Version 2.0, Service Pack 7, 2008 年 10 月 14 日 概要 ファイアウォールがコンポーネントの通信を妨げていると SiteProtector は正常に機能できません 本書では ネットワークデバイスと SiteProtector コンポーネントがファイアウォールを介して通信できるようにするための設定手順について説明します 前提条件 本書は 次の知識に精通していることを前提としています ファイアウォールの設定手順 ネットワーク上のトラフィックをブロックするために使用するルーター またはその他のデバイス Windows レジストリーやプロパティーファイアウォールなどのシステムファイルの修正手順 ファイアウォール 本書中では ファイアウォールには パケットフィルタリングファイアウォール ルーターおよび VPN などの トラフィックをフィルタリングするデバイスも含まれます これらのファイアウォールは ネットワークアドレス変換 (NAT: Network Address Translation) も使用する場合もあります 注記 : ファイアウォールがトラフィックをブロックするように設定されていない場合 この章の手順は該当しない場合があります タスクの概要 表 1 では タスクの完了に役立つチェックリストについて説明します タスク 説明 1 必要なポートを開くようにファイアウォールを設定する SiteProtector トラフィックのポート情報 (4 ページ ) を参照してください 表 1: タスクの概要 IBM Internet Security Systems 1
タスク 説明 2 ファイアウォールが Third Party Module と Cisco Checkpoint ファイアウォール または他の SiteProtector コンポーネント間にある場合は Third Party Module トラフィックに対してファイアウォールを設定する Third Party Module ( 国内未サポート ) トラフィックのポート情報 (8 ページ ) を参照してください 3 Internet 経由で SiteProtector のアップデートを入手している場合 Internet アクセスに関するファイアウォールルールを設定する インターネットアクセスのポート情報 (10 ページ ) を参照してください 4 NAT ファイアウォールがコンソールと Application Server 間にある場合は Application Server のプロパティーを設定する NAT ファイアウォールとの通信向けの Application Server (12 ページ ) を参照してください 5 NAT ファイアウォールが Proventia Desktop エージェントと Agent Manager 間にある場合は Agent Manager のプロパティーを設定する NAT ファイアウォールを経由する通信向けの Agent Manager の設定 (14 ページ ) を参照してください 表 1: タスクの概要 ( 続き ) 本書の内容 本書では 次のセクションについて説明します セクション ページ ファイアウォールポート情報 3 NAT ファイアウォール向けのコンポーネント設定 11 文書の内容は変更されることがあります 2
セクション A: ファイアウォールポート情報 SiteProtector コンポーネントまたはモジュールがファイアウォールの背後にある場合は コンポーネントやモジュールが通信できるようにファイアウォールの再設定をする必要があります このセクションでは 異なるタイプのトラフィックに対するファイアウォールポートを設定するための背景情報と手順について説明します TCP/IP ポートファイアウォールは一般的に IP アドレスと TCP または UDP ポートによってトラフィックをフィルタリングします ファイアウォールは通常 明示的に許可されていない限り こうしたアドレスとポートをブロックします ファイアウォールの一般的な位置 ファイアウォールはネットワーク上の任意の場所に設置できますが 最も一般的な場所は次のとおりです コンソールと Application Server の間 Application Server とエージェントの間 Agent Manager と Proventia Desktop エージェントの間 Event Collector とエージェントの間 Application Server とインターネットの間 Application Server と Third Party Module の間 このセクションの内容 このセクションでは 次のトピックについて説明します トピック ページ SiteProtector トラフィックのポート情報 4 Third Party Module ( 国内未サポート ) トラフィックのポート情報 8 Active Directory 統合のポート情報 9 インターネットアクセスのポート情報 10 Contents of document subject to change. 3
SiteProtector トラフィックのポート情報 このトピックでは Third Party Module を除くすべての SiteProtector コンポーネント間でトラフィックを許可するファイアウォールルールの設定に役立つ情報について説明します 要件 発信元コンポーネントと宛先コンポーネントの間にファイアウォールがある場合は 指定の宛先ポートへの着信トラフィックを許可するファイアウォールルールを作成します 参照 : ファイアウォールルールの作成と設定に関する具体的な手順については お使いのファイアウォールのマニュアルを参照してください 開いている必要のある宛先ポート 宛先ポートは 特に指示がない限り TCP プロトコルを使用します 表 2 は それぞれの SiteProtector コンポーネントの組み合わせ間で通信を行うために開いている必要のある宛先ポートを説明します 発信元コンポーネント 宛先コンポーネント ワイヤープロトコル SiteProtector Console SP Server HTTP/SP Server/RMI/ JRMP/JMS 暗号化 宛先ポート あり 3988, 3989, 3994, 3996, 3997, 3998, 3999, 8093 Event Viewer N/A あり 3993 ADS Appliance HTTP あり 443 IBM ISS の Web サイト HTTP なし 80 表 2: SiteProtector エージェント間のトラフィックを許可するファイアウォールポート 文書の内容は変更されることがあります 4
