iNetSec Intra Wall IPCOM連携モジュール 導入ガイド 株式会社PFU 2016年1月
はじめに 1. 本書の位置づけ 2.作業時に準備が必要なもの 本書は、iNetSec Intra Wall IPCOM連携モジュール(以降、IPCOM連携モジュール)の導入に際して、 具体的にIPCOM連携の設定を説明する目的で作成されたものです。 IPCOM連携モジュールの導入に関する詳細は、製品添付のマニュアルを必ずご覧ください。 2.作業時に準備が必要なもの 【ハードウェア】 ・IPCOM連携の設定を行う、マネージャー導入済みPC (IPCOMと連携するIntra wallのマネージャーにIPCOM連携モジュールソフトウェアを導入します) ・IPCOM EX シリーズ ・IPCOM設定用PC (マネージャー導入済みPCの使用も可能) ・SW、HUB、LANケーブル等は適宜用意します 【ソフトウェア】 ・ IPCOM連携モジュール 【マニュアル】 ・iNetSec Intra Wall ユーザーズガイド ・iNetSec Intra Wall IPCOM連携モジュール ユーザーズガイド ・IPCOM ユーザーズガイド ・IPCOM コマンドリファレンス
IPCOM連携とは iNetSec Intra Wallが検知したC&Cサーバ情報をIPCOM EXに通知することで、 ※E20L32より対応、LBシリーズを除く インターネット 出口対策 攻撃者 C&Cサーバー IPCOM EXシリーズ C&Cサーバ情報を通知 IPCOM 連携モジュール iNetSec Intra Wall マネージャー 感染端末情報を マネージャに通知 iNetSec Intra Wall センサー 検知 マルウェア感染端末
導入
導入前の注意点-プロキシサーバ運用環境への導入 IPCOMより内部ネットワーク側に プロキシが配置されている場合には、 IPCOMはC&Cへの通信を遮断できません インターネット 外部 ネットワーク 本ネットワーク配置では、プロキシサーバのIPアドレスがC&CサーバのIPアドレスとして検知されるため、IPCOMでは通信を遮断できず、悪意のある通信を特定できないため、IPCOM連携モジュールの導入効果は見込めません。 攻撃者 IPCOM EXシリーズ プロキシサーバのIPアドレスがC&CサーバのIPに見える 192.168.100.10がC&Cサーバ プロキシサーバー (透過プロキシを除く) IP:192.168.100.10 内部 ネットワーク iNetSec Intra Wall マネージャー 192.168.100.10 がC&Cサーバ 遮断 重要サーバー マルウェア感染端末 iNetSec Intra Wall センサー IP:192.168.100.135
IPCOMとC&Cサーバとの通信がプロキシを経由する場合の運用例 IPCOMとC&Cサーバとの通信がプロキシを経由する場合にマルウェア検知されると、IPCOMはすべてのプロキシ経由の通信を遮断してしまいます。 インターネット 攻撃者 C&Cサーバー プロキシサーバー (透過プロキシを除く) よって、IWセンサーのいるセグメントは、IPCOMで遮断除外設定します IPCOM EXシリーズ マルウェア検知情報を通知 IPCOMでの 遮断を除外 iNetSec Intra Wall マネージャー 感染端末情報を マネージャに通知 遮断 iNetSec Intra Wall センサー 検知 マルウェア感染端末 IWセンサーのいるセグメントは センサーが感染機器を遮断 IWセンサーがいないセグメントはIPCOMがセグメントごと遮断
連携するIPCOMのユーザー認証用アカウント設定 導入の流れ 連携モジュールインストール前準備 連携モジュールインストール 連携するIPCOMのユーザー認証用アカウント設定 連携するIPCOMのIPアドレス設定
1. 連携モジュールインストール前準備 IPCOM EXとIntra Wall マネージャー間では、HTTP(SSH)で送信され、ポート番号(82/tcp)を使用して受信するので、各装置のポート設定や経路上のファイアーウォールの穴あけを行います IPCOMにユーザー認証用アカウントを作成します ユーザーロールは「administrator ユーザーロール(管理者権限クラス)」または「user ユーザーロール(オペレーター権限クラス)」 IPCOMとIntra Wallの管理者が異なる場合は、セキュリティの観点から後者にしたほうが良い パスワードはPAP(固定パスワード方式) IPCOMとIntra Wall でパスワードに使用できる文字が異なっているので、両方で使用できる文字を使用してパスワードを設定します Intra Wall マネージャーと IPCOM で、時刻を同期します(推奨) Intra Wall のイベントログと IPCOM のイベントログを照合できるよう、NTP など を使用して、すべての Intra Wall マネージャーと IPCOM の時刻を同期します
2. 連携モジュールインストール iNetSec Intra Wallマネージャー導入PCへ管理者としてログインします サポートページよりIPCOM連携モジュールの圧縮ファイルをダウンロードします ファイルを解凍して、取り出されたsetup.exeを管理者として実行します インストール開始画面が表示されるので、[次へ]ボタンを選択します 確認画面が表示されるので、[インストール]ボタンを選択します インストールが完了したら、インストール完了画面が表示されるので[完了]ボタンを押下します インストール開始画面 準備完了画面 インストール完了画面
