UTM / IPレピュテーション

IPレピュテーション（IPアドレスブラックリスト）は、IPアドレスの分類リスト（IPレピュテーションデータベース）をもとに、特定のIPアドレスを送信元または宛先とするパケットを制御する機能です。

Note - IPレピュテーション（IPアドレスブラックリスト）機能はAT-AR2050Vでは使用できません。

Note - IPレピュテーション（IPアドレスブラックリスト）機能を使用するにはアニュアルライセンスが必要です。

IPレピュテーション（IPアドレスブラックリスト）機能はUTMの第2列に位置する機能であり、ブリッジング用、ルーティング用の両インターフェースで受信したパケットに対して、UTM関連機能では侵入防御（IPS）に続き、2番目にIPレピュテーション（IPアドレスブラックリスト）の処理が行われます。

Note - IPレピュテーション（IPアドレスブラックリスト）機能の対象はIPv4パケットだけです。IPv6には対応していません。

IPレピュテーション機能では、Emerging Threats社が提供する最新のIPレピュテーションデータベースにもとづいて、特定のIPアドレスを送信元または宛先とするトラフィックをIPレピュテーションカテゴリーに分類します。

各カテゴリーに対するデフォルトのアクションはalert（ログへの記録）ですが、category actionコマンドでカテゴリーごとにアクションを変更可能です。

データベースの更新をつかさどるアップデートマネージャーについては「UTM」/「アップデートマネージャー」をご覧ください。

また、IPレピュテーション（IPアドレスブラックリスト）機能の具体的な使用例については、「設定例集」をご覧ください。

基本設定

IPレピュテーション（IPアドレスブラックリスト）機能の設定は、IPレピュテーションモード（ip-reputationコマンド）で行います。
provider emerging-threatsコマンドでIPレピュテーションデータベースの提供元を指定した後、category actionコマンドでカテゴリーごとのアクションを指定し、protectコマンドで有効化します。

以下、IPレピュテーション（IPアドレスブラックリスト）機能の基本的な設定手順を示します。

IPレピュテーション（IPアドレスブラックリスト）機能の設定を行うため、IPレピュテーションモードに移行します。これにはip-reputationコマンドを使います。
awplus(config)# ip-reputation ↓
IPレピュテーションデータベースの提供元を指定します。これにはprovider emerging-threatsコマンドを使います。
awplus(config-ip-reputation)# provider emerging-threats ↓
Note - IPレピュテーション（IPアドレスブラックリスト）機能とファイアウォール機能を併用する場合は、IPレピュテーションデータベースを更新するため、本製品からインターネットへのDNS通信とHTTPS通信を許可する必要があります。

特定のIPアドレスを送信元または宛先とするトラフィックを検出したときに実行すべきアクションをIPレピュテーションカテゴリーごとに指定します。これにはcategory actionコマンドを使います。
アクションには次の3つがあります。各イベントに対するデフォルトのアクションはalert（ログに記録）です。

alert（ログに記録）
deny（パケットを破棄）
disable（何もしない）

なお、category actionコマンドで指定するIPレピュテーションカテゴリー名は、show ip-reputation categoriesコマンドで確認できます。また、各カテゴリーの具体的内容については、一覧をご覧ください。

awplus(config-ip-reputation)# do show ip-reputation categories ↓ Category Action Description ----------------------------------------------------------------------------- AbusedTLD alert Abused or free TLD Related Bitcoin_Related alert Bitcoin Mining and related Blackhole alert Blackhole or Sinkhole systems Bot alert Known Infected Bot Brute_Forcer alert SSH or other brute forcer ChatServer alert POLICY Chat Server CnC alert Malware Command and Control Server Compromised alert Known compromised or Hostile DDoSAttacker alert DDoS Source DriveBySrc alert Driveby Source Drop alert Drop site for logs or stolen credentials DynDNS alert Domain or IP Related to a Dynamic DNS Entry or Request ...

