このドキュメントでは、Cisco ASA 5500 シリーズ Adaptive Security Appliance(ASA; 適応型セキュリティ アプライアンス)から Content Security and Control Security Services Module(CSC-SSM)へネットワーク トラフィックを送信するための設定例について説明します。
CSC-SSM は、ウイルス、スパイウェア、スパム、その他の不要なトラフィックを防止します。これは、適応型セキュリティ アプライアンスが CSC-SSM に転送する FTP、HTTP、POP3、および SMTP トラフィックをスキャンすることによって実現されます。ASA にトラフィックを CSC-SSM へ転送させるには、モジュラ ポリシー フレームワークを使用する必要があります。
「ASA:ASA から AIP SSM へのネットワーク トラフィックの送信の設定例」を参照してください。
注:CSC-SSMは、接続を要求するパケットの宛先ポートが指定されたプロトコルの既知のポートである場合にのみ、FTP、HTTP、POP3、およびSMTPトラフィックをスキャンできます。CSC-SSM は、次の接続だけをスキャンできます。
TCP ポート 21 への FTP 接続
TCP ポート 80 への HTTP 接続
TCP ポート 110 への POP3 接続
TCP ポート 25 への SMTP 接続
この設定を行う前に、次の要件が満たされていることを確認します。
ソフトウェア バージョン 7.1 以降を実行する Cisco ASA 5500 シリーズの設定方法についての基本的な知識があること。
CSC-SSM がインストールされていること。
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
ソフトウェア バージョン 7.1 以降が稼働する ASA 5520
ソフトウェア バージョン 6.1 が稼働する CSC-SSM-10
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。
ドキュメント表記の詳細については、『シスコ テクニカル ティップスの表記法』を参照してください。
CSC-SSM は、疑わしいコンテントのシグニチャ プロファイルを含むファイルを維持し、Trend Micro のアップデート サーバから定期的にアップデートします。CSC-SSM は、適応型セキュリティ アプライアンスから受信したトラフィックをスキャンし、Trend Micro から取得したコンテント プロファイルと比較します。正当なコンテントは、適応型セキュリティ アプライアンスへルーティングのために転送します。疑わしいコンテントはブロックしてレポートします。
デフォルトで、CSC-SSM には次の機能を提供するベース ライセンスが含まれています。
ネットワーク トラフィック内のウイルスおよびマルウェアを検出し、対処します。
指定のパラメータを超える、圧縮ファイルまたは非常に大きいサイズのファイルをブロックします。
スパイウェア、アドウェア、およびその他の種類の Grayware をスキャンして削除します。
さらに、Plus License がある場合は、次の作業も実行します。
SMTP および POP3 トラフィック内のスパムを減らし、フィッシング詐欺を防止します。
キーワードまたはフレーズを含む電子メール トラフィックを許可または禁止できるコンテント フィルタを設定します。
ユーザにアクセスさせたくない URL、または、隠された目的や悪意のある目的があることが判明している URL をフィルタまたはブロックします。
注:CSC-SSMは、ASAでFTPインスペクションが有効になっている場合にのみ、FTPファイル転送をスキャンできます。デフォルトで、FTP 検査はイネーブルです。
注:CSC-SSMは接続情報を維持しないため、ステートフルフェールオーバーをサポートできません。そのため、フェールオーバーユニットにステートフルフェールオーバーに必要な情報を提供できません。CSC-SSM がインストールされているセキュリティ アプライアンスに障害が発生した場合、CSC-SSM がスキャンしている接続がドロップされます。スタンバイ適応型セキュリティ アプライアンスがアクティブになったとき、スキャンされたトラフィックが CSC-SSM に転送され、接続がリセットされます。
CSC-SSM とともに適応型セキュリティ アプライアンスを配置したネットワークでは、スキャンする種類のトラフィックだけを CSC-SSM に送信するように適応型セキュリティ アプライアンスを設定します。
注:このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool(登録ユーザ専用)を参照してください。一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことをご了承ください。
次の図は、ASA と CSC-SSM の中のトラフィック フローを示しています。
この例では、クライアントは Web サイトにアクセスするネットワーク ユーザ、FTP サーバからファイルをダウンロードするネットワーク ユーザ、または POP3 サーバからメールを取得するネットワーク ユーザです。
この設定では、トラフィック フローは次のようになります。
クライアントが要求を開始します。
適応型セキュリティ アプライアンスが要求を受信し、インターネットに転送します。
要求されたコンテントを取得したとき、適応型セキュリティ アプライアンスは、このコンテント タイプが CSC SSM に転送してスキャンする対象としてサービス ポリシーで定義されているかどうかを判別します。定義されている場合は、CSC SSM に転送します。
CSC-SSM が適応型セキュリティ アプライアンスからコンテントを受信し、スキャンし、Trend Micro コンテント フィルタの最新アップデートと比較します。
コンテントが疑わしい場合、CSC SSM はコンテントをブロックし、イベントをレポートします。コンテントが疑わしくない場合、CSC SSM は要求されたコンテントを適応型セキュリティ アプライアンスへルーティングのために転送します。
初期設定では、複数のパラメータの設定が必要です。設定を開始する前に、これらのパラメータに必要な情報を収集してください。
最初に、CSC-SSM を設定し、Cisco ASDM を起動します。デフォルトで、ASA の管理 IP アドレスを経由して https://192.168.1.1/ で CSC-SSM にアクセスできます。PC および ASA の管理インターフェイスが同一のネットワークにあることを確認する必要があります。または、後続のアクセスのために ASDM Launcher をダウンロードします。
ASDM で次のパラメータを設定します。
メイン ASDM ウィンドウで、[Configuration] > [Trend Micro Content Security] > [Wizard Setup] を順に選択し、[Launch Setup Wizard] をクリックします。
アクティベーション キー:
アクティベーション キーの獲得の第 1 段階は、製品とともに出荷された Product Authorization Key(PAK)を指定することです。PAK には、バーコードおよび 11 桁の 16 進数文字列が含まれています。たとえば、サンプル PAK は、120106C7D4A です。
製品ライセンス登録(登録ユーザ専用)Web ページで PAK を使用して CSC-SSM を登録します。登録後、電子メールでアクティベーション キーを受信します。
管理ポート IP パラメータ:
CSC 管理インターフェイスの IP アドレス、ネットマスク、およびゲートウェイ IP アドレスを指定します。
DNS Servers:プライマリDNSサーバのIPアドレス。
ホスト名とドメイン名:CSC-SSMのホスト名とドメイン名を指定します。
[Incoming E-mail Domain Name]:ローカル メール サーバが着信電子メール ドメインとして使用するドメイン名。
