ASDM を使用した Cisco セキュリティ アプライアン ス コンフィギュレーション ガイド
Botnet Traffic Filter の設定
Botnet Traffic Filter の設定
発行日;2012/02/01 | 英語版ドキュメント(2012/01/11 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 19MB) | フィードバック

目次

Botnet Traffic Filter の設定

Botnet Traffic Filter に関する情報

Botnet Traffic Filter のアドレス カテゴリ

既知のアドレスに対する Botnet Traffic Filter のアクション

Botnet Traffic Filter データベース

ダイナミック データベースに関する情報

スタティック データベースに関する情報

DNS 逆ルックアップ キャッシュおよび DNS ホストキャッシュに関する情報

Botnet Traffic Filter の動作原理

Botnet Traffic Filter のライセンス要件

ガイドラインおよび制約事項

デフォルト設定

Botnet Traffic Filter の設定

Botnet Traffic Filter の設定タスク フロー

ダイナミック データベースの設定

スタティック データベースへのエントリの追加

DNS スヌーピングのイネーブル化

Botnet Traffic Filter ロギングのトラフィック分類のイネーブル化

ボットネット トラフィックのブロック

ダイナミック データベースの検索

Botnet Traffic Filter の監視

Botnet Traffic Filter の Syslog メッセージ

Botnet Traffic Filter 実行の監視ペイン

関連情報

Botnet Traffic Filter の機能履歴

Botnet Traffic Filter の設定

マルウェアは、不明なホストにインストールされている悪意あるソフトウェアです。個人データ(パスワード、クレジット カード番号、キー ストローク、または機密データ)の送信などのネットワーク アクティビティを試みるマルウェアが既知の不正な IP アドレスに接続を開始すると、このようなマルウェアを Botnet Traffic Filter によって検出できます。Botnet Traffic Filter は、着信接続と送信接続を既知の不正なドメイン名および IP アドレスのダイナミック データベース( ブラックリスト )と照合してチェックし、あらゆる疑わしいアクティビティをログに記録します。マルウェア アクティビティに関する syslog メッセージが表示された場合、ホストを隔離して検疫するための処置を実行できます。

ブラックリストに載せられたアドレスを選択してスタティック ブラックリストに追加すると、Cisco ダイナミック データベースを補完することもできます。また、ブラックリストに載せられているアドレスで、ブラックリストに載せる必要がないと思われるアドレスがダイナミック データベースに含まれている場合、このアドレスをスタティック ホワイトリスト に手動で入力できます。ホワイトリストに載せられたアドレスによっても syslog メッセージが生成されますが、これは、ユーザがブラックリストの syslog メッセージを対象にしていることによるもので、このメッセージは情報メッセージにすぎません。


) 内部の要件により、Cisco ダイナミック データベースをまったく使用せず、対象とするすべてのマルウェア サイトを識別できる場合、スタティック ブラックリストだけを使用できます。


この章では、Botnet Traffic Filter を設定する方法について説明します。この章には、次の項があります。

「Botnet Traffic Filter に関する情報」

「Botnet Traffic Filter のライセンス要件」

「ガイドラインおよび制約事項」

「デフォルト設定」

「Botnet Traffic Filter の設定」

「Botnet Traffic Filter の監視」

「関連情報」

「Botnet Traffic Filter の機能履歴」

Botnet Traffic Filter に関する情報

この項では、Botnet Traffic Filter に関する情報を取り上げます。この項は、次の内容で構成されています。

「Botnet Traffic Filter のアドレス カテゴリ」

「既知のアドレスに対する Botnet Traffic Filter のアクション」

「Botnet Traffic Filter データベース」

「Botnet Traffic Filter の動作原理」

Botnet Traffic Filter のアドレス カテゴリ

Botnet Traffic Filter によって監視されるアドレスは、次のとおりです。

既知のマルウェア アドレス:これらのアドレスは、ダイナミック データベースとスタティック ブラック リストによって識別されたブラックリストに載せられています。

既知の許可アドレス:これらのアドレスはホワイトリストに載せられます。アドレスをホワイトリストに載せるには、アドレスがダイナミック データベースによってブラックリストに載せられ、スタティック ホワイトリストによって識別される必要があります。

