[index] AT-AR2050V/AT-AR3050S/AT-AR4050S コマンドリファレンス 5.4.9
NoteIPレピュテーション(IPアドレスブラックリスト)機能はAT-AR2050Vでは使用できません。
NoteIPレピュテーション(IPアドレスブラックリスト)機能を使用するにはアニュアルライセンスが必要です。
Noteサーバーからリソースファイルがダウンロードされると、リソースファイルの読み込みが開始されます。このリソースファイルの読み込み中は通信が破棄される可能性がありますのでご注意ください。
NoteIPレピュテーション(IPアドレスブラックリスト)機能の対象はIPv4パケットだけです。IPv6には対応していません。
Note初期設定では、トンネルインターフェースで受信したパケットは検査されません。
トンネルインターフェースで受信したパケットに本機能を適用するには、グローバルコンフィグモードのtunnel security-reprocessingコマンドを有効にしてください。
同コマンドの有効時は、すべてのトンネルインターフェースで受信パケットが検査対象になります(ただし、DS-Lite、LW4o6、MAP-E、IPv6 over IPv4トンネルインターフェースはサポート対象外)。
awplus(config)# ip-reputation ↓
awplus(config-ip-reputation)# provider lac proofpoint ↓
NoteIPレピュテーション(IPアドレスブラックリスト)機能とファイアウォール機能を併用する場合は、IPレピュテーションデータベースを更新するため、本製品からインターネットへのDNS通信とHTTPS通信を許可する必要があります。また、アプリケーションコントロール(DPI)機能でサンドバイン社のアプリケーションシグネチャデータベースを使用している場合は、本製品からインターネットへのSSL通信も許可する必要があります。
awplus(config-ip-reputation)# do show ip-reputation categories ↓ Category (* = invalid) Action Description ------------------------------------------------------------------------------ AbusedTLD alert Abused or free TLD Related Bitcoin_Related alert Bitcoin Mining and related Blackhole alert Blackhole or Sinkhole systems Bot deny Known Infected Bot Brute_Forcer alert SSH or other brute forcer ChatServer deny POLICY Chat Server CnC alert Malware Command and Control Server Compromised alert Known compromised or Hostile DDoSAttacker alert DDoS Source DDoSTarget alert Target of a DDoS DriveBySrc alert Driveby Source Drop alert Drop site for logs or stolen credentials DynDNS alert Domain or IP Related to a Dynamic DNS ...
awplus(config-ip-reputation)# category Bot action deny ↓ awplus(config-ip-reputation)# category LAC action deny ↓ awplus(config-ip-reputation)# category DynDNS action disable ↓
awplus(config-ip-reputation)# protect ↓
awplus(config)# ip-reputation ↓ awplus(config-ip-reputation)# update-interval days 1 ↓
awplus# update iprep_et_rules now ↓ awplus# update iprep_lac_rules now ↓
awplus# show resource iprep_et_rules ↓ -------------------------------------------------------------------------------- Resource Name Status Version Interval Last Download Next Download Check -------------------------------------------------------------------------------- iprep_et_rules Sleeping iprep_et_rules_v3263 1 None hour Fri 19 Aug 2016 07:36:53 awplus# show resource iprep_lac_rules ↓ -------------------------------------------------------------------------------- Resource Name Status Version Interval Last Download Next Download Check -------------------------------------------------------------------------------- iprep_lac_rules Sleeping iprep_lac_rules_v627 1 None hour Fri 19 Aug 2016 07:36:53
awplus# show ip-reputation ↓ Status: Enabled (Active) Events: 23 Provider: LAC Resource version: not set Entry count: 0 Status: Unlicensed Provider: Proofpoint Resource version: 1.0 Entry count: 171927 Status: Unlicensed Resource update interval: 1 hour
awplus(config)# log buffered level informational facility local5 ↓
(NAMEパラメーター) |
||
