高性能侵入検知防御システム SecureSoft Absolute IPS のご紹介

1. 株式会社NTTPCコミュニケーションズ　様 高性能侵入検知防御システムSecureSoft Absolute IPSのご紹介 2005年4月26日 株式会社セキュアソフト

2. IPSのMission Statement • Real-time Deep PacketInspection • Guaranteed Performance with packet-size independence • 64 バイトでもwire speed保障 • すべての既知攻撃パターンに対してリアルタイム防止 • 最大限のsignatureと効率的なアップデート能力 • 最小限の時間遅延(latency) • Unknown Attackに対してAnomaly Detection & Prevention • 膨大なstates状況を保存し、モニタリングする能力 • Robustness for Mission Critical Service • 有害トラフィックとアプリケーションに対しての防御 • P2P, Messenger, URL Filtering, スパムメールなど

3. ハードウェア設計時の考慮事項 • IPSに最も適合したSystem構造 • Network Processor • Contents Classification Processor • モジュール化されたシステム構成 • Module化されたSystem • 手軽いUpgrade • 迅速な保守サポート • 管理及び、設置の利便性 • Auto media selection • Auto-negotiation • Systemの安定性 • Redundant Power • Redundant CPU

4. Internet Internet 無停止ネットワーク Packet の流れ IDS Router Packet copy IPS Router Packet の流れ

5. Internet Absolute IPSBypass Switch構成 SecureSoft Absolute IPSのBypass • システムに問題発生時 Bypass mode作動 • Segment別にBypass mode管理 - 一部のポートに障害が発生した場合 　 そのポートのトラフィックのみBypass [ Bypass Switch] Bypass Segment Packet の流れ 正常Segment

6. 独自設計の効果 • 高速、高集積H/W 設計技術力と生産ノウハウの蓄積 • - 10G Network Processor • - Contents Classification Processor • H/WとS/Wの総合開発で性能及び機能の拡張 • - H/W＆S/WEngineerとのCommunication • - Systemに合うchipの選定とsystem構造の決定 • 顧客の要求事項に迅速な対応 • - 問題発生時の迅速な対処- 多様な顧客の要求事項の満足

7. Host CCP NPU state non-content signature Pattern Match Profile 適用 Spam Mail Match packet Drop Frag/Defrag Segmented Payload 検知 Prevention 実行 CCP tag 検査 VLAN Tag 区分 URL Filtering P2P/Messenger 制御 IPFTM バーチャルセンサー区分 SecureSoftAbsoluteIPSの内部処理構造 Alert

8. Performance • Performance Factors • Max性能テスト結果 • Latencyテスト結果 • セッション性能テスト結果 • 高性能を引き出すためのArchitecture

9. IPS Performance Factors Throughput Packet-size Independence Latency Concurrent TCP Sessions Requirement : Deep Packet Inspection Packet Loss => High feasibility of Attacks Performance Degradation => Service 中断

10. ◎ ◎ ○ ○○ ○○ ○ ○ ○ ○ Securesoft, Inc. www.securesoft.com Power Supply FAN Status Power Main Red. 1 2 3 LNK/ACT SPD LNK/ACT SPD LNK/ACT SPD Multi-Gigabit IPS 1 2 3 SecureSoft Multi-Gigabit ◎ ◎ ◎ ◎ ◎ ◎ ◎ ◎ 1 2 3 4 Error Classification Status Power RX CLS 1 2 3 ACT/ LNK Power Supply Power Supply TX RX TX RX TX RX TX RX Main Power Redundant Power AC-IN AC-IN Power ネットワーク構成– MAX　性能テスト IPS Manager Ixia Manager TX 1Gbps RX 1Gbps TX 1Gbps RX 1Gbps Attack (105 byte http_idabof) TX 1Gbps RX 1Gbps UDP Traffic 発生 Smart Bit Ixia TX 1Gbps RX 1Gbps

11. MAX 性能テスト - I • UDP 75% + Attack 25%(105 byte http_idabof) • Smart Bitは100% すべてUDP packets,IXIAは50% UDP,50%はAttackを出力 100 100 80 80 2 Gbps 2 Gbps 60 60 4 Gbps 4 Gbps 40 40 6 Gbps 6 Gbps 8 Gbps 8 Gbps 20 20 Detect Blocked 0 0 1514 byte 64 byte 440 byte 1514 byte 64 byte 440 byte