ここでは、IPレピュテーションカテゴリー「Bot」、「ChatServer」に分類されたトラフィックを破棄（deny）するよう設定します。
また、IPレピュテーションカテゴリー「DynDNS」に分類されたトラフィックに対しては何もしない（disable）よう設定します。

awplus(config-ip-reputation)# category Bot action deny ↓ awplus(config-ip-reputation)# category ChatServer action deny ↓ awplus(config-ip-reputation)# category DynDNS action disable ↓

4．IPレピュテーション（IPアドレスブラックリスト）機能を有効化します。これにはprotectコマンドを使います。

awplus(config-ip-reputation)# protect ↓

設定は以上です。

■ IPレピュテーションデータベースの更新チェック間隔は、update-intervalコマンドで変更可能です。初期値は1時間です。

awplus(config)# ip-reputation ↓ awplus(config-ip-reputation)# update-interval days 1 ↓

■ IPレピュテーションデータベースは通常自動更新されますが、update nowコマンドで手動更新することも可能です。

awplus# update iprep_et_rules ↓

■ IPレピュテーションデータベースの更新ステータスはshow resourceコマンドで確認できます。

awplus# show resource iprep_et_rules ↓ -------------------------------------------------------------------------------- Resource Name Status Version Interval Last Download Next Download Check -------------------------------------------------------------------------------- iprep_et_rules Sleeping - never None N/A

■ IPレピュテーション（IPアドレスブラックリスト）機能の有効・無効とIPレピュテーションデータベースの提供元、バージョン、更新チェック間隔は、show ip-reputationコマンドで確認できます。

awplus# show ip-reputation ↓ Status: Enabled (Inactive Unlicensed) Provider: emerging-threats Resource version: not set Resource update interval: 1 hour

IPレピュテーションカテゴリー一覧

category actionコマンドのNAMEパラメーターに指定可能なIPレピュテーションカテゴリーは下記のとおりです。

カテゴリー名
（NAMEパラメーター）名称説明

CnC マルウェアC&Cサーバー既知のマルウェア（ボット）に命令を送るC&C（指令＆制御）サーバー。このカテゴリーには実際の活動が観測されたものとDGA（Domain Generation Algorithm）にもとづいて予測されたものが含まれる

Bot マルウェア感染ホストマルウェアC&Cサーバーとの通信が観測されたホスト、および、マルウェア（ボット）への感染が明確に認められるホスト

Spam SPAM送信元ホスト SPAMの送信が観測されたホスト、および、ブラックリストに登録されておりメールの受信が拒否されているホスト

Drop 流出情報サイト不正に取得されたパスワードやログなどの情報がアップロードされているホスト。マルウェアC&Cサーバーと重複する場合もある。情報をアップロードする側は含まない

SpywareCnC スパイウェアC&Cサーバーユーザーの行動を追跡する目的で使用されていると思われるサーバー。通常の広告配信サイトではなく、ツールバー、ゲーム、無料スクリーンセーバーなどのソフトウェアによって収集された情報の送信先である可能性が高い

OnlineGaming 疑わしいゲームサイトギャンブルサイトやFlashゲームサイトなど、アクセスしてきたPCになんらかのソフトウェアをインストールしてユーザーの行動を外部に送信したり追跡したりするサイト

DriveBySrc ドライブバイダウンロード誘導サイト不正侵入され、ドライブバイダウンロード攻撃サイトへの誘導用にコンテンツを改ざんされたサイト。NeosploitやBlackholeといった攻撃ツールに関係するものが多い

ChatServer チャットサーバーチャットやインスタントメッセージ（IRC、Jabber、Google ハングアウト、AIM、ICQ、Baidu、Gadu-Gaduなど）の通信が観測されたサイト。本カテゴリーは該当する通信が行われているかどうかだけを示しており、脅威の有無には関知しない点に注意

TorNode Torノード匿名ネットワークTorの出口ノードと中継ノード

Compromised 脅威ホスト全般不正侵入されたWebサーバー、ブルートフォース攻撃元ホストなど、悪意のある活動が観測されたホスト全般を表すカテゴリー

P2P P2Pホスト P2Pファイル共有ネットワーク（BitTorrent、LimeWire、Kazaa、Qvodなど）のクライアントおよびソースホスト

Proxy プロキシーサーバー HTTP、STUN、SOCKSなどのプロキシーサーバーとしての動作が観測されたホスト

IPCheck IP位置情報サービス IPアドレスからホストの地理的位置を調べるオンラインサービスの中でも特にマルウェアによって悪用されることが多いサイト

Utility 有用オンラインサービス GoogleやBingのように広く知られている有用なオンラインサービスサイト

DDoSTarget DDoS標的サイト実際のトラフィックや攻撃指令の観測結果から、DDoS（分散DoS）攻撃の標的にされていると判断されたサイト

Scanner 脆弱性スキャナー脆弱なWebサイトやオープンリレーメールサーバーの探索、ネットワーク/サービスの調査など、Nessusをはじめとする各種スキャナーソフトの活動が観測されたホスト

