 |
≫ |
|
|
|
|
|
|
|
|
|
すべての情報テクノロジーマネージャが認識しているとおり、コンピュータウィルスの蔓延は悪化する一方です。2003年には、SQL Slammerワームが1分間で75,000台のコンピュータに感染しました。このウィルスはこれまでにないほど急速に拡大し、世界中で、広範囲にわたるネットワークの中断を引き起こしました。さらに、Nimda、Blaster、Code Red、Sasser、およびWelchiaも依然として脅威となっています。今日、コンピュータユーザーは、97,000種類以上のウィルス、ワーム、およびトロイの木馬によって直接危険にさらされています。1
コンピュータウィルスによって生成されるトラフィックの激しい攻撃からコンピュータユーザーを保護するために、多くの企業では、ネットワーク・インフラストラクチャの一部をシャットダウンしています。迅速に対応できなければ、ネットワークサブネット全体、さらにはネットワーク全体がウィルスによってダウンする可能性があります。どちらにしても、ウィルスによる生産性の損失は、企業に予測できないほど多額の損害をもたらします。コンピュータウィルスは、オフィスや企業の通常業務を停止させるだけではなく、ハッカーが定義したコードをシステムに侵入させ、さらなる損害を引き起こします。
かつて、フロッピーを共有することで大半の情報転送を行っていた時代には、ネットワーク脅威が拡大するスピードは遅く、防御するのも簡単でした。また、組織には、ネットワークから問題を排除して防御策を講じるための時間的な余裕もありました。しかし、CPU速度が高速化し、帯域幅が拡大し、ネットワークがビジネスクリティカルな存在となり、クライアントのモビリティが高まるに従って、ネットワーク管理者が運用を停止したり感染を阻止するための防御手段を開発したりする時間がますます不足しています。
ネットワークウィルスによって被害を受けるのは、生産性だけではありません。SQL Slammerウィルスは、シアトル近郊の2か所の警察署と14か所の消防署にサービスを提供する緊急時対応センターの機能も麻痺させました。コンピュータウィルスの防御は、最終的には私たちの生活を守るための取り組みにつながるのです。
|
|
|
|
≫ このページのトップに戻る |
|
|
|
現在の対応に関する制限 |
|
|
|
|
現在、悪意のあるエージェントの伝播を阻止する方法は、ホストへの感染を防ぐための署名認識の使用に依存しています。つまり、ウィルスやワームのシステムへの侵入防止を目的としています。この方法は、ウィルスの物理特性(プログラムコードなど)に重点を置いており、このコードの一部を使用して一意の署名を作成します。システムに入ってくるプログラムはこの署名と比較され、一致する場合は破棄されます。
この方法はシステムを保護する上で効果的でしたが、ウィルスの数が増えると効果が薄れるなどのいくつかの制限があります。この方法は、新種や変種のウィルスが現れるたびに新しい署名を開発する必要があるため、基本的には対症療法的でケースバイケースのアプローチです。署名の開発は、通常、一度にいくらかの署名しか作成できない熟練した技術者によって行われます。ウィルスの数が増えるにつれ、最初に検出されてから署名をリリースするまでの時間が長くなるため、その間にウィルスがさらに拡散してしまいます。
新しいウィルスやワームがネットワークや実装環境に侵入してから、署名ベースのパッチが配信されるまで、非常に時間がかかる場合があります。この期間内に、感染したホストが生成する異常に高レートなトラフィックによって、ネットワークが機能しなくなる可能性があります。
攻撃が「マシン速度」で発生し、攻撃への対応が「人間の速度」で行われている限り、コンピュータは新しい脅威に対して無防備であり続けることになります。システムが大規模で複雑になるに従って、新しい脅威への対応が大きな問題となります。 |
|
|
|
≫ このページのトップに戻る |
|
|
|
新しいソリューションの必要性 |
|
|
|
|
新しいソリューションが必要になっています。真に回復力の高いインフラストラクチャは、未知の脅威による攻撃を自動的に阻止、抑制、および軽減し、インフラストラクチャのセキュリティ担当者に、対応策の実施に必要な時間を与えてくれるソリューションです。
新しいソリューションは、現在の署名およびパッチベースの保護に代わるものではなく、コンピュータと人間が最善を尽くすことによって、現在の署名およびパッチベースの保護を補完するものです。つまり、コンピュータは人間よりも非常に迅速に対応できますが、未知の脅威の性質を判断するのは苦手です。人間はこのような判断を行う能力には優れていますが、マシンの水準に比べると対応速度は遅くなります。新しいソリューションでは、人間が介入できるようになるまで、コンピュータが状況を安定させるために、迅速に対応します。 |
