TiFRONT - セキュリティスイッチ 導入評価ガイド
アクセスネットワークのセキュリティ対策
株式会社パイオリンク 2015 年 11 月 12 日 第 5 版
本文書は、(株)パイオリンクが提供する製品紹介資料として性能及び内容の改善により事前予告なしに 変更されることがあります。 なお、本文中に記載されている製品名及び社名はそれぞれ各社の商標、
または登録商標です。
目次
1.本文書の目的と設定フロー ... 4
2.TiFRONTシリーズ概要 ... 5
■TiFRONT のアーキテクチャー ... 5
■TiMatrix セキュリティエンジンと PLOS ... 5
■セキュリティ機能による検知トラフィック遮断 ... 5
3.TiManager サーバインストール要件... 6
■通信環境 ... 6
4.データベースのインストール ... 7
5.TiManager サーバのインストール ... 12
6.TiManager クライアントのインストール ... 20
7.構成要素 ... 26
■ターミナルソフトの設定 ... 26
8.TiFRONT のネットワーク基本設定例 ... 27
■起動画面とデフォルトパスワード ... 27
■ネットワーク基本設定例 ... 28
■ネットワーク基本設定確認例 ... 29
■WEB アラートの設定 ... 30
■設定初期化例 ... 31
9.TiManager へのログイン ... 32
10.セキュリティ設定 ... 33
11.TiMatrix セキュリティ運用例 ... 38
■レポート機能例 ... 40
12.IP 管理機能設定 ... 41
■TiFRONT での IP 管理機能初期設定例 ... 41
■TiManager サーバへのライセンス登録例 ... 42
■TiManager サーバへの連動機器登録例 ... 43
■IP 管理機能初期設定例 ... 44
■ブラックリスト設定例 ... 45
■アップリンクポート設定例 ... 45
■小規模ネットワーク環境での運用例 ... 46
■通信遮断解除設定例 ... 46
■中規模以上のネットワーク環境での運用例 ... 47
13.アラートメール設定 ... 48
■アラートメールの設定 ... 48
14.連動動作検証ツールのご紹介 ... 52
■連動動作検証ツールについて ... 52
■TiManager Server の設定 ... 53
■連動動作検証ツールの起動 ... 54
■TiManager での確認 ... 55
15.トラブルシューティング ... 59
■セキュリティログの表示を TiManager Client から消去したい ... 59
■自動登録機器に TiFRONT が表示されない ... 60
■攻撃を起こしても、攻撃検知がされない ... 61
1.本文書の目的と設定フロー
本文書では、PIOLINK TiFRONT シリーズを評価・検証して頂く際の基本設定ガイドとして作成された ハンズオン資料となり、当ガイドの流れに従って設定をして頂くことで、簡単に既存ネットワーク環境 へセキュリティスイッチを導入することができます。
尚、当ガイドでは以下の流れにて基本設定をご紹介して参ります。
TiFRONT は、設定をしない状態で稼働頂いても通常の L2 スイッチとして使用できますが、セキュリテ ィ機能や、TiManager サーバとの接続による可視化を考慮した場合、後述のコマンドラインを数行適用 頂く必要がございます。
TiFRONT基本設定
セキュリティ機能設定 TiManager基本設定
L2 スイッチ設定(CLI) DB インストール
TiManager サーバインストール
TiManager クライアントインストール
セキュリティ機能有効化設定
セキュリティ連動設定
IP 管理機能設定
2.TiFRONTシリーズ概要
TiFRONT-セキュリティスイッチシリーズでは、ポート数や PoE のサポート可否、電源ユニットの数と いったハードウェアスペックの違いによって、10 種類の製品ラインナップを提供しており、サポート するセキュリティ機能は、全モデルで共通の機能を有しております。
■TiFRONT のアーキテクチャー
TiFRONT のアーキテクチャーは、L2 スイッチ処理部と TiMatrix というセキュリティエンジン部が別々 に配置されているため、セキュリティ処理を行う TiMatrix によって、L2 スイッチング処理が影響を受 けることはありません。
従ってフレーム転送処理と同時にセキュリティ機能が並列に動作することで、セキュリティ機能を実行 しながらも、L2 スイッチとしてのワイヤスピードの処理性能を落とすことがありません。
■TiMatrix セキュリティエンジンと PLOS
TiMatrix とは、様々な有害トラフィックの検知及び、遮断機能を提供するエンジンとなり、ファームウ ェアである PioLink Operating System(以下、PLOS)による処理を行います。
