Cisco ASA with FirePOWER Services バージョン 6.7 ローカル管理設定ガイド

Bias-Free Language

The documentation set for this product strives to use bias-free language. For the purposes of this documentation set, bias-free is defined as language that does not imply discrimination based on age, disability, gender, racial identity, ethnic identity, sexual orientation, socioeconomic status, and intersectionality. Exceptions may be present in the documentation due to language that is hardcoded in the user interfaces of the product software, language used based on RFP documentation, or language that is used by a referenced third-party product. Learn more about how Cisco is using Inclusive Language.

Book Contents
Find Matches in This Book
Available Languages
Download Options

Book Title

Cisco ASA with FirePOWER Services バージョン 6.7 ローカル管理設定ガイド

Chapter Title

DNS ポリシー

Results

Updated:
February 1, 2021

Chapter: DNS ポリシー

DNS ポリシー

ライセンス:任意

DNS ベースのセキュリティ インテリジェンスにより、クライアントが要求したドメイン名に基づいて、トラフィックをホワイトリスト/ブラックリストに登録できるようになります。シスコが提供するドメイン名のインテリジェンスを使用して、トラフィックをフィルタリングできます。また、環境に合わせて、ドメイン名のカスタム リストやフィードを設定することも可能です。DNS ベースのセキュリティ インテリジェンスによるフィルタリングが実行されるタイミングは、ハードウェア レベルの処理およびトラフィックの復号が行われた後で、かつ、他のほとんどのポリシー ベースのインスペクション、分析、トラフィック処理が行われる前です。

DNS ポリシーによってブラックリスト登録されたトラフィックは即座にブロックされるため、他の詳細なインスペクション(侵入、エクスプロイト、マルウェアの有無など)の対象にはなりません。ブラックリストをホワイトリストで上書きして、アクセス コントロール ルールの評価を強制できます。パッシブ展開での推奨として、セキュリティ インテリジェンス フィルタリングに「モニタ専用」設定を使用できます。この設定では、ブラックリスト登録された可能性がある接続を ASA FirePOWER モジュールが分析できるだけでなく、ブラックリストに一致する接続がログに記録され、接続終了セキュリティ インテリジェンス イベントが生成されます。

DNS ポリシーと、関連する DNS ルールを使用して、DNS ベースのセキュリティ インテリジェンスを設定します。展開するには、DNS ポリシーとアクセス コントロール ポリシーとを関連付け、次に設定を展開する必要があります。

DNS ポリシーの構成要素

ライセンス:任意

DNS ポリシーにより、ドメイン名ベースの接続のホワイトリストまたはブラックリストへの登録ができます。以下のリストでは、DNS ポリシーの作成後に変更できる設定を説明しています。

名前と説明

各 DNS ポリシーには一意の名前が必要です。説明は任意です。

ルール

ルールは、ドメイン名に基づいてネットワーク トラフィックを処理するための詳細な方法を提供します。DNS ポリシーのルールには 1 から始まる番号が付いています。ASA FirePOWER モジュールは、ルール番号の昇順で、DNS ルールを上から順にトラフィックと照合します。

DNS ポリシーを作成すると、ASA FirePOWER モジュールはそのポリシーをデフォルトのグローバル DNS ホワイトリスト ルールおよびデフォルトのグローバル DNS ブラックリスト ルールに入力します。各ルールは、それぞれのカテゴリで先頭の位置に固定されます。ルールは変更できませんが、無効にすることはできます。モジュールはルールを、以下の順序で評価します。

  • グローバル DNS ホワイトリスト ルール(有効になっている場合)

  • ホワイトリスト ルール

  • グローバル DNS ブラックリスト ルール(有効になっている場合)

  • ブラックリストとモニタのルール

通常、モジュールはドメイン名ベースのネットワーク トラフィックを、すべてのルールの条件がトラフィックと一致する最初の DNS ルールに従って処理します。トラフィックと一致する DNS ルールがない場合、モジュールは、関連するアクセス コントロール ポリシーのルールに基づいてトラフィックの評価を続行します。DNS ルールの条件は、単純なものにも複雑なものにもできます。

