Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI8.2 を使用)
ボットネット トラフィック フィルタの設定
ボットネット トラフィック フィルタの設定
発行日;2012/02/01 | 英語版ドキュメント(2012/01/11 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 21MB) | フィードバック

目次

ボットネット トラフィック フィルタの設定

ボットネット トラフィック フィルタに関する情報

ボットネット トラフィック フィルタのアドレス カテゴリ

既知のアドレスに対するボットネット トラフィック フィルタのアクション

ボットネット トラフィック フィルタのデータベース

ダイナミック データベースに関する情報

スタティック データベースに関する情報

DNS 逆ルックアップ キャッシュと DNS ホスト キャッシュに関する情報

ボットネット トラフィック フィルタの動作

ボットネット トラフィック フィルタのライセンス要件

ガイドラインと制限事項

デフォルト設定

ボットネット トラフィック フィルタの設定

ボットネット トラフィック フィルタの設定のタスク フロー

ダイナミック データベースの設定

スタティック データベースへのエントリの追加

DNS スヌーピングのイネーブル化

ボットネット トラフィック フィルタのロギングに使用されるトラフィック分類のイネーブル化

ボットネット トラフィックのブロック

ダイナミック データベースの検索

ボットネット トラフィック フィルタの監視

ボットネット トラフィック フィルタの Syslog メッセージ

ボットネット トラフィック フィルタのコマンド

ボットネット トラフィック フィルタの設定例

推奨設定例

その他の設定例

関連情報

ボットネット トラフィック フィルタの機能履歴

ボットネット トラフィック フィルタの設定

マルウェアは、ホストが認識していないときにインストールされる悪意のあるソフトウェアです。プライベート データ(パスワード、クレジット カード番号、キー ストローク、または独自データ)の送信などのネットワーク アクティビティを試みるマルウェアは、マルウェアが既知の不正な IP アドレスへの接続を開始したときにボットネット トラフィック フィルタによって検出できます。ボットネット トラフィック フィルタは、着信と発信の接続を既知の不正なドメイン名と IP アドレス( ブラックリスト )のダイナミック データベースと照合して確認し、不審なアクティビティのログを記録します。マルウェア アクティビティに関する syslog メッセージを確認すると、ホストを切り離して感染を解決するための手順を実行できます。

また、ブラックリスト アドレスを選択してスタティック ブラックリストに追加することで、Cisco ダイナミック データベースを補完できます。ブラックリストに記載すべきでないと考えられるアドレスが Cisco ダイナミック データベースに含まれている場合は、それらのアドレスをスタティック ホワイトリスト に手動で入力できます。ホワイトリストにアドレスを入力した場合でも、それらのアドレスに関する syslog メッセージは依然として生成されます。ただし、ターゲットになるのはブラックリスト syslog メッセージだけであるため、これは単なる情報提供に過ぎません。


) 内部要件のために Cisco ダイナミック データベースを使用しない場合は、スタティック ブラックリストだけを使用することもできます(ターゲットにするマルウェア サイトをすべて特定できる場合)。


この章では、ボットネット トラフィック フィルタを設定する方法について説明します。この章は、次の項で構成されています。

「ボットネット トラフィック フィルタに関する情報」

「ボットネット トラフィック フィルタのライセンス要件」

「ガイドラインと制限事項」

「デフォルト設定」

「ボットネット トラフィック フィルタの設定」

「ボットネット トラフィック フィルタの監視」

「ボットネット トラフィック フィルタの設定例」

「関連情報」

「ボットネット トラフィック フィルタの機能履歴」

ボットネット トラフィック フィルタに関する情報

この項では、ボットネット トラフィック フィルタについて説明します。次の項目について説明します。

「ボットネット トラフィック フィルタのアドレス カテゴリ」

「既知のアドレスに対するボットネット トラフィック フィルタのアクション」

「ボットネット トラフィック フィルタのデータベース」

「ボットネット トラフィック フィルタの動作」

ボットネット トラフィック フィルタのアドレス カテゴリ

ボットネット トラフィック フィルタの監視対象のアドレスは次のとおりです。

既知のマルウェア アドレス:ダイナミック データベースおよびスタティック ブラックリストで識別されるブラックリストに記載されているアドレス。

既知の許可アドレス:ホワイトリストに記載されているアドレス。ホワイトリストに記載するアドレスは、ダイナミック データベースのブラックリストに記載されていて、スタティック ホワイトリストで識別されるアドレスである必要があります。

あいまいなアドレス:ブラックリストに記載されていないドメイン名を 1 つ以上含む複数のドメイン名に関連付けられているアドレス。これらのアドレスは グレーリスト に記載されます。

リストに記載されていないアドレス:どのリストにも記載されていない不明アドレス。

既知のアドレスに対するボットネット トラフィック フィルタのアクション

リストに記載されていないアドレスについては、syslog メッセージは生成されません。ただし、ブラックリスト、ホワイトリスト、およびグレーリストに記載されているアドレスについては、タイプ別の syslog メッセージが生成されます。詳細については、「ボットネット トラフィック フィルタの Syslog メッセージ」を参照してください。


) ボットネット トラフィック フィルタでは、トラフィックは自動的にブロックされません。ただし、既知の不正な宛先へのトラフィックを拒否するアクセスリストを設定するか、shun コマンドを使用することにより、必要に応じてトラフィックを手動でブロックできます。