Brute_Forcer ブルートフォース攻撃元ホスト SSH、IMAP、VNCなどの各種サービスに対するブルートフォース（総当たり）攻撃を行ったことが観測されたホスト

FakeAV 偽セキュリティーソフト配布サイト偽セキュリティーソフトの販売・配布サイト。マルウェアC&Cサーバーと重複することが多い

DynDNS ダイナミックDNS ダイナミックDNSの使用が観測されたホスト

Undesirable 要注意情報サイトハッキングツールのフォーラムやアップデートサイトなど、使い方次第では有用だが、悪用も可能な情報を提供しているサイト

Abused TLD 管理不備のトップレベルドメイン適切に管理されておらず、悪用されることの多いトップレベルドメインのDNSサーバーなど

SelfSignedSSL 証明書不備サイト SSLサーバー証明書として自己署名証明書や無効な証明書を使っているサイト

Blackhole DNSシンクホール信頼できる組織が運用している既知のDNSシンクホール（ブラックホールDNS）。DNSシンクホールは、以前にC&Cサーバーが使用していたドメインを利用してボットネットの対策や観測を行う場合があるため、マルウェアC&Cサーバーと重複することもある

RemoteAccessService リモートアクセスサービス Kaseya、GoToMyPC、Citrixなどのリモートアクセスサービスを提供しているホスト

P2PCnC 分散型マルウェアC&Cノード ZeusのようにC&C（指令・制御）機能をP2Pネットワーク上に分散させるタイプのマルウェアC&Cノード

Parking ドメインパーキングパークドメイン（取得しただけで使用していないドメイン）およびパークドメインを管理するドメインパーキングサーバー

VPN VPNサーバー VPNサーバーとしての動作が観測されたホスト。通信匿名化用VPNサービスの可能性がある

EXE_Source EXE提供サーバー EXE（実行）ファイルの提供元とみなされるサーバー。悪意があるものとは限らないが、マルウェアC&Cサーバーと重複するものも多い

Mobile_CnC モバイルC&Cサーバーモバイル環境向けのマルウェアC&Cサーバー

Mobile_Spyware_CnC モバイルスパイウェアC&Cサーバーモバイル環境向けのスパイウェアC&Cサーバー

Skype_SuperNode Skypeスーパーノード Skypeネットワークのスーパーノード

Bitcoin_Related ビットコインマイニングホストビットコインマイニング（採掘）活動が観測されたホスト。これらのホストでは、不正なビットコインマイニングプログラムによってコンピューター資源が浪費されている可能性がある