注:スパム対策ポリシーは、このドメインに着信する電子メールトラフィックにのみ適用されます。
[Notification Settings]:通知に使用される管理者電子メール アドレスおよび電子メール サーバの IP アドレスとポート。
管理ホスト アクセス パラメータ:
CSC-SSM への管理アクセスが必要な各サブネットおよびホストの IP アドレスおよびマスクを入力します。
注:デフォルトでは、すべてのネットワークにCSC-SSMへの管理アクセス権があります。セキュリティ上の理由により、特定のサブネットまたは管理ホストにアクセスを制限することが推奨されます。
CSC-SSM の新しいパスワード:
管理アクセスのデフォルト パスワードである cisco を新しいパスワードに変更します。
CSC Setup Wizard のステップ 6 で、スキャンするトラフィックの種類を指定します。
適応型セキュリティ アプライアンスは、ファイアウォール ポリシーを適用した後、パケットが出力インターフェイスを出る前に、パケットを CSC-SSM へ転送します。たとえば、アクセス リストによってブロックされたパケットは CSC-SSM に転送されません。
適応型セキュリティ アプライアンスがどのトラフィックを CSC-SSM に転送するかを指定するサービス ポリシーを設定します。CSC-SSM は、HTTP、POP3、FTP、および SMTP のトラフィックの既知のポートに送信された、これらのプロトコルのトラフィックをスキャンできます。
初期設定プロセスを簡単にするために、この手順では、サポートするプロトコルのすべてのトラフィック(着信と送信の両方)を CSC-SSM に送信するグローバル ポリシー サービスを作成します。適応型セキュリティ アプライアンスに到着するすべてのトラフィックをスキャンすることによって、適応型セキュリティ アプライアンスおよび CSC-SSM のパフォーマンスが低下する可能性があるため、このセキュリティ ポリシーは後で修正する必要があります。たとえば、通常、内部ネットワークから着信したトラフィックは信頼できる送信元から着信するため、スキャンする必要がありません。CSC-SSM が信頼できない送信元からのトラフィックだけをスキャンするようにサービス ポリシーを調整すると、セキュリティの目標を達成するとともに、適応型セキュリティ アプライアンスおよび CSC-SSM のパフォーマンスを最大化できます。
スキャンされるトラフィックを特定するグローバル サービス ポリシーを作成するには、次の手順を実行します。
新しいトラフィックの種類を追加するには、[Add] をクリックします。
[Interface] ドロップダウン リストから、[Global] を選択します。
[Source] フィールドおよび [Destination] フィールドは、[Any] に設定したままにします。
[Service] 領域で省略記号 [...] オプションボタンをクリックします。このダイアログボックスでは、事前定義されたサービスを選択するか、または新しいサービスを作成するために [Add] をクリックします。
[If CSC card fails, then] 領域で、CSC-SSM が使用できないときに、適応型セキュリティ アプライアンスが選択されたトラフィックを許可するか、拒否するかを選択します。
[Traffic Selection for CSC Scan] ウィンドウに戻るには、[OK] をクリックします。
[next] をクリックします。
CSC Setup Wizard のステップ 7 で、入力した CSC-SSM の設定値を確認します。
これらの設定値が正しいことを確認したら、[Finish] をクリックします。
ASDM には、CSC デバイスが現在アクティブであることを示すメッセージが表示されます。
デフォルトでは、購入したライセンスでイネーブルであるコンテント セキュリティ スキャン(アンチウイルス、アンチスパム、アンチフィッシング、およびコンテント フィルタリングなど)を実行するように設定されています。また、Trend Micro アップデート サーバからアップデートを定期的に取得するように設定されています。
購入したライセンスに含まれている場合、URL ブロックと URL フィルタリング用のカスタム設定、および電子メール パラメータと FTP パラメータを作成できます。詳細については、『Cisco Content Security and Control SSM 管理者ガイド』を参照してください。
ASA にトラフィックを CSC-SSM へ転送させるには、モジュラ ポリシー フレームワークを使用する必要があります。トラフィックの特定と CSC-SSM への転送を実現するには、次の手順を実行します。
access-list extended コマンドを使用して、CSC-SSM にスキャンさせるトラフィックに合致するアクセスリストを作成します。
hostname(config)#access-list acl-name extended {deny | permit} protocol src_ip mask dest_ip mask operator port
class-map コマンドを使用して、CSC-SSM に転送するトラフィックを特定するためのクラス マップを作成します。
hostname(config)#class-map class_map_name
クラス マップ コンフィギュレーション モードを開始し、match access-list コマンドで前に指定したアクセスリストを使用して、トラフィックを特定します。
hostname(config-cmap)#match access-list acl-name
hostname(config-cmap)#exit
policy-map コマンドを使用して、トラフィックを CSC-SSM に送信するためのポリシー マップを作成します。
hostname(config)#policy-map policy_map_name
ポリシー マップ コンフィギュレーション モードを開始し、class コマンドを使用して、スキャンされるトラフィックを特定する、以前に作成したクラス マップを指定します。
hostname(config-pmap)#class class_map_name
ポリシー マップ クラス コンフィギュレーション モードを開始し、次のように設定します。
適応型セキュリティ アプライアンスが CSC-SSM に送信する同時接続数に対するクライアントごとの制限を設定するには、次のように set connection コマンドを使用します。
hostname(config-pmap-c)#set connection per-client-max n
ここで、n は、適応型セキュリティ アプライアンスが各クライアントに許可する最大同時接続数です。このコマンドは、CSC-SSM または SSM が保護するサーバのサービスを単一クライアントが悪用することを防止します。これには、CSC-SSM が保護する HTTP、FTP、POP3、または SMTP サーバでの DoS 攻撃の試みの防止も含まれます。
csc コマンドを使用して、CSC-SSM が使用できない場合に ASA がトラフィックを処理する方法を制御します。
hostname(config-pmap-c)#csc {fail-close | fail-open}
ここで、fail-close は、CSC-SSM に障害が発生したときに ASA がトラフィックをブロックすることを指定します。これに対して、fail-open は、CSC-SSM に障害が発生したときに ASA がトラフィックを許可することを指定します。
注:クラスマップによって選択されたトラフィックだけに適用されます。CSC-SSM に送信されないその他のトラフィックは、CSC-SSM の障害に影響されません。
最後に、service-policy コマンドを使用して、ポリシー マップをグローバルに、または、特定のインターフェイスに適用します。
hostname(config-pmap-c)#service-policy policy_map_name [global | interface interface_ID]