ボットネット トラフィック フィルタのデータベース

ボットネット トラフィック フィルタでは、既知のアドレスについて 2 つのデータベースが使用されます。両方のデータベースを使用するか、ダイナミック データベースをディセーブルにしてスタティック データベースだけを使用することができます。この項は、次の内容で構成されています。

「ダイナミック データベースに関する情報」

「スタティック データベースに関する情報」

「DNS 逆ルックアップ キャッシュと DNS ホスト キャッシュに関する情報」

ダイナミック データベースに関する情報

ボットネット トラフィック フィルタでは、Cisco アップデート サーバからダイナミック データベースの定期アップデートを受け取ることができます。このデータベースには、数千もの既知の不正なドメイン名と IP アドレスが含まれています。

適応型セキュリティ アプライアンスは、このダイナミック データベースを次のように使用します。

1. DNS 応答のドメイン名とダイナミック データベースのドメイン名が一致した場合、ボットネット トラフィック フィルタは、このドメイン名と IP アドレスを DNS 逆ルックアップ キャッシュ に追加します。

2. 感染したホストがマルウェア サイトの IP アドレスへの接続を開始した場合、適応型セキュリティ アプライアンスは、疑わしいアクティビティを通知する syslog メッセージを送信します。

3. 場合によっては、IP アドレス自体がダイナミック データベースで提供され、ボットネット トラフィック フィルタが DNS 要求を検査せずに、その IP アドレスへのすべてのトラフィックをログに記録することがあります。

データベース ファイルは、フラッシュ メモリではなく実行中のメモリに保存されます。データベースを削除する必要がある場合は、代わりに dynamic-filter database purge コマンドを使用します。最初に no dynamic-filter use-database コマンドを入力して、データベースの使用をディセーブルにしてください。


) データベースを使用するには、適応型セキュリティ アプライアンス用のドメイン ネーム サーバを設定して、適応型セキュリティ アプライアンスが URL にアクセスできるようにしてください。

ダイナミック データベースでドメイン名を使用するには、DNS パケット検査とボットネット トラフィック フィルタ スヌーピングをイネーブルにする必要があります。適応型セキュリティ アプライアンスは、ドメイン名とそれに関連付けられている IP アドレスを DNS パケット内から検出します。


スタティック データベースに関する情報

不正な名前と見なすドメイン名または IP アドレス(ホストまたはサブネット)をブラックリストに手動で入力できます。また、ホワイトリストに名前または IP アドレスを入力して、 ダイナミック ブラックリストとホワイトリストの両方に表示される名前または IP アドレスが、syslog メッセージおよびレポートでホワイトリスト アドレスとしてだけ識別されるようにすることもできます。

スタティック データベースにドメイン名を追加した場合、適応型セキュリティ アプライアンスは、1 分間待機してからそのドメイン名の DNS 要求を送信し、ドメイン名と IP アドレスの組を DNS ホスト キャッシュ に追加します (このアクションはバックグラウンド プロセスで、適応型セキュリティ アプライアンスの設定の続行に影響しません)。

適応型セキュリティ アプライアンス用のドメイン ネーム サーバを設定していないか、ドメイン ネーム サーバが使用できない場合は、代わりに DNS パケット検査とボットネット トラフィック フィルタ スヌーピングをイネーブルにすることができます。DNS スヌーピングをイネーブルにすると、感染したホストがスタティック データベースに記載されている名前の DNS 要求を送信したときに、適応型セキュリティ アプライアンスが ドメイン名とそれに関連付けられている IP アドレスを DNS パケット内から検出し、その名前と IP アドレスを DNS 逆ルックアップ キャッシュに追加します。

DNS 逆ルックアップ キャッシュと DNS ホスト キャッシュに関する情報

DNS スヌーピングがイネーブルになっているダイナミック データベースを使用する場合、エントリは DNS 逆ルックアップ キャッシュに追加されます。スタティック データベースを使用する場合、エントリは DNS ホスト キャッシュに追加されます(DNS スヌーピングがイネーブルになっているスタティック データベースと DNS 逆ルックアップ キャッシュの使用方法については、「スタティック データベースに関する情報」を参照してください)。

DNS 逆ルックアップ キャッシュと DNS ホスト キャッシュのエントリには、DNS サーバによって提供される time to live(TTL; 存続可能時間)値があります。許容される最大 TTL 値は 1 日(24 時間)です。DNS サーバによって提供された TTL がこれより大きい場合は、TTL が 1 日以下に切り詰められます。

DNS 逆ルックアップ キャッシュの場合、エントリがタイムアウトすると、感染したホストが既知のアドレスへの接続を開始して DNS スヌーピングが発生したときに、適応型セキュリティ アプライアンスがエントリを更新します。

DNS ホスト キャッシュの場合、エントリがタイムアウトすると、適応型セキュリティ アプライアンスがエントリの更新を定期的に要求します。

DNS ホスト キャッシュの場合、ブラックリスト エントリとホワイトリスト エントリの最大数はそれぞれ 1000 です。

表 54-1 に、モデル別の DNS 逆ルックアップ キャッシュの最大エントリ数を示します。

 

表 54-1 モデル別の DNS 逆ルックアップ キャッシュ エントリ

ASA モデル
最大エントリ

ASA 5505

5000

ASA 5510

10,000

ASA 5520

20,000

ASA 5540

40,000

ASA 5550

40,000

ASA 5580

100,000

ボットネット トラフィック フィルタの動作

図 1 に、DNS 検査とボットネット トラフィック フィルタ スヌーピングがイネーブルになっているダイナミック データベースを使用した場合のボットネット トラフィック フィルタの動作を示します。

