• 検索結果がありません。

VoIP環境におけるProventiaの有効性(v1.1)

N/A
N/A
Info
ダウンロード
Protected

Academic year: 2021

シェア "VoIP環境におけるProventiaの有効性(v1.1)"

Copied!
14
0
0

読み込み中.... (全文を見る)

今ダウンロードする ( 14 ページ )

全文

(1)

VoIP

VoIP

環境における

環境における

Proventia

Proventia

®

®

の有効性

の有効性

Rev1.1

日本アイ・ビー・エム株式会社

(2)

VoIPの特性

ƒ VoIPの利点

-

コスト削減 : 既存のデータネットワークインフラの活用

• TCOの削減

• 生産性の増加

-

コンソリデーション :単一のフレームワーク上での多様な機能の提供

• 音声、Fax,ビデオ、Wi-Fi

• 広大なエリアをカバーするにも迅速な実装が可能

ƒ

電話=企業の生産活動を支える重要インフラ機能

- PBXが止まるとどうなるか? - 電話の使えないオフィス=想像の範囲外?

(3)

ƒ

脆弱なプロトコル仕様

- 「VoIPのセキュリティは、スイスチーズのように穴だらけの状態」( Chris Rouland, CTO ,ISS.Inc)

http://www.itmedia.co.jp/enterprise/articles/0507/23/news016.html

ƒ

VoIPを構成するITシステム自体のセキュリティホール

- Cisco VoIP Call Manager のリモート セキュリティ侵害

http://www.isskk.co.jp/support/techinfo/general/cisco_voip_200.html - VoIPサービスを提供するサーバ • VoIP用アプリケーション+OSの組合せ Æ OS部分(ex. Windows)のセキュリティホールに対する対応の必要性 • サービス不能攻撃、不正アクセス - VoIPシステムのエンドポイントシステム • ソフトウェア : VoIPアプリケーションを搭載したクライアントPC • ハードウェア : IP電話、VoIPを利用するデバイス • ID奪取、盗聴、管理者権限による不正アクセス

ƒ

ご参考:

- IP電話のスパム「SPIT」を警告、ISSのCTOが「来年出現」 http://www.atmarkit.co.jp/news/200507/22/iss.html - 「VoIPがサイバー攻撃の標的に」Gartnerが警告 http://www.itmedia.co.jp/enterprise/0401/19/epic03.html - スパムとDoS攻撃の矛先はVoIPにも向かう http://www.itmedia.co.jp/enterprise/articles/0408/24/news078.html

VoIPに潜むリスク

(4)

VoIPに潜むリスク

-Cisco VoIP Call Manager のリモート セキュリティ侵害

ƒ

脆弱性概要

- Cisco Call Manager 中のデータベース ヘルパー サービスに2つの脆弱性が存在 • サービス不能攻撃(DoS)を許す

• バッファーオーバーフローによる悪用による認証回避

ƒ

IBM ISSの対応

- IBM ISS X-Force®* の Mark Dowd、Mike Lynn、David Maynor、Neel Mehta、および Alex Wheeler が脆弱性を発見し、 Cisco社に報告 - 2005年7月12日 • IBM ISSの不正侵入検知・防御製品に搭載され、トラフィックの解析とイベント検知・防御を司るプロトコル分析モ ジュール(PAM)に対するシグネチャアップデート、X-Press Update(XPU)により当該セキュリティホールに対応する以 下のシグネチャをVirtual PatchTM(バーチャルパッチ)**としてリリース - Cisco_CallMgrDB_Bo - Cisco_CallMgrDB_DoS - 2005年7月13日 • Cisco社による脆弱性情報の公開、およびセキュリティパッチリリース後に、X-Forceアドバイザリとして一般公開 <ご参考> * : http://www.isskk.co.jp/X-Force.html http://www.isskk.co.jp/security_center/xforce_faq.html ** : http://www.isskk.co.jp/virtualpatch.html

(5)