ここで、interface_ID は、nameif コマンドでインターフェイスに割り当てられた名前です。
注:許可されるグローバルポリシーは1つだけです。インターフェイスでは、そのインターフェイスへサービス ポリシーを適用することで、グローバル ポリシーを上書きできます。各インターフェイスに適用できるポリシー マップは 1 つだけです。
この図は、次のパラメータが設定された ASA 5500 の例です。
ネットワーク図の概要は、次のとおりです。
外部ネットワークへの HTTP 接続
セキュリティ アプライアンス内部のクライアントからセキュリティ アプライアンス外部のサーバへの FTP 接続
セキュリティ アプライアンス内部のクライアントからセキュリティ アプライアンス外部のサーバへの POP3 クライアント
内部メール サーバに指定された着信 SMTP 接続
ASA5520 |
---|
ciscoasa(config)#show running-config : Saved : ASA Version 8.0(2) ! hostname ciscoasa domain-name Security.lab.com enable password 2kxsYuz/BehvglCF encrypted no names dns-guard ! interface GigabitEthernet0/0 speed 100 duplex full nameif outside security-level 0 ip address 172.30.21.222 255.255.255.0 ! interface GigabitEthernet0/1 description INSIDE nameif inside security-level 100 ip address 192.168.5.1 255.255.255.0 ! !--- Output suppressed access-list csc-acl remark Exclude CSC module traffic from being scanned access-list csc-acl deny ip host 10.89.130.241 any !--- In order to improve the performance of the ASA and CSC Module. !--- Any traffic from CSC Module is excluded from the scanning. access-list csc-acl remark Scan Web & Mail traffic access-list csc-acl permit tcp any any eq www access-list csc-acl permit tcp any any eq smtp access-list csc-acl permit tcp any any eq pop3 ! !--- All Inbound and Outbound traffic for WEB, Mail services is scanning. access-list csc-acl-ftp permit tcp any any eq ftp !--- All Inbound and Outbound traffic for FTP service is scanning. class-map csc-class match access-list csc-acl ! class-map csc-ftp-class match access-list csc-acl-ftp ! policy-map global_policy class csc-class csc fail-open class csc-ftp-class csc fail-open policy-map global_policy class inspection_default !--- Inspect FTP traffic for scanning. inspect ftp inspect h323 h225 inspect h323 ras inspect rsh inspect sqlnet inspect skinny inspect sunrpc inspect xdmcp inspect sip inspect netbios inspect tftp inspect icmp inspect http service-policy global_policy global !--- Output suppressed |
Cisco CSC-SSM の Trend Micro InterScan は、従業員が誤って個人の電子メール アカウントからウイルスを持ち込まないようにするため、SMTP、HTTP、および FTP などの主要なトラフィック プロトコル、および POP3 トラフィックを保護します。
CSC-SSM を開始するには、[Configuration] > [Trend Micro Content Security] を選択します。[Configuration] メニューから、次の設定オプションを選択します。
[CSC Setup]:Setup Wizard を起動して、CSC-SSM をインストールし、設定します。
[Web]:Web スキャニング、ファイル ブロック、URL フィルタリング、URL ブロックを設定します。
[Mail]:着信と発信の SMTP 電子メールおよび POP3 電子に対するメールスキャニング、コンテント フィルタリング、およびスパム防止を設定します。
[File Transfer]:ファイル スキャニングおよびブロッキングを設定します。
[Updates]:コンテント セキュリティ スキャニング コンポーネント(ウイルス パターン ファイル、スキャン エンジンなど)のアップデートの予定を作成します。
[Web]、[Mail]、[File Transfer]、および [Updates] オプションは次の章で詳しく説明しています。
[Mail]:SMTP および POP3 メール トラフィックの設定
[Web] および [File Transfer]:Web(HTTP)および File Transfer(FTP)トラフィックの設定
[Updates]:アップデートおよびログ クエリーの管理
次の例は、内部ネットワークへの着信 SMTP メッセージをスキャンするように CSC-SSM を設定する方法を示します。
着信 SMTP メッセージは、スキャンのために CSC-SSM に転送されます。次の例は、SMTP サービスのために内部メール サーバ(192.168.5.2/24)にアクセスする外部からのトラフィックをすべて CSC-SSM に転送します。
access-list csc_inbound extended permit tcp any host 192.168.5.2 eq smtp
これらのデフォルト設定によって、Trend Micro InterScan for Cisco CSC-SSM のインストール後は電子メール トラフィックが保護されます。
ASDM を使用して、着信 SMTP メッセージをスキャンするように CSC-SSM を設定するには、次の手順を実行します。
ASDM で [Configuration] > [Trend Micro Content Security] > [Mail] を順に選択し、[Configure Incoming Scan] をクリックして、[SMTP Incoming Message Scan/Target] ウィンドウを表示します。
ウィンドウに [Trend Micro InterScan for Cisco CSC-SSM] ログイン プロンプトが表示されます。CSC-SSM のパスワードを入力します。
[SMTP Incoming Message Scan] ウィンドウには次の 3 つのビューがあります。
target
アクション
通知
表示する情報に該当するタブをクリックすると、ビューが切り替えられます。アクティブなタブの名前は茶色のテキストで表示されます。一方、アクティブでないタブの名前は黒色のテキストで表示されます。着信 SMTP トラフィックのウイルス スキャンを設定するには、3 つのタブのすべてを使用します。