あいまいなアドレス:これらのアドレスは、複数のドメイン名に関連付けられていますが、これらのドメイン名のすべてがブラックリストに載っているわけではありません。これらのアドレスは、 グレーリスト に載せられます。

未記載アドレス:これらのアドレスは未知であり、どのリストにも載っていません。

既知のアドレスに対する Botnet Traffic Filter のアクション

未記載アドレスは何の syslog メッセージも生成しませんが、ブラックリスト、ホワイトリスト、およびグレーリストに載っているアドレスは、タイプごとに異なる syslog メッセージを生成します。詳細については、「Botnet Traffic Filter の Syslog メッセージ」を参照してください。


) Botnet Traffic Filter はトラフィックを自動的にブロックしませんが、必要に応じて、既知の不正な宛先に対してアクセス ルールを設定してトラフィックを拒否する、あるいはCommand Line Interface ツールで shun コマンドを使用すれば、トラフィックを手動でブロックできます。


Botnet Traffic Filter データベース

Botnet Traffic Filter は、既知のアドレスに対して 2 つのデータベースを使用します。両方のデータベースを一緒に使用したり、ダイナミック データベースの使用をディセーブルにして、スタティック データベースだけを使用したりできます。この項は、次の内容で構成されています。

「ダイナミック データベースに関する情報」

「スタティック データベースに関する情報」

「DNS 逆ルックアップ キャッシュおよび DNS ホストキャッシュに関する情報」

ダイナミック データベースに関する情報

Botnet Traffic Filter は、Cisco アップデート サーバからダイナミック データベースの定期的なアップデートを受信できます。このデータベースには、数千もの不正な既知のドメイン名および IP アドレスが載っています。

セキュリティ アプライアンス では、ダイナミック データベースを次のように使用します。

1. DNS 応答のドメイン名がダイナミック データベース内の名前と一致すると、Botnet Traffic Filter はそのドメイン名と IP アドレスを DNS 逆ルックアップ キャッシュ に追加します。

2. 感染したホストがマルウェア サイトの IP アドレスに接続を開始すると、セキュリティ アプライアンス は syslog メッセージを送信して疑わしいアクティビティを通知します。

3. その IP アドレス自体がダイナミック データベースにある場合もあり、この場合、Botnet Traffic Filter は、DNS 要求を検査せずにその IP アドレスに対するあらゆるトラフィックを記録します。

データベース ファイルは実行メモリに保管され、フラッシュ メモリには保管されません。データベースを削除する必要がある場合は、[Configuration] > [Firewall] >[Botnet Traffic Filter] >[Botnet Database pane Purge Botnet Database] ボタンを使用してください。この場合、必ず [Configuration] > [Firewall] > [Botnet Traffic Filter] > [Botnet Database] > [Dynamic Database Configuration] 領域の [Use Botnet data dynamically downloaded from updater server] チェックボックスをオフにして、最初にデータベースの使用をディセーブルにしてください。


) データベースを使用するには、必ずセキュリティ アプライアンスのドメイン名サーバが URL にアクセスできるように、このドメイン名サーバを設定してください。

ダイナミック データベースのドメイン名を使用するには、Botnet Traffic Filter スヌーピングを使用した DNS パケット検査をイネーブルにする必要があります。これにより、セキュリティ アプライアンスは DNS パケット内にドメイン名および関連付けられた IP アドレスがないか調べます。


スタティック データベースに関する情報

不正な名前として指定するドメイン名または IP アドレス(ホストまたはサブネット)を手動でブラックリストに入力できます。また、 ダイナミック ブラックリストとホワイトリストの両方に表示される名前または IP アドレスが syslog メッセージおよびレポートでホワイトリスト アドレスとしてだけ識別されるように、その名前または IP アドレスをホワイトリストに入力できます。

ドメイン名をスタティック データベースに追加すると、セキュリティ アプライアンスは 1 分間待機してから、そのドメイン名の DNS 要求を送信し、ドメイン名と IP アドレスをペアにして DNS ホスト キャッシュ に追加します (この処理はバックグラウンド処理であり、セキュリティ アプライアンスの設定を続行する能力に影響しません)。

セキュリティ アプライアンスにドメイン名サーバが設定されていない、あるいはドメイン名サーバが利用できない場合は、代わりに Botnet Traffic Filter スヌーピングを使用した DNS パケット検査をイネーブルにできます。DNS スヌーピングを使用した場合、感染したホストがスタティック データベースの名前に対して DNS 要求を送信すると、セキュリティ アプライアンスは DNS パケット内のドメイン名と、関連付けられた IP アドレスを調べて、その名前と IP アドレスを DNS 逆ルックアップ キャッシュに追加します。

