Cisco Security Manager 4.2 ユーザ ガイド
ファイアウォールの Botnet Traffic Filter ルールの管理
ファイアウォールの Botnet Traffic Filter ルールの管理
発行日;2012/05/08 | 英語版ドキュメント(2011/09/08 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 17MB) | フィードバック

目次

ファイアウォールの Botnet Traffic Filter ルールの管理

Botnet Traffic Filter について

Botnet Traffic Filter 設定のタスク フロー

動的データベースの設定

静的データベースへのエントリの追加

DNS スヌーピングのイネーブル化

Botnet Traffic Filter のトラフィック分類およびアクションのイネーブル化

[Botnet Traffic Filter Rules] ページ

[Dynamic Blacklist Configuration] タブ

[Traffic Classification] タブ

BTF イネーブル化ルール エディタ

BTF 廃棄ルール エディタ

[Whitelist/Blacklist] タブ

[Device Whitelist] または [Device Blacklist] ダイアログボックス

ファイアウォールの Botnet Traffic Filter ルールの管理

マルウェアとは、不明なホストにインストールされている悪意のあるソフトウェアです。プライベート データ(パスワード、クレジット カード番号、キー ストローク、または独自のデータ)の送信などのネットワーク アクティビティを試行するマルウェアは、そのマルウェアが悪意のある既知の IP アドレスへの接続を開始したときに、Botnet Traffic Filter で検出できます。Botnet Traffic Filter は、悪意のある既知のドメイン名および IP アドレスを含む動的データベースと、着信接続および発信接続とを照合して、疑わしいアクティビティをすべてログに記録します。

また、ユーザが選択したブラックリスト掲載アドレスを静的ブラックリストに追加することによって、これらのアドレスでシスコの動的データベースを補完することもできます。ブラックリストに掲載する必要はないと考えられるアドレスがブラックリスト掲載アドレスとして動的データベースに含まれている場合は、これらのアドレスを手動で静的ホワイトリストに加えることができます。ホワイトリストのアドレスの場合も syslog メッセージが生成されますが、必要となるのはブラックリストの syslog メッセージだけであるため、単なる情報です。社内要件のためにシスコの動的データベースをいっさい使用せず、かつ、対象とするすべてのマルウェア サイトを特定できる場合は、静的ブラックリストだけを使用できます。

関連項目

「Botnet Traffic Filter について」

「Botnet Traffic Filter 設定のタスク フロー」

「[Botnet Traffic Filter Rules] ページ」

Botnet Traffic Filter について

Botnet Traffic Filter のアドレス カテゴリ

Botnet Traffic Filter によってモニタされるアドレスは、次のとおりです。

既知のマルウェア アドレス :これらのアドレスは、動的データベースおよび静的ブラックリストによって識別されるブラックリストに含まれています。

既知の許可アドレス :これらのアドレスは、ホワイトリストに含まれています。ホワイトリストに掲載するには、アドレスが動的データベースによってブラックリストに掲載され、かつ静的ホワイトリストによって識別される必要があります。

曖昧アドレス :これらのアドレスは、複数のドメイン名に関連付けられていますが、そのドメイン名のすべてがブラックリストに含まれているわけではありません。これらのアドレスは、グレーリストに含まれています。

リストにないアドレス :これらのアドレスは不明であり、どのリストにも含まれていません。

既知のアドレスに対するボットネット トラフィック フィルタ

疑わしいアクティビティをログに記録するように Botnet Traffic Filter を設定できます。また、任意で、疑わしいトラフィックを自動的にブロックするように設定できます。

リストにないアドレスに対しては syslog メッセージは生成されませんが、ブラックリスト、ホワイトリスト、およびグレーリストのアドレスに対しては、タイプ別に区別された syslog メッセージが生成されます。

Botnet Traffic Filter データベース

Botnet Traffic Filter では、既知アドレス用に 2 つのデータベースを使用します。両方のデータベースを併用することも、動的データベースの使用をディセーブルにして静的データベースだけを使用することもできます。この項は、次の内容で構成されています。

動的データベースに関する情報

静的データベースに関する情報

動的データベースに関する情報

Botnet Traffic Filter は、シスコの更新サーバから動的データベースの定期的な更新を受信できます。このデータベースには、何千もの悪意のある既知のドメイン名および IP アドレスが格納されています。

セキュリティ アプライアンスでは動的データベースを次のように使用します。

1. DNS 応答内のドメイン名が動的データベース内の名前と一致した場合、Botnet Traffic Filter はその名前および IP アドレスを DNS 逆ルックアップ キャッシュに追加します。

2. 感染したホストがマルウェア サイトの IP アドレスへの接続を開始すると、セキュリティ アプライアンスは、疑わしいアクティビティについて通知する syslog メッセージを送信します。

3. 場合によっては、IP アドレス自体が動的データベースに入力され、Botnet Traffic Filter は DNS 要求を検査せずに、その IP アドレスへのすべてのトラフィックをログに記録します。


) データベースを使用するには、セキュリティ アプライアンスが URL にアクセスできるように、必ずセキュリティ アプライアンス用にドメイン ネーム サーバを設定してください。