|
|
|
≫ このページのトップに戻る |
|
|
|
|
|
|
|
ウィルススロットリング・テクノロジーに基づくコネクションレートのフィルタリングは、このような条件を満たすために、新しくHPが開発したソリューションです。 |
|
テスト結果が示す、実証済みの迅速な検出と防止効果 |
|
|
|
|
イギリスのブリストルにあるHP研究所で実施されたウィルススロットリングのテストの結果2、ウィルススロットリングによってワームが非常に迅速に検出され、感染したコンピュータからの拡散を防止できることがわかりました。たとえば、ウィルススロットリングは、1秒未満でW32/Nimda-Dワームの拡散を防止できます。
ウィルススロットリングは、拡散阻止後の感染も防止します。したがって、ウィルスが広く蔓延してしまうかどうかは、ウィルススロットリングの配備範囲によって決まります。HP研究所のテスト結果では、全コンピュータの50%にウィルススロットリングをインストールしただけでも、実際のワームと派生したワーム両方の広範囲にわたる拡大が大幅に削減されました。ウィルススロットリングがインストールされたマシンは、感染の有無にかかわらずネットワークトラフィックに一切関与しないため、ウィルスによって生成されるネットワークトラフィック量は大幅に削減します。
| 2 |
|
2003年3月3日、HP研究所、「Implementing and testing a virus throttle」Jamie TwycrossおよびMatthew M. Williamson |
|
|
|
|
≫ このページのトップに戻る |
|
|
|
ウィルススロットリング・テクノロジーのメリット |
|
|
|
|
ウィルススロットリング・テクノロジーには、以下のメリットがあります。
- 未知のウィルスに対しても動作します。ウィルスコードの識別ではなく、ウィルスの動作によってトリガされるため、署名アップデートのリリースを待つことなく未知の脅威に対応できます。
- 高い接続レートを示すホストからルーティングされたトラフィックを低速化または停止することで、ネットワーク・インフラストラクチャを保護します。インフラストラクチャは、ウィルスの攻撃を受けた場合でも継続して稼働します。
- ワームに似た動作が検出された場合、イベントログとSNMPトラップ警告を提供します。
- 問題が危機的な状況に発展する前に、ITスタッフが対応するための時間的余裕ができます。
- ウィルススロットリングを広く配備すれば、ウィルスの拡散は非常に困難となります。
|
|
|
|
≫ このページのトップに戻る |
|
|
|
動作方法 |
|
|
|
|
ウィルススロットリングは、IPルーテッド接続要求(つまり、送信元サブネットと宛先サブネットが異なるVLAN境界をまたがった接続要求)を遮断することで動作します。これは、TCP接続、UDPパケット、SMTP、IMAP、Web Proxy、HTTP、SSL、およびDNSを含む非常に一般的なレイヤ4〜7とアプリケーションプロトコル、つまり、実質上正常なトラフィックであれば、ウィルス拡散のようには見えないすべてのプロトコルに適用されます。ウィルススロットリングを動作させるには、最初にIPルーティングおよび、メンバーポートを持つ複数のVLANを設定する必要があります。
(NetBIOSやWINSなどの一部のプロトコルは、ネットワークトラフィックの広範囲でのバーストを開始し、ウィルススロットリング・テクノロジーがそのバーストを脅威として誤解してしまうので、ウィルススロットリングには適していません。同様に、害がなく、短いトラフィックを大量に生成して疑わしく見えるアプリケーション(ネットワーク管理スキャナ、通知サービス、一部のp2pファイル共有など)も、ウィルススロットリングには適していません。)
ウィルススロットリングは、最近確立された接続数を追跡します。新たに遮断した要求が最近確立された接続を宛先とする場合、要求は通常どおりに処理されます。要求が最近の接続ではない宛先を持つ場合は、最近の接続数が、事前設定されたしきい値を下回る場合にのみその要求を処理します。しきい値は、設定された期間の許容接続数を指定します。この指定によって、接続レート制限が適用されます。しきい値を超えた場合は、要求が異常に高いレートで生じているため、ウィルスの証拠と見なされます。これによってウィルススロットリングが実行され、要求の処理を停止し、この状況をシステム管理者に通知します。
