設定例集#53: UTM・AT-SESC連携(AMFアプリケーションプロキシーによる端末の通信制御)
本製品のUTM機能と、弊社のAMF-SECurityコントローラー AT-SecureEnterpriseSDN Controller(AT-SESC)、AMFアプリケーションプロキシー機能を連携させ、UTM機能によって検出された被疑端末からの通信をAMFメンバーのスイッチで制御する構成の設定例です。
本製品のUTM機能と他の各製品・機能は次の流れで連携します。
- 端末
マルウェアなどに感染した端末が不正な通信を開始
- 本製品: UTM機能、Syslog送信機能
UTM 機能で不正な通信を検出・遮断し、被疑端末(送信元)の情報(ログ)を Syslogメッセージとして AT-SESC に送信
- AT-SESC: トラップ監視機能
本製品から受信した Syslogメッセージを解析して被疑端末のアドレスを抽出し、AMFマスターに該当端末の遮断を指示
- AMFマスター: AMFアプリケーションプロキシー機能(プロキシーノード)
AT-SESCからの指示を受け、配下のAMFメンバーに該当端末の通信遮断を指示
- AMFメンバー: AMFアプリケーションプロキシー機能(エッジノード)
AMFマスターからの指示を受け、自装置のポート配下に該当端末が存在した場合、同ポートで端末からの通信を遮断
AT-SESCと連携可能なUTM機能は次のとおりです。
- IPレピュテーション
連携可能な カテゴリー は次のとおり。
- マルウェア系カテゴリー(CnC, Mobile_CnC, Bot)
- スパイウェア系カテゴリー(SpywareCnC, Mobile_Spyware_CnC, Drop)
- マルウェア系カテゴリー(CnC, Mobile_CnC, Bot)
- マルウェアプロテクション
- アンチウイルス
- ファイアウォール(攻撃検出:IDS)
連携可能な 攻撃種別 は次のとおり。
- Syn Flood
- ICMP Flood
- UDP Flood
- TCP Stealth Scan
- Syn Flood
この設定例では連携可能なUTM機能すべてと連携を行います。
構成
| AMFネットワーク名 | AMF001 |
| 役割 | AMFメンバー |
| AMF接続ポート | port1.0.1(AT-x930-28GTX) |
| ISP接続用ユーザー名 | user@isp |
| ISP接続用パスワード | isppasswd |
| PPPoEサービス名 | 指定なし |
| WAN側IPアドレス | 動的割り当て(IPCP) |
| DNSサーバー | 自動取得(IPCP) |
| ホスト名 | awplus-AR4050S |
| WAN側物理インターフェース | eth1 |
| WAN側(ppp0)IPアドレス | 接続時にISPから取得 |
| LAN側(vlan10)IPアドレス | 192.168.10.254/24 |
| Syslogサーバー | 192.168.1.10(AT-SESC) |
| DNSリレー機能 | 有効 |
設定開始前に
自動設定の確認と削除
本設定例に掲載されているコマンドは、設定がまったく行われていない本製品の初期状態(スタートアップコンフィグなしで起動した状態)から入力することを前提としています。そのため、通常は erase startup-config を実行し、スタートアップコンフィグが存在しない状態で起動してから、設定を始めてください。
ただし、本製品はスタートアップコンフィグなしで起動した場合でも、特定の条件を満たすと自動的な設定を行うことがあるため、その場合は設定例にしたがってコマンドを入力しても、コマンドがエラーになったり、全体として意図した動作にならない可能性があります。
これを避けるため、設定開始にあたっては次のいずれかの方法をとることをおすすめします。
- ネットワークケーブルを接続せずに起動する。
起動時に自動設定が実行されるための条件の一つに、特定インターフェースのリンクアップがあります。
ネットワークケーブルを接続しない状態で起動することにより、自動設定の適用を回避できます。
- 自動設定を手動で削除してから設定を行う。
前記の方法を採用できず自動設定が適用されてしまった場合は、「自動的な設定内容の削除」にしたがって、これらを手動で削除してから設定を開始してください。
システム時刻の設定
ログなどの記録日時を正確に保ち、各種機能を適切に動作させるため、システム時刻は正確にあわせて運用することをおすすめします。ご使用の環境にあわせ、次のいずれかの方法でシステム時刻を設定してください。
- 手動で設定する方法 - 「運用・管理」/「システム」
- NTPで自動設定する方法 - 「運用・管理」/「NTP」
ルーターの設定