動的データベースでドメイン名を使用するには、Botnet Traffic Filter のスヌーピングとともに DNS パケット インスペクションをイネーブルにする必要があります。セキュリティ アプライアンスは DNS パケット内を調べて、ドメイン名と関連する IP アドレスを見つけます。


静的データベースに関する情報

悪意のある名前としてタグ付けするドメイン名または IP アドレス(ホストまたはサブネット)を手動でブラックリストに追加できます。また、ホワイトリストと動的ブラックリストの両方にある名前またはアドレスが syslog メッセージおよびレポート内でホワイトリスト アドレスとしてだけ識別されるように、ホワイトリストに名前または IP アドレスを追加することもできます。

これ以外に、Botnet Traffic Filter のスヌーピングとともに DNS パケット インスペクションをイネーブルにする方法もあります。DNS スヌーピングを使用すると、感染したホストが静的データベース上の名前に対して DNS 要求を送信した場合に、セキュリティ アプライアンスは DNS パケット内を調べてドメイン名および関連する IP アドレスを見つけ、その名前および IP アドレスを DNS 逆ルックアップ キャッシュに追加します。

関連項目

「Botnet Traffic Filter 設定のタスク フロー」

「[Botnet Traffic Filter Rules] ページ」

Botnet Traffic Filter 設定のタスク フロー

Botnet Traffic Filter を設定するには、次の手順を実行します。


ステップ 1 DNS サーバの使用をイネーブルにします。

この手順により、セキュリティ アプライアンスで DNS サーバを使用できるようになります。マルチ コンテキスト モードで、コンテキストごとに DNS をイネーブルにします。

詳細については、「[DNS] ページ」を参照してください。

ステップ 2 動的データベースの使用をイネーブルにします。

この手順により、シスコの更新サーバからデータベースを更新できるようになり、また、セキュリティ アプライアンスでダウンロード済み動的データベースを使用できるようになります。コンテキストごとにデータベースの使用を設定できるように、マルチ コンテキスト モードではダウンロード済みデータベースの使用を禁止しておくと役立ちます。

詳細については、「動的データベースの設定」を参照してください。

ステップ 3 (任意)静的エントリをデータベースに追加します。

この手順により、ブラックリストまたはホワイトリストに掲載するドメイン名または IP アドレスを使用して、動的データベースを拡張できます。インターネット経由で動的データベースをダウンロードしない場合は、動的データベースの代わりに静的データベースを使用できます。

詳細については、「静的データベースへのエントリの追加」を参照してください。

ステップ 4 DNS スヌーピングをイネーブルにします。

この手順により、DNS パケットのインスペクションがイネーブルになり、(セキュリティ アプライアンス用の DNS サーバを使用できない場合は)ドメイン名と動的データベースまたは静的データベース内のドメイン名が比較され、名前および IP アドレスが DNS 逆ルックアップ キャッシュに追加されます。その後、疑わしいアドレスに対して接続が確立されたとき、Botnet Traffic Filter ロギング機能によってこのキャッシュが使用されます。

詳細については、「DNS スヌーピングのイネーブル化」を参照してください。

ステップ 5 Botnet Traffic Filter のトラフィック分類およびアクションをイネーブルにします。

この手順により、Botnet Traffic Filter で、各初期接続パケット内の送信元および宛先 IP アドレスを動的データベース、静的データベース、DNS 逆ルックアップ キャッシュ、および DNS ホスト キャッシュと比較して、一致トラフィックに関する syslog メッセージを送信するか、そのトラフィックをドロップできるようになります。

詳細については、「Botnet Traffic Filter のトラフィック分類およびアクションのイネーブル化」を参照してください。

ステップ 6 ボットネット アクティビティをモニタおよび軽減します。

デバイスに Botnet Traffic Filter を設定すると、デバイスはボットネット アクティビティを通知する syslog メッセージの生成を開始します。メッセージが適切にログに記録され、必要に応じて通知が送信されるように、デバイス上の syslog 設定を確認する必要があります。悪意のあるトラフィックが識別された場合は、必要なアクションを実行してこのようなトラフィックを停止し、悪意のあるトラフィックを生成している感染コンピュータを浄化する必要があります。

詳細については、次の項を参照してください。

1. 「ファイアウォール デバイスでのロギング ポリシーの設定」

2. 「ボットネット アクティビティのモニタリングと軽減」

3. 「ファイアウォール サマリー ボットネット レポートについて」


 

動的データベースの設定

この手順により、データベースを更新できるようになり、また、セキュリティ アプライアンスでダウンロード済み動的データベースを使用できるようになります。

マルチ コンテキスト モードの場合、すべてのセキュリティ コンテキストで使用できるように、システム コンテキストで動的データベースのダウンロードをイネーブルにします。そのあと、コンテキストごとに、動的データベースの使用をイネーブルにするかディセーブルにするかを決定できます。

