UTM / IPレピュテーション

検査タイミング
基本設定
ホワイトリスト
その他
ログ
IPレピュテーションカテゴリー一覧

IPレピュテーション(IPアドレスブラックリスト)は、IPアドレスの分類リスト(IPレピュテーションデータベース)をもとに、特定のIPアドレスを送信元または宛先とするパケットを制御する機能です。
Note
IPレピュテーション(IPアドレスブラックリスト)機能を使用するにはアニュアルライセンスが必要です。
ライセンスのインストール方法については「運用・管理」/「システム」の「ライセンスキーのインストール」をご参照ください。
Note
UTMバンドルライセンス「UTM-02:IPレピュテーション、アドバンスドIPS」を適用している場合、IPレピュテーション(IPアドレスブラックリスト)機能は以下の機能と併用できません。
バンドルでない従来の単体ライセンスを適用している場合、この制限はありません。
Note
サーバーからリソースファイルがダウンロードされると、リソースファイルの読み込みが開始されます。このリソースファイルの読み込み中は通信が破棄される可能性がありますのでご注意ください。

IPレピュテーション(IPアドレスブラックリスト)機能の処理は、ブリッジング用、ルーティング用の両インターフェースで受信したパケットに対して行われます。

Note
IPレピュテーション(IPアドレスブラックリスト)機能の対象はIPv4パケットだけです。IPv6には対応していません。

IPレピュテーション機能では、株式会社ラックの脅威情報リスト、および、Proofpoint社が提供する最新のIPレピュテーションデータベースにもとづいて、特定のIPアドレスを送信元または宛先とするトラフィックをIPレピュテーションカテゴリーに分類します。

各カテゴリーに対するデフォルトのアクションはalert(ログへの記録)ですが、category actionコマンドでカテゴリーごとにアクションを変更可能です。

また、ホワイトリストを使うことで、特定のIPアドレスをIPレピュテーションの分類対象から外すこともできます。

データベースの更新をつかさどるアップデートマネージャーについては「UTM」/「アップデートマネージャー」をご覧ください。

また、IPレピュテーション(IPアドレスブラックリスト)機能の具体的な使用例については、「設定例集」をご覧ください。

検査タイミング

本機能は下記のタイミングでサポート対象のパケットを検査します。
Note
初期設定では、トンネルインターフェースで受信したパケットは検査されません。
トンネルインターフェースで受信したパケットに本機能を適用するには、インターフェースモードのtunnel inline-processingコマンドか、グローバルコンフィグモードのtunnel security-reprocessingコマンドを有効にしてください。
tunnel security-reprocessingコマンドの有効時は、すべてのトンネルインターフェースで受信パケットが検査対象になります。
一方、tunnel inline-processingコマンドは指定したIPsecトンネルインターフェースに対してのみ有効ですが、復号後のパケットだけを検査するためsecurity-reprocessingよりもパケット処理の負荷軽減が見込まれます。

基本設定

IPレピュテーション(IPアドレスブラックリスト)機能の設定は、IPレピュテーションモード(ip-reputationコマンド)で行います。
providerコマンドでIPレピュテーションデータベースの提供元を指定した後、category actionコマンドでカテゴリーごとのアクションを指定し、protectコマンドで有効化します。

以下、IPレピュテーション(IPアドレスブラックリスト)機能の基本的な設定手順を示します。
  1. IPレピュテーション(IPアドレスブラックリスト)機能の設定を行うため、IPレピュテーションモードに移行します。これにはip-reputationコマンドを使います。
    awplus(config)# ip-reputation

  2. IPレピュテーションデータベースの提供元を指定します。これにはproviderコマンドを使います。
    データベースの提供元には lac と proofpoint があり、どちらか一方または両方を指定可能です。
    awplus(config-ip-reputation)# provider lac proofpoint
    Note
    IPレピュテーション(IPアドレスブラックリスト)機能とファイアウォール機能を併用する場合は、IPレピュテーションデータベースを更新するため、本製品からインターネットへのDNS通信とHTTPS通信を許可する必要があります。また、アプリケーションコントロール(DPI)機能でサンドバイン社のアプリケーションシグネチャデータベースを使用している場合は、本製品からインターネットへのSSL通信も許可する必要があります。