下の図1では、ウィルススロットリング・テクノロジーを使用して、VLAN 1およびVLAN 2上のデバイスを、感染したVLAN 3からルーティングされる接続レートの高いトラフィック(ウィルス攻撃の特性)から保護しています。
|
|
|
|
≫ このページのトップに戻る |
|
|
|
|
|
|
ProCurve Networking by HPでは、ProCurve製品ラインの主力製品であるProCurve Switch 8212zl/5400zl/5300xl/3500ylそして6200ylシリーズにおける接続レートのフィルタリングを通じて、ウィルススロットリング・テクノロジーを導入しています。 |
|
感度およびアプリケーションのオプション |
|
|
|
|
ProCurve Switch 8212zl/5400zl/5300xl/3500ylそして6200ylには、グローバル感度設定があります。これを利用すると、接続レートフィルタリング機能を調整して、特定の送信元からの接続レートの比較的高い試行を検出できます。
通常、正常なネットワークトラフィックは、悪意のあるエージェントによって生じたトラフィックとは異なっています。ただし、適切なネットワークホストが短期間に複数の接続を生成する場合、接続レートフィルタリングは「偽陽性」と見なして、そのホストを感染したクライアントとして処理することがあります。感度を下げるか、フィルタモードを変更すると、偽陽性の数が減る場合があります。しかし、フィルタリングと感度の制限を緩めると、攻撃の初期段階でワームによって生成されたトラフィックを検出するスイッチの機能は低下します。したがって、これらの設定については、リスクの高い脆弱性が発生しないように、慎重に調査および計画する必要があります。別の方法として、システム管理者は接続レートACL(アクセス・コントロール・リスト)を使用するか、高レートの適切なトラフィックの許可を選択的に有効にすることができます。
選択的に対応。このオプションは、攻撃を受けるリスクの高いポートに対してのみ、接続レートフィルタリングを提供します。攻撃に対して十分安全なポートでは、接続レートフィルタリングを設定してもほとんどメリットがない場合があります。
接続レートACL。上記のとおり、基本接続レート・フィルタリング・ポリシーは、通知のみ、スロットリング、およびブロックとしてポート単位で設定されます。接続レートACLは、一連のアクセス・コントロール・エントリ(ACE)から構成され、個々のホスト、ホストグループ、またはサブネット全体の特殊なルールを規定することで、このポート単位のポリシーの例外を作成します。そのため、システム管理者は接続レート・フィルタリング・ポリシーを調整して、VLAN内のポートに、設定されたフィルタに対する例外を作成および適用することができます。
接続レートACLは、システム管理者が、接続レート・フィルタリング・ポリシーから適切な高レート入力トラフィックを除外する必要がある場合に役立ちます。たとえば、ネットワーク要求に応答するサーバは、比較的大量の適切な接続要求を送信することがあります。これは、ワームと同様の接続レートの高い動作を示すため、偽陽性と見なされる可能性があります。接続レートACLを使用してこのサーバに例外を適用すれば、管理者は、信頼できるサーバを接続レートフィルタリングから除外して、中断することなくサーバを継続して稼動できます。
図2は、ProCurve Switch 5400zlがACEリストを高レート入力トラフィックに適用し、ACEリストを無視するかVLANへの受け渡しを許可するかどうか、あるいは、フィルタするか接続レートフィルタリングおよび通知、スロットリング、またはブロックの対象とするかどうか(管理者の事前設定に応じて)を決定する論理プロセスを示しています。
推奨ACEに合致するトラフィックであっても、セキュリティ基準を追加して明白に除外しないと、暗黙のうちにフィルタリングの対象となります。 |
|
|
|
≫ このページのトップに戻る |
|
|
|
構成のガイドライン |
|
|
|
|
ProCurve Switch 5400zlが接続レートフィルタリングを適用できるようにするには、最初に、IPルーティングと、メンバーポートを持つ複数のVLANを設定する必要があります。システム管理者は、比較的攻撃を受けないネットワークに対してはあるアプローチを採用し、リスクの高いネットワークに対しては別のアプローチを採用することができます。以下に、管理者が接続レートフィルタリングをスイッチに設定する手順をまとめます。
比較的攻撃を受けないネットワークの場合
