(ワークグループ/ログイン)
(コンピュータ/ホスト名)
MACアドレス
ポート
IPWBOX600 IPWATCHER-CloserAG
(IPアドレス)
ネットワーク
SNMPルーター
レイヤ3スイッチ
IPアドレス
MACアドレス
コンピュータ/ホスト名
IPWATCHER-Bee/PRO
☆PINGコマンド、NetBIOS主体の調査 ★大量のパケットが発生 ★調査時間が長い(10,000アドレス≒60分) ★PING応答しない機器は検出できない ★不正接続検出目的の運用は難しい ★切断はできない ★接続箇所/利用者の特定は困難 ◎簡単・短納期でネットワーク状況が把握できる ◎導入コストとランニングコストが安価
■ルーター調査 ☆ルーターのMIB情報主体の調査 ◎高速で効率の良い調査(1,000アドレス≒30秒)※名前解決なし ◎PING応答しない機器も検出可能 ◎ルータを監視するだけの安価・容易な導入と運用 ◎インテリジェントスイッチがなくても調査できる △不正接続検出目的の運用 ☆ルータの学習能力に依存しリアル環境と数分の誤差がある ☆ルータを通過しない通信の機器は検出できない ☆接続箇所/利用者の特定は困難、切断はできない
③SNMPネットワーク調査(IPWATCHER-PRO・IPWBOX600)
IPWATCHER-PRO
■IPWBOX600調査(SNMP対応スイッチ調査) ☆インテリジェントスイッチのMIB情報主体の調査 ◎高速で効率の良い調査(設置場所を選ばない) ◎PING応答しない機器も検出可能 ◎ルーター調査よりもリアルで精度の高い監視 ◎アドレスとその接続スイッチ・ポートまで判別可能 ◎認定外機器はポート自動切断し排除できる ◎接続箇所/利用者の特定も容易
3
切断
SNMP対応スイッチ