DNS ポリシーの編集

ライセンス:Protection

DNS ポリシーを同時に編集できるのは 1 ユーザのみであり、使用できるのは単一のブラウザ ウィンドウのみです。複数のユーザが同じポリシーを保存しようとすると、最初に保存された変更のセットのみが保持されます。

セッションのプライバシーを保護するために、ポリシー エディタで活動が行われずに 30 分が経過すると、警告が表示されます。60 分経過すると、モジュールは変更内容を破棄します。

DNS ポリシーを編集する方法:

手順

ステップ 1

[Configuration] > [ASA FirePOWER Configuration] > [Policies] > [DNS Policy] の順に選択します。
ステップ 2

DNS ポリシーを次のように編集します。

  • 名前と説明:名前または説明を変更するには、フィールドをクリックして新しい情報を入力します。

  • ルール:DNS ルールを追加、分類、有効化、無効化、または管理する場合は、[Rules] タブをクリックして、DNS ルールの作成と編集の説明に従って続行します。

ステップ 3

[Store ASA FirePOWER Changes] をクリックします。

次のタスク

DNS ルール

ライセンス:任意

DNS ルールは、ホストにより要求されるドメイン名に基づいてトラフィックを処理します。セキュリティ インテリジェンスの一部として、この評価はすべてのトラフィック復号の後、およびアクセス コントロールの評価の前に実行されます。

ASA FirePOWER モジュールは、ユーザが指定した順序で DNS ルールをトラフィックと照合します。ほとんどの場合、モジュールによるネットワーク トラフィックの処理は、すべてのルールの条件がトラフィックに一致する最初の DNS ルールに従って行われます。DNS ルールの作成時に、モジュールはホワイトリスト ルールをモニタ ルールやブラックリスト ルールよりも前に配置し、まずホワイトリスト ルールに突き合わせてトラフィックを評価します。

各 DNS ルールには、一意の名前以外にも、次の基本コンポーネントがあります。

状態

デフォルトでは、ルールが有効状態になります。ルールを無効にすると、ASA FirePOWER モジュールはネットワーク トラフィックの評価にそのルールを使用せず、そのルールに対する警告とエラーの生成を停止します。

位置

DNS ポリシーのルールには 1 から始まる番号が付いています。ASA FirePOWER モジュールは、ルール番号の昇順で、ルールを上から順にトラフィックと照合します。Monitor ルールを除き、トラフィックが最初に一致するルールが、当該トラフィックを処理するためのルールになります。

条件

条件は、ルールで処理する特定のトラフィックを指定します。DNS ルールは、DNS フィードまたはリスト条件が含まれていなければならず、セキュリティ ゾーンまたはネットワークを基準にしてトラフィックと突き合わせることもできます。

アクション

ルールのアクションによって、ASA FirePOWER モジュールによる一致するトラフィックの処理方法が決まります。

  • ホワイトリスト トラフィックが許可され、さらにアクセス コントロール インスペクションを受けます。

  • モニタされるトラフィックは、残りの DNS ブラックリスト ルールによりさらに評価されます。トラフィックが DNS ブラックリスト ルールに一致しない場合、アクセス コントロール ルールによりインスペクションを受けます。モジュールは、トラフィックのセキュリティ インテリジェンス イベントをログに記録します。

  • ブラックリストに登録されたトラフィックは、それ以上のインスペクションは行われずにブロックされます。[Domain Not Found] 応答を返したり、DNS クエリをシンクホール サーバにリダイレクトしたりすることもできます。

DNS ルールの作成と編集

ライセンス:Protection

DNS ポリシーで、合計で最大 32767 までの DNS リストを、ホワイトリストおよびブラックリストのルールに追加できます。つまり、DNS ポリシーのリスト数は、32767 より多くすることはできません。

DNS ルールを作成または編集する方法:

手順

ステップ 1

[Configuration] > [ASA FirePOWER Configuration] > [Policies] > [DNS Policy] の順に選択します。
ステップ 2