PAM

PAM

よる高度

よる高度

な解析

な解析

脆弱性の特定と

脆弱性の特定と

それらに対応する

それらに対応する

XPU

XPU

リリース

リリース

VoIPに潜むリスク

- VoIPを構成するITシステム自体のセキュリティホール

ƒ

VoIPのみならず、ITシステムは多層構造を持つ

Æ それぞれの「層」に脆弱性は存在する

Æ それぞれの「層」を多層的に保護する事でシステム全体の保護が可能

各種ライブラリ(

各種ライブラリ(

SSL,PHP,etc

SSL,PHP,etc

)

)

TCP/IP

TCP/IP

オペレーションシステム

オペレーションシステム

その他サービス

その他サービス

(Terminal Service,SNMP,etc (Terminal Service,SNMP,etc……))

VoIP

VoIP

サービス

サービス

アプリケーション

アプリケーション

情報

システム

(6)

VoIP環境におけるProventiaの特性

ƒ

VoIPの実装に利用される主要プロトコルの解析に対応

- PAMで実現

- SIP, MGCP, H.323, SCCP, H.225, H.245, Q.931, T.120 and STUN

- VoIPトラフィック中の利用されているプロトコルの特定、及び各種データを認識可能 ex. 発信元/先 電話番号, 発信元/先 IPアドレス, 音声データ部分など - IPアドレス,ポート番号の組合せのステートフル+VoIPの手続きの状態まで追跡 ex. VoIPサーバへの発呼要求中, 相互通話中 など

ƒ

TCP/IPレイヤーからアプリケーションレイヤーに至る多層解析に対応

(PAMで対応)

ƒ

公開済、若しくは未公開のセキュリティホールに対する迅速かつ的確なシグネチャリリース

(X-Forceの

ナレッジ)

ƒ

低Latency

- 100μsec以下 - 参考値:Cisco3550 • フレーム長64bytes : 10μsec程度 • フレーム長1518bytes : 180μsec程度 *弊社調べ Cisco3550 : 180 μ

(7)

VoIP環境を守るISS

セキュリティパッチ適用までの「空白期間」の

セキュリティパッチ適用までの「空白期間」の

セキュリティレベル向上を可能にするソリューション

セキュリティレベル向上を可能にするソリューション

Virtual Patch

Virtual Patch

PAM

PAM

・ ・ 120120種類を超えるプロトコルの解析に対応種類を超えるプロトコルの解析に対応 ・ ・ 様々な機関からの高い評価様々な機関からの高い評価

X

X

-

-

Force

Force

・ ・ 民間では世界最大級のセキュリティ民間では世界最大級のセキュリティ 研究機関 研究機関 ・ ・ 脆弱性発見に多大な実績脆弱性発見に多大な実績 ・ ・ 脆弱性情報公開から脆弱性情報公開から2424時間以内の時間以内の Virtual Patch Virtual Patchリリースの実績リリースの実績

Virtual Patch

Virtual Patch

対応製品群

対応製品群

アプライアンス製品:

アプライアンス製品:

Proventia G

Proventia G

シリーズ、

シリーズ、

M

M

シリーズ

シリーズ

ソフトウェア製品:

(8)

VoIPを守るためには・・・

(9)

閉域網

– A社WAN用

Si Si Si Si Si Si

閉域網

– エクストラネット用

Internet A A社全社ネットワーク社全社ネットワーク A A社本社社本社 A A社社 データ データ センタ センタ A A社公開社公開 セグメント セグメント VoIP VoIPサーバサーバ セグメント セグメント エクストラ エクストラ ネット用 ネット用 データセンタ データセンタ A A社生産拠点社生産拠点 AA社生産拠点社生産拠点 AA社物流拠点社物流拠点 A A社支店・営業所社支店・営業所 販売拠点 販売拠点 B B社ネットワーク社ネットワーク C C社ネットワーク社ネットワーク 端末 端末 Internet VPN Internet VPN Internet VPN Internet VPN