DNS 逆ルックアップ キャッシュおよび DNS ホストキャッシュに関する情報

ダイナミック データベースを DNS スヌーピングと共に使用すると、エントリはDNS 逆キャッシュ ルックアップに追加されます。スタティック データベースを使用する場合、エントリは DNS ホスト キャッシュに追加されます(スタティック データベースを DNS スヌーピングおよび DNS 逆ルックアップ キャッシュと共に使用する場合については、「スタティック データベースに関する情報」 を参照してください)。

DNS 逆ルックアップ キャッシュおよび DNS ホスト キャッシュのエントリには、DNS サーバによって Time To Live(TTL; 存続可能時間)値が指定されます。最大許容 TTL 値は 1 日(24 時間)です。DNS サーバがそれよりも大きい TTL を指定した場合、1 日以内に切り捨てられます。

DNS 逆ルックアップ キャッシュでは、エントリがタイムアウトになってから、感染したホストが既知のアドレスに接続を開始すると、セキュリティ アプライアンスはエントリを更新し、DNS スヌーピングが発生します。

DNS ホスト キャッシュでは、エントリがタイム アウトになると、セキュリティ アプライアンスはエントリのリフレッシュを定期的に要求します。

DNS ホスト キャッシュの場合、ブラックリスト エントリおよびホワイトリスト エントリの最大数はそれぞれ 1000 です。

表 29-1 に、DNS 逆ルックアップ キャッシュの最大エントリ数をモデルごとに示します。

 

表 29-1 モデルごとの DNS 逆ルックアップ キャッシュ エントリ

ASA モデル
最大エントリ

ASA 5505

5000

ASA 5510

10,000

ASA 5520

20,000

ASA 5540

40,000

ASA 5550

40,000

ASA 5580

100,000

Botnet Traffic Filter の動作原理

図 29-1 に、Botnet Traffic Filter スヌーピングを使用した DNS 検査とダイナミック データベースを併用した場合の Botnet Traffic Filter の動作を示します。

図 29-1 ダイナミック データベースを使用した場合の Botnet Traffic Filter の動作

 

図 29-2 に、スタティック データベースを使用した場合の Botnet Traffic Filter の動作を示します。

図 29-2 スタティック データベースを使用した場合の Botnet Traffic Filter の動作

 

Botnet Traffic Filter のライセンス要件

次の表に、この機能のライセンス要件を示します。

 

モデル
ライセンス要件

全モデル

Botnet Traffic Filter ライセンス。

ガイドラインおよび制約事項

この項では、この機能に関するガイドラインおよび制約事項について説明します。

コンテキスト モードのガイドライン

シングル モードとマルチ コンテキスト モードでサポートされます。

ファイアウォール モードのガイドライン

ルーテッド ファイアウォール モードとトランスペアレント ファイアウォール モードでサポートされます。

フェールオーバーに関するガイドライン

ステートフル フェールオーバーでは、DNS 逆ルックアップ キャッシュ、DNS ホスト キャッシュ、またはダイナミック データベースの複製をサポートしません。

IPv6 のガイドライン

IPv6 をサポートしません。

追加のガイドラインおよび制約事項

TCP DNS トラフィックはサポートされません。

スタティック データベースには、最大 1000 のブラックリスト エントリと 1000 のホワイトリスト エントリを追加できます。

デフォルト設定

デフォルトでは、ダイナミック データベースが使用されるため、Botnet Traffic Filter はディセーブルになっています。

DNS 検査がデフォルトでイネーブルになっているため、デフォルトでは Botnet Traffic Filter スヌーピングがディセーブルになります。

Botnet Traffic Filter の設定

この項は、次の内容で構成されています。

「Botnet Traffic Filter の設定タスク フロー」

「ダイナミック データベースの設定」

「DNS スヌーピングのイネーブル化」

「スタティック データベースへのエントリの追加」

「Botnet Traffic Filter ロギングのトラフィック分類のイネーブル化」

「ボットネット トラフィックのブロック」

「ダイナミック データベースの検索」

Botnet Traffic Filter の設定タスク フロー

Botnet Traffic Filter を設定するには、次の手順を実行します。


ステップ 1 ダイナミック データベースの使用をイネーブルにします。「ダイナミック データベースの設定」を参照してください。

この手順では、Cisco アップデート サーバからのデータベース更新をイネーブルにし、また、セキュリティ アプライアンスによってダウンロードされたダイナミック データベースの使用をイネーブルにします。ダウンロードされたデータベースの使用を許可しない場合、データベースをコンテキスト ベースで使用するように設定できるので、この操作はマルチ コンテキスト モードで役立ちます。