シグネチャアップデート方式のセキュリティ機器とは違い、進化し続ける新種の攻撃手法に対しても、
ソフトウェアのアップデートにより対応していくことが可能となるため、閉域ネットワークであっても セキュアな環境を構築することが可能となります。
■セキュリティ機能による検知トラフィック遮断
TiFRONT では、セキュリティ機能により検知したトラフィックへ以下 2 種類の遮断動作を行います。
両機能とも、TiFRONT からハブ等でカスケード接続された端末からの通信であっても、他の問題性が ない端末からの通信を遮断するような影響を及ぼしません。
・TiMatrix:PLOS の検知基準に該当するトラフィックのみを遮断するため、該当送信元端末か ら流れる他の通信へは遮断等の影響を及ぼしません。
つまり該当トラフィック以外の危険性がない Web アクセスや E メール等、業務利 用中の大切な通信を遮断することはありません。
・IP 管理機能:McAfee(NSP/ePO)や Paloalto(PA)、Fortinet(FortiGate)等の他セキ ュリティソリューションと連動することで、該当脅威元となる端末の送信元 IP アドレスと MAC アドレスの組合せに対して通信を遮断します。
3.TiManager サーバインストール要件
・TiManager サーバ最小要件(※)
CPU:Intel Core2 Duo 2GHz 以上/Memory:2GB 以上/HDD: 1GB 以上の空き容量
※上記は、評価検証時を想定とした管理 TiFRONT 台数が 1~2 台程度、端末 100 台未満かつ、2 週間 程度の運用をする場合といった最小構成でのサイジング目安となります。
・OS および DB 要件
以下 Microsoft Windows OS(32bit 及び 64bit)に対応しております。
Microsoft Windows 7 Pro/Ultimate、Windows8.1Pro
Microsoft Windows Server 2003(32bit) / Windows Server2003 R2(32/64bit) Windows Server 2008(32/64bit) / Windows Server 2008 R2(64bit)
Windows Server 2012(64bit)
尚、対応するデータベースは以下となります。
PostgreSQL v9.2
MS-SQL 2008 R2 Express Edition
■通信環境
以下の通り通信環境に対するファイアウォール等のアクセス制限を調整して下さい。
TiManager サーバ ↔ TiManager クライアント間の通信
通信方向 使用プロトコル 目的
TiManager クライアント TiManager サーバ
TCP 54098 TCP 5432
ログイン、セキュリティ設定など データベースのバックアップや復元 TiManager サーバ
TiManager クライアント
UDP 25780 セキュリティ、機器アラーム通報など
TiManager サーバ ↔ TiFRONT 間の通信
通信方向 使用プロトコル 目的
TiManager サーバ TiFRONT
ICMP TCP 22 TCP 23 UDP 161
TiFRONT 接続状態の確認利用時 IP 管理機能
Telnet 利用時
リソース、トラフィック情報収集 TiFRONT UDP 514 セキュリティ、機器ログの転送
4.データベースのインストール
「postgresql-9.2.3-2-windows.exe」を実行します。
[Next]をクリックし PostgreSQL のインストールを開始します。
インストールディレクトリを選択し[Next]をクリックします。
データディレクトリを選択し[Next]をクリックします。
スーパーユーザ"Postgre"に対するパスワードを任意に設定し[Next]をクリックします。
ポート番号として「5432」を指定し[Next]をクリックします。
言語として「Japanese, Japan」を選択し[Next]をクリックします。
[Next]をクリックしインストールを開始します。
インストール進行状態の画面表示がされます。
インストール完了画面が表示されたら、チェックボックスの選択を外し[Finish]をクリックします。
5.TiManager サーバのインストール
「PLOS_TMS_v1.7.5.0.8.exe」を実行し TiManager サーバのインストールを開始します。
サーバに「Microsoft .NET Frameworks 3.5」がインストールされていない場合、[インストール]をク リックすることでインターネット経由にてダウンロードされます。
インストール進行状態の画面表示中再起動を求められた場合には、インストールウィザードに従って再
「Microsoft Visial C++ 2008 SP1 Redistributable Package (x86)」がインストールされていない場 合、自動的にインストールされます。