ネットワークが比較的攻撃を受けない場合、ネットワーク管理者はProCurve Switch 5400zl接続フィルタのグローバル感度を低く設定できます。イベントログおよびSNMPトラップレシーバ(使用可能な場合)を監視することで、管理者は高い接続レートを示すホストを識別できます。適切なアクティビティ(負荷の高いサーバの使用など)の結果、高レートとなる場合には、管理者は接続レートACLを設定して、信頼できるホストのポリシーの例外を作成できます。この時点で、接続レートフィルタの感度を中レベルに上げ、ネットワークを再度監視することができます。
攻撃を受けるリスクが高いと思われるネットワークの場合
攻撃の脅威にさらされる可能性が高いネットワークの場合、接続レートフィルタリングの手順には、高い接続レートを示すホストを管理するためのポリシーが含まれます。このポリシーによって、影響を受けないホストのネットワーク・パフォーマンスを向上させ、悪意のあるコードを排除するためにアップデートやパッチが必要となるホストを識別できます。たとえば、管理者はすべてのポートについて接続レートフィルタリングを「スロットリング」に設定し、グローバル感度を中レベルに設定するように推奨される場合があります。接続レートの高いホストを識別するには、上記のとおり、イベントログとSNMPトラップの監視を実行する必要があります。特定のホスト、ホストグループ、またはサブネットからの攻撃を即座に停止するには、該当するポート(複数可)で、ポート単位のブロックモードを使用する必要があります。状況を制御できるようになると、接続レートACLを使用して、トラフィックをより選択的に管理し、信頼できるホストからの正常なルーテッドトラフィックの受信を許可できます。
|
|
|
|
≫ このページのトップに戻る |
|
|
|
図3:基本的なネットワーク構成 |
|
|
|
|
|
|
|
たとえば、上の図3では、管理者は以下を選択できます。
- ポートB1〜B3からの潜在的な悪意のある高レートトラフィックをスロットリングする
- B4に接続された、より安全な送信元C、D、およびEからの高レートトラフィックに対しては通知だけ送信する
- ポートD2を介してVLANに入る企業イントラネットなど、潜在的にリスクの高い場所からの高レートトラフィックは即座にブロックする
- 送信元F、G、およびHから送信されて、ポートD1でVLANに渡される既知の適切な高レートトラフィックは、ACLを使用して許可する
|
|
|
|
≫ このページのトップに戻る |
|
|
|
|
レート制限とは何か |
|
|
|
|
ネットワーク脅威は常にウィルスやワームの形でやってくるとは限りません。「DoS(サービス拒否)」と呼ばれる別の危険な種類の脅威もあります。DoSは、ウィルスではなく、ネットワークやホストへの適切なユーザアクセスを妨げる(拒否する)ために、ハッカーが使用する方式です。
DoS攻撃を効果的に実行する手段の1つが、ICMPトラフィックの悪用です。IPネットワークでは、ルーティング機能や診断機能からの照会または要求に応答して、ICMPメッセージが生成されます。このメッセージは、照会の送信元アプリケーションに転送されます。異常時に、ネットワーク回線を過負荷にする目的で複数のメッセージが迅速に生成された場合には、そのメッセージがネットワークの可用性を脅かし、DoSを引き起こすことがあります。
この問題は、Smurf攻撃などのDoS攻撃で見られます。Smurf攻撃では、ハッカーが、被害先の送信元アドレスを偽装した大量のpingパケット(ICMPエコー要求)をIPブロードキャストアドレスに送信します。ブロードキャスト・ドメイン上のすべてのホストがICMPエコー応答でpingに応答し、そのpingパケットが被害先ホストに転送されるため、結果的にDoSとなる可能性があります。
また、ICMPトラフィックは、ターゲットネットワーク内で活動中のホストを検出するための予備調査の初期段階として、ウィルスやワームによって悪用されることもあります。W32.Welchia.Worm3は、感染先となるアクティブなホストを見つけるために、ICMPエコー要求を使用するウィルスの典型的な例です。
ProCurve Switch 8212zl/5400zl/5300xl/3500ylそして6200ylでは、ICMPレート制限機能によって、入力ICMPトラフィック用に使用可能な帯域幅を制御できます。この機能を使用すると、ユーザーは必要な機能の使用を許可するレベルにICMPトラフィックを制限する一方、ICMPベースのDoS攻撃、ワーム、またはウィルスに起因すると考えられる過剰なICMPトラフィックをスロットリングして、拡散に伴う悪影響を低減し、拡散スピードを低下させることができます。さらに、ICMP以外のトラフィックの入力ポート帯域幅も保持できます。