- LANポートにおいて初期状態で有効化されているスパニングツリープロトコル(RSTP)を無効化します。これにはspanning-tree enableコマンドをno形式で実行します。
スパニングツリープロトコルの詳細は「L2スイッチング」/「スパニングツリープロトコル」をご覧ください。
no spanning-tree rstp enable
- WANポートeth1上にPPPoEインターフェースppp0を作成します。これには、encapsulation pppコマンドを使います。
PPPの詳細は「PPP」/「一般設定」をご覧ください。
interface eth1 encapsulation ppp 0
- PPPインターフェースppp0に対し、PPPoE接続のための設定を行います。
・IPCPによるDNSサーバーアドレスの取得要求(ppp ipcp dns)
・LCP EchoによるPPP接続状態の確認(keepalive)
・IPCPによるIPアドレスの取得要求(ip address negotiated)
・ユーザー名(ppp username)
・パスワード(ppp password)
・MSS書き換え(ip tcp adjust-mss)
PPPの詳細は「PPP」/「一般設定」をご覧ください。
interface ppp0 ppp ipcp dns request keepalive ip address negotiated ppp username user@isp ppp password isppasswd ip tcp adjust-mss pmtu
- VLANを作成します。
これには、vlan databaseコマンドとvlanコマンドを使います。
VLANの詳細は「L2スイッチング」/「バーチャルLAN」をご覧ください。
vlan database vlan 10 state enable
- AMFノード名(ホスト名)を設定します。これにはhostnameコマンドを使います。
※ 本製品のUTM機能とAT-SESCの連携を行う場合は、本製品のホスト名を「awplus」から始まる名前にする必要があります。
hostname awplus-AR4050S
- AMFで使用するネットワーク名を設定します(atmf network-name)。
AMFの詳細は、「AMF」の「概要」、「導入」、「運用」、「応用」各解説編やコマンド編をご覧ください。
atmf network-name AMF001
- AMF対応スイッチと接続するLANポートにAMFリンクの設定をします(switchport atmf-link)。
int port1.0.1 switchport mode trunk switchport atmf-link switchport trunk allowed vlan add 10
- LAN側インターフェースvlan10にIPアドレスを設定します。これにはip addressコマンドを使います。
IPインターフェースの詳細は「IP」/「IPインターフェース」をご覧ください。
int vlan10 ip address 192.168.10.254/24
- IPレピュテーション(IPアドレスブラックリスト)機能の設定を行います。
これには、ip-reputation、provider、category action、protectの各コマンドを使います。
IPレピュテーション(IPアドレスブラックリスト)の詳細は「UTM」/「IPレピュテーション」をご覧ください。
※ IPレピュテーション機能とAT-SESCの連携を行うためには、連携可能なカテゴリーに対するアクションを「deny」に設定する必要があります。デフォルトの「alert」では連携しませんのでご注意ください。
ip-reputation provider proofpoint category CnC action deny category Mobile_CnC action deny category Bot action deny category SpywareCnC action deny category Mobile_Spyware_CnC action deny category Drop action deny protect
- アンチウイルス(プロキシー型アンチウイルス)機能の設定を行います。
これには、antivirus、provider kaspersky、protectの各コマンドを使います。
アンチウイルス(プロキシー型アンチウイルス)の詳細は「UTM」/「アンチウイルス(プロキシー型アンチウイルス)」をご覧ください。
antivirus provider kaspersky protect
- マルウェアプロテクション(ストリーム型アンチウイルス)機能の設定を行います。
これには、malware-protection、provider kaspersky、protectの各コマンドを使います。