デフォルトでは、動的データベースのダウンロードおよび使用はディセーブルになります。

関連項目

「[Dynamic Blacklist Configuration] タブ」

「Botnet Traffic Filter について」

「Botnet Traffic Filter 設定のタスク フロー」

「静的データベースへのエントリの追加」

「DNS スヌーピングのイネーブル化」

「Botnet Traffic Filter のトラフィック分類およびアクションのイネーブル化」

「[Botnet Traffic Filter Rules] ページ」

始める前に

セキュリティ アプライアンスで DNS サーバの使用をイネーブルにします(「[DNS] ページ」を参照)。マルチ コンテキスト モードで、コンテキストごとに DNS をイネーブルにします。


ステップ 1 次のいずれかを実行します。

(デバイス ビュー)ポリシー セレクタから [Firewall] > [Botnet Traffic Filter Rules] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [Firewall] > [Botnet Traffic Filter Rules] を選択します。既存のポリシーを選択するか、または新しいポリシーを作成します。


) マルチ コンテキスト モードのデバイスの場合、システム コンテキストで動的データベースのダウンロードをイネーブルにし、必要に応じて各セキュリティ コンテキストで動的データベースの使用をイネーブルにします。


この操作により、「[Botnet Traffic Filter Rules] ページ」が開きます。

ステップ 2 [Dynamic Blacklist Configuration] タブで [Enable Dynamic Blacklist From Server] を選択して、動的データベースのダウンロードをイネーブルにします。


) マルチ コンテキスト モードの場合、システム コンテキストで動的データベースのダウンロードをイネーブルにします。


この設定により、シスコの更新サーバから動的データベースをダウンロードできるようになります。データベースをセキュリティ アプライアンスにまだインストールしていない場合は、約 2 分後にデータベースがダウンロードされます。セキュリティ アプライアンスが今後の更新を検出するためにサーバをポーリングする頻度(通常は 1 時間おき)が、更新サーバによって決定されます。

ステップ 3 (マルチ コンテキスト モードだけ)[Save] をクリックして、システム コンテキストに変更を保存します。次に、Botnet Traffic Filter を設定するコンテキストに移動し、そのコンテキストの [Firewall] > [Botnet Traffic Filter Rules] を選択してステップ 4 に進みます。

ステップ 4 [Dynamic Blacklist Configuration] タブで [Use Dynamic Blacklist] を選択して、動的データベースの使用をイネーブルにします。


) マルチ コンテキスト モードの場合、これらの設定はシステム コンテキストでディセーブルになっています。



 

静的データベースへのエントリの追加

静的データベースを使用すると、ブラックリストまたはホワイトリストに掲載するドメイン名、IP アドレス、またはネットワーク アドレスを使用して、動的データベースを拡張できます。詳細については、「Botnet Traffic Filter について」を参照してください。

関連項目

「[Whitelist/Blacklist] タブ」

「[Device Whitelist] または [Device Blacklist] ダイアログボックス」

「Botnet Traffic Filter について」

「Botnet Traffic Filter 設定のタスク フロー」

「動的データベースの設定」

「DNS スヌーピングのイネーブル化」

「Botnet Traffic Filter のトラフィック分類およびアクションのイネーブル化」

「[Botnet Traffic Filter Rules] ページ」

始める前に

セキュリティ アプライアンスで DNS サーバの使用をイネーブルにします(「[DNS] ページ」を参照)。マルチ コンテキスト モードで、コンテキストごとに DNS をイネーブルにします。


ステップ 1 次のいずれかを実行します。

(デバイス ビュー)ポリシー セレクタから [Firewall] > [Botnet Traffic Filter Rules] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [Firewall] > [Botnet Traffic Filter Rules] を選択します。既存のポリシーを選択するか、または新しいポリシーを作成します。


) マルチ コンテキスト モードのデバイスの場合、セキュリティ コンテキストで静的データベースを設定します。


この操作により、「[Botnet Traffic Filter Rules] ページ」が開きます。

ステップ 2 [Whitelist / Blacklist] タブで、追加するエントリのタイプ([Whitelist] または [Blacklist])に対応した [Add Rows] ボタンをクリックします。

この操作により、「[Device Whitelist] または [Device Blacklist] ダイアログボックス」が開きます。

ステップ 3 [Domain or IP Address] フィールドに、1 つ以上のドメイン名、IP アドレス、および IP アドレス/ネットマスクを入力します。複数のエントリは、カンマで区切るかまたは別々の行に入力します。タイプごとに最大 1000 のエントリを入力できます。

ステップ 4 [OK] をクリックします。


 

DNS スヌーピングのイネーブル化

この手順により、DNS パケットのインスペクションおよび Botnet Traffic Filter のスヌーピングがイネーブルになり、ドメイン名と動的データベースまたは静的データベース内のドメイン名が比較され、名前および IP アドレスが Botnet Traffic Filter の DNS 逆ルックアップ キャッシュに追加されます。その後、疑わしいアドレスに対して接続が確立されたとき、Botnet Traffic Filter ロギング機能によってこのキャッシュが使用されます。

DNS インスペクションのデフォルト設定では、すべてのインターフェイス上のすべての UDP DNS トラフィックが検査され、Botnet Traffic Filter のスヌーピングはディセーブルになります。外部 DNS 要求を送信するインターフェイスでだけ Botnet Traffic Filter のスヌーピングをイネーブルにすることを推奨します。内部 DNS サーバへの送信を含むすべての UDP DNS トラフィックで Botnet Traffic Filter のスヌーピングをイネーブルにすると、セキュリティ アプライアンスに不要な負荷がかかります。


