SB C&Sの最新技術情報 発信サイト

C&S ENGINEER VOICE

【3分で分かるFortinet】【第9回】IPS機能の動作テスト方法

セキュリティ
2019.11.19

皆さんこんにちは!SB C&Sで Fortinet 製品のプリセールスを担当している長谷川です。

FortiGateでUTM機能を導入したのに、正しく動作しているのか確認する方法がわからないといったことはないでしょうか。

アンチウィルス機能であれば、eicar というテストウィルスが有名ですが、IPSにはテスト攻撃といったものは特にありません。

今回は、FortiGateのIPS機能が正常に動作しているのかテストするための方法を紹介いたします。

必要な環境

FortiGate側での用意

FortiOS v6.0.x, v6.2.x以降のファームウェア
※FortiOS v5.x 以前のIPSシグネチャには実装されていない可能性がございます。

今回使用するIPSシグネチャは、"Web.Server.Password.Files.Access" です。
デフォルトの動作で、"Drop" となっているため、FortiGateが検知した時点で、サーバへの要求がブロックされます。

Hasegawa-IPS (1).png

クライアント環境での用意

ブラウザ(IE, Firefox, Chrome等)

事前準備

FortiGateのWebUI画面にIPS機能を表示させます。
※FortiGate-100Fといった3桁以上の上位モデルであれば、デフォルトで表示されています。

システム >> 表示機能設定 >> セキュリティフィーチャより、
"侵入防止" を有効にします。

Hasegawa-IPS (2).png

続いて、ファイアウォールポリシで、IPS機能を有効にします。
※SSLインスペクションを併用することで、HTTPSサイトでもIPS機能を適用することが可能ですが、事前にブラウザへ証明書の導入が必要です。

Hasegawa-IPS (3).png

攻撃対象のサイトをブラウザで表示させ、URIの最後に

etc/passwd

と入力して閲覧します。
※サイト上に目的のファイルが存在するか、アクセスできるかについては、特に問題ありません。

Hasegawa-IPS (4).png

正常にブロックできれば、FortiGateでパケットをドロップしているため、応答なしという画面になります。
※ファイルが存在しない(404)や、アクセス権限がない(403)といった結果になった場合は、
IPSでの防御が失敗してしまっています。

Hasegawa-IPS (5).png

IPSログを確認すると、検知していることが確認できます。

Hasegawa-IPS (6).png

クライアント側でのパケットを確認すると、

etc/passwd

という文字列でアクセスを試みたあと、サーバからの応答が、なくなることがわかります。

Hasegawa-IPS (7).png

おまけ

当サイト(HTTPS)に攻撃を仕掛けてみます。

Hasegawa-IPS (8).png

SSLインスペクション(deep-inspection)が正しく動作している場合は、HTTPSサイトでもIPSは有効です。

Hasegawa-IPS (9).png

以上、ご拝読ありがとうございました。

著者紹介

SB C&S株式会社
技術統括部 第2技術部 2課
長谷川 聡