[次へ]をクリックし TiManager サーバのインストールを開始します。
ユーザ名および、会社名を任意に入力し「基本機能のみ(ライセンス無し)」のラジオボタンをチェッ クしたうえで[次へ]をクリックします。
インストール先フォルダを指定し[次へ]をクリックします。
[インストール]をクリックしインストールを開始します。
インストール進行状態の画面表示がされます。
[はい(Y)]をクリックしデータベースの登録設定を行います。
データベースインストール時ユーザ"Postgre"用に設定したパスワードを入力し[設定を開始]をクリック します。
データベースのオプティマイズについては、データベースのメモリを整理するウィンドウスケジューラ ーが追加され、データベースの性能を向上させます。
インストール進行状態の画面表示がされます。
「インストールを完了しました。」の画面表示を確認した後、[インストール完了[閉じる]]をクリック します。
[完了]をクリックしインストールを終了させます。
TiManager サーバのサービスを開始する場合には、スタートメニューから[すべてのプログラム]- [PIOLINK]-[TiManager Server]-[TiManager Server Management]をクリックし"TiManager サーバ 管理"の[開始]を選択します。
6.TiManager クライアントのインストール
「PLOS_TMC_v1.7.5.0.8.exe」を実行し TiManager クライアントのインストールを開始します。
PC に「Microsoft .NET Frameworks 3.5」がインストールされていない場合、[インストール]をクリ ックすることでインターネット経由にてダウンロードされます。
インストール進行状態の画面表示がされます。
インストール中再起動を求められた場合には、インストールウィザードに従って再起動を行って下さい。
再起動後、自動的にインストールが継続されます。
インストール進行状態の画面表示がされます。
ユーザ名および、会社名を任意に入力し[次へ]をクリックします。
インストール先フォルダを指定し[次へ]をクリックします。
[インストール]をクリックしインストールを開始します。
インストール進行状態の画面表示がされます。
[完了]をクリックしインストールを終了させます。
インストールが正常に完了した場合、デスクトップ上にショートカットアイコンが作成されます。
起動時には、ショートカットアイコンもしくは、Windows のスタートボタンから[プログラム]- [PIOLINK]-[TiManager Client]-[TiManager Client]をクリックし TiManager クライアントを実行しま す。
OS やご利用中のセキュリティソフトウェアのセキュリティプログラムが TiManager クライアントの起 動を阻害する場合には"TiManagerClient.exe"の使用許可設定をお願いします。
Windows 7 を使用する場合には、”TiManagerClient.exe”のプロパティにある”互換性”タブにて特権レ ベルにチェックが入っているかどうかを確認して下さい。
TiManager クライアント起動時に TiManager サーバの IP アドレスおよび、アカウントを入力します。
初回ログイン時のデフォルト管理者アカウントは以下の通りとなります。
7.構成要素
TiFRONT シリーズの初期設定および、ネットワーク関連機能設定には、コンソール接続できる PC 端末 が必要となります。
TiFRONT シリーズで検出されたセキュリティイベントのログは、TiManager サーバに送信・保存され、
視覚化されたログの閲覧には TiManager クライアントがインストールされた PC 端末が必要となります。
■ターミナルソフトの設定
コンソール接続時、ターミナルソフトの設定は以下の通りとなります。
通信速度: 9600 bps データビット: 8 bit ストップビット: 1 bit パリティ: None フロー制御: None
TiManager クライアント
TiManager サーバ 設定(CLI)Console
8.TiFRONT のネットワーク基本設定例
■起動画面とデフォルトパスワード TiFRONT (PIOLINK Inc.)
Bootloader version : 2.10 (Build time: Aug 7 2014 - 09:08:41)
TiFRONT G2408 board revision serial #: R214T7100A03013 MAC address: 00:06:c4:71:09:20
DRAM: 512 MB
Clearing DRAM... done Flash: 128 MB
Boot to [PLOS-1]
PLOS-LS version: 2.0.5 (size: 50331648) is uploading....