12. MAX 性能テスト- II • UDP 50% + Attack 50%(105 byte http_idabof) • Smart Bitは100% UDP packets, IXIAは100% Attackを出力 100 100 80 80 2 Gbps 2 Gbps 60 60 4 Gbps 4 Gbps 40 40 6 Gbps 6 Gbps 8 Gbps 8 Gbps 20 20 Detect Blocked 0 0 64 byte 440 byte 1514 byte 64 byte 440 byte 1514 byte

13. ◎ ◎ ○ ○ ○ ○ ○ ○ ○ ○ ○ Securesoft, Inc. www.securesoft.com Power Supply FAN Status Power Main Red. 1 2 3 LNK/ACT SPD LNK/ACT SPD LNK/ACT SPD Multi-Gigabit IPS 1 2 3 SecureSoft Multi-Gigabit 1 2 3 4 Error Classification Status Power RX CLS 1 2 3 ACT/ LNK TX RX TX RX TX RX TX RX ◎ ◎ ◎ ◎ ◎ ◎ ◎ ◎ Power Supply Power Supply Main Power Redundant Power AC-IN AC-IN Power ネットワーク構成– Latency テスト IPS Manager Ixia Manager 50Mbps SYN Flood TX 1Gbps RX 1Gbps TX 1Gbps RX 1Gbps UDP Traffic発生 Smart Bit Ixia

14. 35 35 30 30 25 25 20 20 64 64 440 440 15 15 1514 1514 10 10 50MbpsSYN Flood No backgroundtraffic 5 5 0 0 0.5 1 1.5 2 0.5 1 1.5 2 Gbps Gbps Latency time • Smart BitのUDP出力を通じてLatencyを測定し、IXIAがbackground trafficを発生 • 単位: uSec

15. ◎ ◎ ○ ○ ○ ○ ○ ○ ○ ○ ○ Securesoft, Inc. www.securesoft.com Power Supply FAN Status Power Main Red. 1 2 3 LNK/ACT SPD LNK/ACT SPD LNK/ACT SPD Multi-Gigabit IPS 1 2 3 SecureSoft Multi-Gigabit ◎ ◎ ◎ ◎ ◎ ◎ ◎ ◎ 1 2 3 4 Error Classification Status Power RX CLS 1 2 3 ACT/ LNK Power Supply Power Supply TX RX TX RX TX RX TX RX Main Power Redundant Power AC-IN AC-IN Power ネットワーク構成– セッション性能テスト IPS Manager 30,000 session / sec FlameThrower

16. セッション性能テスト • テスト方法: TCP Session Rateを利用 • FlameThrower が出せるMax Session Rate は秒毎30,000Session位 • (設計上Absolute IPSは秒毎3,000,000 Sessionの処理が可能で、テスト装置が秒毎30,000 • 　　セッションに制限) • FlameThrower が測定できるLatencyの最小単位はmillisecond (Absolute IPSの実際の性能で • 　　あるuSec単位測定が不可) 3,000,000 2,500,000 2,000,000 Success 1,500,000 Connection 1,000,000 500,000 0 10,000 20,000 30,000 session/s session/s session /s

17. 高性能を引き出すためのArchitecture

18. 高性能の設計 – ハードウェア H/W 側での考慮事項 • 高速セッション処理(Session Lookup 及びSession Creation) • Real time traffic 分析(IP別, port別 packet count処理) • Real time stateful inspection • 高速packet parsing / modification / forwarding • Real time signature matching Absolute IPSのNetwork Processor : 次世代10G級Network Processor • 10Gbps級ライン速度を維持しながらL7まで自由にパケット処理を実行出来るように設計 • 内部session engine (CAM) • 内部専用Count memory • 内部Frame memory • Content Classification Processor

