[index] AT-AR3050S/AT-AR4050S コマンドリファレンス 5.4.5

UTM / IPレピュテーション

Note - IPレピュテーション（IPアドレスブラックリスト）機能を使用するにはサブスクリプションライセンスが必要です。

Note - IPレピュテーション（IPアドレスブラックリスト）機能の対象はIPv4パケットだけです。IPv6には対応していません。

1. IPレピュテーション（IPアドレスブラックリスト）機能の設定を行うため、IPレピュテーションモードに移行します。これにはip-reputationコマンドを使います。
   

   awplus(config)# ip-reputation ↓

   
   
2. IPレピュテーションデータベースの提供元を指定します。これにはprovider emerging-threatsコマンドを使います。
   

   awplus(config-ip-reputation)# provider emerging-threats ↓

   
   
3. 危険性のあるIPアドレスからのトラフィックを検出したときに実行すべきアクションをIPレピュテーションカテゴリーごとに指定します。これにはcategory actionコマンドを使います。
   アクションには次の3つがあります。各イベントに対するデフォルトのアクションはalert（ログに記録）です。
   
   • alert（ログに記録）
     
   • deny（パケットを破棄）
     
   • disable（何もしない）
     
   なお、category actionコマンドで指定するIPレピュテーションカテゴリー名は、show ip-reputation categoriesコマンドで確認できます。
   

   awplus(config-ip-reputation)# do show ip-reputation categories ↓ Category Action Description ----------------------------------------------------------------------------- AbusedTLD alert Abused or free TLD Related Bitcoin_Related alert Bitcoin Mining and related Blackhole alert Blackhole or Sinkhole systems Bot alert Known Infected Bot Brute_Forcer alert SSH or other brute forcer ChatServer alert POLICY Chat Server CnC alert Malware Command and Control Server Compromised alert Known compromised or Hostile DDoSAttacker alert DDoS Source DriveBySrc alert Driveby Source Drop alert Drop site for logs or stolen credentials DynDNS alert Domain or IP Related to a Dynamic DNS Entry or Request ...

   
   ここでは、IPレピュテーションカテゴリー「Bot」、「ChatServer」に分類されたトラフィックを破棄（deny）するよう設定します。
   また、IPレピュテーションカテゴリー「DynDNS」に分類されたトラフィックに対しては何もしない（disable）よう設定します。
   

   awplus(config-ip-reputation)# category Bot action deny ↓ awplus(config-ip-reputation)# category ChatServer action deny ↓ awplus(config-ip-reputation)# category DynDNS action disable ↓

   
   4．IPレピュテーション（IPアドレスブラックリスト）機能を有効化します。これにはprotectコマンドを使います。
   

   awplus(config-ip-reputation)# protect ↓

awplus(config)# ip-reputation ↓ awplus(config-ip-reputation)# update-interval days 1 ↓

awplus# update iprep_et_rules ↓

awplus# show resource iprep_et_rules ↓ -------------------------------------------------------------------------------- Resource Name Status Version Interval Last Download Next Download Check -------------------------------------------------------------------------------- iprep_et_rules Sleeping - never None N/A

awplus# show ip-reputation ↓ Status: Enabled (Inactive Unlicensed) Provider: emerging-threats Resource version: not set Resource update interval: 1 hour

(C) 2015 アライドテレシスホールディングス株式会社

PN: 613-002107 Rev.A