Network Security NSX NSX Data Center クラウド セキュリティ ネットワーク

動画で解説!どうやって設定するの?VMware NSX 分散IDS/IPS

今回のブログでは、以前までにご紹介したVMware NSX Data Center 分散IDS/IPS概要やデモを通して操作感やメリットをお伝えしてきました。その中で、どうやって設定するの?と疑問に思われた方も多かったかなと思います。今回は分散IDS/IPSのデプロイに関する設定方法を動画を使ってご紹介します。設計及び構築にあたってのイメージを持っていただければと思います!

過去の関連記事はこちら

 

 

 

はじめに

分散IDS/IPSの設定には、「デプロイやインプリに関わる設定」と、「運用中に実施する作業としての設定」とで、おおきく二種類の作業があります。「デプロイのように構築時に予め設定しておくような作業」と、「脆弱性対応などのDay2/運用時の作業」とで、操作画面は同じですが考え方や設定のために操作する箇所が若干異なりますので、ブログでもこの2つの作業は分けて解説していきたいと思います。

 

以下のように、デプロイには大きく3つのステップがあります。
  • 検知エンジンのインストール
  • 検知シグネチャの選択
  • マッチルールの作成
運用中は
  • ホストの増強があれば、検知エンジンのインストール
  • シグネチャのアップデート
  • システムが増えれば、マッチルールの追加
  • 仮想パッチなど緊急度の高いシグネチャを適用
といった設定が行われます。と言うことでして、運用に関しては次回の記事で紹介してみたいと思いますので、ご期待ください。

では、ここからは分散IDS/IPSのデプロイに関する設定方法をステップに分けて動画と合わせて解説してきます。

デプロイ・ステップ1

IDS/IPS  を利用したいESXiクラスターをGUIで指定することで、検知エンジンのインストールが行われます。NSX Managerの画面から、以下のようにクラスタを選択して有効化します。「状態」ところを有効に切り替える操作、このワンクリックでインストールが完了します。仮想マシンをデプロイしたり、初期設定もなく簡単ですね。

 

 

 

デプロイ・ステップ2

検知に使いたいシグネチャを選ぶには、プロファイルを使います。
プロファイルでの操作/設定では、「利用したいシグネチャを選ぶ」、「動作モード(IDSまたはIPS)を選ぶ」、この2つの操作がメインです。
例えば、Exchangeサーバを脆弱性から保護するために、関連するシグネチャを選びます。
「影響を受ける製品」から、「exchange」をキーワード検索して選択してあげると、exchangeに関連する 重要度「高」のシグネチャが6つ選ばれます(シグネチャが有効化)。
シグネチャを選択するには、キーワード検索として、CVSSや攻撃タイプなどでも利用できます。

 

 

次に、この有効化した6つのシグネチャそれぞれの「動作モード」を決めていきます。ここの時点で、このプロファイルで有効化されたシグネチャはこの6つだけになっています。14000ほどのシグネチャが用意されていますが、上記の操作で必要なシグネチャだけが的確に有効化されているのです。
「次のプロファイルのシグネチャを管理 >>」から、「プロファイルのシグネチャを管理」の画面に移動して、表示されたexchangeに関連する6つのシグネチャの「動作モード」や、「動作の有効化無効化」の設定を行います。

「動作モード」は、アクションのところで「Alert/Drop/Reject」から選択できます。

 

  • Alert IDSとして動作 (アラートを生成 + 防御などの保護動作はなし)
  • Drop IPSとして動作 (アラートを生成 + 問題のあるパケットはドロップ)
  • Reject IPSとして動作 (アラートを生成 + 問題のあるパケットはドロップ + 応答パケットの送信)Rejectでの応答処理は、TCPの場合 TCP リセット パケットを接続の送信元と宛先にを送ります。その他のプロトコルの場合は、接続の送信元と宛先に ICMP エラー パケットを送る動作をします。

 

システムによってRejectのような応答処理が好まれる場合もありますし、攻撃者に応答を返すことでIPSなどのセキュリティセンサーの存在に気がつかせないようドロップだけ行いサイレントな対応がしたい場合はDropの利用が効果的です。
今回は、表示されたexchangeに関連する6つのシグネチャのうち、「2021年の脆弱性に対するシグネチャ」はDropアクションを、「2020年の脆弱性に対するシグネチャ」は前半2つは無効、後半2つはIDSとして検知だけ(正しくは、動画ではDropアクションのままになっております)させる設定にしてみます。