Internet

A

A

社ネットワーク構成図

社ネットワーク構成図

(10)

Internet

-重要拠点のセキュリティレベル向上

-重要拠点のセキュリティレベル向上

閉域網

– A社WAN用

Si Si Si Si Si Si

閉域網

– エクストラネット用

A A社全社ネットワーク社全社ネットワーク A A社本社社本社 A A社社 データ データ センタ センタ A A社公開社公開 セグメント セグメント エクストラ エクストラ ネット用 ネット用 データセンタ データセンタ A A社生産拠点社生産拠点 AA社生産拠点社生産拠点 AA社物流拠点社物流拠点 A A社支店・営業所社支店・営業所 販売拠点 販売拠点 B B社ネットワーク社ネットワーク C C社ネットワーク社ネットワーク Internet VPN Internet VPN Internet VPN Internet VPN

Internet

セグメントは保護されるが、そこに至る 経路に不要なトラフィックが流入し帯域 を圧迫.結果として正常通信が成立しな= = 業務の遅延、停止業務の遅延、停止 VoIP VoIPサーバサーバ セグメント セグメント

遅延の発生

遅延の発生

音声品質の低下

音声品質の低下

コール不能

コール不能

遅延の発生

遅延の発生

音声品質の低下

音声品質の低下

コール不能

コール不能

??

??

(11)

Internet 重要拠点への経路 重要拠点への経路((ネットワークネットワーク)) の可用性向上を図る の可用性向上を図る

=

= 封じ込め

封じ込め

閉域網

– A社WAN用

Si Si Si Si Si Si

閉域網

– エクストラネット用

A A社全社ネットワーク社全社ネットワーク A A社本社社本社 A A社社 データ データ センタ センタ A A社公開社公開 セグメント セグメント エクストラ エクストラ ネット用 ネット用 データセンタ データセンタ A A社生産拠点社生産拠点 AA社生産拠点社生産拠点 AA社物流拠点社物流拠点 A A社支店・営業所社支店・営業所 販売拠点 販売拠点 B B社ネットワーク社ネットワーク C C社ネットワーク社ネットワーク A A社モバイル社モバイル 端末 端末 Internet VPN Internet VPN Internet VPN Internet VPN

Internet

“封じ込め”により他拠点への感染,およ び 他ネットワーク経路への影響を回避 “封じ込め”により他拠点への感染,およ び 他ネットワーク経路への影響を回避 VoIP VoIPサーバサーバ セグメント セグメント

(12)

ProventiaにおけるVoIP関連シグネチャ

RFCに規定されていないメソッドを利用するSIP通信を検出します。 SIP_Unknown_Method_Name SIPバージョンが2.0でないSIP通信を検出します SIP_Version_Not2 SIP通信のコンテンツ長がよりもUDPにおける残りサイズが大きな値を持つ通信を検出します SIP_Content_Length_Mismatch 異常に大きなforward値を含むSIP通信を検出します SIP_Large_Max_Forwards SIPヘッダーがblank(空)の通信を検出します SIP_Blank_Header_Value 異常に長いメソッド名を含むSIP通信を検出します SIP_Long_Method_Name SIP通信の特定フィールドに存在するコンテンツ長が異常に大きな値を持つものを検出します SIP_Large_Content_Length 異常に長いSIPヘッダーを含むSIP通信を検出します SIP_Long_Header_Value 異常に長いURIを含むSIP通信を検出します SIP_Long_Request_URI 異常に長いSIPヘッダーを含む通信を検出します SIP_Long_Header_Name Skinnyにおける認識不能なメッセージ識別子を含む通信を検出します。 CiscoSccp_Invalid_MessageID グループでの音声通話終了を検出します CiscoSccp_Stop_Media_Transmission MGCPにおけるフィールド長が一定以上の通信を検出します MGCP_LongField MGCPにおけるエンドポイント長が一定以上の通信を検出します MGCP_Long_Endpoint * 緑色はAuditカテゴリ

(13)