Board: TiFRONT-G2408P /sbin/rc starting
TiFRONT INIT SCRIPT
Updating module dependencies Setting up loopback
TiFRONT running...
QC module loading localtime link Starting syslogd logfiler started.
Starting snmpd Switch module Init
User defined default switch configuration is loaded Starting switch IMISH
Starting Cron Starting xinetd Hardware Monitoring watchdog enable ENABLE
TiFRONT login: root Password:admin
デフォルトログイン名: root デフォルトパスワード: admin
尚、実際のパスワード入力時には、入力したパスワードは表示されませんのでご注意下さい。
■ネットワーク基本設定例 PLOS PIOLINK Inc.
TiFRONT> enable
TiFRONT# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
TiFRONT(config)# timezone jst TiFRONT(config)# interface vlan1
TiFRONT(config-if-vlan1)# ip address 172.16.7.165/24 TiFRONT(config-if-vlan1)# exit
TiFRONT(config)# ip route 0.0.0.0/0 172.16.7.254 TiFRONT(config)# logging timanager 172.16.7.100 TiFRONT(config)# exit
TiFRONT# write memory Building configuration...
[OK].
コマンド 解説
enable User モードから Privileged モードへ移動します configure terminal Privileged モードから設定モードへ移動します
timezone jst 時刻設定を日本標準時に設定します
interface vlan1 デフォルトのインタフェース(Untagg)設定モードへ移動します ip address コマンド 指定インタフェースに IP アドレス(ネットマスク)を設定します
exit 設定モードへ階層移動します
ip route コマンド ルーティングテーブルにデフォルトゲートウェイを設定します
logging timanager コマンド TiManager サーバの IP アドレスを設定します
write memory 設定保存をします
■ネットワーク基本設定確認例 TiFRONT# show ip interface brief
Interface IP-Address Status Protocol
ip6tnl0 unassigned administratively down down loopback 127.0.0.1 up up mgmt0 unassigned up down mon unassigned up up sit0 unassigned administratively down down smon unassigned administratively down down vlan1 172.16.7.165 up up
TiFRONT# show ip route
Codes: K - kernel, C - connected, S - static, R - RIP, B - BGP O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default
Gateway of last resort is 172.16.7.254 to network 0.0.0.0
S* 0.0.0.0/0 [1/0] via 172.16.7.254, vlan1 C 127.0.0.0/8 is directly connected, loopback C 172.16.7.0/24 is directly connected, vlan1
TiFRONT# show clock 11:27:14 JST
TiFRONT(config)# show logging Logging Configuration Informations
==============================================
Facility : All Severity : Notice
--- Logging Host :
Address Severity Facility --- --- --- TiMANAGER : send-alive timer 60
172.16.7.100 : send-alive disable
==============================================
コマンド 解説
show ip interface brief 設定された IP アドレスを確認します
show ip route 設定されたデフォルトゲートウェイを確認します
show clock 設定された時刻とタイムゾーンを確認します
show logging 設定された TiManager サーバの確認をします
■WEB アラートの設定 PLOS PIOLINK Inc.
TiFRONT> enable
TiFRONT# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
TiFRONT(config)# web-alert display-company Piolink TiFRONT(config)# web-alert display-phone 03-1234-5678 TiFRONT(config)# web-alert display-mail [email protected] TiFRONT(config)# web-alert hostacl alert-type web-page TiFRONT(config)# web-alert hostacl enable
TiFRONT(config)# web-alert display-language jp TiFRONT(config)# exit
TiFRONT# write memory Building configuration...
[OK].