ステップ 2 (オプション)データベースにスタティック エントリを追加します。「スタティック データベースへのエントリの追加」を参照してください。

この手順を実行することにより、ドメイン名または IP アドレスをブラックリストまたはホワイトリストに載せてダイナミック データベースを強化できます。ダイナミック データベースをインターネットでダウンロードしない場合は、ダイナミック データベースの代わりにスタティック データベースを使用できます。

ステップ 3 DNS スヌーピングをイネーブルにします。「DNS スヌーピングのイネーブル化」を参照してください。

この手順では、DNS パケットの検査をイネーブルにし、ドメイン名をダイナミック データベースまたはスタティック データベース(セキュリティ アプライアンスの DNS サーバが利用できないとき)内のドメイン名と比較し、さらに、DNS 逆ルックアップ キャッシュに名前と IP アドレスを追加します。このキャッシュは、疑わしいアドレスに接続が確立されたときに、Botnet Traffic Filter ロギング機能で使用されます。

ステップ 4 Botnet Traffic Filter ロギングのトラフィック分類をイネーブルにします。「Botnet Traffic Filter ロギングのトラフィック分類のイネーブル化」を参照してください。

この手順では、Botnet Traffic Filter をイネーブルにします。Botnet Traffic Filter は、初期接続パケットごとの送信元および宛先 IP アドレスをダイナミック データベース、スタティック データベース、DNS 逆ルックアップ キャッシュ、および DNS ホスト キャッシュの IP アドレスと比較して、すべての一致トラフィックに関する syslog メッセージを送信します。

ステップ 5 syslog メッセージ情報に基づいてトラフィックをブロックします。「ボットネット トラフィックのブロック」を参照してください。

Botnet Traffic Filter はトラフィックを自動的にブロックしませんが、必要に応じて、アクセス ルールを設定してトラフィックを拒否する、あるいは Command Line Interface ツールで shun コマンドを使用してホストとの間で送受信されるすべてのトラフィックをブロックすれば、トラフィックを手動でブロックできます。


 

ダイナミック データベースの設定

この手順を実行すると、データベースの更新が可能になり、また、ダウンロードされたダイナミック データベースの使用をセキュリティ アプライアンスでイネーブルにできます。ダウンロードされたデータベースの使用をディセーブルにすると、データベースをコンテキスト ベースで使用するように設定できるため、この操作はマルチ コンテキスト モードで有用です。

デフォルトでは、ダイナミック データベースのダウンロードおよび使用はディセーブルになっています。

前提条件

[Device Management] > [DNS] > [DNS Client] > [DNS Lookup] 領域で、DNSサーバ のセキュリティ アプライアンスの使用をイネーブルにします。マルチ コンテキスト モードでは、コンテキストごとに DNS をイネーブルにしてください。

詳細手順


ステップ 1 ダイナミック データベースのダウンロードをイネーブルにします。

シングル モードでは、 [Configuration] > [Firewall] > [Botnet Traffic Filter] > [Botnet Database] ペインを選択し、 [Enable Botnet Updater Client] チェックボックスをオンにします。

マルチ コンテキスト モードでは、[System execution] スペースで、 [Configuration] > [Device Management] > [Botnet Database] ペインを選択し、 [Enable Botnet Updater Client] チェックボックスをオンにします。

この設定を行うと、Cisco アップデート サーバからダイナミック データベースをダウンロードできます。マルチ コンテキスト モードでは、システム実行スペースでこのコマンドを入力してください。セキュリティ アプライアンスにデータベースがまだインストールされていない場合、約 2 分後にデータベースがダウンロードされます。アップデート サーバは、将来のアップデートに備えて、セキュリティ アプライアンスがサーバをポーリングする頻度を決定します。この頻度は通常 1 時間ごとです。