) TCP DNS トラフィックはサポートされていません。


関連項目

「[Configure DNS] ダイアログボックス」

「Botnet Traffic Filter について」

「Botnet Traffic Filter 設定のタスク フロー」

「動的データベースの設定」

「静的データベースへのエントリの追加」

「Botnet Traffic Filter のトラフィック分類およびアクションのイネーブル化」

「[Botnet Traffic Filter Rules] ページ」


ステップ 1 最初に、Botnet Traffic Filter を使用してスヌーピングするトラフィックの DNS インスペクションを設定する必要があります。「ファイアウォール インスペクション ルールの管理」を参照してください。

ステップ 2 新しいインスペクション ルールの定義または既存のインスペクション ルールの編集時に、検査するプロトコルとして [DNS] を選択します。

[Selected Protocol] フィールドの右側にある [Configure] ボタンがアクティブになります。

ステップ 3 [Configure] をクリックします。

この操作により、「[Configure DNS] ダイアログボックス」が開きます。

ステップ 4 DNS スヌーピングをイネーブルにするには、[Enable Dynamic Filter Snooping] を選択します。

ステップ 5 [OK] をクリックします。


 

Botnet Traffic Filter のトラフィック分類およびアクションのイネーブル化

この手順により、Botnet Traffic Filter で、各初期接続パケット内の送信元および宛先 IP アドレスを動的データベース、静的データベース、DNS 逆ルックアップ キャッシュ、および DNS ホスト キャッシュと比較して、一致トラフィックに関する syslog メッセージを送信できるようになります。また、ボットネット トラフィック フィルタでは、一致トラフィックの発生時に接続をドロップすることもできます。特定のインターフェイスに関して、ボットネット トラフィック フィルタリングが適用されるトラフィックを識別するイネーブル化ルールを 1 つだけ指定できます。ただし、Botnet Traffic Filter によってドロップされるトラフィックを識別する場合は、複数の廃棄ルールを指定できます。

DNS スヌーピングは個別にイネーブルにします(「DNS スヌーピングのイネーブル化」を参照)。一般的に、Botnet Traffic Filter を最大限に利用するには、DNS スヌーピングをイネーブルにする必要がありますが、必要に応じて、Botnet Traffic Filter のロギングだけを単独で使用できます。動的データベースの DNS スヌーピングを使用しない場合、Botnet Traffic Filter は静的データベースのエントリと動的データベース内の IP アドレスだけを使用します。動的データベース内のドメイン名は使用しません。

ボットネット トラフィック分類の ACL に関する注意事項

イネーブル化ルールおよび廃棄ルールを設定する場合、拡張 ACL ポリシー オブジェクトを指定して、ボットネット トラフィック フィルタリングが適用されるトラフィックを制限することもできます。ACL オブジェクトを指定しなかった場合、すべてのトラフィックに対してフィルタリングが実行されます。このことは、単一の permit IP any any ルールを持つ ACL を指定することと同等です。

フィルタリングが一部のトラフィックで実行されるように ACL を指定する場合は、次の点を考慮してください。

許可ルールは、ボットネット トラフィック フィルタリングが適用されるトラフィックを識別します。廃棄ルールの場合、許可エントリは ASA でドロップできるトラフィックを識別します。

拒否ルールは、フィルタリングが適用されないトラフィックを識別します。Botnet Traffic Filter は、拒否エントリと一致するトラフィックを無視します。

廃棄ルールに選択した ACL は、インターフェイスのイネーブル化ルールに使用されている ACL のサブネットである必要があります。ドロップされるトラフィックについては、ドロップ ルールの ACL 内に許可ルールがあるだけでなく、トラフィックがイネーブル化ルールの ACL 内にある許可ルールに分類されている必要もあります。これは、イネーブル化ルールで許可されているトラフィックが先にブラックリスト掲載として識別されるまで、廃棄ルールは考慮されないためです。

インターネットに接しているすべてのインターフェイス上のすべてのトラフィックで Botnet Traffic Filter をイネーブルにして、重大度が中以上のトラフィックのドロップをイネーブルにすることを推奨します。

関連項目

「[Traffic Classification] タブ」

「BTF イネーブル化ルール エディタ」

「BTF 廃棄ルール エディタ」

「Botnet Traffic Filter について」

「Botnet Traffic Filter 設定のタスク フロー」

「動的データベースの設定」

「静的データベースへのエントリの追加」

「DNS スヌーピングのイネーブル化」

「[Botnet Traffic Filter Rules] ページ」


ステップ 1 次のいずれかを実行します。

(デバイス ビュー)ポリシー セレクタから [Firewall] > [Botnet Traffic Filter Rules] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [Firewall] > [Botnet Traffic Filter Rules] を選択します。既存のポリシーを選択するか、または新しいポリシーを作成します。