コマンド 解説
web-alert display-company WEB アラート画面の「担当部署」を設定します web-alert display-phone WEB アラート画面の「電話番号」を設定します web-alert display-mail WEB アラート画面の「E メール」を設定します web-alert hostacl alert-type WEB アラートのタイプを設定します
web-alert hostacl enable WEB アラート機能を有効にします
web-alert display-language jp WEB アラートの表示言語を日本語に設定します
連動機能を使用する際の WEB アラートの設定です。
■設定初期化例
TiFRONT# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
TiFRONT(config)# copy factory-default startup-config clear written configuration? (y/n): y
[OK]
TiFRONT(config)# reload reboot system? (y/n): y
初期化(工場出荷状態)や再起動時には、実行前に確認を求められます。
また、初期化の際には TiFRONT の再起動を必要とします。
コマンド 解説
copy factory-default startup-config 設定を初期化(工場出荷状態)にします
reload 設定初期化をするために再起動をします
9.TiManager へのログイン
TiManager クライアント起動時に TiManager サーバの IP アドレスおよび、アカウントを入力します。
初回ログイン時のデフォルト管理者アカウントは以下の通りとなります。
ID: super
パスワード: super
10.セキュリティ設定
TiManager クライアント上部にある”セキュリティ管理”をクリックしセキュリティ設定画面へ移動しま す。
設定対象となる TiFRONT を画面左側の機器リストより選択し、画面右側の”選択した機器リスト”へド ラッグ&ドロップした後、該当リストを選択し画面下部の”コンフィグ取得”ボタンをクリックします。
③ ドラッグアンドドロップ
② 該当リストを選択
① コンフィグ取得
“ポートの設定”にチェックをいれ、該当ポートを右クリックし[ポート設定]-[セキュアポート]を選択す ることで、セキュリティ機能が使用できるポート(セキュアポート)になります。
ネットワーク上のゲートウェイ方向に接続されたポートには、[ポート設定]-[アップリンクポート]を選 択することで、アップリンクポート設定をすることができ、該当ポートへ受信される通信はセキュリテ ィ機能の対象から除外されます。
実運用上、IP スプーフィングや ARP スプーフィング発生時のセキュリティログ解析をスムーズに行う ために該当項目の設定を必ずお願い致します。
画面中段にある”TiMatrix セキュリティ”タブより、セキュアポートに対して検知/遮断させるセキュリ ティ機能の設定をすることができます。
尚、DoS/DDoS 項目を選択した場合には、以下の通信に対する検知/遮断機能が適用されます。
通信 概要
IP スプーフィング 同一送信元 MAC アドレスでの、複数送信元 IP アドレスを持った通信 TCP フラッディング 多量の SYN パケットが短時間に送られる通信
UDP フラッディング 多量の UDP パケットが短時間に送られる通信 ICMP フラッディング 多量の ICMP パケットが短時間に送られる通信
ARP フラッディング 多量の ARP リクエストが短時間に送られる通信
ポートスキャニング 短時間に特定宛先に対して複数のポートへ発生する多量の通信
特定の端末に対して、セキュリティ機能によるアクセス制御を受けさせたくない場合には、”例外設 定”にチェックをいれてパーミットリスト設定をします。
上図は、送信元 MAC アドレス”00:0c:29:a8:44:29”からの通信をセキュリティ機能から除外する設定 例になり、画面左側の”タイプ”を”ARP”、画面中央の”送信元情報”に”00:0c:29:a8:44:29”を入力し、
”追加”をクリックします。
パーミットリスト設定を削除したい場合には、該当リスト上で右クリックをし”選択リストから削除”を クリックし、該当設定を削除します。
セキュリティ設定は、画面下段にある”適用”をクリックするまで TiFRONT への該当設定適用/保存が されないので注意して下さい。
11.TiMatrix セキュリティ運用例
攻撃性通信を検知した場合、(画面左側の機器ソート欄)該当通信を検知した TiFRONT のアイコン表 示が上図のように変化し、”セキュリティログ”タブよりその詳細を確認することができます。
”詳細リスト”から該当のログを選択し”管理者確認”からアラーム解除を行うことができます。
■ARP スプーフィング相関分析例
“セキュリティログ”の”詳細リスト”にある該当ログをダブルクリックし開きます。
ARP スプーフィングのログを確認した場合、送信元 MAC アドレスを持つ端末が、該当通信を発信して いると推測されます。
また、IP Spoofing(ARP)と表示される、ARP を使用した IP スプーフィングも同様になります。
尚、セキュアポートに接続された先のネットワーク機器が、冗長化での切替わり等で VRRP 等のパケッ トを流している場合にも ARP スプーフィングが検出されるため注意をして下さい。
■レポート機能例
[レポート]-[セキュリティログ]を選択し攻撃性通信に対するレポーティングを出力することができます。
その他、機器のログやトラフィックに対するログのレポートも出力可能なため、通信状態を詳細に把握
12.IP 管理機能設定
■TiFRONT での IP 管理機能初期設定例
TiFRONT(config)# logging hostacl 172.16.7.100 8000 TiFRONT(config)# hostacl mode filter black
TiFRONT(config)# show logging hostacl Host ACL logging configuration Information
==============================================
Logging Host ACL : 172.16.7.100, 8000
==============================================
TiFRONT(config)# show hostacl Host access control
--- Mode : Blacklist Filter DHCP : Permit DNS : Permit NETBIOS: Enable Uplink ports None
TiFRONT(config)# exit TiFRONT# write memory Building configuration...
