IPS スニッファ モード

IPS スニッファ モードは、Dell SonicWALL セキュリティ装置でサポートされており、侵入検知に使用されるレイヤ 2 ブリッジ モードの一種です。IPS スニッファ モードを設定して、ファイアウォール上のインターフェースをスイッチ上のミラーリングされたポートに接続してネットワーク トラフィックを検査できます。一般に、メイン ゲートウェイ内部のスイッチでイントラネットのトラフィックを監視する目的でこのモードを使用します。

以下の図のネットワーク構成では、トラフィックはローカル ネットワーク内のスイッチに流れ込み、スイッチのミラー ポートを経由して Dell SonicWALL セキュリティ装置の IPS スニッファ モード インターフェースにミラーリングされます。ファイアウォールでは、ブリッジ ペアで構成された設定に従ってパケットが検査されます。警告が発行されると、SNMP トラップがファイアウォールの別のインターフェースから指定の SNMP マネージャに送信されます。ファイアウォールで検査されたネットワーク トラフィックは、検査終了後に破棄されます。

ファイアウォールの WAN インターフェースは、シグネチャ更新やその他のデータを取得するために、ファイアウォール データ センターに接続するために使用されます。

図 5. IPS スニッファ モード:ネットワーク図

IPS スニッファ モードでは、レイヤ 2 ブリッジが、ファイアウォール上の同じゾーンにある 2 つのインターフェース (LAN-LAN、DMZ-DMZ など) の間に設定されます。個別ゾーンを作成してレイヤ 2 ブリッジに使用することもできます。WAN ゾーンだけは、IPS スニッファ モードでの使用に適していません。

その理由は、SonicOS は LAN-LAN トラフィックのような同じゾーン内のトラフィックのすべてのシグネチャを検出しますが、方向固有の (クライアント側対サーバ側) シグネチャの中には一部のLAN-WAN のケースに当てはまらないものがあるからです。

レイヤ 2 ブリッジの一方のインターフェースを、スイッチのミラーリングされたポートに接続できます。ネットワーク トラフィックがスイッチに到達すると、トラフィックはミラーリングされたポートにも送信され、そこからファイアウォールに渡されて厳密なパケット検査を受けます。悪意のあるイベントが認められると警告とログ入力が開始され、SNMP が有効な場合は SNMP トラップが SNMP マネージャ システムの設定済み IP アドレスに送信されます。このトラフィックは、実際にはレイヤ 2 ブリッジのもう一方のインターフェースまで進みません。IPS スニッファ モードでは、ファイアウォールはネットワーク トラフィックに対してインラインに配置されません。トラフィックを検査する手段を提供するだけです。

「ネットワーク > インターフェース」ページから表示できる「インターフェースの編集」画面には、IPS スニッファ モードを設定するときに使用する「このブリッジ ペアのトラフィックのみスニフする」という新しいチェックボックスがあります。このチェックボックスをオンにすると、ファイアウォールではミラーリングされたスイッチ ポートを通じて L2 ブリッジから送られてくるすべてのパケットを検査します。IPS スニッファ モードを使う場合、ミラーリングされたスイッチ ポートからのトラフィックがネットワークに送り返されないように「このブリッジ ペアにトラフィックをルーティングしない」チェックボックスもオンにする必要があります。

IPS スニッファ モードでインターフェースを設定する詳細な手順については、IPS スニッファ モードの設定 を参照してください。

IPS スニッファ モードのサンプル トポロジ

このセクションでは、Hewlett Packard ProCurve スイッチング環境で SonicWALL IPS スニッファ モードを使用するサンプル トポロジを示します。このシナリオは、脅威がやってくるポートを抑制したり閉じたりできる HP の ProCurve Manager Plus (PCM+) および HP Network Immunity Manager (NIM) サーバ ソフトウェア パッケージの機能に依存しています。

この方式は、既にファイアウォールが備わっているネットワークで、ファイアウォールのセキュリティ サービスをセンサーとして利用したい場合に便利です。

図 6. IPS スニッファ モード:サンプル トポロジ

この配備では、WAN インターフェースおよびゾーンを内部ネットワークのアドレス指定方式用に設定し、内部ネットワークに接続します。X2 ポートは LAN ポートにブリッジされたレイヤ 2 ですが、何にも接続されません。X0 LAN ポートは HP ProCurve スイッチ上の特別にプログラムされた第 2 のポートに設定します。この特別なポートはミラー モード用に設定します。これは内部ユーザおよびサーバのポートをすべてファイアウォールの「スニッフ」ポートに転送します。それにより、ファイアウォールは内部ネットワークの全トラフィックを分析でき、セキュリティ シグネチャをトリガするトラフィックがあれば、X1 WAN インターフェースを通じて PCM+/NIM サーバにただちにトラップするので、脅威がやってくるポートに対して処置を講じることができます。

この配備を設定するには、「ネットワーク > インターフェース」ページに移動し、X2 インターフェースの設定アイコンを選択します。「X2 設定」ページで、「ネットワーク モード」を「レイヤ 2 ブリッジ モード」に設定し、「ブリッジ先:」インターフェースを「X0」に設定します。「このブリッジ ペアのトラフィックのみスニフする」チェックボックスを選択します。「OK」を選択すると、変更内容が保存されて有効になります。

次に、「ネットワーク > インターフェース」ページに移動し、X1 WAN インターフェースの設定アイコンを選択します。「X1 設定」ページで、そこにネットワークの内部 LAN セグメントの一意の IP アドレスを割り当てます。これは間違いのように思われるかもしれませんが、実はこれが装置を管理するインターフェースであり、しかも装置が SNMP トラップを送信するインターフェースであり、セキュリティ サービス シグネチャ更新を取得するインターフェースでもあります。「OK」を選択します。

また、ファイアウォール ルールを変更して、LAN から WAN、および WAN から LAN へのトラフィックを許可する必要があります。そうしないと、トラフィックは正しく通過しません。

スパン/ミラー スイッチ ポートを SonicWALL の X2 ではなく X0 に接続し (実のところ、X2 への接続はまったく行われません)、X1 を内部ネットワークに接続します。X0 にスパン/ミラーされたポートをプログラムするときは注意してください。

ヒント：インターフェースの設定例を紹介するビデオ チュートリアルがオンラインで公開されています。例えば、『How to configure the SonicWALL WAN / X1 Interface with PPPoE Connection』をご覧ください。これ以外にも、https://support.software.dell.com/videos-product-select ではさまざまなビデオが公開されています。