アクティビティの対象となるスコープを定義するには、[Target] をクリックします。
[SMTP Incoming Message Scan] はデフォルトでイネーブルになっています。
[Default Scanning] セクションでは、[All scannable files] がデフォルトで選択されています。ファイル名の拡張子に関係なくスキャンされます。
着信メールの SMTP の [Compressed File Handling] を設定します。
次のうちのいずれかに当てはまる場合、圧縮ファイルのスキャンはスキップされます。
圧縮解除されたファイルの数が 200 を超える。
圧縮解除されたファイルのサイズが 20 MB を超える。
圧縮階層の数が 3 を超える。
圧縮解除されたファイルと圧縮ファイルのサイズの比率が、100 対 1 を超える。
圧縮ファイル数が、指定されたスキャンの基準を超える。
圧縮解除されたファイルの数のデフォルト パラメータを 300 に、また、圧縮解除されたファイルのサイズのデフォルト パラメータを 30 MB に変更します。
ステップ 5 で示されたウィンドウの [Scan for Spyware/Grayware] セクションで、Trend Micro InterScan for Cisco CSC-SSM に検出させる Grayware の種類を選択します。一覧表示された Grayware の種類の詳細については、オンライン ヘルプを参照してください。
新しい設定をイネーブルにするには、[Save] をクリックします。
脅威が検出されたときに実行されるアクションを定義するには、[Action] タブをクリックします。アクションの例は、クリーンまたは削除です。
次の値は、着信メールに実行されるデフォルトのアクションです。
[For Messages with Virus/Malware Detection] セクション:マルウェアが検出されたメッセージまたは添付をクリアします。メッセージまたは添付がクリアできない場合は削除されます。
[For Spyware/Grayware Detections]:これらは、スパイウェアや Grayware が検出された SMTP メッセージの場合に配信されるファイルです。
新しい設定をイネーブルにするには、[Save] をクリックします。
通知メッセージを構成し、イベントとアクションを通知されるユーザを定義するには、[Notification] タブをクリックします。
デフォルトの通知設定が十分であれば、特に対処は必要ありません。しかし、通知オプションを検証し、デフォルトの変更が必要かどうかを決定できます。たとえば、電子メールのメッセージにセキュリティのリスクが検出されたときに管理者に通知を送信できます。SMTP の場合、送信者と受信者も通知できます。
[Administrator] および [Recipient] のチェックボックスをオンにします。次のスクリーン ショットのように、通知メッセージのデフォルト テキストを組織に適した内容に変更することもできます。
ウィンドウの [Inline Notifications] セクションで、表示されたオプションの 1 つを選択するか、両方とも選択しないか、または両方とも選択することができます。
この例では、[Risk free message] を選択し、用意されたフィールドにユーザ自身のメッセージを入力します。
[Save] をクリックして、新しい設定をイネーブルにします。
インストール後は、デフォルトで HTTP および FTP トラフィックがウイルス、ワーム、およびトロイの木馬に関してスキャンされます。スパイウェアやその他の Grayware などのマルウェアに対しては、検出される前に設定の変更が必要です。
これらのデフォルト設定によって、Trend Micro InterScan for Cisco CSC-SSM のインストール後は Web および FTP トラフィックが保護されます。これらの設定は変更できます。たとえば、マルウェアの検出での [All Scannable Files] の代わりに、指定したファイル拡張子オプションによってスキャンするように設定できます。変更する前に、これらの選択肢の詳細について、オンライン ヘルプを参照してください。
インストール後に、Web および FTP トラフィックの保護を最大化するために、その他の設定をアップデートすることができます。Plus License を購入した場合は、URL ブロック、アンチフィッシング、および URL フィルタリングの機能が使用でき、これらの機能を設定する必要があります。
ASDM を使用して、HTTP メッセージをスキャンするように CSC-SSM を設定するには、次の手順を実行します。
[Trend Micro] ページで [Web (HTTP)] をクリックします。この [Web Message Scan] ウィンドウには、次の 4 つのビューがあります。
target
[Webmail Scanning]
アクション
通知
表示する情報に該当するタブをクリックすると、ビューが切り替えられます。アクティブなタブの名前は茶色のテキストで表示されます。一方、アクティブでないタブの名前は黒色のテキストで表示されます。Web トラフィックのウイルス スキャンを設定するには、すべてのタブを使用します。
アクティビティの対象となるスコープを定義するには、[Target] をクリックします。
HTTP メッセージのスキャンはデフォルトでイネーブルになっています。
スキャニングの方式として [All Scannable Files] を使用するように設定されています。
Web からダウンロードする際の Web(HTTP)の圧縮ファイル処理:次のうちのいずれかに当てはまる場合、圧縮ファイルのスキャンはスキップするように設定されています。
圧縮解除されたファイルの数が 200 を超える。
圧縮解除されたファイルのサイズが 30 MB を超える。
圧縮階層の数が 3 を超える。
圧縮解除されたファイルと圧縮ファイルのサイズの比率が、100 対 1 を超える。
[Webmail Scanning]:Yahoo、AOL、MSN、および Google の Webmail サイトをスキャンするように設定されています。
大容量ファイルの処理
[HTTP Scanning] ウィンドウおよび [FTP Scanning] ウィンドウの [Target] タブでは、大容量のダウンロードファイルのうちのスキャンするファイルのサイズを定義できます。たとえば、20 MB 未満のダウンロード ファイルをスキャンし、20 MB 以上のダウンロード ファイルはスキャンしないことを指定できます。
さらに、次の指定が可能です。
大容量のダウンロード ファイルをスキャンせずに配信することを指定します。これは、セキュリティ リスクを導入する可能性があります。
指定した制限を超えるダウンロード ファイルは削除することを指定します。
デフォルトでは、CSC-SSM ソフトウェアは、50 MB より小さいファイルをスキャンする指定になっています。これを 75 MB に変更します。すると、75 MB 以上のファイルは、スキャンせずに要求クライアントに配信されます。
遅延スキャン
遅延スキャン機能は、デフォルトではイネーブルではありません。イネーブルである場合、この機能によって、ダウンロード ファイル全体のスキャンをせずにデータのダウンロードを開始できます。遅延スキャニングによって、情報の本体全体のスキャンにかかる時間を待機することなく、データの参照を始められます。
注:遅延スキャンオプションを有効にしないと、CSCモジュールを介して更新が失敗する可能性があります。
注:遅延スキャンが有効になっている場合、情報のスキャンされていない部分はセキュリティ上のリスクを引き起こす可能性があります。
注: HTTPS を通過するトラフィックは、CSC-SSM ソフトウェアではウイルスおよびその他の脅威をスキャンできません。
