XG FirewallでIPSのポリシーを確認する

この記事で実現すること

XG FirewallのIPSポリシーは複数存在しますが、それぞれの内容について説明します。

XGのIPSポリシーについて

Intrusion Prevension System(IPS)は侵入防御を意味し、サイバー攻撃から内部のホストを防御します。「XG Firewall v18のルールを作成する」では、IPS Policyの選択として、”lantowan_general”を設定しました。初期セットアップではあまり十分な説明をしていませんでしたので、改めて中身を説明します。XGのIPSポリシーは、左ペインメニューの侵入防御IPSポリシーから確認できます。デフォルトで登録されているものには、以下の内容があります。

  • DMZ TO LAN
  • DMZ TO WAN
  • LAN TO DMZ
  • LAN TO WAN
  • WAN TO DMZ
  • WAN TO LAN
  • dmzpolicy
  • generalpolicy
  • lantowan general
  • lantowan strict

前半の6つはそれぞれの接続形態に合わせたポリシーです。LAN TO WANでは、ブラウザやアプリからインターネットに接続する場合の攻撃を想定した防御ポリシーとなっています。XGの左ペインメニューの侵入防御からIPSポリシーを選択し、さらに”LAN TO WAN”を選択すると、以下の画面が表示されます。

このポリシーは、カテゴリ重要度プラットフォーム対象というそれぞれのメニューに分かれています。これはブラウザなどのクライアントを対象として、WindowsやLinuxのクライアントOSが確認できます。macOSはありませんが、実際に”All Client”として組み込まれているようです。このポリシーはどのような意図で作成されたのかは不明です。なぜWindowsとLinuxだけを切り出しているのでしょうか。さらに、前半6つの”DMZ TO LAN”〜”WAN TO LAN”ポリシーはカスタマイズ出来ません。”dmzpolicy”〜”lantowan strict”の4つのポリシーの中身はフィルタの種類の名前が異なっていますが、7126個あるXGのIPSポリシーが全て選択されており、4つのポリシーの中身は全く同じで何を選んでも変わりません。昔からカスタマイズ前提で用意されており、明確な違いは無いというのが実態のようです。

明らかに不要なポリシーを外せばパフォーマンスアップするという期待がありますが、XGでは既にパフォーマンス上工夫されていて、ポリシーを絞ったとしても殆ど効果はありません。XG v18の”Xstream Network Flow Fast Path”というトラフィック検査の高速化が功を奏しているのかもしれません。

XGのIPSはオープンソースのセキュリティソフトであるSnortを使っているようです。私の検証では、下手にポリシーを絞り込むとかえってパフォーマンスが出なくなるように見えます(何10回も繰り返し統計をとったわけではありません)。”lantowan general”などの絞り込まないポリシーで全く不都合がないため、このままフィルターせずに利用しています。

脆弱性をXGで防御すること

話は変わりますが、Webサーバーのシェアは2017年に過半数を占めていたApacheは2021年10月には31.0%までシェアを落としています。代わりに高速性が売りのnginxが、足元33.9%でシェア1位を獲得しています。

Historical quarterly trends in the usage statistics of web servers
https://w3techs.com/technologies/history_overview/web_server/ms/q

「パッチが多いのでアパッチ」と揶揄される事もありますが、XGのIPSにも253個のアパッチ用ポリシーがあります。一方、nginxは、まだ歴史が浅いという事もありますが、XGのポリシーを検索してみると2つしか見つかりません。全ての製品の脆弱性をXGがカバー出来るかといえば難しく、やはり利用しているプロダクトの製品パッチを適用するのが本筋です。

再びホームユーザーとしての話に戻すと、原則、Windows10やmacOS、スマホは脆弱性に対するパッチとして自動更新の機能があるので、それを行うのが確実です。むしろ危ないのは自動更新にしていないOSや、IoT機器・無線ルーター・NAS・家電などです。昨今、数多くの脆弱性が発見され、パッチが出ている現況においては、IPSに全ての製品の脆弱性の保護を頼るのは厳しいと考えます。きちんとベンダーからの通知システムを活用し、適切なパッチを適用する事が何よりも重要です。私はIT機器やソフトウェアを導入する場合には、こういったパッチが迅速に提供されるもの、また自動更新や通知の仕組みがあるものを選定するようにしています。そういう意味では、XGのIPSはあくまで補助的に使い、日常ログの確認も併せて行いたいところです。

XGのIPSはこれだけにの機能に限らず、レイヤ7のファイアウォール機能として立派に役目を果たしてくれます。怪しいサイトに接続しない事は本人の心がけも重要ですが、XGである程度そういったサイトを遠ざける事も出来ます。2要素認証のように、面倒ではありますが複数の管理策を重ねる事と、日頃のログの確認や情報をウォッチする事が防御を高める事になります。