 

 

デプロイ・ステップ3

最後は、マッチルールの作成です。ここでは、ファイアウォールのルールのように、「スキャンしたいフローのマッチ条件」と、「スキャンに使うIDS/IPSプロファイル」、そして「スキャンの動作モード」を決めます。

 

 

「マッチ条件」

スキャンしたいフローのマッチ条件は、「送信元と宛先」からなります。ここには、NSX-Tでいろいろな機能に活用できる「グループ」という仕組みを「送信元・宛先」に指定できます。
「グループ」は「IPアドレスのセット」だけでなく、仮想マシングループやポートグループも利用できます。
仮想マシングループは、「仮想マシン名」に exchange など特定の文字列が含まれていたらグループに動的にいれると言ったダイナミックなグルーピングが可能です。
他にも、「OS名」に Windows など特定の文字列が含まれていたらグループに動的にいれることもできます。

 

 

「グループ」

この「グループ」は、「送信元と宛先」ともう1つ「適用先」にも利用できます。
これは、検知エンジンが実際に動作する「仮想マシンの vNIC 部分」に、指定した「マッチ条件・プロファイル・動作モード」といった一連のルール情報を適用するかを決めてあげることができます。
この「グループ」の特徴でもあるダイナミックなグルーピングと「適用先」をうまく使うと、Windowsの通信にだけWindows関連の脆弱性に対応したシグネチャを利用したり、さらに Exchangeにだけさらに特定のシグネチャを使うと言ったピンポイントでのシグネチャ利用ができます。関係しない通信にはシグネチャが誤って使われて誤検知してしまったり通信を誤って遮断してしまったりをうまく回避できる便利機能なので、是非使ってみてください。

 

 

「動作モード」
そしてスキャンの動作モードを決めます。これは、シグネチャの動作モードを検知のみ(IDSモード)または遮断(IPSモード)まで行うかを指定できます。
ここで動作モードを検知のみ(IDSモード)にすると、ステップ2で作成したプロファイルでDropやRejectにしたシグネチャも強制的に検知のみ(アラート)の動作になります。
遮断(IPSモード)にすると、ステップ2で作成したプロファイル で指定した動作でそれぞれのシグネチャが動作してくれます。

 

 

 

動画解説

では、ここまでの設定を動画でみていきます。設定の中身は、「2021年のExchangeサーバの脆弱性(ProxyLogon)」の保護用途として、Exchangeサーバ宛先のフローに、ステップ2で作成したプロファイルを指定し、動作モードを 「IPS (検知して防御)」にしています。

 

 

まとめ

分散IDS/IPSの設定は、いかがだったでしょうか。ここまでの3ステップで、IDS/IPSの設定はおしまいになります。とってもシンプルですね。
  1. 検知エンジンのインストール
  2. 検知シグネチャの選択
  3. マッチルールの作成
ということで、指定したESXiクラスターでエンジンを有効にして、利用したいシグネチャと動作モードを選択、最後にルールでマッチ条件にマッピングしてあげるというシンプルな設定フローでした。
これまでのIPSアプライアンスのように、「アプライアンスをデプロイしたり管理ツールとの初期設定と言った作業が多く、、使い始めるまでにとてもややこしい!」と言ったこともなく簡単ですね。何よりネットワークトポロジーを変更することなく、IDS/IPSが導入できるので、vSphere基盤にIPSを追加するのが非常に簡単です。
ご精読いただき、ありがとうございました。次回は、運用に向けのステップやTipsをご紹介します。

 

 

〜お知らせ〜

 ※NSX-T Data Center、および VMware SD-WAN by VeloCloud  について入門編から中級編まで各種セミナーも定期開催しております。より詳細についてご興味を持っていただけたお客さまはこちらも併せてご参加をご検討ください。

各種オンラインセミナーの開催日時はこちらから https://vmware-juku.jp/seminar/

 

 

※VMwareでは、各種製品をクラウド上でご評価いただくHands-on Labs(HOL) という仕組みを無償でご提供しています。今回ご紹介した各種ソリューションへの最初の一歩の入り口としてぜひご活用ください。
おすすめのHOLメニューはこちらから ( http://labs.hol.vmware.com/HOL/catalogs/catalog/1212 )