SiteProtector トラフィックのポート情報 発信元コンポーネント 宛先コンポーネン ワイヤープ 暗号化 宛先ポート ト ロトコル SP Server Databridges L/S a あり 2998 Active Directory Server LDAP なし 389, 3268 b Event Collector HTTP/L/S あり 2998, 8996 SecurityFusion module L/S あり 2998 Agent Manager L/S/HTTP あり 2998, 3995 Deployment Manager X-Press Update Server L/S あり 2998 HTTP あり 3994 Event Archiver HTTP あり 8998 Site DB Proventia Network MFS External Ticketing Server JDBC/TDS/ 名前付きパイプ (Named Pipe) または RPS あり 1433, 445, 135, 1434 ( 暗号化されていない UDP ポート ) HTTP あり 443 ベンダー固有情報 (Vendor Proprietary) c あり 1058, 1069 d SNMP Server SNMP なし 162 SMTP Server SMTP なし 25 Internet Scanner L/S あり 2998 Network Sensor L/S あり 2998 Server Sensor L/S あり 2998 Proventia Nework IDS Third Party Module L/S あり 2998 e L/S あり 2998 Desktop Agents (7.0 以前 ) Remote Host IBM MSS の Web サイト Windows RPC なし 135 HTTP あり 443 Agent Manager HTTP あり 8082 表 2: SiteProtector エージェント間のトラフィックを許可するファイアウォールポート ( 続き ) Contents of document subject to change. 5
発信元コンポーネント Agent Manager Desktop Agent N/A なし ICMP SP Server HTTP あり 3994 Site DB OLE DB/ RPC/ 名前付きパイプ 設定可能 1433, 135, 445, 1434 SNMP Server SNMP なし 162 Event Collector Databridge L/S あり 901-930 Agent Manager L/S あり 914 Event Archiver HTTP あり 8997 Event Collector L/S あり 912 SP Server HTTP あり 3994 Internet Scanner L/S あり 901-930 Network Sensor L/S あり 901-930 Proventia Network IDS L/S あり 901-930 f SNMP Server SNMP なし 162 RealSecure Sensor Agent SecurityFusion module Site DB IBM MSS Event Server L/S あり 901-930 L/S あり 901-930 ODBC/ RPC/ 名前付きパイプ 設定可能 1433, 135, 445, 1434 HTTP あり 8443 Event Archiver SP Server HTTP あり 3994 Agent Manager HTTP あり 3995 Web Console SP Server HTTP あり 3994 Web ブラウザー Proventia Network IDS Proventia Network IPS Proventia Network MFS および Proventia Server 宛先コンポーネント Deployment Manager ワイヤープロトコル 暗号化 HTTP あり 3994 Agent Manager HTTP あり 8085 Agent Manager g HTTP あり 3995 宛先ポート 表 2: SiteProtector エージェント間のトラフィックを許可するファイアウォールポート ( 続き ) 文書の内容は変更されることがあります 6
SiteProtector トラフィックのポート情報 発信元コンポーネント 宛先コンポーネント SecurityFusion module Event Collector L/S あり 950 Site DB ODBC/ RPC/ 名前付きパイプ 設定可能 1433, 135, 445, 1434 Proventia Server IPS Agent Manager HTTP あり 3995 Proventia Desktop Agent Manager HTTP あり 3995 Event Viewer Service SP Server RMI/JRMP あり 3989, 3988 Update Server Agent Manager HTTP あり 3995 IBM ISS の Web サイト ワイヤープロトコル 暗号化 HTTP あり 443 宛先ポート 表 2: SiteProtector エージェント間のトラフィックを許可するファイアウォールポート ( 続き ) a. ワイヤープロトコル列の L/S は Leap / Score の省略形です b. ポート 3268 はグローバルカタログから参照しています c. ベンダー固有情報 (Vendor Proprietary) とは そのベンダーに特有の情報を意味しています d. ポート 1069 は Remedy の Web サイトに基づいています e. 宛先ポート 443 を使用する Proventia Network IPS FW 1.0 以降 f. 宛先ポート 901 ~ 903 が使用されるのは Proventia Network IDS FW 1.0 より前のバージョンだけです g. Agent Manager と通信するすべての Proventia Agents Desktop Agent 7 とそれ以前のバージョンには Command & Control が含まれています Contents of document subject to change. 7