  3. 特定のIPアドレスを送信元または宛先とするトラフィックを検出したときに実行すべきアクションをIPレピュテーションカテゴリーごとに指定します。これにはcategory actionコマンドを使います。
    アクションには次の3つがあります。各イベントに対するデフォルトのアクションはalert(ログに記録)です。
    なお、category actionコマンドで指定するIPレピュテーションカテゴリー名は、show ip-reputation categoriesコマンドで確認できます。また、各カテゴリーの具体的内容については、一覧をご覧ください。
    awplus(config-ip-reputation)# do show ip-reputation categories
   Category (* = invalid)  Action   Description
------------------------------------------------------------------------------
   AbusedTLD               alert    Abused or free TLD Related
   Bitcoin_Related         alert    Bitcoin Mining and related
   Blackhole               alert    Blackhole or Sinkhole systems
   Bot                     deny     Known Infected Bot
   Brute_Forcer            alert    SSH or other brute forcer
   ChatServer              deny     POLICY Chat Server
   CnC                     alert    Malware Command and Control Server
   Compromised             alert    Known compromised or Hostile
   DDoSAttacker            alert    DDoS Source
   DDoSTarget              alert    Target of a DDoS
   DriveBySrc              alert    Driveby Source
   Drop                    alert    Drop site for logs or stolen credentials
   DynDNS                  alert    Domain or IP Related to a Dynamic DNS 
...

    ここでは、IPレピュテーションカテゴリー「Bot」、「LAC」に分類されたトラフィックを破棄(deny)するよう設定します。
    また、IPレピュテーションカテゴリー「DynDNS」に分類されたトラフィックに対しては何もしない(disable)よう設定します。
    awplus(config-ip-reputation)# category Bot action deny
awplus(config-ip-reputation)# category LAC action deny
awplus(config-ip-reputation)# category DynDNS action disable

    4.IPレピュテーション(IPアドレスブラックリスト)機能を有効化します。これにはprotectコマンドを使います。
    awplus(config-ip-reputation)# protect

設定は以上です。

ホワイトリスト

ホワイトリストは、特定のIPアドレスをIPレピュテーション機能の分類対象から外す機能です。
IPレピュテーション機能では提供元が管理するデータベースにもとづいて各通信をカテゴリー分けする関係上、重要なホストとの通信が意図せず遮断されてしまうことも起こりえますが、本機能を利用すれば、IPレピュテーションデータベースの内容にかかわらず、特定のIPアドレスとの通信が破棄されないように設定することが可能です。

ホワイトリスト機能の仕様は次のとおりです。

■ ホワイトリストへの登録はwhitelistコマンドで行います。
awplus(config-ip-reputation)# whitelist 192.0.2.189

■ ホワイトリストからIPアドレスを削除するには、whitelistコマンドをno形式で実行してください。
awplus(config-ip-reputation)# no whitelist 192.0.2.189

その他

■ IPレピュテーションデータベースの更新チェック間隔は、update-intervalコマンドで変更可能です。初期値は1時間です。
awplus(config)# ip-reputation
awplus(config-ip-reputation)# update-interval days 1

■ IPレピュテーションデータベースは通常自動更新されますが、update nowコマンドで手動更新することも可能です。
awplus# update iprep_et_rules now
awplus# update iprep_lac_rules now

