DShield Storm Center

DShield Storm Center

Storm Centerは攻撃に関するログ情報を収集します。この情報は、利用者全員の利益のために世界

中の組織から自発的に提供されます。 Storm Centerは、ネットワーク・セキュリティへのリアルタ イムの脅威に関するレポートを作成して、すぐに利用できる形で提示します。

SmartDefense Storm Centerモジュールにより、ネットワークStorm Centerとネットワーク・セ キュリティ情報を必要とする組織の間で情報交換が可能になります。

このセクションで説明する保護機能により、DShield Storm Centerから悪質なIPのリストを取得 し、それらのIPを遮断することができます。 また、DShieldにログを提出することもできます。

Retrieve and Block Malicious IPs （悪質な IP の取得と 遮断）

この保護機能により、DShield.org（代表的なStorm Centerの1つ）から悪質なIPアドレスを受け 取り、すべてのゲートウェイで遮断するか、特定のゲートウェイで遮断するかを決めることができ ます。

表 2-47

デフォルトの設定： オフ

保護機能により生成されるログ：

NGXのパフォーマンスへの影響： なし 表 2-48

NG FP3～R55 R55W

NGX（R60）管理 サーバから保護機 能をオンにした場

NGX（R60）管理 サーバから保護機能を Monitor-Onlyにした

NGX（R60）管理 サーバから保護機 能をオンにした

NGX（R60）管理 サーバから保護機能を Monitor-Onlyにした

Report to DShield（DShieldへの報告）

第2章 Network Security 49

Report to DShield （ DShield への報告）

この保護機能により、Storm Centerにログを送信して、ほかの組織が同じネットワークへの脅威に 対処するのに役立てることができます。

表 2-49

デフォルトの設定： オフ

保護機能により生成されるログ：

NGXのパフォーマンスへの影響： なし 表 2-50

NG FP3～R55 R55W

NGX（R60）管理 サーバから保護機 能をオンにした 場合の動作

NGX（R60）管理 サーバから保護機能を Monitor-Onlyにした 場合の動作

NGX（R60）管理 サーバから保護機 能をオンにした 場合の動作

NGX（R60）管理 サーバから保護機能を Monitor-Onlyにした 場合の動作

同じ 保護を非実施 同じ 保護を非実施

Port Scan（ポート・スキャン攻撃）

Port Scan （ポート・スキャン攻撃）

このセクションで説明する保護機能により、情報収集の発生を検出して、該当する情報が脆弱なコ ンピュータを攻撃するために使用されないようにすることができます。

ポート・スキャンとは、ネットワーク内の開いた状態のTCPポートおよびUDPポートの情報を収 集する方法です。情報を収集すること自体は攻撃ではありませんが、収集した情報は後で脆弱なコ ンピュータを標的にして攻撃するために使用できます。

ポート・スキャンは、nmapなどのスキャン・ユーティリティを使用するハッカー、またはほかの コンピュータに自身を感染させようとするワームによって実施されます。 ポート・スキャンは、一 般的にはポートにアクセスして応答を待つことによって行われます。 応答によって、ポートが開い ているかどうかを判断できます。

Host Port Scan （ホスト・ポート・スキャン）

SmartDefenseには3つのレベルのポート・スキャン検出感度があります。 それぞれのレベルは、一

定の時間にスキャンされた動作していないポートの量を表しています。 ポート・スキャンが検出さ れると、ログまたは警告が生成されます。

表 2-51

デフォルトの設定： オフ

保護機能により生成されるログ： Port Scan NGXのパフォーマンスへの影響： なし 表 2-52

NG FP3～R55 R55W

NGX（R60）管理 サーバから保護機

NGX（R60）管理 サーバから保護機

NGX（R60）管理 サーバから保護機

NGX（R60）管理 サーバから保護機

Sweep Scan（スイープ・スキャン）

第2章 Network Security 51

Sweep Scan （スイープ・スキャン）

SmartDefenseには3つのレベルのポート・スキャン検出感度があります。 それぞれのレベルは、一

定の時間にスキャンされた動作していないポートの量を表しています。 ポート・スキャンが検出さ れると、ログまたは警告が生成されます。

表 2-53

デフォルトの設定： オフ

保護機能により生成されるログ： Port Scan NGXのパフォーマンスへの影響： なし 表 2-54

NG FP3～R55 R55W

NGX（R60）管理 サーバから保護機 能をオンにした 場合の動作

NGX（R60）管理 サーバから保護機 能をMonitor-Onlyに した場合の動作

NGX（R60）管理 サーバから保護機 能をオンにした 場合の動作

NGX（R60）管理 サーバから保護機 能をMonitor-Onlyに した場合の動作

保護を非実施 保護を非実施 同じ N/A

Dynamic Ports（動的ポート）

Dynamic Ports （動的ポート）

この保護機能が有効になっている場合、クライアントがこれらの保護されたポートに動的に接続し ようとすると、接続が破棄されます。

Block Data Connections to Low Ports （ロー・ポートへ のデータ接続を遮断）

［Block data connections to low ports］では、1024より低い番号の動的に開かれたポートを許可す るかどうかを指定します。 ロー・ポート範囲は多くの標準サービスで使用されているため、通常は ロー・ポートを許可しません。

表 2-55

デフォルトの設定： オン

保護機能により生成されるログ：

NGXのパフォーマンスへの影響： なし 表 2-56

NG FP3～R55 R55W

NGX（R60）管理 サーバから保護機 能をオンにした場 合の動作

NGX（R60）管理 サーバから保護機 能をMonitor-Onlyに した場合の動作

NGX（R60）管理 サーバから保護機 能をオンにした場 合の動作

NGX（R60）管理 サーバから保護機 能をMonitor-Onlyに した場合の動作

同じ 保護を非実施 同じ 同じ

53