マルウェアプロテクション(ストリーム型アンチウイルス)の詳細は「UTM」/「マルウェアプロテクション(ストリーム型アンチウイルス)」をご覧ください。
malware-protection provider kaspersky protect
- ファイアウォールやNATのルール作成時に使うエンティティー(通信主体)を定義します。
エンティティー定義の詳細は「UTM」/「エンティティー定義」をご覧ください。
内部ネットワークを表すゾーン「private」を作成します。
これには、zone、network、ip subnetの各コマンドを使います。
zone private network lan ip subnet 192.168.0.0/16
- 外部ネットワークを表すゾーン「public」を作成します。
前記コマンドに加え、ここではhost、ip addressの各コマンドも使います。
zone public network wan ip subnet 0.0.0.0/0 interface ppp0 host ppp0 ip address dynamic interface ppp0
- 外部からの通信を遮断しつつ、内部からの通信は自由に行えるようにするファイアウォール機能の設定を行います。
これには、firewall、rule、protectの各コマンドを使います。
・rule 10 - 内部ネットワーク間の通信を許可します
・rule 20 - 内部ネットワークから外部への通信を許可します
・rule 30 - UTM各機能のデータベース更新やDNSリレー用に、本製品のWAN側インターフェースから外部へのDNS通信を許可します
・rule 40 - UTM各機能のデータベース更新用に、本製品のWAN側インターフェースから外部へのHTTPS通信を許可します
ファイアウォールの詳細は「UTM」/「ファイアウォール」をご覧ください。
firewall rule 10 permit any from private to private rule 20 permit any from private to public rule 30 permit dns from public.wan.ppp0 to public.wan rule 40 permit https from public.wan.ppp0 to public.wan protect
- LAN側ネットワークに接続されているすべてのコンピューターがダイナミックENAT機能を使用できるよう設定します。
これには、nat、rule、enableの各コマンドを使います。
NATの詳細は「UTM」/「NAT」をご覧ください。
nat rule 10 masq any from private to public enable
- DNSリレー機能を有効にします。これには、ip dns forwardingコマンドを使います。
DNSリレー機能の詳細は「IP付加機能」/「DNSリレー」をご覧ください。
ip dns forwarding
- UTM各機能のログをSyslogメッセージとしてAT-SESCに送信するため、hostログ(syslog送信先)を定義します。
これには、log、log(filter)の各コマンドを使います。
ログフィルター(log(filter)コマンド)では、各機能が出力する local5ファシリティー、informationalレベルのログをsyslogで送信するよう設定します。
log host 192.168.1.10 log host 192.168.1.10 level informational facility local5
- IPの経路情報をスタティックに設定します。これにはip routeコマンドを使います。
・LAN側(192.168.0.0/16)へはAMFマスター(192.168.10.1)経由
・その他(0.0.0.0/0)は ppp0 経由(デフォルト経路)
IP経路設定の詳細は「IP」/「経路制御」をご覧ください。
ip route 0.0.0.0/0 ppp0 ip route 192.168.0.0/16 192.168.10.1
- 以上で設定は完了です。
end
設定の保存
設定が完了したら、現在の設定内容を起動時コンフィグとして保存してください。これには、copyコマンドを「copy running-config startup-config」の書式で実行します。awplus# copy running-config startup-config
Building configuration...
[OK]
また、write fileコマンド、write memoryコマンドでも同じことができます。
awplus# write memory
Building configuration...