) マルチ コンテキスト モードのデバイスの場合、セキュリティ コンテキストでトラフィック分類を設定します。


この操作により、「[Botnet Traffic Filter Rules] ページ」が開きます。

ステップ 2 指定したトラフィックで Botnet Traffic Filter をイネーブルにするには、次の手順を実行します。

a. [Traffic Classification] タブで、[Enable Rules] テーブルの下にある [Add Row] をクリックします。

この操作により、「BTF イネーブル化ルール エディタ」が開きます。

b. [Interfaces] フィールドで、Botnet Traffic Filter をイネーブルにするインターフェイスを指定します。通常は、インターネットに接しているインターフェイスだけをイネーブルにします。インターフェイス セレクタを使用してインターフェイスまたはインターフェイス ロール オブジェクトを選択するには、[Select] をクリックします(「インターフェイス ロール オブジェクトについて」を参照)。

All インターフェイス ロール オブジェクトを選択することで(デフォルトで選択されています)、すべてのインターフェイスに適用されるグローバルな分類を設定できます。インターフェイス固有の分類を設定する場合は、そのインターフェイス設定によってグローバル設定が上書きされます。

c. 次のいずれかを実行して、モニタするトラフィックを特定します。

すべてのトラフィックをモニタするには、ACL フィールドを空白のままにしておきます。

モニタするトラフィックを指定するには、ACL フィールドの右側にある [Select] をクリックして、モニタするトラフィックを識別するアクセス コントロール リスト オブジェクトを選択します。たとえば、外部インターフェイス上のポート 80 トラフィックをすべてモニタします。アクセス コントロール リスト オブジェクトの詳細については、「アクセス コントロール リスト オブジェクトの作成」を参照してください。


) イネーブル化ルールはインターフェイスごとに 1 つだけ指定できます。


d. [OK] をクリックします。

BTF イネーブル化ルール エディタが閉じ、ルールが [Enable Rules] テーブルに追加されます。

ステップ 3 マルウェア トラフィックを自動的にドロップするには、次の手順を実行します。


) 自動的にドロップするトラフィックの廃棄ルールを作成する前に、そのトラフィックの Botnet Traffic Filter をイネーブルにする必要があります。


a. [Traffic Classification] タブで、[Drop Rules] テーブルの下にある [Add Row] をクリックします。

この操作により、「BTF 廃棄ルール エディタ」が開きます。

b. [Interfaces] フィールドで、トラフィックをドロップするインターフェイスを指定します。そのインターフェイス用のイネーブル化ルールが存在している必要があります。インターフェイス セレクタを使用してインターフェイスまたはインターフェイス ロール オブジェクトを選択するには、[Select] をクリックします(「インターフェイス ロール オブジェクトについて」を参照)。

All インターフェイス ロール オブジェクトを選択することで(デフォルトで選択されています)、すべてのインターフェイスに適用されるグローバルな分類を設定できます。インターフェイス固有の分類を設定する場合は、そのインターフェイス設定によってグローバル設定が上書きされます。

c. 次のいずれかを実行して、ドロップするトラフィックを特定します。

すべてのトラフィックをモニタするには、ACL フィールドを空白のままにしておきます。

モニタするトラフィックを指定するには、ACL フィールドの右側にある [Select] をクリックして、モニタするトラフィックを識別するアクセス コントロール リスト オブジェクトを選択します。たとえば、外部インターフェイス上のポート 80 トラフィックをすべてモニタします。アクセス コントロール リスト オブジェクトの詳細については、「アクセス コントロール リスト オブジェクトの作成」を参照してください。

d. [Threat Level] 領域で、次のいずれかのオプションを選択して、特定の脅威レベルを持つトラフィックをドロップします。デフォルト レベルは、Moderate から Very High までの範囲となります。


) デフォルト設定をどうしても変更しなければならない場合を除き、デフォルト設定を使用することを強く推奨します。


[Value]:ドロップする脅威レベルを指定します。

[Range]:脅威レベルの範囲を指定します。


) 静的ブラックリスト エントリは、常に Very High 脅威レベルに指定されています。


e. [OK] をクリックします。

BTF 廃棄ルール エディタが閉じ、ルールが [Drop Rules] テーブルに追加されます。

ステップ 4 さらにルールを追加するには、必要に応じて、手順 2 および 3 を繰り返します。ルールの追加が完了したら、[Save] をクリックして変更を保存します。

ステップ 5 アクション目的でグレーリストのトラフィックをブラックリストのトラフィックとして処理するには、[Dynamic Blacklist Configuration] タブで [Treat Ambiguous traffic as Blacklist] チェックボックスをオンにします。

このオプションをイネーブルにしないと、グレーリストのトラフィックに廃棄ルールを設定している場合にも、そのトラフィックはドロップされません。


 

[Botnet Traffic Filter Rules] ページ

[Botnet Traffic Filter Rules] ページを使用すると、ASA セキュリティ デバイスを通過する悪意のあるトラフィックを識別するためのルールを定義できます。

[Botnet Traffic Filter Rules] ページは、次の 3 つのセクションに分かれています。

「[Dynamic Blacklist Configuration] タブ」

「[Traffic Classification] タブ」

「[Whitelist/Blacklist] タブ」

ナビゲーション パス

[Botnet Traffic Filter Rules] ページにアクセスするには、次のいずれかを実行します。

(デバイス ビュー)デバイスを選択してから、ポリシー セレクタで [Firewall] > [Botnet Traffic Filter Rules] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [Firewall] > [Botnet Traffic Filter Rules] を選択します。既存のポリシーを選択するか、または新しいポリシーを作成します。