図 1 ダイナミック データベースを使用した場合のボットネット トラフィック フィルタの動作

 

図 2 に、スタティック データベースを使用した場合のボットネット トラフィック フィルタの動作を示します。

図 2 スタティック データベースを使用した場合のボットネット トラフィック フィルタの動作

 

ボットネット トラフィック フィルタのライセンス要件

次の表に、この機能のライセンス要件を示します。

 

モデル
ライセンス要件

すべてのモデル

ボットネット トラフィック フィルタ ライセンス。

ガイドラインと制限事項

この項では、この機能のガイドラインと制限事項について説明します。

コンテキスト モードのガイドライン

シングルコンテキスト モードとマルチコンテキスト モードでサポートされています。

ファイアウォール モードのガイドライン

ルーテッド ファイアウォール モードと透過ファイアウォール モードでサポートされています。

フェールオーバーのガイドライン

ステートフル フェールオーバーでは、DNS 逆ルックアップ キャッシュ、DNS ホスト キャッシュ、またはダイナミック データベースの複製はサポートされません。

IPv6 のガイドライン

IPv6 はサポートされません。

その他のガイドラインと制限事項

TCP DNS トラフィックはサポートされません。

スタティック データベースには、最大 1000 個のブラックリスト エントリとホワイトリスト エントリを追加できます。

デフォルト設定

デフォルトでは、ボットネット トラフィック フィルタとダイナミック データベースの使用はディセーブルになっています。

デフォルトでは、DNS 検査はイネーブルになっていますが、ボットネット トラフィック フィルタ スヌーピングはディセーブルになっています。

ボットネット トラフィック フィルタの設定

この項は、次の内容で構成されています。

「ボットネット トラフィック フィルタの設定のタスク フロー」

「ダイナミック データベースの設定」

「DNS スヌーピングのイネーブル化」

「スタティック データベースへのエントリの追加」

「ボットネット トラフィック フィルタのロギングに使用されるトラフィック分類のイネーブル化」

「ボットネット トラフィックのブロック」

「ダイナミック データベースの検索」

ボットネット トラフィック フィルタの設定のタスク フロー

ボットネット トラフィック フィルタを設定するには、次の手順を実行します。


ステップ 1 ダイナミック データベースの使用をイネーブルにする。「ダイナミック データベースの設定」を参照してください。

この手順では、Cisco アップデート サーバからのデータベース アップデートと、適応型セキュリティ アプライアンスによるダウンロードされたダイナミック データベースの使用をイネーブルにします。ダウンロードされたデータベースのディセーブル化は、マルチコンテキスト モードでデータベースの使用をコンテキストごとに設定できるようにする場合に有用です。

ステップ 2 (オプション)スタティック エントリをデータベースに追加する。「スタティック データベースへのエントリの追加」を参照してください。

この手順では、ブラックリストまたはホワイトリストに記載するドメイン名または IP アドレスでダイナミック データベースを補完します。ダイナミック データベースをインターネット経由でダウンロードしない場合は、ダイナミック データベースの代わりにスタティック データベースを使用できます。

ステップ 3 DNS スヌーピングをイネーブルにする。「DNS スヌーピングのイネーブル化」を参照してください。

この手順では、DNS パケットの検査をイネーブルにします。DNS パケットの検査では、ドメイン名がダイナミック データベースまたはスタティック データベースのドメイン名と比較され(適応型セキュリティ アプライアンス用の DNS サーバが使用できない場合)、ドメイン名と IP アドレスが DNS 逆ルックアップ キャッシュに追加されます。このキャッシュは、疑わしいアドレスへの接続が行われたときにボットネット トラフィック フィルタのロギング機能で使用されます。

ステップ 4 ボットネット トラフィック フィルタのロギングに使用されるトラフィック分類をイネーブルにする。「ボットネット トラフィック フィルタのロギングに使用されるトラフィック分類のイネーブル化」を参照してください。

この手順では、ボットネット トラフィック フィルタをイネーブルにします。ボットネット トラフィック フィルタでは、初期接続の各パケットの送信元 IP アドレスと宛先 IP アドレスがダイナミック データベース、スタティック データベース、DNS 逆ルックアップ キャッシュ、および DNS ホスト キャッシュの IP アドレスと比較され、一致するトラフィックが見つかった場合は syslog メッセージが送信されます。

ステップ 5 syslog メッセージの情報に基づいてトラフィックをブロックする。「ボットネット トラフィックのブロック」を参照してください。

ボットネット トラフィック フィルタでは、トラフィックは自動的にブロックされませんが、必要に応じてトラフィックを手動でブロックすることができます。これを行うには、トラフィックを拒否するアクセスリストを設定するか、 shun コマンドを使用して、ホストへのトラフィックとホストからのトラフィックをすべてブロックします。


 

ダイナミック データベースの設定

この手順では、データベース アップデートと、適応型セキュリティ アプライアンスによるダウンロードされたダイナミック データベースの使用をイネーブルにします。ダウンロードされたデータベースのディセーブル化は、マルチコンテキスト モードでデータベースの使用をコンテキストごとに設定できるようにする場合に有用です。

デフォルトでは、ダイナミック データベースのダウンロードおよび使用はディセーブルになっています。

前提条件

の説明に従って、適応型セキュリティ アプライアンスによる DNS サーバの使用をイネーブルにします。

詳細な手順

 

 
コマンド
目的

ステップ 1

dynamic-filter updater-client enable

 

