|
 |
|
ISS技術情報 お客様各位 |
|
| 2002年 4月 10日 東京都新宿区北新宿3−1−16 第2事業本部 セキュリティ営業部 |
|
| 以下リリースが、インターネット セキュリティ システムズ株式会社より発行されましたので、ご案内致します。 |
|
RealSecure 6.0におけるThe Sensor refused the connectionメッセージ |
|
| RealSecure 6.0において、ConsoleのManaged Assetウィンドウ内のSensorのEvent Statusフィールドに、The Sensor refused the connection. [ID=0xc726000e]メッセージが表示されるケースについてレポートします。 対象: RealSecure Network Sensor 6.0(XPUには影響されません) 現象: 遠隔地のNetwork Sensorに対してInternet経由で接続している環境において、ConsoleのManaged Assetsウィンドウ内の該当SensorのEvent Statusフィールドに、The Sensor refused the connection. [ID=0xc726000e]メッセージが表示される場合があります。 原因: Sensorを登録する際、Sensorは自身が通信する対象となるEvent Collectorとポート901を介して通信を行い、Event CollectorのIPアドレスを取得します。取得したIPアドレスをcommon.policyファイルに記録し、イベント送信先としてこのIPアドレスを使用します。しかしNAT環境を使用している場合、Sensorが取得するIPアドレスは以下のようになってしまいます。 ● IPマスカレードやFirewall-1のHideモードでは、IPマスカレード装置もしくはFirewall-1のSensor側I/FのIPアドレスをEvent CollectorのIPアドレスとして記録 ● 一部のLinux上でのNATソフトウエア(GNAT、iptables)では一対一のスタティックNATを使用した場合も、上記と同様LinuxホストのSensor側IPアドレスをEvent CollectorのIPアドレスとして記録 Event CollectorのIPアドレスではなく、NAT装置のIPアドレスがcommon.policyファイルに記録されることで、Sensorでイベントを検知した際にEvent Collectorに送信することができなくなります。その結果、The Sensor refused the connection. [ID=0xc726000e]メッセージが表示されます。 回避策: Firewall-1をご利用の場合、スタティックモードのNATをご利用ください。Linux上のNATソフトウェアの場合、GNATもしくはiptablesのようにRealSecure 6.0と併用できないものもあります。Sensorのcommon.policyファイルは動的に変更されているため、このファイルを書き換えても効果はありません。 対応: RealSecure 6.5でNAT対応の拡張が行われました。Firewall-1ではHideモードのNATでも動作が確認されております。またGNAT(スタティックNATソフトウェア)でも動作が確認されております。またRealSecure 6.5から、NAT環境に対応するためEvent CollectorのIPアドレスをオーバーライドする機能が追加されております。下記手順に則りEvent Collectorを構成してください。なおこの操作を行うにはマスター権限が必要です。 1.ConsoleのManaged AssetsウィンドウからEvent Collectorを右クリックし、プロパティを選択します。 2.GeneralタブのAdvanced...ボタンをクリックします。 3.Event Collecor Address Overrideボックスで、Event Collector自身のIPアドレスを設定します。 4.OKボタンをクリックしてウィンドウを閉じてください。 5.Event Collector上で右クリックし、Shutdwonを選択します。 6.Event Collectorが停止したことを確認し、再び右クリックからStartを選択してEvent Collectorを起動してください。 注意: RealSecure 6.5におきましても、下記二つのパターンでのみの動作可能です。 ● Event CollectorからSensorへのディスティネーションIPアドレスの変換 ● Event CollectorからSensorへのソースIPアドレスのみの変換 ソース、ディスティネーション双方ともIPアドレスをNAT(スタティックNAT)変換した場合、Event CollectorへのリターンパケットのディスティネーションIPアドレスがEvent Collecorに対する仮想IPアドレスに変換されているため、Sensorの実IPアドレスとTCP上でのEvent CollecorへのディスティネーションIPアドレスが異なるため、同様のエラーが発生します。 |
|
以上 |
|
Internet Security Systemsのロゴおよび、Internet Security Systems の各商品はInternet Security Systems, Inc. の商標または登録商標です。その他企業のロゴと製品名はそれぞれの企業の商標または登録商標です。 |