Third Party Module ( 国内未サポート ) トラフィックのポート情報 ファイアウォールが Third Party Module (TPM) と次のファイアウォールやコンポーネントの間にある場合は トラフィックを許可するようにファイアウォールを設定する必要があります CheckPoint ファイアウォールまたは Cisco ファイアウォール 別の SiteProtector コンポーネント 要件 発信元コンポーネントと宛先コンポーネントの間にファイアウォールがある場合は 指定の宛先ポートへの着信トラフィックを許可するファイアウォールルールを作成します 参照 : IBM ISS Web サイトから SiteProtector Third Party Module Guide を参照してください 開いている必要のある宛先ポート 表 3 では SiteProtector コンポーネントと TPM との間で通信を行うために開いている必要のある宛先ポートを説明します 発信元コンポーネント 宛先コンポーネント 宛先ポート Cisco Secure PIX Sensor Controller 2998/tcp Event Collector Third Party Module 901-931/tcp 514/udp Event Archiver SP Server 3994 Sensor Controller Third Party Module 2998/tcp Event Collector Third Party Module 901-931/tcp 表 3: Third Party Module とその他のコンポーネントとの間のトラフィックを許可するファイアウォールポート 文書の内容は変更されることがあります 8
Active Directory 統合のポート情報 Active Directory 統合のポート情報 Active Directory を SiteProtector と統合するには Sensor Controller が Active Directory と特定のポート上で通信可能である必要があります 開いている必要のある宛先ポート 表 4 では SiteProtector コンポーネントと Active Directory との間で通信を行うために開いている必要のある宛先ポートを説明します プロトコル TCP ポート Kerberos 認証 88 Lightweight Directory Access Protocol (LDAP) 389 Kerberos パスワード 464 LDAP over SSL 636 Microsoft グローバルカタログ 3268 Microsoft グローバルカタログ LDAP/SSL 3269 表 4: SiteProtector Sensor Controller と Active Directory との間の通信を許可するポート Contents of document subject to change. 9
インターネットアクセスのポート情報 SiteProtector アップデートをインターネットからダウンロードする場合は この通信を許可するようにファイアウォールルールを再設定する必要があります このトピックでは インターネットアクセス用にファイアウォールルールを設定する手順を説明します 参照 : 具体的な手順については お使いのファイアウォールのマニュアルを参照してください 要件 発信元コンポーネントと宛先コンポーネントの間にファイアウォールがある場合は 指定の宛先ポートへの着信トラフィックを許可するファイアウォールルールを作成します 開いている必要のある宛先ポート 表では SiteProtector コンポーネントと IBM ISS のダウンロードページとの間で通信を行うために開いている必要のある宛先ポートを説明します プロトコル 宛先アドレス 宛先ポート SSL または HTTPS xpu.iss.net 443 SSL または HTTPS www.iss.net 443 SSL または HTTPS download.iss.net 443 HTTP iss.net 80 表 5: Application Server とインターネットとの間のトラフィックを許可するポート 重要 : Deployment Manager からアップデートをダウンロードする場合は 安全なプロトコル (SSL または HTTPS) の使用をお勧めします 文書の内容は変更されることがあります 10