例:

hostname(config)# dynamic-filter updater-client enable

Cisco アップデート サーバからのダイナミック データベースのダウンロードをイネーブルにします。マルチコンテキスト モードでは、システム実行スペースでこのコマンドを入力します。適応型セキュリティ アプライアンスにデータベースをまだインストールしていない場合は、約 2 分後にデータベースが適応型セキュリティ アプライアンスにダウンロードされます。アップデート サーバは、将来のアップデートのために適応型セキュリティ アプライアンスがサーバにポーリングする頻度を決定します(通常は 1 時間ごと)。

ステップ 2

(マルチコンテキスト モード限定)

changeto context context_name

 

例:

hostname# changeto context admin

hostname/admin#

コンテキストに切り替えて、データベースの使用をコンテキストごとに設定できるようにします。

ステップ 3

dynamic-filter use-database

 

例:

hostname(config)# dynamic-filter use-database

ダイナミック データベースの使用をイネーブルにします。マルチコンテキスト モードでは、コンテキスト実行スペースでこのコマンドを入力します。

次のマルチモードの例では、ダイナミック データベースのダウンロードと、context1 および context2 でのデータベースの使用をイネーブルにします。

hostname(config)# dynamic-filter updater-client enable
hostname(config)# changeto context context1
hostname/context1(config)# dynamic-filter use-database
hostname/context1(config)# changeto context context2
hostname/context2(config)# dynamic-filter use-database
 

次のシングルモードの例では、ダイナミック データベースのダウンロードおよび使用をイネーブルにします。

hostname(config)# dynamic-filter updater-client enable
hostname(config)# dynamic-filter use-database
 

スタティック データベースへのエントリの追加

スタティック データベースを使用すると、ブラックリストまたはホワイトリストに記載するドメイン名または IP アドレスでダイナミック データベースを補完できます。詳細については、「スタティック データベースに関する情報」を参照してください。

前提条件

マルチコンテキスト モードでは、コンテキスト実行スペースでこの手順を実行します。

「DNS サーバの設定」の説明に従って、適応型セキュリティ アプライアンスによる DNS サーバの使用をイネーブルにします。

詳細な手順

 

 
コマンド
目的

ステップ 1

dynamic-filter blacklist

 

例:

hostname(config)# dynamic-filter blacklist

ボットネット トラフィック フィルタのブラックリストを編集します。

ステップ 2

次のいずれかまたは両方を入力します。

 

name domain_name

 

例:

hostname(config-llist)# name bad.example.com

ブラックリストに名前を追加します。このコマンドを複数回入力して、複数のエントリを追加できます。最大 1000 個のブラックリスト エントリを追加できます。

 

address ip_address mask

 

例:

hostname(config-llist)# address 10.1.1.1 255.255.255.255

ブラックリストに IP アドレスを追加します。このコマンドを複数回入力して、複数のエントリを追加できます。 mask には、単一ホストまたはサブネットのマスクを指定できます。

ステップ 3

dynamic-filter whitelist

 

例:

hostname(config)# dynamic-filter whitelist

ボットネット トラフィック フィルタのホワイトリストを編集します。

ステップ 4

次のいずれかまたは両方を入力します。

 

name domain_name

 

例:

hostname(config-llist)# name good.example.com

ホワイトリストに名前を追加します。このコマンドを複数回入力して、複数のエントリを追加できます。最大 1000 個のホワイトリスト エントリを追加できます。

 

address ip_address mask

 

例:

hostname(config-llist)# address 10.1.1.2 255.255.255.255

ホワイトリストに IP アドレスを追加します。このコマンドを複数回入力して、複数のエントリを追加できます。 mask には、単一ホストまたはサブネットのマスクを指定できます。

次に、ブラックリストおよびホワイトリストのエントリを作成する例を示します。

hostname(config)# dynamic-filter blacklist
hostname(config-llist)# name bad1.example.com
hostname(config-llist)# name bad2.example.com
hostname(config-llist)# address 10.1.1.1 255.255.255.0
hostname(config-llist)# dynamic-filter whitelist
hostname(config-llist)# name good.example.com
hostname(config-llist)# name great.example.com
hostname(config-llist)# name awesome.example.com
hostname(config-llist)# address 10.1.1.2 255.255.255.255
 

次の作業

「DNS スヌーピングのイネーブル化」を参照してください。

DNS スヌーピングのイネーブル化

この手順では、DNS パケットの検査とボットネット トラフィック フィルタ スヌーピングをイネーブルにします。DNS パケットの検査とボットネット トラフィック フィルタ スヌーピングでは、ドメイン名がダイナミック データベースまたはスタティック データベースのドメイン名と比較され、ドメイン名と IP アドレスがボットネット トラフィック フィルタの DNS 逆ルックアップ キャッシュに追加されます。このキャッシュは、疑わしいアドレスへの接続が行われたときにボットネット トラフィック フィルタのロギング機能で使用されます。

次の手順では、DNS 検査で使用されるインターフェイス固有のサービス ポリシーを作成します。モジュラー ポリシー フレームワークを使用した高度な DNS 検査オプションの設定の詳細については、およびを参照してください。

前提条件

マルチコンテキスト モードでは、コンテキスト実行スペースでこの手順を実行します。

制限事項

TCP DNS トラフィックはサポートされません。

DNS 検査のデフォルト設定と推奨設定

DNS 検査のデフォルト設定では、すべてのインターフェイスのすべての UDP DNS トラフィックが検査され、DNS スヌーピングがディセーブルになっています。

DNS スヌーピングは、外部 DNS 要求が送信されるインターフェイスでだけイネーブルにすることを推奨します。すべての UDP DNS トラフィック(内部 DNS サーバへの送信トラフィックを含む)に対して DNS スヌーピングをイネーブルにすると、適応型セキュリティ アプライアンスで不要な負荷が発生します。