■ IPレピュテーションデータベースの更新ステータスはshow resourceコマンドで確認できます。
awplus# show resource iprep_et_rules
--------------------------------------------------------------------------------
Resource Name          Status       Version   Interval  Last Download
                                                        Next Download Check
--------------------------------------------------------------------------------
iprep_et_rules         Sleeping     iprep_et_rules_v3263
                                              1         None
                                              hour      Fri 19 Aug 2016 07:36:53

awplus# show resource iprep_lac_rules
--------------------------------------------------------------------------------
Resource Name          Status       Version   Interval  Last Download
                                                        Next Download Check
--------------------------------------------------------------------------------
iprep_lac_rules        Sleeping     iprep_lac_rules_v627
                                              1         None
                                              hour      Fri 19 Aug 2016 07:36:53

■ IPレピュテーション(IPアドレスブラックリスト)機能の有効・無効とIPレピュテーションデータベースの提供元、ホワイトリスト登録数、更新チェック間隔などは、show ip-reputationコマンドで確認できます。
awplus# show ip-reputation 
Status:      Enabled (Active)
Events:      23
Provider:    LAC
    Resource version: not set
    Entry count:      0
    Status:           Unlicensed
Provider:    Proofpoint
    Resource version: 1.0
    Entry count:      171927
    Status:           Unlicensed
Whitelist:
    Entry count:      2
Resource update interval: 1 hour

ログ

■ IPレピュテーション(IPアドレスブラックリスト)のログを記録するには、以下のコマンド(log(filter))を実行してください。初期設定では本機能のログは記録されません。
awplus(config)# log buffered level informational facility local5

IPレピュテーションカテゴリー一覧

category actionコマンドのNAMEパラメーターに指定可能なIPレピュテーションカテゴリーは下記のとおりです。

providerコマンドで lac を指定した場合に使用可能なカテゴリー
カテゴリー名
(NAMEパラメーター)
名称
説明
LAC 不正ホスト 株式会社ラックが提供する脅威情報リストに含まれる不正ホスト