19. 高性能の設計 – ソフトウェア S/W 側での考慮事項 • System Management, Policy Managementなどの設定とアラート転送を 除いたすべての機能を H/Wで実現 • 既存IDS製品がもつliner方式の問題認識 • シグネチャ数の増加による性能及び応答速度低下を防止するために 　　新しい検知アルゴリズム開発 Bi-Parallel Matching Algorithm • Absolute IPSが提供する機能の特長により全機能をNPU, CCPに実現 • BPMTM[Bi-Parallel Matching algorithm]アルゴリズム開発及び適応

20. Intrusion Prevention for Known Attacks

21. 既知攻撃に対する防御 パターン マッチング • シグネチャ ベースのパターン マッチング方式 • 高精度な1400個以上のシグネチャ保有 • Push 方式の パターン Updateサポートで、リアルタイム自動アップデートはもちろん、緊急な パターン アップデートが必要な場合にはユーザ側で管理を行わなくてもアップデートが可能 • ハードウェアのCo Processorを通じてlatencyなしで高速パターンマッチング 既知攻撃 • ユーザ定義パターンサポート • 管理者が希望するパターンを追加することが可能 • 迂回攻撃遮断 • パケットの再構成が必要な高度の迂回攻撃IP Fragmentation, TCP Segmentation, URL Obfuscation • Stateful Analysisでこのような迂回攻撃を遮断して、false positiveを減らす • スイッチベースのIPSはこのような迂回攻撃に脆弱である • 多様なプロトコル分析 • 一部のメーカの場合はhttpプロトコルに関連したパターンに偏った傾向 • 数年間IDS 開発経験から多様なパターン保有: 36個以上のプロトコル検査を行なう

22. 既知攻撃 Known Attack　　　　カテゴリー レスポンスアクション: Prevention 選択 各カテゴリー別のKnown Attackリスト Land Attack 選択

23. 100 % 90 80 70 60 Attack Detect 50 Attack Block 40 30 20 10 0 500 M 1 Giga 1.5 Giga 2 Giga Detection Test ( FlameThrower + Ixia ) - I - AttackはFlameThrowerで提供する攻撃の中、一つのパケットで検知可能な Land Attackで測定 1 ) 100,000 session + Traffic ( UDP 100 bytes )

24. 100 % 90 80 70 60 Attack Detect 50 Attack Block 40 30 20 10 0 500 M 1 Giga 1.5 Giga 2 Giga Detection Test ( FlameThrower + Ixia ) - Ⅱ 2 ) 2,900,000 session + Worm Traffic ( HTTP CodRed Worm )

25. Anomaly Detection for Unknown Attacks

26. 未知の攻撃に対する防御– Anomaly Detection & Self Learning Unknown Attack 対応 • シグネチャが存在しない新しい形態攻撃に対する防御手段 • 完全にパターンに依存するViruswallや一部のIDSの場合、新しい攻撃に対して、アップデートを行なう前までは、無防備状態である。ネットワーク事態を麻痺させる最近のワームはインターネットを通じてのアップデートも難しい • しきい値を使用して、正常なトラフィックの流れと異常なトラフィックの流れを区分 • しきい値の設定方式がIPSの有効性を左右 シグネチャを通してのパターンマッチング方式防御 Known Attack Anomaly Detection 方式で防御 Unknown Attack

27. 未知の攻撃に対する防御– Anomaly Detection & Self Learning しきい値の設定方式 • 既存セキュリティ製品のしきい値付与の問題点 • 各ネットワークの特性を反映できない • 管理者の直感、経験又は、長いモニタリングの結果に依存 • しきい値を決めるのに考慮する要素が限定 SecureSoft Absolute IPSのSelf Learning 他セキュリティ製品 • プロトコル毎及び、送信元/宛先毎にしきい値設定 • Self-learning 方式のトラフィック診断によるしきい値設定 • 誤検知率を減らす • 画一的な処理ではなく、ネットワークの特性を考慮 • 全体のトラフィック量に対ししきい値を設定 • 管理者の直感に基づくしきい値設定 vs.