たとえば、DNS サーバが外部インターフェイスに存在する場合は、外部インターフェイスのすべての UDP DNS トラフィックに対して DNS 検査とスヌーピングをイネーブルにする必要があります。この設定の推奨コマンドについては、「例」を参照してください。

詳細な手順

 

 
コマンド
目的

ステップ 1

class-map name

 

例:

hostname(config)# class-map dynamic-filter_snoop_class

DNS を検査するトラフィックを識別するためのクラスマップを作成します。

ステップ 2

match parameters

 

例:

hostname(config-cmap)# match port udp eq domain

クラスマップのトラフィックを指定します。使用可能なパラメータの詳細については、を参照してください。たとえば、特定のアドレスを送信元または宛先とする DNS トラフィックのアクセスリストを指定したり、すべての UDP DNS トラフィックを指定したりできます。

ステップ 3

policy-map name

 

例:

hostname(config)# policy-map dynamic-filter_snoop_policy

ポリシーマップを追加または編集し、クラスマップ トラフィックで実行するアクションを設定できるようにします。

ステップ 4

class name

 

例:

hostname(config-pmap)# class dynamic-filter_snoop_class

ステップ 1 で作成したクラスマップを指定します。

ステップ 5

inspect dns [ map_name ] dynamic-filter-snoop

 

例:

hostname(config-pmap-c)# inspect dns preset_dns_map dynamic-filter-snoop

DNS 検査とボットネット トラフィック フィルタ スヌーピングをイネーブルにします。 map_name にデフォルトの DNS 検査ポリシーマップを使用するには、マップ名に preset_dns_map を指定します。DNS 検査ポリシーマップの作成の詳細については、を参照してください。

ステップ 6

service-policy policymap_name interface interface_name

 

例:

hostname(config)# service-policy dynamic-filter_snoop_policy interface outside

インターフェイスでポリシーマップをアクティブにします。インターフェイス固有のポリシーは、グローバル ポリシーより優先されます。各インターフェイスには、ポリシーマップを 1 つだけ適用できます。

次の推奨設定では、すべての UDP DNS トラフィックのクラスマップを作成し、デフォルトの DNS 検査ポリシーマップを使用して DNS 検査とボットネット トラフィック フィルタ スヌーピングをイネーブルにし、そのポリシーマップを外部インターフェイスに適用します。

hostname(config)# class-map dynamic-filter_snoop_class
hostname(config-cmap)# match port udp eq domain
hostname(config-cmap)# policy-map dynamic-filter_snoop_policy
hostname(config-pmap)# class dynamic-filter_snoop_class
hostname(config-pmap-c)# inspect dns preset_dns_map dynamic-filter-snoop
hostname(config-pmap-c)# service-policy dynamic-filter_snoop_policy interface outside
 

ボットネット トラフィック フィルタのロギングに使用されるトラフィック分類のイネーブル化

この手順では、ボットネット トラフィック フィルタをイネーブルにします。ボットネット トラフィック フィルタでは、初期接続の各パケットの送信元 IP アドレスと宛先 IP アドレスが次の IP アドレスおよびキャッシュと比較されます。

ダイナミック データベースの IP アドレス

スタティック データベースの IP アドレス

DNS 逆ルックアップ キャッシュ(ダイナミック データベースのドメイン名の場合)

DNS ホスト キャッシュ(スタティック データベースのドメイン名の場合)

アドレスが一致すると、適応型セキュリティ アプライアンスが syslog メッセージを送信します。

前提条件

マルチコンテキスト モードでは、コンテキスト実行スペースでこの手順を実行します。

推奨設定

DNS スヌーピングは必要ありませんが、ボットネット トラフィック フィルタを最大限に活用するために DNS スヌーピングを設定することをお勧めします(「DNS スヌーピングのイネーブル化」を参照)。ダイナミック データベースに DNS スヌーピングが設定されていない場合、ボットネット トラフィック フィルタでは、スタティック データベースのエントリとダイナミック データベースの IP アドレスだけが使用されます。ダイナミック データベースのドメイン名は使用されません。

インターネットに直接接続されているインターフェイスのすべてのトラフィックに対してボットネット トラフィック フィルタをイネーブルにすることをお勧めします。この設定用の推奨コマンドについては、「例」を参照してください。

詳細な手順

 

 
コマンド
目的

ステップ 1

(オプション)

access-list access_list_name extended { deny | permit } protocol source_address mask [ operator port ] dest_address mask

[ operator port ]

 

例:

hostname(config)# access-list dynamic-filter_acl extended permit tcp any any eq 80

監視するトラフィックを指定します。アクセスリストを作成しない場合は、デフォルトですべてのトラフィックが監視されます。アクセスリストの作成の詳細については、を参照してください。

ステップ 2

dynamic-filter enable [ interface name ] [ classify-list access_list ]

 

例:

hostname(config)# dynamic-filter enable interface outside classify-list dynamic-filter_acl