ステップ 2 (マルチ コンテキスト モードの場合だけ)マルチ コンテキスト モードでは、 [Apply] をクリックします。[Device List] でコンテキスト名をダブルクリックして、Botnet Traffic Filter を設定しようとするコンテキストに変更します。

ステップ 3 [Configuration] > [Firewall] > [Botnet Traffic Filter] > [Botnet Database] > [Dynamic Database Configuration] 領域で、 [Use Botnet data dynamically downloaded from updater server] チェックボックスをオンにします。

ステップ 4 [Apply] をクリックします。

ステップ 5 (オプション)後でデータベースを実行メモリから削除するには、次の手順を実行します。

a. [Use Botnet data dynamically downloaded from updater server] チェックボックスをオフにしてデータベースの使用をディセーブルにします。

b. [Apply] をクリックします。

c. [Purge Botnet Database] をクリックします。

d. データベースを再度ダウンロードするには、 [Use Botnet data dynamically downloaded from updater server] チェックボックスを再度オンにします。

e. [Apply] をクリックします。


 


) [Fetch Botnet Database] ボタンは、あくまでもテスト目的のボタンです。このボタンをクリックすると、ダイナミック データベースをダウンロードして検証しますが、実行メモリに保存しません。

[Search Dynamic Database] 領域に関する情報は、「ダイナミック データベースの検索」 を参照してください。


次のステップ

「スタティック データベースへのエントリの追加」を参照してください。

スタティック データベースへのエントリの追加

スタティック データベースを使用して、ドメイン名または IP アドレスをブラックリストまたはホワイトリストに載せると、ダイナミック データベースを強化できます。詳細については、「スタティック データベースに関する情報」を参照してください。

前提条件

この手順は、マルチ コンテキスト モードにおいて、コンテキスト実行スペースで実行します。

[Device Management] > [DNS] > [DNS Client] > [DNS Lookup] 領域で、DNSサーバ のセキュリティ アプライアンスの使用をイネーブルにします。マルチ コンテキスト モードでは、コンテキストごとに DNS をイネーブルにしてください。

詳細手順

 


ステップ 1 [Configuration] > [Firewall] > [Botnet Traffic Filter] > [Black List] または [White List] ペインを選択し、[Whitelist] または [Blacklist] の [Add] をクリックします。

[Enter hostname or IP Address] ダイアログボックスが表示されます。

ステップ 2 [Addresses] フィールドに、1 つ以上のドメイン名、IP アドレス、および IP アドレス/ネットマスクを入力します。

コンマ、スペース、行、またはセミコロンで区切られたエントリを複数入力してください。タイプごとに、最大 1000 までのエントリを入力できます。

ステップ 3 [OK] をクリックします。

ステップ 4 [Apply] をクリックします。


 

次のステップ

「DNS スヌーピングのイネーブル化」を参照してください。

DNS スヌーピングのイネーブル化

この手順では、DNS パケットの検査をイネーブルにし、さらに Botnet Traffic Filter スヌーピングをイネーブルにします。これにより、ドメイン名がダイナミック データベースまたはスタティック データベースに格納されているものと比較され、そのドメイン名と IP アドレスが Botnet Traffic Filter DNS 逆ルックアップ キャッシュに追加されます。このキャッシュは、疑わしいアドレスに接続が確立されたときに、Botnet Traffic Filter ロギング機能で使用されます。

前提条件

この手順は、マルチ コンテキスト モードにおいて、コンテキスト実行スペースで実行します。

最初に Botnet Traffic Filter を使用し、スヌープしようとするトラフィックに合わせて DNS 検査を設定する必要があります。モジュラ ポリシー フレームワークを使用した高度な DNS 検査オプションの設定に関する詳細情報は、「DNS インスペクション」および「サービス ポリシー ルールの設定」を参照してください。


) DNS スヌーピングは、[Configuration] > [Firewall] > [Service Policy Rules] > [Rule Actions] > [Protocol Inspection] > [Select DNS Inspect Map] ダイアログボックスでも直接設定できます。この設定を行うには、[Enable Botnet traffic filter DNS snooping] チェックボックスをオンにします。


制約事項

TCP DNS トラフィックはサポートされません。

デフォルトの DNS 検査設定および推奨設定

DNS 検査のデフォルト設定では、すべてのインターフェイス上のすべての UDP DNS トラフィックを検査しますが、DNS スヌーピングはイネーブルになっていません。