遅延スキャンがイネーブルでない場合、ダウンロード ファイルのコンテントが表示される前に、全体のコンテントがスキャンされなければなりません。しかし、スキャンするにはファイル全体を構成するために十分なネットワーク パケットを収集する時間が必要なため、一部のクライアント ソフトウェアがタイムアウトすることがあります。この表は、それぞれの手法の長所と短所をまとめています。
メソッド | 長所 | 短所 | |
---|---|---|---|
遅延スキャンが有効 | クライアントタイムアウトを防止 | セキュリティリスクを引き起こす可能性がある | |
遅延スキャンが無効 | より安全。ファイル全体がスキャンされ、セキュリティリスクが確認されてから表示されます。 | ダウンロードが完了する前にクライアントがタイムアウトする可能性があります |
スパイウェアおよび Grayware のスキャン
Grayware はソフトウェアのカテゴリであり、正規のもの、不要なもの、あるいは悪意のあるものである可能性があります。ウイルス、ワーム、トロイの木馬のような脅威とは異なり、データに感染せず、データを複製または破壊しません。しかし、プライバシーを侵害することがあります。Grayware の例には、スパイウェア、アドウェア、およびリモート アクセス ツールがあります。
スパイウェアや Grayware の検出は、デフォルトではイネーブルではありません。スパイウェアおよび他の形式のスパイウェアとその他の Grayware を、Web およびファイル転送トラフィックで検出するには、次のウィンドウでこの機能を設定する必要があります。
[Save] をクリックして、設定をアップデートします。
Yahoo、AOL、MSN、および Google の Webmail サイトをスキャンするには、[Webmail Scanning] タブに切り替えます。
注:Webメールのみをスキャンする場合は、HTTPスキャンは、[Web (HTTP)] > [スキャン] > [HTTPスキャン]ウィンドウの[Webメールスキャン]タブで指定したサイトに制限されます。その他の HTTP トラフィックはスキャンされません。設定されたサイトは、[Trashcan] アイコンをクリックした場合に設定されたサイトを削除するまでスキャンされます。
Webmail サイトを定義するには、[Name] フィールドに、正確な Web サイト名、URL キーワード、および文字列を入力します。
注: Webメールで管理されているメッセージの添付ファイルがスキャンされます。
[Save] をクリックして、設定をアップデートします。
ウイルス/マルウェア検出、およびスパイウェア/Grayware 検出を設定するには、[Action] タブに切り替えます。
ウイルス/マルウェアが検出されたファイルの Web(HTTP)ダウンロード:ダウンロードされたファイルまたはマルウェアが検出されたファイルをクリアします。クリアできない場合は、ファイルを削除します。
スパイウェア/Grayware が検出されたファイルの Web(HTTP)ダウンロード:ファイルが削除されます。
マルウェアが検出された場合の Web(HTTP)ダウンロード:転送しようとしたファイルを Trend Micro InterScan for CSC-SSM がスキャンしてセキュリティ リスクが検出されたことを示すインライン通知がブラウザに挿入されます。
左のドロップダウン メニューで、[File Blocking] をクリックします。
この機能はデフォルトでイネーブルになっています。しかし、ブロックするファイルの種類を指定する必要があります。ファイル ブロックは、業務時間中のインターネットおよびその他のコンピューティング リソース使用に関する組織のポリシーの施行に役立ちます。たとえば、法律の問題と従業員の生産性の問題の両方の理由から会社が音楽のダウンロードを許可しないなどがあります。
.exe をブロックするには、[File Blocking] ウィンドウの [Target] タブで、[Executable] チェックボックスをオンにします。
その他のファイルの種類をファイル名拡張子で指定します。この機能をイネーブルにするには、[Block specified file extensions] チェックボックスをオンにします。
次に、追加するファイルの種類を [File extensions to block] フィールドに入力し、[Add] をクリックします。例では、.mpg ファイルがブロックされます。
設定を更新するには、終了後に [Save] をクリックします。
テキスト ボックスのデフォルト メッセージを送信するには、[Administrator Notification] ボックスをオンにします。
警告メッセージを設定するには、[Notification] タブをクリックします。
このセクションでは、URL ブロック機能を説明します。次のトピックが含まれます。
注:この機能にはPlusライセンスが必要です。
URL ブロック機能は、禁止 Web サイトへの従業員のアクセスを防止するのに役に立ちます。たとえば、組織のポリシーがデート サービス、オンライン ショッピング サービス、または攻撃サイトへのアクセスを禁止している場合に、一部のサイトをブロックすることができます。
フィッシングなどの詐欺を犯すことがわかっているサイトをブロックすることもできます。フィッシングは犯罪者が使用する技術の 1 つで、正規の組織からであるように見える電子メール メッセージを送信し、銀行の口座番号などの個人情報を明かすように要求します。次のイメージは、フィッシングに使用される電子メール メッセージの例を示します。
デフォルトで、URL ブロックはイネーブルになっています。しかし、ブロックする追加のサイトを指定しない限り、TrendMicro PhishTrap パターン ファイルにあるサイトだけがブロックされています。
[Via Local List] タブから URL ブロックを設定するには次の手順を実行します。
[URL Blocking] ウィンドウを表示するには、ASDM で [Configuration] > [Trend Micro Content Security] > [Web] を順に選択し、[Configure URL Blocking] をクリックします。
[URL Blocking] ウィンドウの [Via Local List] タブで、ブロックする URL を [Match] フィールドに入力します。正確な Web サイト名、URL キーワード、および文字列を指定できます。
URL をブロック リストに移動するには、エントリごとに [Block] をクリックします。エントリを例外として指定するには、[Do Not Block] をクリックして、エントリを [Block List Exceptions] に追加します。削除しない限り、エントリはブロックされる、または例外のままです。
注記:ブロックおよび例外リストをインポートすることもできます。インポートされるファイルは、指定の形式でなければなりません。手順については、オンライン ヘルプを参照してください。
[Via Pattern File (PhishTrap)] タブから URL ファイル ブロックを設定するには次の手順を実行します。
[URL Blocking] ウィンドウを表示するには、ASDM で [Configuration] > [Trend Micro Content Security] > [Web] を順に選択し、[Configure URL Blocking] リンクをクリックします。
次に、[Via Pattern File (PhishTrap)] タブをクリックします。
デフォルトで、Trend Micro PhishTrap パターン ファイルは、既知のフィッシング サイト、スパイウェア サイト、既知のエクスプロイトに関係があるウイルス共犯サイト、および、悪意ある目的のためだけに存在するサイトである不正サイトを検出し、ブロックします。PhishTrap パターン ファイルに追加すべきと考えるサイトを送信するには、[Submit the Potential Phishing URL to TrendLabs] フィールドを使用します。TrendLabs は、そのサイトを評価し、対処が認可された場合はそのサイトをこのファイルに追加します。