すべてのトラフィックに対してボットネット トラフィック フィルタをイネーブルにします。

interface キーワードを使用して、インターネットに直接接続されているインターフェイスのすべてのトラフィックに対してボットネット トラフィック フィルタをイネーブルにすることをお勧めします。

classify-list キーワードでアクセスリストを指定すると、オプションで監視対象を特定のトラフィックに制限できます。

このコマンドは、インターフェイスとグローバル ポリシーごとに 1 回だけ入力できます( interface キーワードを指定しない場合)。各インターフェイス コマンドと各 global コマンドには、オプションの classify-list キーワードがあります。インターフェイス固有のコマンドは、global コマンドより優先されます。

次の推奨設定では、外部インターフェイスのすべてのトラフィックを監視します。

hostname(config)# dynamic-filter enable interface outside
 

一部のトラフィックを監視対象から除外する場合は、アクセスリストを使用してトラフィックを制限できます。次に、外部インターフェイスのポート 80 のトラフィックだけを監視する例を示します。

hostname(config)# access-list dynamic-filter_acl extended permit tcp any any eq 80
hostname(config)# dynamic-filter enable interface outside classify-list dynamic-filter_acl
 

ボットネット トラフィックのブロック

ボットネット トラフィック フィルタでは、トラフィックは自動的にブロックされませんが、必要に応じてトラフィックを手動でブロックすることができます。これを行うには、トラフィックを拒否するアクセスリストを設定するか、 shun コマンド ツールを使用して、ホストへのトラフィックとホストからのトラフィックをすべてブロックします。

たとえば、次のような syslog メッセージが表示されます。

ASA-4-338002: Dynamic Filter permitted black listed TCP traffic from inside:10.1.1.45/6798 (209.165.201.1/7890) to outside:209.165.202.129/80 (209.165.202.129/80), destination 209.165.202.129 resolved from dynamic list: bad.example.com
 

その後、次のいずれかのアクションを実行できます。

トラフィックを拒否するアクセスリストを作成する。

たとえば、上記の syslog メッセージを使用して、10.1.1.45 の感染ホストから 209.165.202.129 のマルウェア サイトへのトラフィックを拒否できます。また、さまざまなブラックリスト アドレスへの多数の接続が存在する場合は、ホスト コンピュータの感染を解決するまで 10.1.1.45 からのトラフィックをすべて拒否するアクセスリストを作成できます。たとえば、次のコマンドを実行すると、10.1.1.5 から 209.165.202.129 へのトラフィックがすべて拒否されますが、内部インターフェイスのその他のトラフィックはすべて許可されます。

hostname(config)# access-list BLOCK_OUT extended deny ip host 10.1.1.45 host 209.165.202.129
hostname(config)# access-list BLOCK_OUT extended permit ip any any
hostname(config)# access-group BLOCK_OUT in interface inside
 

アクセスリストの作成の詳細については、を参照してください。インターフェイスへのアクセスリストの適用の詳細については、を参照してください。


) アクセスリストでは、将来の接続がすべてブロックされます。アクティブな現在の接続をブロックするには、clear conn コマンドを入力します。たとえば、syslog メッセージに記載されている接続だけを消去するには、clear conn address 10.1.1.45 address 209.165.202.129 コマンドを入力します。詳細については、『Cisco ASA 5500 Series Command Reference』を参照してください。


感染したホストを排除する。

感染したホストを排除すると、そのホストからの接続がすべてブロックされます。そのため、特定の宛先アドレスおよびポートへの接続をブロックする場合は、アクセスリストを使用する必要があります。ホストを排除するには、次のコマンドを入力します。将来の接続をブロックすると同時に現在の接続をドロップするには、宛先アドレス、送信元ポート、宛先ポート、およびオプションのプロトコルを入力します。

hostname(config)# shun src_ip [dst_ip src_port dest_port [protocol]]
 

たとえば、10.1.1.45 からの将来の接続をブロックし、それと同時に syslog メッセージに記載されているマルウェア サイトへの現在の接続をドロップするには、次のように入力します。

hostname(config)# shun 10.1.1.45 209.165.202.129 6798 80
 

排除の詳細については、を参照してください。

感染を解決したら、アクセスリストを削除するか、排除を無効にしてください。排除を無効にするには、 no shun src_ip を入力します。

ダイナミック データベースの検索

ドメイン名または IP アドレスがダイナミック データベースに含まれているかどうかを確認する場合は、データベースから文字列を検索することができます。

詳細な手順

 

コマンド
目的

dynamic-filter database find string

 

例:

hostname# dynamic-filter database find

ドメイン名または IP アドレスをダイナミック データベースから検索します。 string には、ドメイン名または IP アドレスのすべてまたは一部を、3 文字以上の検索文字列で指定できます。一致する項目が複数見つかった場合は、最初の 2 つの項目が表示されます。一致する項目を絞り込むために詳細な検索条件を指定するには、より長い文字列を入力します。

(注) データベース検索では、正規表現はサポートされません。

次に、文字列「example.com」で検索する例を示します。この例では、一致する項目が 1 つ見つかります。

hostname# dynamic-filter database find bad.example.com
 
bad.example.com
一致する項目が 1 つ見つかりました。
 

次に、文字列「bad」で検索する例を示します。この例では、一致する項目が 3 つ以上見つかります。

hostname# dynamic-filter database find bad
 
bad.example.com
bad.example.net
Found more than 2 matches, enter a more specific string to find an exact
match
 

ボットネット トラフィック フィルタの監視

既知のアドレスがボットネット トラフィック フィルタによって分類されると、syslog メッセージが生成されます。適応型セキュリティ アプライアンスでコマンドを入力して、ボットネット トラフィック フィルタの統計情報やその他のパラメータを監視することもできます。この項は、次の内容で構成されています。

