Cisco ASA with FirePOWER Services バージョン 6.3 ローカル管理設定 ガイド

偏向のない言語

この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください

翻訳について

このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。

マニュアルのコンテンツ
このマニュアル内で検索
ご利用いただける言語
Download Options

Book Title

Cisco ASA with FirePOWER Services バージョン 6.3 ローカル管理設定 ガイド

Chapter Title

セキュリティ インテリジェンスの IP アドレス レピュテーションを使用したブラックリスト登録

検索結果

Updated:
2019年4月2日

章のタイトル: セキュリティ インテリジェンスの IP アドレス レピュテーションを使用したブラックリスト登録

セキュリティ インテリジェンスの IP アドレス レピュテーションを使用したブラックリスト登録

悪意のあるインターネット コンテンツに対する第一の防衛ラインとして、ASA FirePOWER モジュールにはセキュリティ インテリジェンス機能があります。この機能により、最新のレピュテーション インテリジェンスに基づいて接続をただちにブラックリスト登録(ブロック)することができ、リソースを集中的に使用する詳細な分析が不要になります。セキュリティ インテリジェンスのフィルタリングを行うには、Protection ライセンスが必要です。

セキュリティ インテリジェンスは、既知の好ましくないレピュテーションが含まれる IP アドレスを送信元/宛先とするトラフィックをブロックすることにより機能します。このトラフィック フィルタリングは、他のどのポリシーベースのインスペクション、分析、またはトラフィック処理よりも前に行われます。

IP アドレスでトラフィックを手動で制限することで、セキュリティ インテリジェンス フィルタリングと同様の機能を実行するアクセス コントロール ルールを作成することができます。ただし、アクセス コントロール ルールは対象範囲が広く、設定の難易度が高いだけでなく、動的フィードを使用した自動更新に対応できません。

セキュリティ インテリジェンスによってブラックリスト登録されたトラフィックは即座にブロックされるため、他のさらなる(侵入、エクスプロイト、マルウェアなどの)インスペクションの対象にはなりません。オプションで、セキュリティ インテリジェンス フィルタリングには「モニタ専用」設定を使用できます。パッシブ展開環境では、この設定が推奨されます。この設定では、ブラックリスト登録された可能性がある接続をシステムが分析できるだけでなく、ブラックリストに一致する接続がログに記録され、接続終了セキュリティ インテリジェンス イベントが生成されます。

便宜上、 シスコではインテリジェンス フィードを提供しています。インテリジェンス フィードは、VRT によってレピュテーションが低いと判断された、複数の定期的に更新される IP アドレスのコレクションで構成されます。インテリジェンス フィードは、オープン リレー、既知の攻撃者、偽の IP アドレス(bogon)などを追跡します。この機能を組織の固有のニーズに適するようにカスタマイズできます。例を次に示します。

  • サードパーティ フィード:インテリジェンス フィードをサードパーティのレピュテーション フィードで補足できます。それらのフィードはシスコのフィードと同様に自動的に更新できます。

  • カスタム ブラックリスト:ユーザのニーズに応じてさまざまな方法で特定の IP アドレスを手動でブラックリスト登録できます。

  • セキュリティ ゾーンによるブラックリスト登録の適用:パフォーマンスを向上させるために、スパムのブラックリスト登録を電子メール トラフィックを処理するゾーンに制限するなどして、適用対象を絞れます。

  • ブラックリスト登録に代わるモニタリング:特にパッシブ展開や、実装前にフィードをテストする場合に便利です。違反しているセッションをブロックする代わりにモニタするだけで、接続終了イベントを生成できます。

  • 誤検出をなくすためのホワイトリスト登録:ブラックリストの範囲が広すぎる場合、または(たとえば、重要なリソースに)許可するトラフィックを誤ってブロックした場合、ブラックリストをカスタム ホワイトリストでオーバーライドできます。

セキュリティ インテリジェンス戦略の選択

ライセンス:Protection

ブラックリストを作成する最も簡単な方法は、オープン リレーとなることが分かっている IP アドレス、既知の攻撃者、不正な IP アドレス(bogon)などを追跡する、インテリジェンス フィードを使用することです。インテリジェンス フィードは定期的に更新されるため、インテリジェンス フィードを使用することで、システムは最新の情報を使用してネットワーク トラフィックをフィルタ処理できます。ただし、セキュリティに対する脅威(マルウェア、スパム、ボットネット、フィッシングなど)を表す不正な IP アドレスが現れては消えるペースが速すぎて、新しいポリシーを更新して適用するには間に合わないこともあります。