セクション B: NAT ファイアウォール向けのコンポーネント設定 概要 SiteProtector コンポーネントが NAT またはその他のタイプのアドレス変換を使用するファイアウォールの背後にある場合は SiteProtector コンポーネントが通信できるように追加の設定タスクを実行する必要があります SiteProtector と NAT の併用における問題 デフォルトでは 一部の SiteProtector コンポーネントは その他のコンポーネントとの通信にプライベート IP アドレスを使用するように設定されています NAT ファイアウォールは通常 プライベート IP アドレスを使用するコンポーネントをブロックします NAT 通信の有効化 NAT 通信の問題点を修正するには パブリック IP アドレスと完全修飾ドメイン名のいずれかを使用するように SiteProtector コンポーネントを設定する必要があります NAT ファイアウォールの一般的な位置 NAT は通常 イントラネット上に位置するファイアウォールではなく 外部ファイアウォール上で有効になっています ファイアウォールが次のコンポーネントの間にあると 通信上の問題が発生する可能性があります リモートのコンソールと Application Server リモートの Proventia Desktop エージェントと Agent Manager このセクションの内容 このセクションでは 次のトピックについて説明します : トピック ページ NAT ファイアウォールとの通信向けの Application Server 12 Sensor Controller および Application Server サービスの再起動 13 NAT ファイアウォールを経由する通信向けの Agent Manager の設定 14 Contents of document subject to change. 11
NAT ファイアウォールとの通信向けの Application Server このトピックでは NAT ファイアウォールと通信できるように Application Server を設定する方法を説明します 重要 : NAT ファイアウォールが Application Server とコンソールの間にある場合に限り このトピックの手順を実行します 参照 : アプリケーションサービスの停止と再起動に関する詳細は Sensor Controller および Application Server サービスの再起動 (13 ページ ) を参照してください 手順 Application Server を NAT 向けに設定するには : 1. Application Server サービスを停止します 2. タスクバーの [ スタート ] をクリックし [ ファイル名を指定して実行 ] を選択します 3. [ 名前 ] フィールドに regedit を入力します レジストリーエディターが表示されます 4. 次のパスに移動します HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ 5. 次の表を使用して レジストリーキーを設定します フォルダー issspappservice\parameters 項目 JVM Option Number 6 変更 値データを IP アドレスから DNS 名に変更します issspsenctlservice\parameters IPBind 値データを IP アドレスから DNS 名に変更します 例 Djava.rmi.server.hostname=public_IP_or_FQDN 6. Sensor Controller と Application Server サービスを再起動します 文書の内容は変更されることがあります 12
Sensor Controller および Application Server サービスの再起動 Sensor Controller および Application Server サービスの再起動 NAT で通信できるように Application Server を設定したら Sensor Controller および Application Server サービスを再起動して変更を有効にする必要があります 手順 Sensor Controller と Application Server サービスを停止または再起動するには : 1. Application Server と Sensor Controller がインストールされているコンピューターのタスクバーで [ スタート ] をクリックして [ 設定 ] [ コントロールパネル ] の順に選択します 2. [ 管理ツール ] フォルダーを開き [ サービス ] をダブルクリックします [ サービス ] ウィンドウが表示されます 3. 右側のウィンドウ枠で [SiteProtector Sensor Controller Service] が見つかるまでスクロールし これを選択します 4. 次のいずれかを行います サービスを停止するには ツールバーの [ サービスの停止 ] ( 停止オプション ) をクリックします サービスを開始するには ツールバーの [ サービスの開始 ] ( 開始オプション ) をクリックします 5. Application Server について 手順 1 ~ 4 を繰り返します Contents of document subject to change. 13
NAT ファイアウォールを経由する通信向けの Agent Manager の設定 NAT ファイアウォールが Agent Manager と Proventia Desktop エージェントの間にある場合に限り このトピックの手順を実行します この手順では NAT ファイアウォールと通信できるように Agent Manager を設定します 重要な前提条件 この手順は エージェントビルドの生成前に行う必要があります 生成する前に行わなかった場合 エージェントは Agent Manager と通信できず エージェントビルドの再作成が強制されます 手順 Agent Manager を NAT 向けに設定するには : 1. Agent Manager がインストールされているコンピューター上で 次のパスで Agent Manager 初期化ファイルを探します \Program Files\ISS\SiteProtector\AgentManager\rsspdc.ini 2. テキストエディターでファイルを開きます 3. dcname を次のいずれかに変更します DNS 名 ( 推奨オプション ) パブリック IP アドレス注記 : DNS 名オプションを選択した場合は IP アドレスに解決できるようにしてください 4. ファイルを保存します 5. コンソールで [Agent Manager] アイコンを右クリックして [Stop] を選択します 6. [Agent Manager] アイコンを右クリックして [Start] を選択します 文書の内容は変更されることがあります 14