外部 DNS 要求が通過するインターフェイス上の DNS スヌーピングだけをイネーブルにすることをお勧めします。内部 DNS サーバに向かう UDP DNS トラフィックを含め、すべての UDP DNS トラフィックで DNS スヌーピングをイネーブルにすると、セキュリティ アプライアンスに不要な負荷がかかります。

たとえば、DNS サーバが外部インターフェイスにある場合は、外部インターフェイス上のすべての UDP DNS トラフィックに対してスヌーピングと DNS 検査をイネーブルにする必要があります。

詳細手順


ステップ 1 [Configuration] > [Firewall] > [Botnet Traffic Filter] > [DNS Snooping] ペインを選択します。

DNS 検査を含むすべての既存のサービス ルールが表に表示されます。

ステップ 2 [DNS Snooping Enabled] カラムで、DNS スヌーピングをイネーブルにするルールごとに、チェックボックスをオンにします。

ステップ 3 [Apply] をクリックします。


 

Botnet Traffic Filter ロギングのトラフィック分類のイネーブル化

この手順では、Botnet Traffic Filter をイネーブルにします。Botnet Traffic Filter は、それぞれの初期接続パケットの送信元および宛先 IP アドレスを次のものと比較します。

ダイナミック データベースの IP アドレス

スタティック データベースの IP アドレス

DNS 逆ルックアップ キャッシュ(ダイナミック データベースのドメイン名の場合)

DNS ホスト キャッシュ(スタティック データベースのドメイン名の場合)

アドレスが一致すると、セキュリティ アプライアンスは syslog メッセージを送信します。

前提条件

この手順は、マルチ コンテキスト モードにおいて、コンテキスト実行スペースで実行します。

推奨設定

DNS スヌーピングは必須ではありませんが、Botnet Traffic Filter を最大限に利用するためにも、DNS スヌーピングを設定することをお勧めします(「DNS スヌーピングのイネーブル化」 を参照してください)。ダイナミック データベースに DNS スヌーピングを使用しない場合、Botnet Traffic Filter はスタティック データベースのエントリとダイナミック データベース内の IP アドレスだけを使用するため、ダイナミック データベースのドメイン名は使用されません。

インターネットに面するインターフェイス上のすべてのトラフィックで、Botnet Traffic Filter をイネーブルにすることをお勧めします。

詳細手順

 


ステップ 1 [Configuration] > [Firewall] > [Botnet Traffic Filter] > [Traffic Classification] ペインを選択し、Botnet Traffic Filter をイネーブルにする各インターフェイスの [Traffic Classified] チェックボックスをオンにします。

すべてのインターフェイスに適用されるグローバル分類を設定するには、[Global](すべてのインターフェイス)の[Traffic Classified] ボックスをオンにします。インターフェイス固有の分類を設定すると、そのインターフェイスの設定によって、グローバル設定が上書きされます。

ステップ 2 インターフェイスごとに、 [ACL Used] ドロップダウン リストをクリックして、[--ALL TRAFFIC--](デフォルト)または セキュリティ アプライアンスに設定されている任意のアクセス リストを選択します。

たとえば、外部インターフェイスにあるすべてのポート 80 のトラフィックを監視することが必要な場合があります。

ステップ 3 アクセス リストを追加または編集するには、 [Manage ACL] をクリックして ACL Manager を起動します。

詳細については、「[ACL Manager]」を参照してください。

ステップ 4 新しいアクセス リストを追加する場合は、アクセス リストを [ACL Used] ドロップダウン リストから選択します。

ステップ 5 [Apply] をクリックします。


 

 

ボットネット トラフィックのブロック

Botnet Traffic Filter はトラフィックを自動的にブロックしませんが、必要に応じて、アクセス リストを設定してトラフィックを拒否する、あるいは Command Line Interface ツールで shun コマンドを使用してホストとの間で送受信されるすべてのトラフィックをブロックすれば、トラフィックを手動でブロックできます。一部のメッセージには、ASDM で自動的にアクセス ルールを設定できます。