3. 連携するIPCOMのユーザー認証用アカウント設定 IPCOM連携モジュールに、iNetSec Intra Wallと連携するIPCOM EXシリーズのユーザー認証用アカウントを設定します iNetSec Intra WallマネージャーがインストールされているPCに、管理者権限でログインします コマンドプロンプトで、ndc_configure_account.exe コマンドを管理者として実行します (コマンド配置先は、マネージャーインストールフォルダのBinフォルダ配下) 「ユーザー名を入力してください。」というメッセージが表示されるので、前準備で設定したユーザー名を入力し [Enter] キーを押します 「パスワードを入力してください。」というメッセージが表示されるので、前準備で設定したパスワードを入力し [Enter] キーを押します 「再度入力してください。」というメッセージが表示されるので、再度パスワードを入力し [Enter] キーを押します 「アカウントの設定が完了しました。」というメッセージが表示されれば、iNetSec Intra Wall と連携するIPCOMのユーザー認証用アカウントの設定が完了します > ndc_configure_account.exe
4. 連携するIPCOMのIPアドレス設定 iNetSec Intra WallマネージャーがインストールされているPCに、管理者権限でログインします 任意のエディタで、iNetSec Intra Wall と連携する IPCOM のIPアドレスを入力し、任意のファイル名を付けて保存します IPアドレスはIPv4 形式 「 xxx.xxx.xxx.xxx 」で入力 IPアドレスは 20個まで設定可能で、改行区切りで入力 ファイルのコード系はUTF-8, 改行コードはCRLF IPCOMが装置二重化構成の場合は、インタフェースの代表IPアドレスを指定 コマンドプロンプトで、ndc_configure_target_address.exe コマンドを管理者として実行し、作成したファイルをインポートします (コマンド配置先は、マネージャーインストールフォルダのBinフォルダ配下) 以上で、指定したファイル内容がインポートされ、iNetSec Intra Wall と連携する IPCOM の IPアドレスが設定されます > ndc_configure_target_address.exe -i C:\import_address.txt
運用
マルウェア検知した際の運用イメージ プロキシサーバなし環境での運用 プロキシサーバ運用環境では以下の手順を追加 IntraWallの機能により検知&通知 マネージャーでマルウェア検知端末を特定 IPCOMでC&Cサーバ登録を確認 遮断された端末の問題を取り除く Intra Wallによるマルウェア検知結果のクリアをする プロキシサーバ運用環境では以下の手順を追加 プロキシのログから通信先アドレスを確認 確認したアドレスをIPCOMに登録されたC&Cリストから削除
1. マネージャーでマルウェア検知端末を特定 マルウェア検知されてた端末は、イベント通知され、マルウェア検知欄に、 ▲のアイコンが表示されます マネージャーの[機器]リストから[すべて]機器リストを選択します マルウェア検知欄の▲のアイコンをみつけ、マルウェア検知端末を特定します 機器一覧画面
2. IPCOMでC&Cサーバ登録を確認(Intra Wall 側) iNetSec Intra Wall マネージャーでC&CサーバのIPアドレスを確認します マネージャーの[イベント]タブからマルウェア検知イベントを探します イベントメッセージから、 C&Cのアドレス「RAT-Spying C&C=XXX.XXX.XXX.XXX」、 感染端末のアドレス「機器IPアドレス」部を控えます イベント一覧画面
2. IPCOMでC&Cサーバ登録を確認(IPCOM 側) show logging session コマンドを実行します IDが「40D69001」 又は「40D69003」のメッセージを確認し、「src=xxx.xxx.xxx.xxx」が控えた感染端末のIPアドレスであることを確認します IPCOMのコマンド詳細については、IPCOMのマニュアルを参照願います ipcom> show logging session The newest log record 1 lines 2015 Dec 10 21:53:45 host1 IPCOMEX1300_SC: ttc WARNING[40D69001]:Packet has been discarded because the packet matched the threat prevention rule. src=192.168.10.50 dst=192.168.20.10 dstport=80 protocol=tcp interface=vlan2 rule=23 appliance=fireeye1 alert-id=105 alert-type=malwarecallback malware=Local.Callback
下記内容の対処を適宜感染端末に対して行い、端末の問題を取り除いてください 3. 遮断された端末の問題を取り除く 下記内容の対処を適宜感染端末に対して行い、端末の問題を取り除いてください 物理的にネットワークから感染端末を切断します 感染端末の該当アカウントのログ等を確認します 感染端末で利用者が当該ファイル名を実行したか確認します インストールされたマルウェアのアンインストールを行います アンチウィルスソフトで手動検索を行います 感染端末のシステム再インストールを行います