[OK].
コマンド 解説
logging hostacl コマンド TiManager サーバの IP アドレス+8000 を入力し IP 管理機能を有効化させます hostacl mode コマンド IP 管理機能の動作モードを設定。filter black にて設定した IP のみを遮断させます
show logging hostacl IP 管理機能の設定情報を確認します show hostacl コマンド IP 管理機能の動作モード等を確認します
■TiManager サーバへのライセンス登録例
タスクトレイの TiManager Server アイコンを右クリックし、[TiManager サーバ管理]をクリックしま す。
IP 管理機能を使用する場合には、TiManager サーバ管理の[ライセンス設定]タブから同梱の検証用ライ センスを入力し[適用]をクリック後、サーバサービス(サービス管理)を再起動させます。
■TiManager サーバへの連動機器登録例
連動をさせるセキュリティ機器を TiManager サーバの[連動ソリューションの連動]タブから上図のよう に項目を選択し、[追加]をクリックした後、[適用]をクリックします。
適用時サーバサービスは再起動されるため、該当項目設定時には事前に TiManager クライアント画面 を閉じておく必要があります。
■IP 管理機能初期設定例
TiManager クライアント上部にある、”IP 管理”より IP 管理機能の設定画面を開きます。
[設定管理]タブを開き、機器ソートにある管理対象の TiFRONT アイコンを[選択した機器リスト]へド ラッグ&ドロップします。
■ブラックリスト設定例
[選択した機器リスト]の対象 TiFRONT を選択し、[管理区分]より”管理(ブラックリスト)”を選択し画 面下段にある[適用]をクリックします。
■アップリンクポート設定例
ネットワーク上のゲートウェイ方向に接続されたポートへは、[アップリンクポートの設定]より、該当 ポートを選択し[追加]をクリックした後、[適用]をクリックします。
実運用上、万一連動機器が誤検知をした場合にネットワークがダウンしてしまうことのないよう、該当
■小規模ネットワーク環境での運用例
クラス C ネットワーク環境の場合、[モニタリング]タブ上から視覚的な運用を行うことができます。
表示されている升目の数値は、各々IP アドレスの第 4 オクテットを表し、緑色の表示は正常に通信して いる端末、桃色の表示箇所は TiFRONT が通信遮断をしている端末を表します。
■通信遮断解除設定例
通信遮断されている端末の安全性が確認された後、対象端末(升目)を右クリックし、[ポリシー変更]
より遮断解除を適用することができます。
■中規模以上のネットワーク環境での運用例
クラス A やクラス B ネットワーク環境での運用時には、[遮断リスト]タブ上から TiFRONT が通信遮断 をしている端末がリスト形式で表示されます。
■通信遮断解除設定例
通信遮断されている端末の安全性が確認された後、対象端末(リスト)を右クリックし、[ポリシー変 更]より遮断解除を適用することができます。
13.アラートメール設定
■アラートメールの設定
TiFRONT における、攻撃の検知やケーブル脱落などの機器障害、UTM 等との連動動作時に、設定した 宛先へと、E メールによるアラート機能を持っております。
TiManager クライアント上部にある”環境設定”→[管理者設定]をクリックし、管理者設定画面へ移動し ます。
設定したいアカウントを右クリックし、[変更]をクリックします。
該当者の E メールアドレスを入力します。
[はい]をクリックし、変更を確定させます。
TiManager クライアント上部にある”環境設定”→[環境設定]をクリックし、環境設定画面へ移動します。
[E メールの通知]にチェックを入れます。
アラートメールを受け取りたい項目にチェックを入れます。
・機器障害の検知 → ケーブル抜け落ちやループ検知等の検知関連のアラート ・サイバー攻撃の検知 → セキュリティ関連のアラート
・連動機能 → UTM やファイアウォール等との、連動機能動作時のアラート