「ボットネット トラフィック フィルタの Syslog メッセージ」

「ボットネット トラフィック フィルタのコマンド」

ボットネット トラフィック フィルタの Syslog メッセージ

ボットネット トラフィック フィルタでは、338 nnn という番号が付いた詳細な syslog メッセージが生成されます。メッセージでは、着信接続と発信接続、ブラックリスト アドレス、ホワイトリスト アドレス、またはグレーリスト アドレス、およびその他の多数の変数が区別されます (グレーリストには、ブラックリストに記載されていないドメイン名を 1 つ以上含む複数のドメイン名に関連付けられているアドレスが含まれています)。

syslog メッセージの詳細については、『 Cisco ASA 5500 Series System Log Messages 』を参照してください。

ボットネット トラフィック フィルタのコマンド

ボットネット トラフィック フィルタを監視するには、次のいずれかのコマンドを入力します。

 

コマンド
目的

show asp table dynamic-filter [ hits ]

 

高速セキュリティ パスにインストールされているボットネット トラフィック フィルタ規則を表示します。

show dynamic-filter data

 

ダイナミック データベースが最後にダウンロードされた日時、データベースのバージョン、データベースに含まれているエントリの数、10 個のサンプル エントリなど、ダイナミック データベースに関する情報を表示します。

show dynamic-filter dns-snoop [ detail ]

 

ボットネット トラフィック フィルタの DNS スヌーピングの概要を表示します。 detail キーワードが指定された場合は、実際の IP アドレスと名前を表示します。この出力には、ブラックリストに一致する名前だけでなく、すべての検査済み DNS データが含まれます。スタティック エントリの DNS データは含まれません。

DNS スヌーピング データを消去するには、 clear dynamic-filter dns-snoop コマンドを入力します。

show dynamic-filter reports top [ botnet-sites | botnet-ports | infected-hosts ]

 

上位 10 個のボットネット サイト、ポート、および感染ホストのレポートを生成します。このレポートはデータのスナップショットで、統計情報の収集開始以降の上位 10 項目に一致しない場合があります。ホストの場合、メモリへの影響を減らすためのタイムアウト値は 1 時間(変更不可)です。サイトおよびポートのレポートでは、タイムアウト値はありません。

レポート データを消去するには、 clear dynamic-filter reports コマンドを入力します。

show dynamic-filter statistics [ interface name ]

 

ボットネット トラフィック フィルタで監視された接続の数と、これらの接続のうちホワイトリスト、ブラックリスト、およびグレーリストに一致した数を表示します (グレーリストには、ブラックリストに記載されていないドメイン名を 1 つ以上含む複数のドメイン名に関連付けられているアドレスが含まれています)。

統計情報をクリアするには、 clear dynamic-filter statistics [ interface name ] コマンドを入力します。

show dynamic-filter updater-client

 

サーバの IP アドレス、適応型セキュリティ アプライアンスが次にサーバに接続する日時、最後にインストールされたデータベースのバージョンなど、アップデート サーバに関する情報を表示します。

次に、 show dynamic-filter statistics コマンドの出力例を示します。

hostname# show dynamic-filter statistics
Enabled on interface outside
Total conns classified 2108, ingress 2108, egress 0
Total whitelist hits 0, ingress 0, egress 0
Total greylist hits 0, ingress 0, egress 0
Total blacklist hits 11, ingress 11, egress 0
Enabled on interface inside
Total conns classified 4908, ingress 4908, egress 0
Total whitelist hits 3, ingress 3, egress 0
Total greylist hits 0, ingress 0, egress 0
Total blacklist hits 1179, ingress 1179, egress 0
 

次に、 show dynamic-filter reports top botnet-sites コマンドの出力例を示します。

hostname# show dynamic-filter reports top botnet-sites
Site Connections logged
----------------------------------------------------------------------
bad1.example.com (10.67.22.34) 11
bad2.example.com (209.165.200.225) 8
bad1.cisco.example(10.131.36.158) 6
bad2.cisco.example(209.165.201.1) 2
horrible.example.net(10.232.224.2) 2
nono.example.org(209.165.202.130) 1
 

次に、 show dynamic-filter reports top botnet-ports コマンドの出力例を示します。

hostname# show dynamic-filter reports top botnet-ports
Port Connections logged
----------------------------------------------------------------------
tcp 1000 617
tcp 2001 472
tcp 23 22
tcp 1001 19
udp 2000 17
udp 2001 17
tcp 8080 9
tcp 80 3
tcp >8192 2
 

次に、 show dynamic-filter reports top infected-hosts コマンドの出力例を示します。

hostname# show dynamic-filter reports top infected-hosts
Host Connections logged
----------------------------------------------------------------------
10.10.10.51(inside) 1190
10.12.10.10(inside) 10
10.10.11.10(inside) 5

ボットネット トラフィック フィルタの設定例

この項では、シングルコンテキスト モードおよびマルチコンテキスト モードの推奨設定とその他の可能な設定について説明します。この項は、次の内容で構成されています。

推奨設定例

次のシングルコンテキスト モードの推奨設定例では、ダイナミック データベースのダウンロードおよび使用をイネーブルにします。この設定では、すべての UDP DNS トラフィックのクラスマップを作成し、デフォルトの DNS 検査ポリシーマップを使用して DNS 検査とボットネット トラフィック フィルタ スヌーピングをイネーブルにし、そのポリシーマップをインターネットに直接接続されている外部インターフェイスに適用します。

hostname(config)# dynamic-filter updater-client enable
hostname/context1(config)# dynamic-filter use-database
hostname/context1(config)# class-map dynamic-filter_snoop_class
hostname/context1(config-cmap)# match port udp eq domain
hostname/context1(config-cmap)# policy-map dynamic-filter_snoop_policy
hostname/context1(config-pmap)# class dynamic-filter_snoop_class
hostname/context1(config-pmap-c)# inspect dns preset_dns_map dynamic-filter-snoop
hostname/context1(config-pmap-c)# service-policy dynamic-filter_snoop_policy interface outside
hostname/context1(config)# dynamic-filter enable interface outside
 