| LAC | 不正ホスト | 株式会社ラックが提供する脅威情報リストに含まれる不正ホスト |
(NAMEパラメーター) |
||
| CnC | マルウェアC&Cサーバー | 既知のマルウェア(ボット)に命令を送るC&C(指令&制御)サーバー。このカテゴリーには実際の活動が観測されたものとDGA(Domain Generation Algorithm)にもとづいて予測されたものが含まれる |
| Bot | マルウェア感染ホスト | マルウェアC&Cサーバーとの通信が観測されたホスト、および、マルウェア(ボット)への感染が明確に認められるホスト |
| Spam | SPAM送信元ホスト | SPAMの送信が観測されたホスト、および、ブラックリストに登録されておりメールの受信が拒否されているホスト |
| Drop | 流出情報サイト | 不正に取得されたパスワードやログなどの情報がアップロードされているホスト。マルウェアC&Cサーバーと重複する場合もある。情報をアップロードする側は含まない |
| SpywareCnC | スパイウェアC&Cサーバー | ユーザーの行動を追跡する目的で使用されていると思われるサーバー。通常の広告配信サイトではなく、ツールバー、ゲーム、無料スクリーンセーバーなどのソフトウェアによって収集された情報の送信先である可能性が高い |
| OnlineGaming | 疑わしいゲームサイト | ギャンブルサイトやFlashゲームサイトなど、アクセスしてきたPCになんらかのソフトウェアをインストールしてユーザーの行動を外部に送信したり追跡したりするサイト |
| DriveBySrc | ドライブバイダウンロード誘導サイト | 不正侵入され、ドライブバイダウンロード攻撃サイトへの誘導用にコンテンツを改ざんされたサイト。NeosploitやBlackholeといった攻撃ツールに関係するものが多い |
| ChatServer | チャットサーバー | チャットやインスタントメッセージ(IRC、Jabber、Google ハングアウト、AIM、ICQ、Baidu、Gadu-Gaduなど)の通信が観測されたサイト。本カテゴリーは該当する通信が行われているかどうかだけを示しており、脅威の有無には関知しない点に注意 |
| TorNode | Torノード | 匿名ネットワークTorの出口ノードと中継ノード |
| Compromised | 脅威ホスト全般 | 不正侵入されたWebサーバー、ブルートフォース攻撃元ホストなど、悪意のある活動が観測されたホスト全般を表すカテゴリー |
| P2P | P2Pホスト | P2Pファイル共有ネットワーク(BitTorrent、LimeWire、Kazaa、Qvodなど)のクライアントおよびソースホスト |
| Proxy | プロキシーサーバー | HTTP、STUN、SOCKSなどのプロキシーサーバーとしての動作が観測されたホスト |
| IPCheck | IP位置情報サービス | IPアドレスからホストの地理的位置を調べるオンラインサービスの中でも特にマルウェアによって悪用されることが多いサイト |
| Utility | 有用オンラインサービス | GoogleやBingのように広く知られている有用なオンラインサービスサイト |
| DDoSTarget | DDoS標的サイト | 実際のトラフィックや攻撃指令の観測結果から、DDoS(分散DoS)攻撃の標的にされていると判断されたサイト |
| Scanner | 脆弱性スキャナー | 脆弱なWebサイトやオープンリレーメールサーバーの探索、ネットワーク/サービスの調査など、Nessusをはじめとする各種スキャナーソフトの活動が観測されたホスト |
| Brute_Forcer | ブルートフォース攻撃元ホスト | SSH、IMAP、VNCなどの各種サービスに対するブルートフォース(総当たり)攻撃を行ったことが観測されたホスト |
| FakeAV | 偽セキュリティーソフト配布サイト | 偽セキュリティーソフトの販売・配布サイト。マルウェアC&Cサーバーと重複することが多い |
| DynDNS | ダイナミックDNS | ダイナミックDNSの使用が観測されたホスト |
| Undesirable | 要注意情報サイト | ハッキングツールのフォーラムやアップデートサイトなど、使い方次第では有用だが、悪用も可能な情報を提供しているサイト |
| Abused TLD | 管理不備のトップレベルドメイン | 適切に管理されておらず、悪用されることの多いトップレベルドメインのDNSサーバーなど |
| SelfSignedSSL | 証明書不備サイト | SSLサーバー証明書として自己署名証明書や無効な証明書を使っているサイト |
| Blackhole | DNSシンクホール | 信頼できる組織が運用している既知のDNSシンクホール(ブラックホールDNS)。DNSシンクホールは、以前にC&Cサーバーが使用していたドメインを利用してボットネットの対策や観測を行う場合があるため、マルウェアC&Cサーバーと重複することもある |
| RemoteAccessService | リモートアクセスサービス | Kaseya、GoToMyPC、Citrixなどのリモートアクセスサービスを提供しているホスト |
| P2PCnC | 分散型マルウェアC&Cノード | ZeusのようにC&C(指令・制御)機能をP2Pネットワーク上に分散させるタイプのマルウェアC&Cノード |
| Parking | ドメインパーキング | パークドメイン(取得しただけで使用していないドメイン)およびパークドメインを管理するドメインパーキングサーバー |
| VPN | VPNサーバー | VPNサーバーとしての動作が観測されたホスト。通信匿名化用VPNサービスの可能性がある |
| EXE_Source | EXE提供サーバー | EXE(実行)ファイルの提供元とみなされるサーバー。悪意があるものとは限らないが、マルウェアC&Cサーバーと重複するものも多い |
| Mobile_CnC | モバイルC&Cサーバー | モバイル環境向けのマルウェアC&Cサーバー |
| Mobile_Spyware_CnC | モバイルスパイウェアC&Cサーバー | モバイル環境向けのスパイウェアC&Cサーバー |
| Skype_SuperNode | Skypeスーパーノード | Skypeネットワークのスーパーノード |
| Bitcoin_Related | ビットコインマイニングホスト | ビットコインマイニング(採掘)活動が観測されたホスト。これらのホストでは、不正なビットコインマイニングプログラムによってコンピューター資源が浪費されている可能性がある |
| DDoSAttacker | DDoS攻撃元ホスト | DDoS(分散DoS)の攻撃元ホスト |
(C) 2015 - 2019 アライドテレシスホールディングス株式会社
PN: 613-002107 Rev.AA