|
|
|
|
≫ このページのトップに戻る |
|
|
|
ICMPレート制限の効果 |
|
|
|
|
ICMPレート制限を利用すると、ポートの入力帯域幅のうち指定された割合(%)だけをICMPトラフィック用に使用できます。その結果、入力帯域幅はICMP以外のトラフィック用に保持され、ポートまたはトランクは、ワームやウィルス攻撃(あるいはその他の原因)によって生成された入力ICMPトラフィックの突発的なフラッドをスロットリングします。ICMPレート制限は、ICMP以外のトラフィックをスロットリングしない点に注意してください。特定のポートで、ICMPトラフィックとその他の入力トラフィックのすべてをスロットリングする必要がある場合は、ICMPレート制限と全トラフィックのレート制限の両方を設定できます。
|
|
|
|
ICMPレート制限の動作 |
|
|
|
|
ICMPレート制限は、インタフェース単位(ポート単位またはトランク単位)で動作し、適切な入力ICMPトラフィックの予測最大量を許可するように設定する必要があります。インタフェースで、設定された制限を超えるICMPトラフィックの入力フローがあると、スイッチはそのトラフィックをスロットリングし、ログメッセージとSNMPトラップ(SNMPトラップレシーバが設定されている場合)を生成します。たとえば、100Mbpsのポートが100Mbpsでスイッチへのリンクをネゴシエートし、ICMPレート制限が5%に設定されている場合、そのポートを経由する入力ICMPトラフィックフローは5Mbpsに制限され、過剰なICMPトラフィックはスロットリングされます。
|
|
|
|
ネットワーク・アプリケーション |
|
|
|
|
スイッチ上の接続されたすべてのポートにICMPレート制限を適用すると、あらゆる送信元からの過剰なICMPメッセージは、効果的にスロットリングされます。エッジポートでは、ICMPトラフィックは最小限しかないため、大半のアプリケーションでは、しきい値を使用可能な帯域幅の1%に設定すれば十分です。スイッチ-スイッチ間およびスイッチ-ルータ間などのコアポートでは、正常なICMPトラフィックの最大しきい値は5%で十分です(「正常な」ICMPトラフィックレベルは、ネットワークの再起動時に発生する最大量に相当します)。
|
|
|
|
≫ このページのトップに戻る |
|
|
|
|
|
|
ウィルス、ワーム、およびその他の悪意のあるコードに対応する従来の方式は、署名とパッチに依存しています。保護コードが記述されて展開できるようになるまで、システムは未知の脅威に対して脆弱なままです。ウィルスが以前より急速に拡散するようになると、機能を麻痺させるほどのネットワークトラフィックが生成されることも多くなりました。これには、大きな問題があります。
対照的に、HP研究所が開発したウィルススロットリング・テクノロジーは、コードの内容ではなく悪意のあるコードの動作に重点を置いているため、未知の脅威であっても識別して対応することができます。悪意のあるコードのVLANを超えた拡散の防止に焦点を合わせることで、悪意のあるコードのもっとも破壊的な側面の1つである膨大なネットワークトラフィックに対応します。テストの結果、ウィルススロットリングは、非常に効果的に(たとえば1秒未満で)W32/Nimda-Dウィルスの拡散を防止することがわかりました。
ウィルススロットリング・テクノロジーに基づく接続レートフィルタリングは、現在、ProCurve Switch 8212zl/5400zl/5300xl/3500ylそして6200ylシリーズ製品に導入されています。システム管理者は、このテクノロジーを設定して、疑わしいトラフィックをスロットリング(低速化)または完全に阻止することができます。また、潜在する脅威について、管理者に単に通知することもできます。さらに、ACLを選択的に適用して、悪意のあるコードと高レートである点で同じ側面を持つ既知の適切なトラフィックを許可し、問題なくインフラストラクチャを通過させることもできます。すべての場合において、管理者はこのテクノロジーを設定することで、ブロックするトラフィックと、通過させるトラフィックの決定を制御する人的要素を残すことができます。管理者が対応するまでの時間を作るために、疑わしいトラフィックを低速化またはブロックすることで、ProCurve Switch 8212zl/5400zl/5300xl/3500ylそして6200ylの接続レートフィルタリングは、今日のネットワークの防御に不可欠なツールを追加しているのです。 |
|
|
≫ このページのトップに戻る |
|
|
|
印刷用画面へ