次の選択肢があります。

  • 新しいルールを追加するには、[Add DNS Rule] をクリックします。

  • 既存のルールを編集するには、編集アイコンをクリックします。
ステップ 3

[Name] を入力します。

ステップ 4

ルール コンポーネントを設定するか、またはデフォルトを受け入れます。

  • [Action]:ルールのアクションを選択します。DNS ルールのアクションを参照してください。

  • [Conditions]:ルールの条件を設定します。DNS ルールの条件を参照してください。

  • [Enabled]:ルールを有効にするかどうかを指定します。

ステップ 5

[追加(Add)] または [OK] をクリックします。

ステップ 6

[Store ASA FirePOWER Changes] をクリックします。

DNS ルールの管理

ライセンス:任意

DNS ポリシー エディタの [ルール(Rules)] タブでは、ポリシー内の DNS ルールの追加、編集、移動、有効化、無効化、削除、その他の管理が行えます。

各ルールについて、ポリシー エディタでは、その名前、条件のサマリー、およびルール アクションが表示されます。他のアイコンには、警告、エラー、その他の重要な情報が表示されます。無効なルールは淡色表示され、ルール名の下に [(disabled)] というマークが付きます。

DNS ルールの有効化と無効化

ライセンス:Protection

作成した DNS ルールは、デフォルトでイネーブルになっています。ルールを無効にすると、ASA FirePOWER モジュールはネットワーク トラフィックの評価にそのルールを使用せず、そのルールに対する警告とエラーの生成を停止します。DNS ポリシーのルール リストを表示すると、無効なルールは淡色表示されますが、変更は可能です。DNS ルール エディタを使用して DNS ルールをイネーブルまたはディセーブルにできることにも注意してください。

DNS ルールのイネーブル化とディセーブル化の方法:

手順
ステップ 1

[Configuration] > [ASA FirePOWER Configuration] > [Policies] > [DNS Policy] の順に選択します。
ステップ 2

有効化または無効化するルールを含む DNS ポリシー エディタで、ルールを右クリックして、ルールの状態を選択します。
ステップ 3

[OK] をクリックします。

ステップ 4

[Store ASA FirePOWER Changes] をクリックします。

次のタスク

DNS ルールの評価順序

ライセンス:任意

DNS ポリシーのルールには 1 から始まる番号が付いています。ASA FirePOWER モジュールは、ルール番号の昇順で、DNS ルールを上から順にトラフィックと照合します。ほとんどの場合、モジュールによるネットワーク トラフィックの処理は、すべてのルールの条件がトラフィックに一致する最初の DNS ルールに従って行われます。

  • モニタ ルールの場合、モジュールはトラフィックをログに記録し、優先度が低い DNS ブラックリスト ルールに突き合わせてトラフィックの評価を続行します。

  • 非モニタ ルールの場合、トラフィックがルールに一致したら、モジュールは追加の優先度が低い DNS ルールに突き合わせた評価を続行しません。

ルールの順序に関して、次の点に注意してください。

  • グローバル ホワイトリストは必ず最初に使用され、他のすべてのルールに優先します。

  • [Whitelist] セクションは [Blacklist] セクションに優先します。ホワイトリスト ルールは他のルールにいつでも必ず優先します。

  • グローバル ブラックリストは [Blacklist] セクション内で必ず最初に使用され、他のすべてのモニタ ルールやブラックリスト ルールに優先します。

  • [Blacklist] セクションには、モニタ ルールとブラックリスト ルールが含まれます。

  • DNS ルールの最初の作成時に、モジュールはそれを、[Whitelist] アクションを割り当てる場合には [Whitelist] セクションの末尾に配置し、その他のアクションを割り当てる場合は [Blacklist] セクションの末尾に配置します。

それらを並べ替えて評価順序を変更するルールをドラッグ アンド ドロップできます。

DNS ルールのアクション

ライセンス:任意

すべての DNS ルールには、一致するトラフィックについて次のことを決定するアクションがあります。

  • 処理:第一に、ルール アクションは、モジュールがルールの条件に一致するトラフィックをホワイトリストに登録、モニタ、ブラックリストに登録するかどうかを制御します。
  • ロギング:ルール アクションによって、一致するトラフィックの詳細をいつ、どのようにログに記録できるかが決まります。

インラインで展開されたデバイスのみがトラフィックをブラックリスト登録できることに留意してください。パッシブに展開されたデバイスは、ホワイトリストの登録やログの記録を実行できますが、トラフィックに影響を与えることはありません。