DDoSAttacker DDoS攻撃元ホスト DDoS（分散DoS）の攻撃元ホスト

PN: 613-002107 Rev.J

カテゴリー名（NAMEパラメーター）	名称	説明
CnC	マルウェアC&Cサーバー	既知のマルウェア（ボット）に命令を送るC&C（指令＆制御）サーバー。このカテゴリーには実際の活動が観測されたものとDGA（Domain Generation Algorithm）にもとづいて予測されたものが含まれる
Bot	マルウェア感染ホスト	マルウェアC&Cサーバーとの通信が観測されたホスト、および、マルウェア（ボット）への感染が明確に認められるホスト
Spam	SPAM送信元ホスト	SPAMの送信が観測されたホスト、および、ブラックリストに登録されておりメールの受信が拒否されているホスト
Drop	流出情報サイト	不正に取得されたパスワードやログなどの情報がアップロードされているホスト。マルウェアC&Cサーバーと重複する場合もある。情報をアップロードする側は含まない
SpywareCnC	スパイウェアC&Cサーバー	ユーザーの行動を追跡する目的で使用されていると思われるサーバー。通常の広告配信サイトではなく、ツールバー、ゲーム、無料スクリーンセーバーなどのソフトウェアによって収集された情報の送信先である可能性が高い
OnlineGaming	疑わしいゲームサイト	ギャンブルサイトやFlashゲームサイトなど、アクセスしてきたPCになんらかのソフトウェアをインストールしてユーザーの行動を外部に送信したり追跡したりするサイト
DriveBySrc	ドライブバイダウンロード誘導サイト	不正侵入され、ドライブバイダウンロード攻撃サイトへの誘導用にコンテンツを改ざんされたサイト。NeosploitやBlackholeといった攻撃ツールに関係するものが多い
ChatServer	チャットサーバー	チャットやインスタントメッセージ（IRC、Jabber、Google ハングアウト、AIM、ICQ、Baidu、Gadu-Gaduなど）の通信が観測されたサイト。本カテゴリーは該当する通信が行われているかどうかだけを示しており、脅威の有無には関知しない点に注意
TorNode	Torノード	匿名ネットワークTorの出口ノードと中継ノード
Compromised	脅威ホスト全般	不正侵入されたWebサーバー、ブルートフォース攻撃元ホストなど、悪意のある活動が観測されたホスト全般を表すカテゴリー
P2P	P2Pホスト	P2Pファイル共有ネットワーク（BitTorrent、LimeWire、Kazaa、Qvodなど）のクライアントおよびソースホスト
Proxy	プロキシーサーバー	HTTP、STUN、SOCKSなどのプロキシーサーバーとしての動作が観測されたホスト
IPCheck	IP位置情報サービス	IPアドレスからホストの地理的位置を調べるオンラインサービスの中でも特にマルウェアによって悪用されることが多いサイト
Utility	有用オンラインサービス	GoogleやBingのように広く知られている有用なオンラインサービスサイト
DDoSTarget	DDoS標的サイト	実際のトラフィックや攻撃指令の観測結果から、DDoS（分散DoS）攻撃の標的にされていると判断されたサイト
Scanner	脆弱性スキャナー	脆弱なWebサイトやオープンリレーメールサーバーの探索、ネットワーク/サービスの調査など、Nessusをはじめとする各種スキャナーソフトの活動が観測されたホスト
Brute_Forcer	ブルートフォース攻撃元ホスト	SSH、IMAP、VNCなどの各種サービスに対するブルートフォース（総当たり）攻撃を行ったことが観測されたホスト
FakeAV	偽セキュリティーソフト配布サイト	偽セキュリティーソフトの販売・配布サイト。マルウェアC&Cサーバーと重複することが多い
DynDNS	ダイナミックDNS	ダイナミックDNSの使用が観測されたホスト
Undesirable	要注意情報サイト	ハッキングツールのフォーラムやアップデートサイトなど、使い方次第では有用だが、悪用も可能な情報を提供しているサイト
Abused TLD	管理不備のトップレベルドメイン	適切に管理されておらず、悪用されることの多いトップレベルドメインのDNSサーバーなど
SelfSignedSSL	証明書不備サイト	SSLサーバー証明書として自己署名証明書や無効な証明書を使っているサイト
Blackhole	DNSシンクホール	信頼できる組織が運用している既知のDNSシンクホール（ブラックホールDNS）。DNSシンクホールは、以前にC&Cサーバーが使用していたドメインを利用してボットネットの対策や観測を行う場合があるため、マルウェアC&Cサーバーと重複することもある
RemoteAccessService	リモートアクセスサービス	Kaseya、GoToMyPC、Citrixなどのリモートアクセスサービスを提供しているホスト
P2PCnC	分散型マルウェアC&Cノード	ZeusのようにC&C（指令・制御）機能をP2Pネットワーク上に分散させるタイプのマルウェアC&Cノード
Parking	ドメインパーキング	パークドメイン（取得しただけで使用していないドメイン）およびパークドメインを管理するドメインパーキングサーバー
VPN	VPNサーバー	VPNサーバーとしての動作が観測されたホスト。通信匿名化用VPNサービスの可能性がある
EXE_Source	EXE提供サーバー	EXE（実行）ファイルの提供元とみなされるサーバー。悪意があるものとは限らないが、マルウェアC&Cサーバーと重複するものも多い
Mobile_CnC	モバイルC&Cサーバー	モバイル環境向けのマルウェアC&Cサーバー
Mobile_Spyware_CnC	モバイルスパイウェアC&Cサーバー	モバイル環境向けのスパイウェアC&Cサーバー
Skype_SuperNode	Skypeスーパーノード	Skypeネットワークのスーパーノード
Bitcoin_Related	ビットコインマイニングホスト	ビットコインマイニング（採掘）活動が観測されたホスト。これらのホストでは、不正なビットコインマイニングプログラムによってコンピューター資源が浪費されている可能性がある
DDoSAttacker	DDoS攻撃元ホスト	DDoS（分散DoS）の攻撃元ホスト