たとえば、次の syslog メッセージを受信したとします。

ASA-4-338002: Dynamic Filter permitted black listed TCP traffic from inside:10.1.1.45/6798 (209.165.201.1/7890) to outside:209.165.202.129/80 (209.165.202.129/80), destination 209.165.202.129 resolved from dynamic list: bad.example.com
 

この場合、次のいずれかのアクションを実行できます。

アクセス ルールを作成して、トラフィックを拒否する。

たとえば、上記の syslog メッセージを使用して、10.1.1.45 にある感染したホストから 209.165.202.129 にあるマルウェア サイトへのトラフィックを拒否するとします。あるいは、さまざまなブラックリストに載っているアドレスへの接続が多数ある場合は、ホスト コンピュータへの感染を解決するまで、アクセス リストを作成して 10.1.1.45 からのトラフィックをすべて拒否できます。

次の syslog メッセージの場合、Real Time Log Viewer から逆アクセス ルールを自動的に作成できます。

338001, 338002, 338003, 338004 (blacklist)

338201, 338202 (graylist)

アクセス ルールの作成に関する詳細については、「ロギングのモニタリング」および「アクセス ルールおよび ACL の設定」を参照してください。


) Botnet Traffic Filter の syslog メッセージから逆アクセス ルールを作成し、インターフェイスに他のアクセス ルールが適用されていない場合は、すべてのトラフィックを不用意にブロックしてしまうことがあります。通常、アクセス ルールがない場合、セキュリティの高いインターフェイスからセキュリティの低いインターフェイスへのトラフィックはすべて許可されます。しかし、アクセス ルールを適用すると、明示的に許可したトラフィック以外のトラフィックはすべて拒否されます。逆アクセス ルールは拒否ルールであるため、必ず、インターフェイスの結果のアクセス ポリシーを編集して、他のトラフィックを許可してください。

アクセス リストによって、将来の接続がすべてブロックされます。現行の接続がまだアクティブである場合は、その接続をブロックするために、clear conn コマンドを入力してください。たとえば、syslog メッセージに表示されている接続だけをクリアするには、clear conn address 10.1.1.45 address 209.165.202.129 コマンドを入力します。詳細については、『Cisco ASA 5500 Series Command Reference』を参照してください。


感染しているホストを除外します。

除外すると、ホストからのすべての接続がブロックされるため、特定の宛先アドレスおよびポートへの接続をブロックする場合は、アクセス リストを使用してください。ホストを除外するには、[Tools] > [Command Line Interface] で次のコマンドを入力します。将来のすべての接続だけでなく、現在の接続をドロップするには、宛先アドレス、送信元ポート、宛先ポート、およびオプションのプロトコルを入力します。

shun src_ip [dst_ip src_port dest_port [protocol]]
 

たとえば、10.1.1.45 からの将来の接続をブロックし、syslog メッセージに示されたマルウェア サイトへの現在の接続をドロップするには、次のように入力します。

shun 10.1.1.45 209.165.202.129 6798 80
 

感染を解決したら、必ずアクセス リストまたは排除情報を削除してください。排除情報を削除するには、 no shun src_ip を入力します。

ダイナミック データベースの検索

ドメイン名または IP アドレスがダイナミック データベースに格納されているかどうかを確認する場合は、データベースで文字列を検索できます。

詳細手順


ステップ 1 次の手順で [Search Dynamic Database] 領域にアクセスします。

シングル モードで、あるいはコンテキスト内で、[Configuration] > [Firewall] > [Botnet Traffic Filter] > [Botnet Database Update] ペインに進みます。

マルチ コンテキスト モードでは、[System execution] スペースで [Configuration] > [Device Management] > [Botnet Database Update] ペインに進みます。

ステップ 2 [Search string] フィールドに、少なくとも 3 文字以上の文字列を入力し、 [Find Now] をクリックします。

最初の 2 つの一致が示されます。さらに具体的な一致を検索できるように再定義するには、さらに長い文字列を入力してください。

ステップ 3 表示された一致および検索文字列をクリアするには、 [Clear] をクリックするか、新規の文字列を入力して [Find Now] をクリックすると、表示が更新されます。


 

Botnet Traffic Filter の監視

既知のアドレスが Botnet Traffic Filter によって分類されると、必ず syslog メッセージが生成されます。また、セキュリティ アプライアンスでコマンドを入力すると、Botnet Traffic Filter 統計情報やその他のパラメータも監視できます。この項は、次の内容で構成されています。