次のマルチ コンテキスト モードの推奨設定例では、2 つのコンテキストでボットネット トラフィック フィルタをイネーブルにします。

hostname(config)# dynamic-filter updater-client enable
 
hostname(config)# changeto context context1
 
hostname/context1(config)# dynamic-filter use-database
hostname/context1(config)# class-map dynamic-filter_snoop_class
hostname/context1(config-cmap)# match port udp eq domain
hostname/context1(config-cmap)# policy-map dynamic-filter_snoop_policy
hostname/context1(config-pmap)# class dynamic-filter_snoop_class
hostname/context1(config-pmap-c)# inspect dns preset_dns_map dynamic-filter-snoop
hostname/context1(config-pmap-c)# service-policy dynamic-filter_snoop_policy interface outside
hostname/context1(config)# dynamic-filter enable interface outside
 
hostname/context1(config)# changeto context context2
 
hostname/context2(config)# dynamic-filter use-database
hostname/context2(config)# class-map dynamic-filter_snoop_class
hostname/context2(config-cmap)# match port udp eq domain
hostname/context2(config-cmap)# policy-map dynamic-filter_snoop_policy
hostname/context2(config-pmap)# class dynamic-filter_snoop_class
hostname/context2(config-pmap-c)# inspect dns preset_dns_map dynamic-filter-snoop
hostname/context2(config-pmap-c)# service-policy dynamic-filter_snoop_policy interface outside
hostname/context2(config)# dynamic-filter enable interface outside
 

その他の設定例

次の設定例では、ブラックリストとホワイトリストにスタティック エントリを追加します。次に、外部インターフェイスのポート 80 のトラフィックをすべて監視します。

hostname(config)# dynamic-filter updater-client enable
 
hostname(config)# changeto context context1
 
hostname/context1(config)# dynamic-filter use-database
hostname/context1(config)# class-map dynamic-filter_snoop_class
hostname/context1(config-cmap)# match port udp eq domain
hostname/context1(config-cmap)# policy-map dynamic-filter_snoop_policy
hostname/context1(config-pmap)# class dynamic-filter_snoop_class
hostname/context1(config-pmap-c)# inspect dns preset_dns_map dynamic-filter-snoop
hostname/context1(config-pmap-c)# service-policy dynamic-filter_snoop_policy interface outside
hostname/context1(config-pmap-c)# dynamic-filter blacklist
hostname/context1(config-llist)# name bad1.example.com
hostname/context1(config-llist)# name bad2.example.com
hostname/context1(config-llist)# address 10.1.1.1 255.255.255.0
hostname/context1(config-llist)# dynamic-filter whitelist
hostname/context1(config-llist)# name good.example.com
hostname/context1(config-llist)# name great.example.com
hostname/context1(config-llist)# name awesome.example.com
hostname/context1(config-llist)# address 10.1.1.2 255.255.255.255
hostname/context1(config-llist)# access-list dynamic-filter_acl extended permit tcp any any eq 80
hostname/context1(config)# dynamic-filter enable interface outside classify-list dynamic-filter_acl
 
hostname/context1(config)# changeto context context2
 
hostname/context2(config)# dynamic-filter use-database
hostname/context2(config)# class-map dynamic-filter_snoop_class
hostname/context2(config-cmap)# match port udp eq domain
hostname/context2(config-cmap)# policy-map dynamic-filter_snoop_policy
hostname/context2(config-pmap)# class dynamic-filter_snoop_class
hostname/context2(config-pmap-c)# inspect dns preset_dns_map dynamic-filter-snoop
hostname/context2(config-pmap-c)# service-policy dynamic-filter_snoop_policy interface outside
hostname/context2(config-pmap-c)# dynamic-filter blacklist
hostname/context2(config-llist)# name bad1.example.com
hostname/context2(config-llist)# name bad2.example.com
hostname/context2(config-llist)# address 10.1.1.1 255.255.255.0
hostname/context2(config-llist)# dynamic-filter whitelist
hostname/context2(config-llist)# name good.example.com
hostname/context2(config-llist)# name great.example.com
hostname/context2(config-llist)# name awesome.example.com
hostname/context2(config-llist)# address 10.1.1.2 255.255.255.255
hostname/context2(config-llist)# access-list dynamic-filter_acl extended permit tcp any any eq 80
hostname/context2(config)# dynamic-filter enable interface outside classify-list dynamic-filter_acl
 

関連情報

syslog サーバを設定するには、を参照してください。

トラフィックをブロックするアクセスリストを設定するには、を参照してください。インターフェイスへのアクセスリストの適用の詳細については、を参照してください。

接続を排除するには、を参照してください。

ボットネット トラフィック フィルタの機能履歴

表 2 に、この機能のリリース履歴の一覧を示します。

 

表 2 ボットネット トラフィック フィルタの機能履歴

機能名
リリース
機能情報

ボットネット トラフィック フィルタ

8.2(1)

この機能が導入されました。