(マップ ビュー)デバイスを右クリックし、[Edit Firewall Policies] > [Botnet Traffic Filter Rules] を選択します。

関連項目

「Botnet Traffic Filter について」

「Botnet Traffic Filter 設定のタスク フロー」

「[Dynamic Blacklist Configuration] タブ」

「[Traffic Classification] タブ」

「BTF イネーブル化ルール エディタ」

「BTF 廃棄ルール エディタ」

「[Whitelist/Blacklist] タブ」

「[Device Whitelist] または [Device Blacklist] ダイアログボックス」

「[Configure DNS] ダイアログボックス」

[Dynamic Blacklist Configuration] タブ

[Dynamic Blacklist Configuration] タブを使用して、シスコの更新サーバからデータベースを更新できるようにし、セキュリティ アプライアンスでダウンロード済み動的データベースを使用できるようにします。

ナビゲーション パス

「[Botnet Traffic Filter Rules] ページ」で、[Dynamic Blacklist Configuration] タブをクリックします。

関連項目

「動的データベースの設定」

「Botnet Traffic Filter について」

「Botnet Traffic Filter 設定のタスク フロー」

「[Botnet Traffic Filter Rules] ページ」

「[Traffic Classification] タブ」

「BTF イネーブル化ルール エディタ」

「BTF 廃棄ルール エディタ」

「[Whitelist/Blacklist] タブ」

「[Device Whitelist] または [Device Blacklist] ダイアログボックス」

「[Configure DNS] ダイアログボックス」

フィールド リファレンス

 

表 18-1 [Dynamic Blacklist Configuration] タブ

要素
説明

Enable Dynamic Blacklist From Server

シスコの更新サーバから動的データベースをダウンロードできるようにします。データベースをセキュリティ アプライアンスにまだインストールしていない場合は、約 2 分後にデータベースがダウンロードされます。セキュリティ アプライアンスが今後の更新を検出するためにサーバをポーリングする頻度(通常は 1 時間おき)が、更新サーバによって決定されます。

(注) デバイスがマルチ コンテキスト モードの場合は、そのデバイスのシステム コンテキストでこのオプションを設定します。

Use Dynamic Blacklist

Botnet Traffic Filter に対して動的データベースの使用をイネーブルにします。

(注) マルチ コンテキスト モードでは、コンテキストごとにデータベースの使用を設定します。

Treat Ambiguous traffic as Blacklist

選択すると、グレーリストのトラフィックは、アクション目的でブラックリストのトラフィックとして処理されます。

このオプションをイネーブルにしないと、グレーリストのトラフィックに廃棄ルールを設定している場合にも、そのトラフィックはドロップされません。

[Traffic Classification] タブ

[Traffic Classification] タブを使用して、デバイスまたは共有ポリシーのトラフィック分類定義を表示または設定し、自動的にドロップされる悪意のあるトラフィックを指定します。トラフィック分類定義(イネーブル化ルール)は ACL を伴うインターフェイスまたはインターフェイス ロールで構成され、この ACL によって Botnet Traffic Filter でモニタするトラフィックが識別されます。特定のインターフェイスまたはインターフェイス ロールの設定値を設定できます。All インターフェイス ロール オブジェクトを使用して、ボットネット フィルタリングをグローバルにイネーブルにできます(デフォルトで選択されています)。インターフェイス固有の分類を設定した場合は、そのインターフェイス設定によって、インターフェイス ロールに定義されているすべての設定が上書きされます。

特定のインターフェイスに関して、ボットネット トラフィック フィルタリングが適用されるトラフィックを識別するイネーブル化ルールを 1 つだけ指定できます。ただし、Botnet Traffic Filter によってドロップされるトラフィックを識別する場合は、複数の廃棄ルールを指定できます。


) Botnet Traffic Filter を適切に機能させるために、動的フィルタのスヌーピングを設定することを強く推奨します。デバイス ビューでは、Cisco Security Manager によって [Traffic Classification] タブの下部にリンクが表示され、このリンクを使用すると、直接 [Inspection Rules] ページに移動して動的フィルタのスヌーピングをイネーブルにできます。詳細については、「DNS スヌーピングのイネーブル化」を参照してください。


テーブル内のカラムはエントリ設定の概要を示しており、これについては「BTF イネーブル化ルール エディタ」および「BTF 廃棄ルール エディタ」で説明します。

トラフィック分類およびアクションを設定するには、次の手順を実行します。

[Add Row] ボタンをクリックして、インターフェイスまたはインターフェイス ロールをテーブルに追加し、「BTF イネーブル化ルール エディタ」または「BTF 廃棄ルール エディタ」に入力します。