Appendix

-ProventiaにおけるVoIP関連シグネチャ

Skypeのアップデート通信を検出します HTTP_Skype バージョン0.98.0.28 以前のSkypeアプリケーションのバッファーオーバーフ ローを引き起こす通信を検出します HTTP_Skype_Callto_Overflow Skinnyにおけるメッセージ長がチューニング可能な閾値を超える通信を検出し ます CiscoSccp_Message_Overflow Skinnyにおける、メッセージ識別子に関連したデータサイズが適切でない通信 を検出します CiscoSccp_Message_Underflow

Cisco Call Manager databaseへの通信のうち、バッファサイズを超える通信を 検出します

Cisco_CallMgrDB_Bo

Cisco Call Manager databaseへの通信のうち、特定のデータサイズが異常に 大きな通信を検出します Cisco_CallMgrDB_DoS Skinnyにおける、通話開始のハンドシェイクを含む通信を検出します。 CiscoSccp_Start_Media_Transmission Skinnyにおける、新規の通話セッションの開始を示す通信を検出します。 CiscoSccp_Open_Receive_Channel 異常に長いトランザクションIDを含むMGCP通信を検出します MGCP_Long_Tid * 緑色はAuditカテゴリ

(14)

©Copyright IBM Japan, Ltd. 2008 日本アイ・ビー・エム株式会社

Produced in Japan Jun 2008 All Rights Reserved

●この説明資料の情報は2008年6月現在のものです。仕様は予告なく変更される場合があります。

●記載のデータはIBM社内の調査に基づくものであり、全ての場合において同等の効果が得られることを意味するものではありませ ん。効果はお客様の環境その他の要因によって異なります。

●製品、サービスなどの詳細については、[email protected]弊社もしくはビジネス・パートナーの営業担当員にご相談ください。

IBM、IBMロゴ、X-Force、Proventia Network MFSは、International Business Machines Corporationの米国およびその他の国における商標。 Microsoftは、Microsoft Corporationの米国およびその他の国における商標。

Adobeは、Adobe Systems Incorporatedの米国およびその他の国における登録商標または商標。 他の会社名、製品名およびサービス名等はそれぞれ各社の商標。

本資料に関するお問合せ

日本アイ・ビー・エム株式会社 ITS事業 ISS事業部 パートナーセールス部 TEL : 03-5740-4060 E-Mail : [email protected] URL : http://www.ibm.com/services/jp/index.wss/offerfamily/its/b1327874 ※当資料に関するお問い合わせは、担当営業、または上記までご連絡ください。

参照

今ダウンロードする ( PDF - 14 ページ - 1.59 MB )

関連したドキュメント

図-4 基部モーメントの温度依存性 基部のモーメント 温度

動的解析には常温の等価剛性及び等価減衰定数(設計値)から,バイリ

CFRP 板接着により補修された疲労き裂の応力拡大係数の算定について

鋼板中央部における貫通き裂両側の先端を CFRP 板で補修 するケースを解析対象とし,対称性を考慮して全体の 1/8 を モデル化した.解析モデルの一例を図 -1

「お見通し」発言のレトリック : カフカの長編三 作の分析

そのような発話を整合的に理解し、受け入れようとするなら、そこに何ら

「きのふはけふの物語」の「笑い」の発想について : 「中世謎」「俳諧連歌」との比較

はある程度個人差はあっても、その対象l笑いの発生源にはそれ

家鶏喉頭軟骨の催骨現象に関する実験的餅究

 (4)以上の如き現状に鑑み,これらの関係 を明らかにする目的を以て,私は雌雄において

中国語の声調とアクセント (特集1 世界の声調・ア クセント言語)

音節の外側に解放されることがない】)。ところがこ

フッサールのアプリオリの概念をめぐって

名の下に、アプリオリとアポステリオリの対を分析性と綜合性の対に解消しようとする論理実証主義の  

参考資料3 水質汚濁防止法に基づく対策の概要について

3.排出水に対する規制