したがって、インテリジェンス フィードを補完するために、次の場合にサードパーティの IP アドレスのリストとフィードを使用してセキュリティ インテリジェンス フィルタリングを実行できるようになっています。

  • リストとは、ASA FirePOWER モジュールにアップロードする IP アドレスの静的リストのことです。

  • フィードとは、 ASA FirePOWER モジュールが定期的にインターネットからダウンロードする、IP アドレスの動的リストのことです。インテリジェンス フィードは特殊なタイプのフィードです。

インターネット アクセス要件を含め、セキュリティ インテリジェンスのリストとフィードを設定する方法の詳細については、セキュリティ インテリジェンス リストとフィードの操作を参照してください。

セキュリティ インテリジェンスのグローバル ブラックリストの使用

分析中に、グローバル ブラックリストを作成できます。たとえば、エクスプロイトの試行に関連した侵入イベントでルーティング可能な IP アドレスのセットに気付いた場合、それらの IP アドレスをブラックリストに入れることができます。ASA FirePOWER モジュールは、すべてのアクセス コントロール ポリシーでこのグローバル ブラックリスト(および関連するグローバル ホワイトリスト)を使用してセキュリティ インテリジェンス フィルタリングを行います。これらのグローバル リストを管理する方法の詳細については、グローバル ホワイトリストおよびブラックリストの操作を参照してください。


(注)  
グローバル ブラックリスト(またはグローバル ホワイトリスト。以下を参照)のフィードの更新および追加では、展開環境全体にわたって自動的にその変更が実装されますが、セキュリティ インテリジェンス オブジェクトに対するその他の変更には、アクセス コントロール ポリシーの再適用が必要になります。

ネットワーク オブジェクトの使用

さらに、ブラックリストを作成するもう 1 つの簡単な方法として、IP アドレス、IP アドレス ブロック、あるいは IP アドレスのコレクションを表すネットワーク オブジェクトまたはネットワーク オブジェクト グループ を使用することもできます。ネットワーク オブジェクトの作成および変更の詳細については、ネットワーク オブジェクトの操作を参照してください。

セキュリティ インテリジェンスのホワイトリストの使用

ブラックリストに加え、各アクセス コントロール ポリシーにはホワイトリストが関連付けられます。ホワイトリストにも、セキュリティ インテリジェンス オブジェクトを取り込むことができます。ポリシーでは、ホワイトリストがブラックリストをオーバーライドします。つまり、システムは、送信元または宛先の IP アドレスがホワイトリストに登録されているトラフィックは、たとえそれらの IP アドレスがブラックリストにも登録されているとしても、そのトラフィックをアクセス コントロール ルールを使用して評価します。通常、ブラックリストがまだ有用であっても、その適用範囲があまりにも広く、インスペクション対象のトラフィックを誤ってブロックする場合には、ホワイトリストを使用してください。

たとえば、信頼できるフィードにより、重要なリソースへのアクセスが不適切にブロックされたが、そのフィードが全体としては組織にとって有用である場合は、そのフィード全体をブラックリストから削除するのではなく、不適切に分類された IP アドレスだけをホワイトリストに登録するという方法を取ることができます。

セキュリティ ゾーンを基準としたセキュリティ インテリジェンス フィルタリングの適用

さらに細かく制御するには、接続の送信元または宛先 IP アドレスが特定のセキュリティ ゾーン内にあるかどうかに基づいて、セキュリティ インテリジェンス フィルタリングを適用することができます。

上述のホワイトリストの例を拡張するとしたら、不適切に分類された IP アドレスをホワイトリストに登録した後、組織でそれらの IP アドレスにアクセスする必要があるユーザが使用しているセキュリティ ゾーンを使用して、ホワイトリストのオブジェクトを制限するという方法が考えられます。この方法では、ビジネス ニーズを持つユーザだけが、ホワイトリストに登録された IP アドレスにアクセスできます。別の例として、サードパーティのスパム フィードを使用して、電子メール サーバのセキュリティ ゾーンのトラフィックをブラックリスト登録することができます。

接続のモニタリング(ブラックリスト登録ではなく)

特定の IP アドレスまたは一連のアドレスをブラックリスト登録する必要があるかどうかわからない場合は、「モニタ専用」設定を使用できます。この設定では、システムが一致する接続をアクセス コントロール ルールに渡せるだけでなく、ブラックリストと一致する接続がログに記録され、接続終了セキュリティ インテリジェンス イベントが生成されます。注意する点として、グローバル ブラックリストをモニタ専用に設定することはできません。