エントリを選択し、[Edit Row] ボタンをクリックして、既存のエントリを編集します。

エントリを選択し、[Delete Row] ボタンをクリックして削除します。

ナビゲーション パス

「[Botnet Traffic Filter Rules] ページ」で、[Traffic Classification] タブをクリックします。

関連項目

「BTF イネーブル化ルール エディタ」

「BTF 廃棄ルール エディタ」

「Botnet Traffic Filter のトラフィック分類およびアクションのイネーブル化」

「Botnet Traffic Filter について」

「Botnet Traffic Filter 設定のタスク フロー」

「[Botnet Traffic Filter Rules] ページ」

「[Dynamic Blacklist Configuration] タブ」

「[Whitelist/Blacklist] タブ」

「[Device Whitelist] または [Device Blacklist] ダイアログボックス」

「[Configure DNS] ダイアログボックス」

BTF イネーブル化ルール エディタ

BTF イネーブル化ルール エディタを使用して、Botnet Traffic Filter をイネーブルにするインターフェイスを指定し、モニタするトラフィックを特定します。イネーブル化ルールはインターフェイスごとに 1 つだけ指定できます。

ナビゲーション パス

BTF イネーブル化ルール エディタにアクセスするには、[Traffic Classification] タブの [Enable Rules] テーブルで、作業領域内を右クリックしてから [Add Row] を選択するか、または既存エントリを右クリックして [Edit Row] を選択します。

関連項目

「Botnet Traffic Filter のトラフィック分類およびアクションのイネーブル化」

「Botnet Traffic Filter について」

「Botnet Traffic Filter 設定のタスク フロー」

「[Botnet Traffic Filter Rules] ページ」

「[Dynamic Blacklist Configuration] タブ」

「[Traffic Classification] タブ」

「BTF 廃棄ルール エディタ」

「[Whitelist/Blacklist] タブ」

「[Device Whitelist] または [Device Blacklist] ダイアログボックス」

「[Configure DNS] ダイアログボックス」

フィールド リファレンス

 

表 18-2 BTF イネーブル化ルール エディタ

要素
説明

Interfaces

Botnet Traffic Filter をイネーブルにするインターフェイスまたはインターフェイス ロール。インターフェイスまたはインターフェイス ロールの名前を入力するか、[Select] をクリックしてリストからインターフェイスまたはインターフェイス ロールを選択するか、あるいは新しいロールを作成します。インターフェイスをリストに表示するには、あらかじめ定義しておく必要があります。

All インターフェイス ロール オブジェクトを使用して、ボットネット フィルタリングをグローバルにイネーブルにできます(デフォルトで選択されています)。インターフェイス固有の分類を設定する場合は、そのインターフェイス設定によって、グローバル設定が上書きされます。

インターフェイス ロール オブジェクトは、各デバイスの設定が生成されるときに、実際のインターフェイス名で置き換えられます。「インターフェイス ロール オブジェクトについて」を参照してください。

ACL

モニタするトラフィックの識別に使用するアクセス リストを指定します。アクセス リストを指定しないと、デフォルトですべてのトラフィックがモニタされます。

モニタするトラフィックを指定するには、ACL フィールドの右側にある [Select] をクリックして、モニタするトラフィックを識別するアクセス コントロール リスト オブジェクトを選択します。たとえば、外部インターフェイス上のポート 80 トラフィックをすべてモニタします。アクセス コントロール リスト オブジェクトの詳細については、「アクセス コントロール リスト オブジェクトの作成」を参照してください。

BTF 廃棄ルール エディタ

BTF 廃棄ルール エディタを使用して、自動的にドロップされるマルウェア トラフィックを識別します。インターフェイスごとに複数の廃棄ルールを指定できます。

ナビゲーション パス

BTF 廃棄ルール エディタにアクセスするには、[Traffic Classification] タブの [Drop Rules] テーブルで、作業領域内を右クリックしてから [Add Row] を選択するか、または既存エントリを右クリックして [Edit Row] を選択します。

関連項目

「Botnet Traffic Filter のトラフィック分類およびアクションのイネーブル化」

「Botnet Traffic Filter について」

「Botnet Traffic Filter 設定のタスク フロー」

「[Botnet Traffic Filter Rules] ページ」

「[Dynamic Blacklist Configuration] タブ」

「[Traffic Classification] タブ」

「BTF イネーブル化ルール エディタ」

「[Whitelist/Blacklist] タブ」

「[Device Whitelist] または [Device Blacklist] ダイアログボックス」

「[Configure DNS] ダイアログボックス」

フィールド リファレンス

 

表 18-3 BTF 廃棄ルール エディタ

要素
説明

Interfaces

Botnet Traffic Filter をイネーブルにするインターフェイスまたはインターフェイス ロール。インターフェイスまたはインターフェイス ロールの名前を入力するか、[Select] をクリックしてリストからインターフェイスまたはインターフェイス ロールを選択するか、あるいは新しいロールを作成します。インターフェイスをリストに表示するには、あらかじめ定義しておく必要があります。

All インターフェイス ロール オブジェクトを使用して、ボットネット フィルタリングをグローバルにイネーブルにできます(デフォルトで選択されています)。インターフェイス固有の分類を設定する場合は、そのインターフェイス設定によって、グローバル設定が上書きされます。