ブロックされたサイトにアクセスしようとしたときにブラウザに表示されるデフォルト メッセージのテキストを表示するには、[Notification] タブをクリックします。オンライン ヘルプに例があります。デフォルト メッセージをカスタマイズするには、ハイライト表示し、再定義します。
設定を更新するには、終了後に [Save] をクリックします。
ここでの説明には、次の 2 つの重要なセクションがあります。
前に説明した [URL Blocking] ウィンドウで定義された URL は、常に許可されているか、または常に許可されていないかのいずれかです。しかし、URL フィルタリング機能を使用すると、カテゴリに分けた URL のフィルタをスケジュールして、特定の時間帯を自由時間として定義してアクセスを許可し、業務時間帯はアクセスを許可しないようにできます。
注:この機能にはPlusライセンスが必要です。
URL フィルタリングのカテゴリには次の 6 個があります。
Company-prohibited
Not work related
Research topics
Business function
Customer defined
[その他(Others)]
デフォルトで、Company-prohibited サイトは、業務時間と自由時間の両方でブロックされます。
URL フィルタリング機能を設定するには、次の手順を実行します。
[URL Filtering Settings] ウィンドウを表示するには、ASDM で [Configuration] > [Trend Micro Content Security] > [Web] を順に選択し、[Configure URL Filtering Settings] をクリックします。
[URL Categories] タブで、一覧表示されたサブカテゴリと各カテゴリに割り当てられたデフォルトの分類を参照し、お客様の組織に割り当てが適切かどうか検討します。たとえば、Illegal Drugs は、Company-prohibited カテゴリのサブカテゴリです。お客様の組織が金融サービス会社であれば、Illegal Drugs を Company-prohibited に分類したままにしておくことができます。違法なドラッグに関連するサイトのフィルタリングをイネーブルにするには、[Illegal Drugs] チェックボックスをオンにします。しかし、お客様の組織が法執行機関であれば、Illegal Drugs サブカテゴリは、Business function カテゴリに分類を変更する必要があります。再分類の詳細については、オンライン ヘルプを参照してください。
サブカテゴリの分類を検討し、調整した後、フィルタリングを実行するすべてのサブカテゴリをイネーブルにするため、関連するサブカテゴリのチェックボックスをオンにします。
フィルタを必要としないサイトが、イネーブルであるサブカテゴリに含まれる場合、[URL Filtering Exceptions] タブをクリックします。
[Match] フィールドに、フィルタリングの例外とする URL を入力します。正確な Web サイト名、URL キーワード、および文字列を指定できます。
URL を [Do Not Filter the Following Sites] リストに移動するには、エントリごとに [Add] をクリックします。削除しない限り、エントリは例外のままです。
注:例外リストをインポートすることもできます。インポートされるファイルは、指定の形式でなければなりません。手順については、オンライン ヘルプを参照してください。
業務時間と見なされる曜日および時間帯を定義するには、[Schedule] タブをクリックします。業務時間と指定されない時間は、自動的に自由時間として指定されます。
URL フィルタリング設定をアップデートするには、[Save] をクリックします。
疑わしい URL を評価のために TrendLabs に送信するには、[Reclassify URL] タブをクリックします。
URL サブカテゴリをお客様の組織に適切なカテゴリに割り当て、例外があれば例外を定義し、業務時間と自由時間のスケジュールを作成した後、カテゴリがフィルタされる時間を定義するフィルタリングのルールを割り当てます。
URL フィルタリング ルールを割り当てるには、次の手順を実行します。
[URL Filtering Rules] ウィンドウを表示するには、ASDM で [Configuration] > [Trend Micro Content Security] > [Web] を順に選択し、[Configure URL Filtering Rules] リンクをクリックします。
6 個の主要カテゴリそれぞれに、カテゴリ内の URL がブロックされるかどうか、およびブロックされる場合は業務時間か自由時間かまたはその両方かを指定します。詳細についてはオンライン ヘルプを参照してください。
設定を更新するには、[Save] をクリックします。
注:URLフィルタリングが正常に動作するためには、CSC-SSMモジュールがTrend MicroサービスにHTTP要求を送信できる必要があります。HTTP プロキシが必要な場合は、プロキシ設定を設定するために、[Update] > [Proxy Settings] を順に選択します。URL フィルタリング コンポーネントは、SOCKS4 プロキシをサポートしません。
インストール後は、デフォルトで FTP トラフィックがウイルス、ワーム、およびトロイの木馬に関してスキャンされます。スパイウェアやその他の Grayware などのマルウェアに対しては、検出される前に設定の変更が必要です。
ファイル転送の [File Transfer (FTP)] の [Scanning]:スキャンの方式として [All Scannable Files] を使用することが設定されています。
HTTP トラフィックの [File Blocking] ページと同じ手順を実行します。
HTTP トラフィックの [File Blocking] ページと同じ手順を実行します。
ここでは、設定が正常に機能しているかどうかを確認します。
アウトプット インタープリタ ツール(登録ユーザ専用)(OIT)は、特定の show コマンドをサポートします。OIT は一部の show コマンド出力の分析の表示に使用できますが、次の show コマンドは現時点でこのツールと互換性がありません。
show module:SSM のステータスの確認に使用します。次に例を示します。
ciscoasa#show module Mod Card Type Model Serial No. --- -------------------------------------------- ------------------ ----------- 0 ASA 5520 Adaptive Security Appliance ASA5520 JMX090000B7 1 ASA 5500 Series Security Services Module-20 ASA-SSM-20 JAF10333331 Mod MAC Address Range Hw Version Fw Version Sw Version --- --------------------------------- ------------ ------------ --------------- 0 0014.c482.5151 to 0014.c482.5155 1.1 1.0(10)0 8.0(2) 1 000b.fcf8.012c to 000b.fcf8.012c 1.0 1.0(10)0 Trend Micro InterScan Security Module Version 6.0 Mod SSM Application Name Status SSM Application Version --- ------------------------------ ---------------- -------------------------- 1 Trend Micro InterScan Security Up Version 6.0 Mod Status Data Plane Status Compatibility --- ------------------ --------------------- ------------- 0 Up Sys Not Applicable 1 Up Up