[OK]
その他、設定保存の詳細については「運用・管理」/「コンフィグレーション」をご覧ください。
ルーターのコンフィグ
! no spanning-tree rstp enable ! interface eth1 encapsulation ppp 0 ! interface ppp0 ppp ipcp dns request keepalive ip address negotiated ppp username user@isp ppp password isppasswd ip tcp adjust-mss pmtu ! vlan database vlan 10 state enable ! hostname awplus-AR4050S ! atmf network-name AMF001 ! int port1.0.1 switchport mode trunk switchport atmf-link switchport trunk allowed vlan add 10 ! int vlan10 ip address 192.168.10.254/24 ! ip-reputation provider proofpoint category CnC action deny category Mobile_CnC action deny category Bot action deny category SpywareCnC action deny category Mobile_Spyware_CnC action deny category Drop action deny protect ! antivirus provider kaspersky protect ! malware-protection provider kaspersky protect ! zone private network lan ip subnet 192.168.0.0/16 ! zone public network wan ip subnet 0.0.0.0/0 interface ppp0 host ppp0 ip address dynamic interface ppp0 ! firewall rule 10 permit any from private to private rule 20 permit any from private to public rule 30 permit dns from public.wan.ppp0 to public.wan rule 40 permit https from public.wan.ppp0 to public.wan protect ! nat rule 10 masq any from private to public enable ! ip dns forwarding ! log host 192.168.1.10 log host 192.168.1.10 level informational facility local5 ! ip route 0.0.0.0/0 ppp0 ip route 192.168.0.0/16 192.168.10.1 ! end
参考
AMFマスターの設定
以下の設定はAT-x930-28GTXをもとにしています。ポート番号等は適宜読み替えてください。| AMFネットワーク名 | AMF001 |
| 役割 | AMFマスター |
| AMF接続ポート | port1.0.1(AR4050Sとの接続用) port1.0.13(AT-x510-28GTXとの接続用) |
| AMFアプリケーションプロキシー機能 | 有効 |
| vlan1 | 192.168.1.254/24(AT-SESC接続用) |
| vlan10 | 192.168.10.1/24(AR4050Sとの接続用) |
| vlan100 | 192.168.100.254/24(AT-x510-28GTXとの接続用) |
! no spanning-tree rstp enable ! hostname AMF-Master ! atmf network-name AMF001 atmf master ! service atmf-application-proxy ! vlan database vlan 10,100 state enable ! interface port1.0.1 switchport atmf-link switchport mode trunk switchport trunk allowed vlan add 10 ! interface port1.0.13 switchport atmf-link switchport mode trunk switchport trunk allowed vlan add 100 ! interface vlan1 ip address 192.168.1.254/24 ! interface vlan10 ip address 192.168.10.1/24 ! interface vlan100 ip address 192.168.100.254/24 ! ip route 0.0.0.0/0 192.168.10.254 ! end
AMFメンバーの設定
以下の設定はAT-x510-28GTXをもとにしています。ポート番号等は適宜読み替えてください。| AMFネットワーク名 | AMF001 |
| 役割 | AMFメンバー |
| AMF接続ポート | port1.0.1(AT-x930-28GTXとの接続用) |
| AMFアプリケーションプロキシー機能 | 有効 |
| vlan100 | 192.168.100.1/24(AT-x930-28GTXおよび端末との接続用) |
| 端末接続ポート | port1.0.2-1.0.26 |
! no spanning-tree rstp enable ! hostname L2-Switch ! atmf network-name AMF001 ! service atmf-application-proxy ! vlan database vlan 100 state enable ! interface port1.0.1 switchport atmf-link switchport mode trunk switchport trunk allowed vlan add 100 ! interface port1.0.2-1.0.26 switchport access vlan 100 application-proxy threat-protection drop ! interface vlan100 ip address 192.168.100.1/24 ! end
AT-SESCの設定
AT-SESCの基本的な使い方や、アップストリームポート設定、ネットワークのアサイン方法等、詳細はAT-SESCのマニュアルをご覧ください。ネットワーク設定
| IPアドレス | 192.168.1.10 |
| デフォルトゲートウェイ | 192.168.1.254 |
トラップ監視設定
- ネットワーク
監視対象ネットワーク 192.168.100.0/24 AMFマスター 192.168.1.254 Usename AMFマスターの特権ユーザーのユーザー名 Password AMFマスターの特権ユーザーのパスワード
- ルール
ホストアドレス 未設定 AMFアクション パケット破棄 トラップ監視対象 すべて有効
端末復旧方法
AT-SESCとの連携によってブロックされた端末の通信を復旧させるには、AT-SESCの「アクション一覧」画面から該当のアクションを削除してください。