インターフェイス ロール オブジェクトは、各デバイスの設定が生成されるときに、実際のインターフェイス名で置き換えられます。「インターフェイス ロール オブジェクトについて」を参照してください。

ACL

モニタするトラフィックの識別に使用するアクセス リストを指定します。アクセス リストを指定しないと、デフォルトですべてのトラフィックがモニタされます。

モニタするトラフィックを指定するには、ACL フィールドの右側にある [Select] をクリックして、モニタするトラフィックを識別するアクセス コントロール リスト オブジェクトを選択します。たとえば、外部インターフェイス上のポート 80 トラフィックをすべてモニタします。アクセス コントロール リスト オブジェクトの詳細については、「アクセス コントロール リスト オブジェクトの作成」を参照してください。

Threat Level

[Threat Level] フィールドは、ドロップされる悪意のあるトラフィックの脅威レベルを特定します。デフォルト レベルは、Moderate から Very High までの範囲となります。

(注) デフォルト設定をどうしても変更しなければならない場合を除き、デフォルト設定を使用することを強く推奨します。

[Value]:ドロップする脅威レベルを指定します。

Very-low

Low

Moderate

High

Very-high

[Range]:脅威レベルの範囲を指定します。

(注) 静的ブラックリスト エントリは、常に Very High 脅威レベルに指定されています。

[Whitelist/Blacklist] タブ

[Whitelist/Blacklist] タブを使用して、デバイスまたは共有ポリシー用の静的データベースのエントリを表示または設定します。[Device Blacklist] には、悪意のあるサイトまたは望ましくないサイトのドメイン名または IP アドレスが含まれます。静的ブラックリストを使用してシスコの動的データベースを補強したり、対象とするすべてのマルウェア サイトを特定できる場合は静的ブラックリストだけを使用したりできます。

[Device Whitelist] には、許容可能と認められるサイトのドメイン名または IP アドレスが含まれます。ブラックリストに掲載する必要はないと考えられるアドレスがブラックリスト掲載アドレスとして動的データベースに含まれている場合は、これらのアドレスを手動で静的なホワイトリストに加えることができます。静的なホワイトリストのエントリは、静的なブラックリストおよびシスコの動的データベース内のエントリに優先します。ホワイトリストのアドレスの場合も syslog メッセージが生成されますが、必要となるのはブラックリストの syslog メッセージだけであるため、単なる情報です。

静的データベースを設定するには、次の手順を実行します。

[Add Row] ボタンをクリックし、「[Device Whitelist] または [Device Blacklist] ダイアログボックス」を使用して静的データベースのエントリを定義します。

エントリを選択し、[Edit Row] ボタンをクリックして、既存のエントリを編集します。


ワンポイント アドバイス エントリを選択して F2 を押すか、または [Device Whitelist] か [Device Blacklist] でエントリをダブルクリックして、その場でエントリを編集します。


エントリを選択し、[Delete Row] ボタンをクリックして削除します。

ナビゲーション パス

「[Botnet Traffic Filter Rules] ページ」で、[Whitelist/Blacklist] タブをクリックします。

関連項目

「静的データベースへのエントリの追加」

「Botnet Traffic Filter について」

「Botnet Traffic Filter 設定のタスク フロー」

「[Device Whitelist] または [Device Blacklist] ダイアログボックス」

「[Botnet Traffic Filter Rules] ページ」

「[Dynamic Blacklist Configuration] タブ」

「[Traffic Classification] タブ」

[Device Whitelist] または [Device Blacklist] ダイアログボックス

[Device Whitelist] または [Device Blacklist] ダイアログボックスを使用して、ホワイトリスト(安全)またはブラックリスト(悪意)に追加するドメイン名または IP アドレスを手動で定義します。静的ブラックリストを使用してシスコの動的データベースを補強したり、対象とするすべてのマルウェア サイトを特定できる場合は静的ブラックリストだけを使用したりできます。ホワイトリストと動的ブラックリストの両方にある名前またはアドレスは、syslog メッセージおよびレポートではホワイトリストのアドレスとしてだけ識別されます。

ドメイン名は完全な形式(www.cisco.com など、ホスト名を含む)にしたり、部分的な形式(cisco.com など)にしたりできます。部分的な名前の場合、そのドメイン上のすべての Web サイト ホストが、ホワイトリストに掲載されるか、またはブラックリストに掲載されます。また、ホストの IP アドレスを入力することもできます。カンマまたは改行を使用して、複数のエントリを区切ります。

ナビゲーション パス

「[Whitelist/Blacklist] タブ」で、[Device Whitelist] または [Device Blacklist] テーブルの下にある [Add Rows] ボタンをクリックするか、またはエントリを選択して [Edit Row] ボタンをクリックします。

関連項目

「静的データベースへのエントリの追加」

「Botnet Traffic Filter について」

「Botnet Traffic Filter 設定のタスク フロー」

「[Botnet Traffic Filter Rules] ページ」

「[Dynamic Blacklist Configuration] タブ」

「[Traffic Classification] タブ」

「BTF イネーブル化ルール エディタ」

「BTF 廃棄ルール エディタ」

「[Whitelist/Blacklist] タブ」

「[Configure DNS] ダイアログボックス」