免責事項
※当社からお知らせするセキュリティ情報は公開当時当社が知り得た情報を元に配信しております。そのため、情報の網羅性について保証せず、当社から配信された情報を用いて利用者が行った行為について、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。
FortiGate 不正侵入検知/防御機能(IPS)の設定方法について
FortiGateの不正侵入検知/防御機能(IPS)は、該当のIPSシグネチャが含まれるIPSセンサーを、IPS機能を有効にしたいセキュリティポリシーに適用していただくことで、ご利用いただくことができます。
IPSセンサーの設定において、IPSセンサーに組み込みたいIPSシグネチャを、個別もしくは特定の抽出条件を定義したフィルタとして登録してください。既に定義済みのフィルタに一致するIPSシグネチャは、自動的にセンサーに組み込まれます。ただし、この場合でも、IPSシグネチャのデフォルトのアクションがブロック以外(モニタや、通過など)ですと、ブロック対象とはなりません。
特定のIPSシグネチャの検知時の動作を変更する場合には、設定が必要です。
なお、お客様のサービスに必要な通信がブロックされてしまうことのないよう、設定の検討ならびに操作は慎重に行っていただけますよう、お願いいたします。また、可能な限り通信に影響の少ない時間帯での有効化を推奨いたします。
FortiGateのIPS機能をご利用いただくための具体的な操作手順は以下のとおりです。
■IPSセンサーの確認・編集
1)FortiGateにログインし、Security Profiles > Intrusion Protection に移動します。
2)表示された Edit IPS Sensor 画面の右上にあるプルダウンメニューから操作対象のセンサーを選択します。(新規にIPSセンサーを作成する場合には、Create New ボタンをクリックしてください)
3)対象のセンサーに登録されているフィルタの一覧が表示されますので、操作対象のフィルタを選択し、Edit ボタンをクリックします。
4)表示された Edit IPS Filter 画面で、該当フィルタに設定されているIPSシグネチャ抽出条件を確認します。
IPSシグネチャには予め、個々に下記項目についての属性が定義されています。IPS Filterでは、この属性をもとにIPSシグネチャを抽出(フィルタ)する条件を定義することができます。
・重要度
・ターゲット
・OS
・プロトコル ※
・アプリケーション ※
※Filter OptionsをAdvancedにすることで表示・設定できる項目です。
一度抽出条件(フィルタ)を定義しておくと、FortiGuardからリリースされるIPSシグネチャのうち、フィルタに該当するシグネチャを自動的にIPS Sensor に組み込むことができます。
5)Edit IPS Filter 画面の中央部に、上記で定義した抽出条件(フィルタ)に一致するIPSシグネチャの一覧が表示されます。
6)Edit IPS Filter 画面の下部にある Action で、該当のIPSシグネチャにマッチした場合の、動作を設定します。
※IPSシグネチャには、予めデフォルトのアクションが定義されています。Action で Signature Default を選択した場合には、IPSシグネチャに予め定義されている動作となります。
※Edit IPS Filter 画面に表示されているIPSシグネチャ一覧のDefault列は、IPSシグネチャにあらかじめ定義されているアクションであり、実際の動作(Actionで設定している内容)を反映したものではない点にご注意ください。
※この画面で、安易に「すべてブロック」を選択しないようご注意ください。(シグネチャにマッチしてもブロックすることが推奨されていない場合もあります。ブロックにより、お客様のサービスに影響が及ぶことがあります。)
7)編集内容を反映する場合には、OKボタンをクリックします。
■シグニチャの個別設定 (シグニチャオーバーライド)
1)Edit IPS Filter 画面の Pattern Based Signatures and Filters セクションにある、Create Newボタンをクリックします。
2)Edit IPS Filter 画面で、Sensor Typeを「Specify Signatures」にします。
3)Edit IPS Filter 画面中央部のIPSシグネチャの一覧の左上にある検索フィールドに、検索キーワードを入力します。 例) Adobe とか FTP
4)検索結果として表示されたIPSシグネチャの一覧で、対象のシグネチャを選択して、黒く反転させます。黒色反転が選択された状態です。
5)Edit IPS Filter 画面の下部にある Action で、該当のIPSシグネチャにマッチした場合の、動作を設定します。(ブロックしたい場合には、「Block All」を選択してください。Allとなっていますが、選択シグネチャのみの動作です)
6)フィルタ作成後、フィルタ一覧に追加されており、設定したActionが正しく反映されていることを確認してください。
※フィルタは上から順に評価されますので、個別にIPシグネチャを設定した場合には、より上の方に移動してください。
7)編集内容を反映する場合には、Applyボタンをクリックします。
■IPSセンサーをセキュリティポリシーに適用
作成したIPSセンサーを、該当の通信で利用するセキュリティポリシーで、有効にしてください。