たとえば、サードパーティのフィードを使用したブロッキングを実装する前に、そのフィードをテストする必要があるとします。フィードをモニタ専用に設定すると、ブロックされるはずの接続をシステムで詳細に分析できるだけでなく、そのような接続のそれぞれをログに記録して、評価することもできます。

パッシブ展開環境では、パフォーマンスを最適化するために、Cisco では常にモニタ専用の設定を使用することを推奨しています。パッシブに展開されたデバイスはトラフィック フローに影響を与える可能性がないため、トラフィックをブロックするようにシステムを構成しても何のメリットもありません。また、ブロックされた接続はパッシブ展開で実際にはブロックされないため、システムにより、ブロックされた各接続に対し複数の接続開始イベントが報告される場合があります。

セキュリティ インテリジェンスのホワイトリストおよびブラックリストの作成

ライセンス:Protection

ホワイトリストとブラックリストを作成するには、ネットワーク オブジェクトとグループの任意の組み合わせに加え、セキュリティ ゾーン別に制約することができる、セキュリティ インテリジェンスのフィードとリストを入力します。

デフォルトでは、アクセス コントロール ポリシーは、任意のゾーンに適用される、ASA FirePOWER モジュールのグローバル ホワイトリストおよびブラックリストを使用します。これらのリストは、アナリストによって入力されます。ポリシーのそれぞれについて、これらのグローバル リストを使用しないように選択することができます。


(注)  
入力したグローバル ホワイトリストまたはブラックリストを使用するアクセス コンロトール ポリシーを、 Protection のライセンスがないデバイスに適用することはできません。いずれかのグローバル リストに IP アドレスを追加した場合は、ポリシーのセキュリティ インテリジェンス設定から空でないリストを削除してからでないと、ポリシーを適用できません。詳細については、次を参照してください:

ホワイトリストとブラックリストを作成した後は、ブラックリスト登録された接続のロギングが可能になります。フィードとリストを含め、ブラックリスト登録された個々のオブジェクトをモニタ専用に設定することもできます。この設定では、システムがブラックリスト登録された IP アドレスを使用する接続をアクセス コントロールによって処理できるだけでなく、ブラックリストと一致する接続をログに記録することもできます。

ホワイトリスト、ブラックリスト、およびロギング オプションを設定するには、アクセス コントロール ポリシーの [Security Intelligence] タブを使用します。このページには、ホワイトリストまたはブラックリストのいずれかで使用できるオブジェクトのリスト([Available Objects])と、ホワイトリスト登録およびブラックリスト登録されたオブジェクトを制約するために使用できるゾーンのリスト([Available Zones])が表示されます。オブジェクトまたはゾーンのタイプは、異なるアイコンによって見分けられるようになっています。シスコのアイコンでマークされたオブジェクトは、インテリジェンス フィードの各種カテゴリを表します。

ブラックリストでは、ブロックするように設定されたオブジェクトはブロック アイコンでマークされ、モニタ専用オブジェクトはモニタ アイコンでマークされます。ホワイトリストがブラックリストをオーバーライドするため、両方のリストに同じオブジェクトを追加すると、ブラックリスト登録されたオブジェクトに取り消し線が表示されます。

ホワイトリストとブラックリストには、最大 255 個のオブジェクトを追加できます。つまり、ホワイトリストのオブジェクトとブラックリストのオブジェクトを合計した数は 255 以下でなければなりません。

ネットマスク /0 のネットワーク オブジェクトはホワイトリストまたはブラックリストに追加できますが、ネットマスク /0 を使用したアドレス ブロックは無視され、これらのアドレスに基づいたホワイトリストおよびブラックリスト フィルタリングは行われないことに注意してください。セキュリティ インテリジェンス フィードからのネットマスク /0 のアドレス ブロックも無視されます。すべてのトラフィックを監視またはブロックする場合は、セキュリティ インテリジェンス フィルタリングの代わりに、[Monitor] または [Block] ルール アクションでアクセス コントロール ルールを使用し、[Source Networks] および [Destination Networks] の [any] のデフォルト値をそれぞれ使用します。

アクセス コントロール ポリシーのセキュリティ インテリジェンス ホワイトリストおよびブラックリストを作成する方法:

手順

ステップ 1

[Configuration] > [ASA FirePOWER Configuration] > [Policies] > [Access Control Policy] の順に選択します。

