セキュリティ インテリジェンス戦略の選択
ライセンス:Protection
ブロックリストを作成する最も簡単な方法は、オープンリレーとなることが分かっている IP アドレス、既知の攻撃者、不正な IP アドレス(bogon)などを追跡するインテリジェンスフィードを使用することです。インテリジェンス フィードは定期的に更新されるため、インテリジェンス フィードを使用することで、システムは最新の情報を使用してネットワーク トラフィックをフィルタ処理できます。ただし、セキュリティに対する脅威(マルウェア、スパム、ボットネット、フィッシングなど)を表す不正な IP アドレスが現れては消えるペースが速すぎて、新しいポリシーを更新して適用するには間に合わないこともあります。
したがって、インテリジェンス フィードを補完するために、次の場合にサードパーティの IP アドレスのリストとフィードを使用してセキュリティ インテリジェンス フィルタリングを実行できるようになっています。
-
リストとは、ASA FirePOWER モジュールにアップロードする IP アドレスの静的リストのことです。
-
フィードとは、 ASA FirePOWER モジュールが定期的にインターネットからダウンロードする、IP アドレスの動的リストのことです。インテリジェンス フィードは特殊なタイプのフィードです。
インターネット アクセス要件を含め、セキュリティ インテリジェンスのリストとフィードを設定する方法の詳細については、セキュリティ インテリジェンス リストとフィードの操作を参照してください。
セキュリティ インテリジェンスのグローバルブロックリストの使用
分析中に、グローバルブロックリストを作成できます。たとえば、エクスプロイトの試行に関連した侵入イベントでルーティング可能な IP アドレスのセットに気づいた場合、それらの IP アドレスをブロックリストに追加することができます。ASA FirePOWER モジュールは、すべてのアクセス コントロール ポリシーでこのグローバルブロックリスト(および関連するグローバルブロックなしリスト)を使用してセキュリティ インテリジェンス フィルタリングを行います。これらのグローバル リストを管理する方法の詳細については、グローバルブロックなしリストとブロックリストの操作を参照してください。
(注) |
グローバルブロックリスト(またはグローバルブロックなしリスト。以下を参照)のフィードの更新および追加では、展開環境全体にわたって自動的にその変更が実装されますが、セキュリティ インテリジェンス オブジェクトに対するその他の変更には、アクセス コントロール ポリシーの再適用が必要になります。 |
ネットワーク オブジェクトの使用
さらに、ブロックリストを作成するもう 1 つの簡単な方法として、IP アドレス、IP アドレス ブロック、あるいは IP アドレスのコレクションを表すネットワークオブジェクトまたはネットワーク オブジェクト グループ を使用することもできます。ネットワーク オブジェクトの作成および変更の詳細については、ネットワーク オブジェクトの操作を参照してください。
セキュリティ インテリジェンスのブロックなしリストの使用
ブロックリストに加え、各アクセス コントロール ポリシーにはブロックなしリストが関連付けられます。これらには、セキュリティ インテリジェンス オブジェクトを取り込むことができます。ポリシーでは、ブロックなしリストがブロックリストをオーバーライドします。つまり、システムは、ブロックなしリストに登録されている送信元または宛先の IP アドレスを、その IPアドレスがブロックリストにも登録されているとしても、アクセス制御ルールを使用して評価します。通常、ブロックリストがまだ有用であっても、その適用範囲があまりにも広く、インスペクション対象のトラフィックを誤ってブロックする場合には、ブロックなしリストを使用してください。
たとえば、信頼できるフィードにより、重要なリソースへのアクセスが不適切にブロックされても、そのフィードが全体としては組織にとって有用である場合は、そのフィード全体をブロックリストから削除するのではなく、不適切に分類された IP アドレスのみをブロックなしリストに追加するという方法を取ることができます。
セキュリティ ゾーンを基準としたセキュリティ インテリジェンス フィルタリングの適用
さらに細かく制御するには、接続の送信元または宛先 IP アドレスが特定のセキュリティ ゾーン内にあるかどうかに基づいて、セキュリティ インテリジェンス フィルタリングを適用することができます。
上述のブロックなしリストの例を拡張するには、不適切に分類された IP アドレスをブロックなしリストに追加した後、組織でそれらの IP アドレスにアクセスする必要があるユーザが使用しているセキュリティゾーンを使用して、オブジェクトを制限するという方法が考えられます。この方法では、ビジネスニーズを持つユーザだけが、それらの IP アドレスにアクセスできます。別の例として、サードパーティのスパムフィードを使用して、電子メールサーバのセキュリティゾーンのトラフィックをブロックすることができます。
接続のモニタリング(ブロッキングではなく)
特定の IP アドレスまたは一連のアドレスをブロックする必要があるかどうかわからない場合は、「モニタのみ」の設定を使用できます。この設定では、システムが一致する接続をアクセス制御ルールに渡せるだけでなく、ブロックリストと一致する接続がログに記録され、接続終了セキュリティ インテリジェンス イベントが生成されます。注意点として、グローバルブロックリストをモニタのみに設定することはできません。
たとえば、サードパーティのフィードを使用したブロッキングを実装する前に、そのフィードをテストする必要があるとします。フィードをモニタ専用に設定すると、ブロックされるはずの接続をシステムで詳細に分析できるだけでなく、そのような接続のそれぞれをログに記録して、評価することもできます。
パッシブ展開環境では、パフォーマンスを最適化するために、Cisco では常にモニタ専用の設定を使用することを推奨しています。パッシブに展開されたデバイスはトラフィック フローに影響を与える可能性がないため、トラフィックをブロックするようにシステムを構成しても何のメリットもありません。また、ブロックされた接続はパッシブ展開で実際にはブロックされないため、システムにより、ブロックされた各接続に対し複数の接続開始イベントが報告される場合があります。