28. 20 10 0 未知の攻撃に対する防御– Anomaly Detection & SelfLearning Self Learning • SecureSoft Absolute IPSに学習期間を付与すると、 SecureSoft Absolute IPSは正常なネットワーク運用下での使用パターンとトラフィック量、各ネットワークの使用特性を学習 • Start & Stop方式でネットワークの特性を反映できるように任意の学習期間の付与が可能 • 特定ホストを多く使用する新しいサービスを提供する場合、その特性を反映したい場合は、新しい 　学習期間を設定により、反映される しきい値設定 特性反映 Profileに基づいて学習期間内のしきい値をSelf Learning 各Host, ポート 毎にProfile 生成 攻撃, Hacking DoS Scan Learningによるしきい値の変化 パケットの特性をHash値で生成 Flooding 学習期間終了後、しきい値を 越える場合にPrevention を行なう Anomaly (Sender/Receiver)

29. Unknown Attack/DoS 防御 Anomaly Detection 既存製品 　　　しきい値設定 Prevention • しきい値手動設定 • しきい値は全体トラフィック量からのみ設定 • トラフィック量がしきい値を超えると遮断 SecureSoft AbsoluteIPS 学習期間 しきい値設定 Prevention • DoS Profileを生成し各攻撃タイプ学習 • 学習期間の間の統制をパターンでSelf Learningによりしきい値を自動設定 • 全体トラフィック以外に各攻撃タイプ別にしきい値設定 • 全体トラフィックだけでなく各攻撃のタイプ別にDoS Profileを生成し、しきい値と比較し攻撃と判断される場合には遮断 • IPとポート別に遮断 例: AとBでそれぞれ10Mbpsのトラフィックが発生=> Aから0Mbps Bから20Mbps 発生した場合既存方式によると全体トラフィック量が変わらないため正常なトラフィックとして通過させてしまうのに比べSecureSoft AbsoluteIPSは各IP 単位で制御するため、しきい値が10Mbps でありBから来るトラフィック10MpbsをDoSや新種Wormとして判断し遮断

30. DoS 防御の例 - しきい値を利用したSynFlood 攻撃防御 Self Learningした結果SynFloodのしきい値が500で設定 SynFlooding 攻撃発生 それぞれの攻撃毎にDoSProfilesを生成し SynFloodingの場合、DoS Profile生成しDestination IPとポートを記録 全体トラフィック量で単純に判断せずに、攻撃タイプ毎に精巧な防御 ProfileのCounterがしきい値である500を超えるとSynFloodingと判断し攻撃遮断

31. 誤検知の最小化 既存IDSの問題点であるFalse Alarmを減らすために、どの方式を採択しているかがIPS選定の重要な要素 誤検知率を最小化する方法 • 未知の攻撃を遮断するためのしきい値設定の際 　に知能型方式を採択 • 既知の攻撃を検知するためにパターンマッチング方 　式を採択 • TCPフロー基盤の検知を行なう • 十分な性能を保証し、大規模トラフィックにおいても 　耐えなければならない。 知能型方式 誤検知率の最小化 検知パターン と比較 Wire Speed 保証

32. バーチャルセンサー(Virtual Sensor)

33. バーチャルセンサー(Virtual Sensor) 機能 Virtual Sensor • 最近のネットワーク特性とバーチャルセンサー • 一つの内部のネットワークを部署別、位置別、機能別等、複数のセグメントに分離して管理する必要性が増大 • 最近、各組織の要求に対応するため、バーチャルセンサーをサポート • 1台のIPSで複数のネットワークセグメントを独立的にサポートして、セグメント毎にルールを設定 • 例: 学内ネットワークにおいて事務、行政に関するネットワークは高いセキュリティを要求するため、厳しいルールを設定する。学生寮のネットワークは相対的に緩やかななルールを設定して管理 • 物理的センサーをバーチャルセンサーに分ける方法 • IP Rangeによる方法 • 装置に接続された物理的ポート毎に分ける方法 • 基準ネットワークのVLAN Tagで分ける方法 学内行政ネットワーク：ポリシーA 例 A 学生寮ネットワーク：ポリシーB SecureSoft Absolute IPS B

34. バーチャルセンサーを通じてポリシー設定 バーチャルセンサービューアー 設定されたバーチャルセンサーの内容及び、割り当て基準、主要情報ビューアー バーチャルセンサーのポリシー設定 一般センサーと同じく、各センサー毎にポリシー設定