[Access Control Policy] ページが表示されます。

ステップ 2

設定するアクセス コントロール ポリシーの横にある編集アイコンをクリックします。

アクセス コントロール ポリシー エディタが表示されます。
ステップ 3

[セキュリティ インテリジェンス(Security Intelligence)] タブを選択します。

アクセス コントロール ポリシーのセキュリティ インテリジェンス設定が表示されます。
ステップ 4

必要に応じて、ブラックリスト登録された接続をログに記録するには、ロギング アイコンをクリックします。

ロギングを有効にしてからでないと、ブラックリスト登録されたオブジェクトをモニタ専用に設定することはできません。詳細については、セキュリティ インテリジェンス(ブラックリスト登録)の決定のロギングを参照してください。

ステップ 5

1 つ以上の [Available Objects] を選択して、ホワイトリストおよびブラックリストの作成を開始します。

Ctrl キーまたは Shift キーを押しながらクリックして複数のオブジェクトを選択し、右クリックして [Select All] を選択します。

ヒント 
リストに含める既存のオブジェクトを検索できます。組織のニーズを満たす既存のオブジェクトがない場合は、その場でオブジェクトを作成することもできます。詳細については、ホワイトリストまたはブラックリストに追加するオブジェクトの検索を参照してください。
ステップ 6

オプションで、使用可能なゾーンを選択して、ゾーン別に選択したオブジェクトを制約します。

デフォルトでは、オブジェクトに制約はありません。つまり、オブジェクトのゾーンは [Any] に設定されます。[Any] を使用しない場合、制約の基準にできるゾーンは 1 つだけです。複数のゾーンでオブジェクトのセキュリティ インテリジェンス フィルタリングを適用するには、ゾーンのそれぞれについて、オブジェクトをホワイトリストまたはブラックリストに追加する必要があります。また、グローバル ホワイトリストまたはブラックリストをゾーンによって制約することはできません。

ステップ 7

[Add to Whitelist] または [Add to Blacklist] をクリックします。

また、オブジェクトをクリックして選択し、いずれかのリストにドラッグすることもできます。

選択したオブジェクトは、ホワイトリストまたはブラックリストに追加されます。

ヒント 
オブジェクトをリストから削除するには、そのオブジェクトの削除アイコンをクリックします。Ctrl キーまたは Shift キーを押しながらクリックして複数のオブジェクトを選択するか、または右クリックして [Select All] ]を選択した後、右クリックして [Delete Selected] を選択します。グローバル リストを削除する場合は、選択した操作を確認する必要があります。ホワイトリストまたはブラックリストからオブジェクトを削除しても、そのオブジェクトは ASA FirePOWER モジュールからは削除されません。
ステップ 8

オブジェクトをホワイトリストまたはブラックリストに追加し終わるまで、ステップ 57 を繰り返します。

ステップ 9

オプションで、ブラックリスト登録されたオブジェクトをモニタ専用に設定するには、[ブラックリスト(Blacklist)] にリストされている該当するオブジェクトを右クリックし、[モニタ専用(ブロックしない)(Monitor-only (do not block))] を選択します。

パッシブ展開環境の場合は、すべてのブラックリスト登録されたオブジェクトをモニタ専用に設定することを推奨します。ただし、グローバル ブラックリストをモニタ専用に設定することはできません。

ステップ 10

[Store ASA FirePOWER Changes] をクリックします。

変更を反映させるには、アクセス コントロール ポリシーを適用する必要があります(設定変更の導入を参照してください)。

ホワイトリストまたはブラックリストに追加するオブジェクトの検索

ライセンス:Protection

複数のネットワーク オブジェクト、グループ、フィード、およびリストを使用する場合は、検索機能を使用して、ブラックリストまたはホワイトリストに追加するオブジェクトを絞り込むことができます。

ブラックリストまたはホワイトリストに追加するオブジェクトを検索する方法:

手順

[Search by name or value] フィールドにクエリを入力します。

入力すると、[Available Objects] リストが更新されて、一致する項目が表示されます。検索文字列をクリアするには、検索フィールドの上のリロード アイコンをクリックするか、検索フィールド内のクリア アイコンをクリックします。

ネットワーク オブジェクトの名前、またはネットワーク オブジェクトに設定されている値を基準に検索できます。たとえば、Texas Office という名前で 192.168.3.0/24 という設定値を持つ個別ネットワーク オブジェクトがあり、そのオブジェクトが US Offices というグループ オブジェクトに含まれている場合、検索文字列の一部(Tex など)または全部を入力するか、3 などの値を入力することで、両方のオブジェクトを表示できます。

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