ホワイトリスト アクション

ホワイトリストアクションにより、一致するトラフィックの通過が許可されます。トラフィックをホワイトリストに登録する場合、一致するアクセス コントロール ルール、またはアクセス コントロール ポリシーのデフォルト アクションのいずれかによって、トラフィックはさらに検査を受けます。

モジュールはホワイトリストの一致をログに記録しません。しかし、ホワイトリストに登録された接続のロギングは、その最終的な傾向により決まります。

モニタ アクション

モニタ アクションはトラフィック フローに影響を与えません。つまり、一致するトラフィックが即時にホワイトリストまたはブラックリストに登録されることはありません。その代わり、追加のルールに照らしてトラフィックが照合され、許可/拒否が決定されます。一致する最初の非モニタ DNS ルールにより、モジュールがトラフィックをブラックリストに登録するかどうかが決定されます。追加の一致ルールがない場合、トラフィックはアクセス コントロール評価に従います。

DNS ポリシーによってモニタされる接続の場合、ASA FirePOWER モジュールは、接続終了セキュリティ インテリジェンス イベントと接続イベントをログに記録します。

ブラックリスト アクション

ブラックリスト アクションは、どのような追加検査も実行せずにトラフィックをブラックリストに登録します。

  • [Drop] アクションはトラフィックをドロップします。
  • [Domain Not Found] アクションは、存在しないインターネット ドメイン応答を DNS クエリに返します。これによりクライアントは DNS 要求を解決できなくなります。
  • [Sinkhole] アクションは、シンクホール オブジェクトの IPv4 または IPv6 アドレスを DNS クエリに応答して返します。シンクホール サーバは、IP アドレスへの後続の接続をログに記録するか、ログに記録してブロックすることができます。[Sinkhole] アクションを設定する場合、シンクホール オブジェクトも設定する必要があります。

[Drop] または [Domain Not Found] アクションに基づいてブラックリストに登録される接続の場合、モジュールは「接続の開始」セキュリティ インテリジェンス イベントと接続イベントをログに記録します。ブラックリスト登録されたトラフィックは追加のインスペクションなしですぐに拒否されるため、ログに記録できる固有の接続の終了イベントはありません。

[Sinkhole] アクションに基づいてブラックリストに登録される接続の場合、ロギングはシンクホール オブジェクトの設定に応じて決まります。シンクホール オブジェクトを、シンクホール接続のログ記録のみを実行するように設定した場合、モジュールは後続の接続の「接続の終わり」接続イベントをログに記録します。シンクホール オブジェクトを、シンクホール接続のログ記録およびブロックを実行するように設定した場合、モジュールは後続の接続の「接続の開始」接続イベントをログに記録し、それから接続をブロックします。

DNS ルールの条件

ライセンス:任意

DNS ルールの条件は、ルールで処理するトラフィックのタイプを特定します。条件は単純なものにも複雑なものにもできます。DNS フィードまたはリスト条件を定義する必要があります。セキュリティ ゾーンまたはネットワークでトラフィックをさらに制御できます。

条件を DNS ルールに追加するには、以下の手順に従います。

  • ルールに対し特定の条件を設定しない場合、モジュールはその基準に基づいてトラフィックを照合しません。

  • 1 つのルールにつき複数の条件を設定できます。ルールがトラフィックに適用されるには、トラフィックがそのルールのすべての条件に一致する必要があります。

  • ルールの条件ごとに、最大 50 の基準を追加できます。条件の基準のいずれかに一致するトラフィックはその条件を満たします。たとえば、最大で 50 DNS のリストとフィードに基づいてトラフィックをブラックリストに登録する単一のルールを使用できます。

DNS およびセキュリティ ゾーンに基づくトラフィックの制御

ライセンス:Protection

DNS ルールでゾーン条件を設定すると、トラフィックの送信元および宛先のセキュリティ ゾーンに応じてそのトラフィックを制御できます。セキュリティ ゾーンは、1 つ以上のインターフェイスのグループです。検出モードと呼ばれる、デバイスの初期セットアップ時に選択するオプションによって、モジュールが最初にデバイスのインターフェイスをどのように設定するか、およびこれらのインターフェイスがセキュリティ ゾーンに属するかどうかが決定します。

DNS とセキュリティ ゾーンに基づいてトラフィックを制御する方法:

手順
ステップ 1

DNS ルール エディタで、[Zones] タブをクリックします。
ステップ 2

[Available Zones] から追加するゾーンを見つけて選択します。追加するゾーンを検索するには、[Available Zones] リストの上にある [Search by name] プロンプトをクリックし、ゾーン名を入力します。入力すると、リストが更新されて一致するゾーンが表示されます。

ステップ 3

セキュリティ ゾーンをクリックするか、または右クリックして、[Select All] を選択します。

ステップ 4

[Add to Source] をクリックします。

ヒント 
選択したゾーンをドラッグ アンド ドロップすることもできます。
ステップ 5

ルールを保存するか、編集を続けます。
次のタスク

DNS およびネットワークに基づくトラフィックの制御

ライセンス:Protection

DNS ルール内のネットワーク条件によって、その送信元 IP アドレス別にトラフィックを制御することができます。制御するトラフィックの送信元 IP アドレスを明示的に指定できます。

DNS とネットワークに基づいてトラフィックを制御する方法:

手順
ステップ 1

DNS ルール エディタで、[Networks] タブをクリックします。
ステップ 2

[Available Networks] から、次のように追加するネットワークを見つけて選択します。

  • ネットワーク オブジェクト(後で条件に追加可能)をその場で追加するには、[Available Networks] リストの上にある追加アイコンをクリックし、ネットワーク オブジェクトの操作の説明に従って続行します。

  • 追加するネットワーク オブジェクトを検索するには、[Available Networks] リストの上にある [Search by name or value] プロンプトをクリックし、オブジェクトのコンポーネントの 1 つのオブジェクト名または値を入力します。入力すると、リストが更新されて一致するオブジェクトが表示されます。

ステップ 3

[Add to Source] をクリックします。

ヒント 
選択したオブジェクトをドラッグ アンド ドロップすることもできます。
ステップ 4

手動で指定する送信元 IP アドレスまたはアドレス ブロックを追加します。[Source Networks] リストの下にある [Enter an IP address] プロンプトをクリックし、1 つの IP アドレスまたはアドレス ブロックを入力して [Add] をクリックします。

ステップ 5

ルールを保存するか、編集を続けます。
次のタスク

DNS リスト、フィード、またはカテゴリに基づくトラフィックの制御

ライセンス:Protection

DNS リスト、フィード、またはカテゴリにクライアントにより要求されたドメイン名が含まれる場合、DNS ルール内の DNS 条件によりトラフィックを制御できます。DNS ルール内で DNS 条件を定義する必要があります。

グローバルまたはカスタムのホワイトリストまたはブラックリストを DNS 条件に追加するかどうかに関係なく、ASA FirePOWER モジュールは設定済みのルール アクションをトラフィックに適用します。たとえば、グローバル ホワイトリストをルールに追加し、[Drop] アクションを設定する場合、モジュールはホワイトリストに登録されるはずであったすべてのトラフィックをブラックリストに登録します。

DNS リスト、フィード、またはカテゴリに基づいてトラフィックを制御する方法:

手順
ステップ 1

DNS ルール エディタで、[DNS] タブをクリックします。
ステップ 2

追加する DNS リストとフィードを、以下のように [DNS Lists and Feeds] から見つけて選択します。

  • DNS リストまたはフィード(後で条件に追加可能)をその場で追加するには、[DNS Lists and Feeds] リストの上にある追加アイコンをクリックし、インテリジェンス フィードの操作の説明に従って続行します。

  • 追加する DNS リスト、フィード、またはカテゴリを検索するには、[DNS Lists and Feeds] リストの上にある [Search by name or value] プロンプトをクリックし、オブジェクトのコンポーネントの 1 つのオブジェクト名または値を入力します。入力すると、リストが更新されて一致するオブジェクトが表示されます。

ステップ 3

[Add to Rule] をクリックします。

ヒント 
選択したオブジェクトをドラッグ アンド ドロップすることもできます。
ステップ 4

ルールを保存するか、編集を続けます。
次のタスク

DNS ポリシーの導入

ライセンス:任意

DNS ポリシー設定の更新が終了したら、変更を有効にするために、それをアクセス コントロール ポリシーの一部として展開する必要があります。次の手順を実行する必要があります。

Was this Document Helpful?

FeedbackFeedback

Contact Cisco