35. IPFTM Infrastructure Protection Filtering

36. IPF（Infrastructure Protection Filter）機能の必要性 ネットワークインフラ保護の必要性 • 最近の各種悪性コードは権限取得を通じた重要情報に対しての侵害よりはネットワーク自体の　麻痺を目的にするDoS, DDoSである場合が多い • 新種Wormはネットワーク上で大量のトラフィックを誘発させNetwork Infrastructureを構成する重要ネットワーク装置に過負荷を与え正常的サービス及びネットワークの使用中断 重要ネットワーク資産指定 適切なレスポンスアクション Router,Switch のようなNetwork装置 Packet Drop, Rate Control サービスのため必須的なHostWeb Server, DBMS 等 関心ホストモニタリング: ユーザ定義パターン追加しきい値際設定

37. IPFTM設定(1) IPFTMポリシーリスト IPFTM設定

38. IPFTM設定(2)

39. 関心ホスト登録 IPF モニタリング IPFTMモニタリング

40. Applications Control • P2P • Messenger • Spam Mail • URL Filtering

41. P2P/Messenger Control • 制限された帯域幅(Bandwidth)の効率的な使用 • 制限された帯域幅をP2Pサービスが過度に占めて、ネットワーク資源の非効率的な分配発生 • 単にLog inのみを制限する方式から脱して多様な制御を提供例:ログイン制限、Download制限、検索制限した、状態維持チェック制限 • Rate Control : 完全にサービスを制限する方法ではなく、ネットワーク帯域幅の中で一定量のみを使用するように設定し, 帯域幅を設定してネットワークに無理を与えないこと • 無分別なMessenger使用を通じ、内部情報の流出防止

42. P2P 設定

43. P2P 制御

44. Messenger 設定

45. Absolute IPSのContents Filtering Keyword Matchingによりリアルタイム遮断 多段階(等級別)制御 Spam Mail 遮断 Absolute IPSのContents Filtering URL またはIPにより遮断 URL 制御 Spam Mail/URL 制御

46. Summary & Next Project

47. Summary of Key Features • Best Performance • 最高8 Gbps throughput • Packet-size independent Performance • Negligible Latency (12-24 microseconds) • 3,000,000 TCP Sessions • Intrusion Detection for Known Attacks • Real-time packet capturing & processing • 1,400個以上の精巧なSignaturesと自動アップデート構造 • Anomaly Detection for Unknown Attacks • Self-Learningによるしきい値設定– Intelligent & Accurate Control • 1,000,000 DoS profiles • Virtual Sensor • IPFTM (Infrastructure Protection Filtering) • Applications control – P2P, URL filtering, Spam, Messenger • Robustness for Mission Critical Services

48. NSS Approved取得 • 第３者機関が Absolute IPSの性能・機能を高評価！ • 「あらゆるパケットサイズの処理においてパケットロスが全くなく、最低の時間遅延(latency)を維持した機器はこの研究所でテストしたすべての機器の中でAbsolute IPSが唯一であった」　レポートのコメントより • Absolute IPS was also the only device we have tested in our labs which has achieved zero packet loss and low latency at allpacket sizes • NSSとは • 1991年に設立されたネットワークセキュリティ製品の第３者門評価機関。本部をイギリスに置き、テストセンターをフランスに持つ。 • 独自開発した800以上のテストを通じてIPS / IDS機器の実質的なテスト評価を実施。 • IPSおよびIDSベンダーがプロダクトの品質承認を受ける際に、評価の関門が高いとされる世界的に権威がある機関。 • ホームページにおいてテストセンターで報告される最新レポート、論文、白書が閲覧可能。⇒http://www.nss.co.uk

49. IPFTM Virtual Sensor Application Control 管理の利便性 SecureSoft Absolute IPSのObjective Network Guaranteed Performance Security Signature-Based Detection for Known Attacks Anomaly Detection for Unknown Attacks Building Block 絶対的安定性

50. 株式会社セキュアソフト　 ご不明な点はこちらまで 〒106-0031 　　　東京都港区西麻布4-22-12 BIS西麻布 4F TEL: 03-5464-9966FAX: 03-5464-9977 morishita@securesoft.co.jp