また、SMTP サーバの IP アドレスや、送信者として設定されるメールアドレス、ポート番号を入力し、
OK ボタンをクリックします。(※SMTP 認証には対応しておりません)
E メールの通知で選択した項目の事象が発生した場合、下記のような E メールアラートが設定したメー ルアドレス宛に送信されてきます。
14.連動動作検証ツールのご紹介
■連動動作検証ツールについて
UTM の実機を用いなくても、こちらの連動動作を簡易的に検証するため、②~③のプロセス(赤線枠 内)を以下に紹介する連動動作検証ツール(InterlockingSolutionsSimulator)にて実施することができ ます。
以下、本ツールを用いての連動動作検証の方法について説明します。
TiManager
Syslog
① UTM で検知
② UTM から TiManager へ Syslog 送信
④ 通信が遮断され、WEB アラートを表示
③ TiFRONT へ遮断指示
(IP アドレスと MAC アドレスベース)
■TiManager Server の設定
本 ガ イ ド TiManager サ ー バ へ の 連 動 機 器 登 録 例を 参 照 い た だ き 、 連 動 動 作 検 証 ツ ー ル (InterlockingSolutionsSimulator)が動作する PC を連動ソリューションのサーバとして、登録します。
■連動動作検証ツールの起動
[InterlockingSolutionsSimulator.exe]を実行します。
※こちらのツールは別途提供いたします。お手数ですが、弊社担当までご連絡ください。
・動作要件
以下 Microsoft Windows OS(32bit 及び 64bit)に対応しております。
Microsoft Windows 7 Pro/Ultimate、Windows8.1Pro
.NET Framework v4.0.30319 以上のインストールが必要となります。
下記必要項目を入力します。
ServerIP:TiManager Server をインストールしている端末の IP アドレス Solution:連動ソリューション登録時に選択したものと同一のもの
Tagert IP:遮断対象の端末の IP アドレス
【Log Generator】をクリックし、【Send】をクリックします。
■TiManager での確認
TiManager クライアント上部にある、”IP 管理”より IP 管理機能の設定画面を開きます。
Target IP に入力した IP アドレス(ここでは 96)が桃色になっています。
これは、TiFRONT にて通信を遮断していることを表しております。
96 の IP をクリックし、画面下のログ表示部分をダブルクリックすると、詳細ログを確認できます。
遮断されている端末から WEB アクセスをした際、下記のアラート画面が表示されます。
(※ こちらの画面が表示されない場合、本ガイドの WEB アラートの設定を参照し、設定を入力してく ださい。)
■通信遮断解除
通信遮断されている端末の安全性が確認された後、対象端末(升目)を右クリックし、[ポリシー変更]
より遮断解除を適用することができます。
「はい」をクリック
該当端末からのインターネット通信も正常に動作するようになります。
15.トラブルシューティング
■セキュリティログの表示を TiManager Client から消去したい
機器リストの TiFRONT を右クリック→[機器]→[削除]をクリック
■自動登録機器に TiFRONT が表示されない
P27を参照いただき、ターミナル接続経由にて TiFRONT へのログインをしてください。
ログイン後
■攻撃を起こしても、攻撃検知がされない
1・TiFRONT と攻撃対象端末の接続構成が下記のようになっているかご確認ください。
TiFRONT 配下に攻撃対象端末が存在しなければ、攻撃検知はできません。
2.攻撃対象端末が接続されている TiFRONT のポートがセキュアポートとなっているかご確認ください。
セキュアポートの設定方法は本ガイドの10.セキュリティ設定 をご参照ください。