show module 1 details:SSM の追加情報の表示に、details キーワードを使用します。次に例を示します。
ciscoasa#show module 1 details Getting details from the Service Module, please wait... ASA 5500 Series Security Services Module-20 Model: ASA-SSM-20 Hardware version: 1.0 Serial Number: JAF10333331 Firmware version: 1.0(10)0 Software version: Trend Micro InterScan Security Module Version 6.0 App. name: Trend Micro InterScan Security Module App. version: Version 6.0 Data plane Status: Up Status: Up HTTP Service: Up Mail Service: Up FTP Service: Up Activated: Yes Mgmt IP addr: 172.30.21.235 Mgmt web port: 8443
show module slot_num recover:SSM の回復設定があるかどうかを定義します。SSM の回復設定がある場合、ASA はそれを表示します。以下に、いくつかの例を示します。
ciscoasa#show module 1 recover Module 1 recover parameters. . . Boot Recovery Image: Yes Image URL: tftp://10.21.18.1/ids-oldimg Port IP Address: 172.30.21.10 Port Mask: 255.255.255.0 Gateway IP Address: 172.30.21.254
Trend Micro InterScan for Cisco CSC-SSM の動作が正常であることを確認する方法については、「初期設定の確認」を参照してください。
ここでは、設定のトラブルシューティングに使用できる情報を示します。CSC-SSM のトラブルシューティングの詳細については、「Cisco CSC SSM の Trend Micro InterScan のトラブルシューティング 」を参照してください。
問題
CSC は、ASA 管理インターフェイスを経由してインターネットにアクセスできません。または CSC は、インターネットを経由して Trend サーバからアップデートを取得できません。.
解決方法
その管理インターフェイスは management-only コマンドに設定されており、ASA からのトラフィックと ASA へのトラフィックだけを許可し、通過するトラフィックを許可しません。したがって、management-only コマンドおよび管理から外部へのトラフィックの NAT 設定を削除し、CSC のインターネットのアップデートを許可します。
問題
CSC が SPAM を検出できません。
解決方法
アンチスパム オプションをイネーブルにする必要があります。アンチスパム オプションはデフォルトでイネーブルではありません。Plus License をインストールし、ネットワーク ベースのアンチスパム Email Reputation が適切に機能するように DNS 設定が正しく設定されている必要があります。詳細については、「SMTP および POP3 スパム フィルタリングをイネーブルにする」を参照してください。
問題
CSC モジュールは、ライセンス違反エラーを表示し、ネットワークのホストよりも多いホストをレポートします。License violation has been detected on the InterScan for CSC SSM エラーが CSC モジュールに表示されます。このエラーはどうすれば解決しますか。
解決方法
Outside-WAN(セキュリティ レベル 0)を除いて、すべてのインターフェイスをより高いセキュリティ レベルに移動します。
問題
着信 SMTP トラフィックが非常に遅くなっています。内部メール サーバが、その受信に数分または 2 分かかる応答をたびたび受け取ります。
解決方法
おそらく、不正なパケットによるトラフィック速度の低下が発生していると思われます。この問題を解決する、次の例を試してください。
!--- Creates a new tcp map and allows for 100 out of order packets tcp-map localmap queue-limit 100 !--- This is the class that defines traffic to sent to the csc-module. The name you use can be different. Sets the localmap parameters to flow matching the class map. policy-map global_policy class csc-class set connection advanced-options localmap
問題
HTTPスキャンが機能せず、次のエラーが表示されました:
Error: Failed to rate URL, rc=-723
解決方法
このエラーメッセージは、CSC-SSMがTrend Micro Serversに接続できない場合に生成されます。これは、ネットワークに遅延がある場合、またはCSC-SSMがビジー状態で接続要求を処理できない場合に発生します。CSC-SSM-10の最大同時接続数は約500です。この場合、指定した期間の接続数が最大制限を超えている可能性があります。接続制限の詳細については、『Cisco ASA 5500シリーズコンテンツセキュリティおよび制御セキュリティサービスモジュール』の表2を参照してください。
この問題を回避するには、同時接続を制限します。詳細は、『CSC SSMによる接続の制限』を参照してください。
問題
電子メールの免責事項の削除が必要な場合に削除できません。また、電子メールの免責事項のフォントが変更できません。原因は何ですか。
解決方法
CSC-SSM で、発信電子メールの一部から免責事項を削除することはできません。また、CSC-SSM ではサポートされないため、免責事項のフォントを変更できません。
問題
ASA から CSC-SSM に送信されるトラフィックを停止できません。どうすればこれを解決できますか。
解決方法
CSC-SSM から ASA に送信されるトラフィックを停止するには、Administrator が no service-policy コマンドを使用してインターフェイスからサービス ポリシーを削除する必要があります。
hostname(config-pmap-c)#no service-policy policy_map_name [global | interface interface_ID]
問題
CSC モジュールで次のエラー メッセージがログされます。
「GraywarePattern :Pattern Update:Unable to get the pattern information.Pattern Update:The download file was unsuccessful for ActiveUpdate was unable to unzip the downloaded patch packages.The zip file may be corrupted.This can happen due to an unstable network connection.Please try downloading the file again..The error code is 24.