providerコマンドで proofpoint を指定した場合に使用可能なカテゴリー
カテゴリー名
(NAMEパラメーター)
名称
説明
CnC マルウェアC&Cサーバー 既知のマルウェア(ボット)に命令を送るC&C(指令&制御)サーバー。このカテゴリーには実際の活動が観測されたものとDGA(Domain Generation Algorithm)にもとづいて予測されたものが含まれる
Bot マルウェア感染ホスト マルウェアC&Cサーバーとの通信が観測されたホスト、および、マルウェア(ボット)への感染が明確に認められるホスト
Spam SPAM送信元ホスト SPAMの送信が観測されたホスト、および、ブラックリストに登録されておりメールの受信が拒否されているホスト
Drop 流出情報サイト 不正に取得されたパスワードやログなどの情報がアップロードされているホスト。マルウェアC&Cサーバーと重複する場合もある。情報をアップロードする側は含まない
SpywareCnC スパイウェアC&Cサーバー ユーザーの行動を追跡する目的で使用されていると思われるサーバー。通常の広告配信サイトではなく、ツールバー、ゲーム、無料スクリーンセーバーなどのソフトウェアによって収集された情報の送信先である可能性が高い
OnlineGaming 疑わしいゲームサイト ギャンブルサイトやFlashゲームサイトなど、アクセスしてきたPCになんらかのソフトウェアをインストールしてユーザーの行動を外部に送信したり追跡したりするサイト
DriveBySrc ドライブバイダウンロード誘導サイト 不正侵入され、ドライブバイダウンロード攻撃サイトへの誘導用にコンテンツを改ざんされたサイト。NeosploitやBlackholeといった攻撃ツールに関係するものが多い
ChatServer チャットサーバー チャットやインスタントメッセージ(IRC、Jabber、Google ハングアウト、AIM、ICQ、Baidu、Gadu-Gaduなど)の通信が観測されたサイト。本カテゴリーは該当する通信が行われているかどうかだけを示しており、脅威の有無には関知しない点に注意
TorNode Torノード 匿名ネットワークTorの出口ノードと中継ノード
Compromised 脅威ホスト全般 不正侵入されたWebサーバー、ブルートフォース攻撃元ホストなど、悪意のある活動が観測されたホスト全般を表すカテゴリー
P2P P2Pホスト P2Pファイル共有ネットワーク(BitTorrent、LimeWire、Kazaa、Qvodなど)のクライアントおよびソースホスト
Proxy プロキシーサーバー HTTP、STUN、SOCKSなどのプロキシーサーバーとしての動作が観測されたホスト
IPCheck IP位置情報サービス IPアドレスからホストの地理的位置を調べるオンラインサービスの中でも特にマルウェアによって悪用されることが多いサイト
Utility 有用オンラインサービス GoogleやBingのように広く知られている有用なオンラインサービスサイト
DDoSTarget DDoS標的サイト 実際のトラフィックや攻撃指令の観測結果から、DDoS(分散DoS)攻撃の標的にされていると判断されたサイト
Scanner 脆弱性スキャナー 脆弱なWebサイトやオープンリレーメールサーバーの探索、ネットワーク/サービスの調査など、Nessusをはじめとする各種スキャナーソフトの活動が観測されたホスト
Brute_Forcer ブルートフォース攻撃元ホスト SSH、IMAP、VNCなどの各種サービスに対するブルートフォース(総当たり)攻撃を行ったことが観測されたホスト
FakeAV 偽セキュリティーソフト配布サイト 偽セキュリティーソフトの販売・配布サイト。マルウェアC&Cサーバーと重複することが多い
DynDNS ダイナミックDNS ダイナミックDNSの使用が観測されたホスト
Undesirable 要注意情報サイト ハッキングツールのフォーラムやアップデートサイトなど、使い方次第では有用だが、悪用も可能な情報を提供しているサイト
Abused TLD 管理不備のトップレベルドメイン 適切に管理されておらず、悪用されることの多いトップレベルドメインのDNSサーバーなど
SelfSignedSSL 証明書不備サイト SSLサーバー証明書として自己署名証明書や無効な証明書を使っているサイト
Blackhole DNSシンクホール 信頼できる組織が運用している既知のDNSシンクホール(ブラックホールDNS)。DNSシンクホールは、以前にC&Cサーバーが使用していたドメインを利用してボットネットの対策や観測を行う場合があるため、マルウェアC&Cサーバーと重複することもある
RemoteAccessService リモートアクセスサービス Kaseya、GoToMyPC、Citrixなどのリモートアクセスサービスを提供しているホスト
P2PCnC 分散型マルウェアC&Cノード ZeusのようにC&C(指令・制御)機能をP2Pネットワーク上に分散させるタイプのマルウェアC&Cノード
Parking ドメインパーキング パークドメイン(取得しただけで使用していないドメイン)およびパークドメインを管理するドメインパーキングサーバー
VPN VPNサーバー VPNサーバーとしての動作が観測されたホスト。通信匿名化用VPNサービスの可能性がある
EXE_Source EXE提供サーバー EXE(実行)ファイルの提供元とみなされるサーバー。悪意があるものとは限らないが、マルウェアC&Cサーバーと重複するものも多い
Mobile_CnC モバイルC&Cサーバー モバイル環境向けのマルウェアC&Cサーバー
Mobile_Spyware_CnC モバイルスパイウェアC&Cサーバー モバイル環境向けのスパイウェアC&Cサーバー
Skype_SuperNode Skypeスーパーノード Skypeネットワークのスーパーノード
Bitcoin_Related ビットコインマイニングホスト ビットコインマイニング(採掘)活動が観測されたホスト。これらのホストでは、不正なビットコインマイニングプログラムによってコンピューター資源が浪費されている可能性がある
DDoSAttacker DDoS攻撃元ホスト DDoS(分散DoS)の攻撃元ホスト

(C) 2015 - 2025 アライドテレシスホールディングス株式会社

PN: 613-002107 Rev.BE