「Botnet Traffic Filter の Syslog メッセージ」

「Botnet Traffic Filter 実行の監視ペイン」

Botnet Traffic Filter の Syslog メッセージ

Botnet Traffic Filter は、338 nnn と付番された詳細な syslog メッセージを生成します。メッセージでは、着信接続と発信接続、ブラックリスト、ホワイトリスト、またはグレーリスト アドレス、およびその他多くの変数が区別されます (グレーリストには、複数のドメイン名に関連付けられているアドレスが載せられますが、これらのドメイン名のすべてがブラックリストに載っているわけではありません)。

syslog メッセージに関する詳細については、『 Cisco ASA 5500 Series System Log Messages 』を参照してください。

次の syslog メッセージの場合、Real Time Log Viewer から逆アクセス ルールを自動的に作成できます。

338001, 338002, 338003, 338004 (blacklist)

338201, 338202 (graylist)

「ロギングのモニタリング」を参照してください。

Botnet Traffic Filter 実行の監視ペイン

Botnet Traffic Filter を監視するには、次のペインを確認してください。

 

コマンド
目的

[Home] > [Firewall Dashboard]

Botnet Traffic Filter の上位統計情報を示します。この情報では、ボットネット サイト、ポート、および感染しているホストの上位 10 件に関するレポートが示されます。このレポートはデータのスナップショットであり、収集開始からの統計情報の上位 10 項目と一致しないことがあります。IP アドレスを右クリックすると、whois ツールが起動してボットネット サイトの詳細が表示されます。

[Top Botnet Sites]:上位のボットネット サイトを示します。

[Top Botnet Ports]:上位のボットネット ポートを示します。

[Top Infected Hosts]:上位の感染しているホストを示します。

[Monitoring] > [Botnet Traffic Filter] > [ASP Table Hits]

高速セキュリティ パスにインストールされている Botnet Traffic Filter ルールを表示します。

[Monitoring] > [Botnet Traffic Filter] > [Dynamic Database]

ダイナミック データベースに関する情報を表示します。この情報には、ダイナミック データベースが最後にダウンロードされた時刻、データベースのバージョン、データベースに格納されているエントリ数、および10 件のサンプル エントリが含まれます。

[Monitoring] > [Botnet Traffic Filter] > [DNS Snooping]

Botnet Traffic Filter DNS スヌーピングの実際の IP アドレスと名前を表示します。この出力には、ブラックリスト内で一致する名前だけではなく、すべての検査済みの DNS データが含まれます。スタティック エントリからの DNS データは含まれません。

[Monitoring] > [Botnet Traffic Filter] > [Reports]

ボットネット サイト、ポート、および感染したホストの上位 10 件に関するレポートを生成します。このレポートはデータのスナップショットであり、収集開始からの統計情報の上位 10 項目と一致しないことがあります。ホストの場合、メモリへの影響を軽減するためにタイムアウト値は 1 時間です(設定不可)。サイトおよびポートのレポートには、タイムアウト値は記載されません。

IP アドレスを右クリックすると、whois ツールが起動してボットネット サイトの詳細が表示されます。レポートは、PDF ファイルとして保存できます。

[Monitoring] > [Botnet Traffic Filter] > [Statistics]

Botnet Traffic Filter で監視されている接続数、およびこれらの接続のうち、ホワイトリスト、ブラックリスト、およびグレーリストに一致した接続数を表示します (グレーリストには、複数のドメイン名に関連付けられているアドレスが載せられますが、これらのドメイン名のすべてがブラックリストに載っているわけではありません)。

[Monitoring] > [Botnet Traffic Filter] > [Updater Client]

アップデータ サーバに関する情報を表示します。この情報には、サーバの IP アドレス、次回セキュリティ アプライアンスがサーバに接続するとき、および最後にインストールされたデータベースのバージョンが含まれます。

関連情報

syslog サーバを設定する場合については、「ロギングの設定」を参照してください。

アクセス ルールを使用して接続をブロックする場合については、「アクセス ルールおよび ACL の設定」を参照してください。

Botnet Traffic Filter の機能履歴

表 29-2 に、この機能のリリース履歴を示します。

 

表 29-2 Botnet Traffic Filter の機能履歴

機能名
リリース
機能情報

Botnet Traffic Filter

8.2(1)

この機能を導入。