AntiVirusPattern :Pattern Update:The download file was unsuccessful for ActiveUpdate was unable to unzip the downloaded patch packages.The zip file may be corrupted.This can happen due to an unstable network connection.Please try downloading the file again..The error code is 24.
このエラー メッセージはどうすれば解決しますか。
解決方法
この問題は、Cisco Bug ID CSCtc37947(登録ユーザ専用)および Cisco Bug ID CSCsk10777(登録ユーザ専用)に関連しています。 この問題を解決するには、CSC-SSM を取り付け直すか、または、コードを 6.2.x にアップグレードします。また、CSC の root アカウントで自動アップデート用に作成された一時ファイルを削除すると解決することがあります。CSC-SSM を取り付け直すか、またはコードをアップグレードした後、サービスを再起動します。
問題
CSC-SSM を使用して、HTTPS トラフィックをブロックできません。どうすれば、HTTPS トラフィックをブロックできますか。
解決方法
CSC-SSM は、SSL 暗号化のせいでパケットを詳細に検査できないため、HTTPS トラフィックをブロックできません。
モジュールを通過するトラフィックの適合に使用する ACL に、問題のネットワークの範囲の deny 文が追加されている場合、トラフィックをバイパスできません。
CSC はすべてのトラフィックをログできませんが、ブロック/フィルタ試行の情報は表示できます。
「[ERR-PAT-0002] The update system cannot decompress the update file, and cannot continue.This message is for diagnostic purposes only.Customers - please contact Technical Support」エラー メッセージが、CSC のアップグレード時に表示されます。このエラー メッセージは、.pkg ファイルではなく .bin ファイルが使用される場合に表示されます。.pkg ファイルが使用される場合は、この問題は発生しません。
問題:
CSC の自動アップデート時に、次のメッセージを取得しました。
Anti-spam pattern 17462 was successfully downloaded and installed.Unable to copy file.You must manually copy file /opt/trend/isvw/temp/AU/piranhacache/* to path /opt/trend/isvw/lib/mail/cache.
ソリューション:
これは、CSC Trendmicro コードの既知の不具合問題です。この問題および詳細は不具合に記載されています。Cisco Bug ID CSCtc37947(登録ユーザ専用)を参照してください。 問題を解決するには、CSC を 6.3.1172(2) 以降にアップグレードします。
問題:
6.3.1172.4にアップグレードすると、CSCモジュールのLogServerサービスが失敗し、管理者が次の電子メール通知を受信する可能性があります。LogServerが最近、InterScan for CSC SSMで停止しました。サポートについては、カスタマーサポートにお問い合わせください。
ソリューション:
回避策として2つのオプションがあります。
エンジニアリングビルド修正をインストールします。
このビルドのインストール方法については、Cisco TAC(登録ユーザ専用)にお問い合わせください。
デバイスを古いバージョンに再イメージ化します。
このプロセスに関する詳細については、「CSC-SSMの再イメージング」を参照してください。
詳細については、Cisco Bug ID CSCtl21378(登録ユーザ専用)を参照してください。
問題:
CSCモジュールのログサーバが1つの無限ループに陥り、突然停止します。
ソリューション:
この問題は、Cisco Bug ID CSCtl21378(登録ユーザ専用)が原因で発生します。詳細については、CSCtl21378(登録ユーザ専用)を参照してください。
アウトプット インタープリタ ツール(登録ユーザ専用)(OIT)は、特定の show コマンドをサポートします。show コマンドの出力の解析を表示するには、OIT を使用します。
CSC-SSM のさまざまな問題のトラブルシューティングの詳細については、「Cisco CSC SSM の Trend Micro InterScan のトラブルシューティング」を参照してください。
注:debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。
debug module-boot:SSM ブート プロセスに関するデバッグメッセージが表示されます。
hw-module module 1 shutdown:SSM をシャットダウンします。
hw-module module 1 reset:SSM をリセットします。
注: %ASA-3-421001:TCP flow from inside:172.22.50.112/1718 to outside:XX.XX.XX.XX/80 is skipped because Content Security and Control card has failed」メッセージは、CSC モジュールが完全に応答しない状態になったときのログ メッセージです。
注:このコマンドを使用して、モジュールをリセットします。
ASA#hw-module module 1 reset The module in slot 1 should be shut down before resetting it or loss of configuration may occur. Reset module in slot 1? [confirm] (Confirm it at this point by 'return'.)
command reference guide コマンドについての詳細は、コマンド リファレンスを参照してください。
改定 | 発行日 | コメント |
---|---|---|
1.0 |
18-Oct-2007 |
初版 |