「show vlan」実行時、VLAN IDが100~110のように範囲で表示されるのはなぜですか?
連続したVLAN IDで所属Interfaceがない場合、「xx~xx」のように集約して表示されます。
特定のInterfaceをモニタリングまたは、パケットキャプチャーをしたいのですが、Interfaceのモニタリング機能はありますか?
SubGateには、Port Mirroring機能やRMON(RFC1757)をサポートしています。
SubGateに接続しているPC同士間の通信は止め、インターネットや複合機などは共有する方法はありますか?
SubGateの「shared-vlan egress-port機能」を使用し、対応することができます。
SubGate自体で、MAC認証は可能ですか?
Embedded RADIUS Server機能を利用することでMAC認証をSubGate自体で行うことができます。
※ Embedded RADIUS Server自体は、あくまでSubGateの拡張機能のため、証明書認証などRADIUS Server機能より制限があります。
ルータやL3スイッチなどの機器をMDS Downlinkで接続できますか?
これらの機器との接続の際は、必ずMDS Uplinkから接続してください。
MDS Downlinkにする場合、ルーティングの動作を様々な攻撃に検知するので、DDoS(IP_Spoofing)やARP Spoofing、Self-loopなどを無効にしても様々な攻撃が検知されます。
また、除外設定で対応する方法もありますが、設定を重ねるたびに攻撃検知の範囲や効果もなくなり、すべてのTrafficについて除外設定をしなくてはならなくなると考えられます。
MDS Downlinkは何個まで設定可能ですか?
各モデル機種の最大使用ポート数から1つを除いた数になります。
MDS Uplinkは何個まで設定可能ですか?
各モデル機種の最大使用ポート数から1つを除いた数になります。
SubGateでの検知内容は、端末側のOSによって異なりますか?
SubGateは、自身を通過するパケットのヘッダ情報(Layer2~4)を分析しているため、端末側のOSで差は発生しません。
あくまで、通信パケットの振舞いを分析します。
SubGateの分析範囲が、Layer2~4とのことですが、Layer3/4スイッチとして動作するのでしょうか?
SubGateは、MDSの分析のためパケットの、Layer2~4情報をコピーし、分析しますが、その範囲はヘッダ情報部分になります。
そのため、Layer3/4レベルでのパケット転送は実施しません。
MDSは、シグネチャーファイルや定義ファイルの更新は必要でしょうか?
MDSは、SubGateは、自身を通過するパケットのヘッダ情報をもとに不正な振舞いをおこなうトラフィックを検知します。
そのため、定義ファイルなどのような更新は必要ありません。
SubGateのセキュリティログは保存されますか?
SubGate内に最大300件まで履歴として保存することができます。
※ 300件を超えるとログローテーションで古いものから上書きされてれ行きます。VNMやVIPMと連動することで300件以上の内容を記録することができます。
検知リストのProtocol項目が、Noneに表示される通信をDropしています。ProtocolがNoneの通信は、何を意味しますか?
ARPによる攻撃検知や、検知した内容にPolotocolが関係しないもの(Self-loop、BroadCAST_Attack)が考えられます。
MDS Detect-Listにて、検知している攻撃パケット数の増加はないが、リストから消えないのは、なぜでしょうか?
各検知内容(フィルタリングルール)によって、それぞれのTime Out時間を持っています。
Time Out時間内の場合、攻撃がパケットが停止してもリストから削除されずに一定時間、フィルタリングルールを維持します。
MDS設定で、DropとDetectの動作はどのような違いがありますか?
MDSの2つのモードは、以下の通りです。
Dropモード:不正な振舞いトラフィックを検知し、フィルタリングします。また、内容を記録します。
Detectモード:不正な振舞いトラフィックを検知し、記録を残します。(検知パケットは転送されます。)
現在、検知している攻撃内容は、どのように確認することができますか?
攻撃検知内容は、「show mds detect-list」コマンドから確認することができます。
※ VNM、VIPMと連動している場合、次の箇所からも確認することができます。(VNM:「MDS Event」タブ / VIPM:「SECURITY>攻撃遮断状況」)
「mds permit」と「mds extended permit」の差は何ですか?
どちらも、条件に合ったパケットの検知をMDSから除外する設定です。mds extended permitは、更に詳細に該当パケットを指定することができます。