4. Intra Wallによるマルウェア検知結果のクリアをする マルウェア検知された端末の検知結果をクリアします マネージャーの[機器]リストから[すべて]タブを選択します 検知された端末のIPアドレス左のチェックボックスをチェックします 画面下部の[機器設定変更]をクリックします [マルウェア検知結果] の[クリア] をチェックします [OK]ボタンをクリックします IPCOM側はIPCOMの設定により、自動的に遮断解除されます(※1) ※1:構成定義コマンド validity-days コマンドで解除までの有効期限を設定できます 機器一覧画面 機器設定変更画面
下記はプロキシサーバー運用環境の場合に実施します プロキシサーバーにログインします プロキシのログをエディタ等で開きます 5.プロキシのログから通信先アドレスを確認 下記はプロキシサーバー運用環境の場合に実施します プロキシサーバーにログインします プロキシのログをエディタ等で開きます 感染端末のアドレスや、疑わしい通信があった日時などで検索し、通信先アドレスを確認します プロキシログ (一例) ……… ……… ……… ……… … ……… ……… ……… 22/Dec/2015:20:14:17 +0900 476 192.168.1.1 TCP_MISS/200 5306 GET http://www.ggggg.co.jp/ - DIRECT/99.200.99.111 text/html 22/Dec/2015:20:14:18 +0900 364 192.168.1.97 TCP_MISS/302 500 GET http://www.mmmm.com/isapi/redir.dll? - DIRECT/207.46.134.155 text/html 22/Dec/2015:20:14:29 +0900 88 192.168.1.97 TCP_MISS/302 396 GET http://www.ssss.co.jp/ - DIRECT/200.40.60.10 text/html 22/Dec/2015:20:14:38 +0900 270 192.168.1.97 TCP_MISS/200 34996 GET http://www.ssss.co.jp/home.armx - DIRECT/200.40.60.10 text/html 22/Dec/2015:20:14:39 +0900 520 192.168.1.97 TCP_MISS/200 7496 GET http://www.mlwre.com/ - DIRECT/100.33.44.55 text/html アクセス日付 感染端末のアドレス 通信先アドレス
6.確認したアドレスをIPCOMに登録されたC&Cリストから削除 下記はプロキシサーバー運用環境の場合に実施します プロキシ環境IPCOMに登録された攻撃防御ルールを削除します → 攻撃防御ルールは、1~31日(※1)で自動的に削除されますが、明示的に削除したい場合には下記を実行します ※1:IPCOMの構成定義コマンド validity-days コマンドで設定します IPCOMにログインします 攻撃防御ルールの表示 : → show threat-prevention rule コマンドを実行し、該当するルールの識別番号を確認します ipcom# show threat-prevention rule The threat prevention rule list. Current time: 2015/12/15(Tue) 23:11:38 Current rule count: 3 ----- ----------- ---------- ------------------------------------------------- ID Action / Count Expiration date / Last detection date Audit Creation date / Last update date 1 prevention 10 2015/12/16(Wed)10:23:10 / 2015/12/02(Wed)10:23:10 1 normal 2015/12/02(Wed)10:23:10 / 2015/07/21(Tue)11:35:11 1 ----------- ---------- ------------------------------------------------- 1 Appliance: 192.168.10.5 1 Alert ID: 1230 1 Alert type: malware-callback 1 Malware: Trojan.Cidox 1 Alert URL: https://192.168.10.5/event_stream/events_for_bot?ev_id=1230 1 C&C Server: http://cnc.example.com/cljjceq.php?uknd=* (以下略)
6.確認したアドレスをIPCOMに登録されたC&Cリストから削除 攻撃防御ルールの削除 : → delete threat-prevention rule コマンドで該当の識別番号のルールを削除します 再度、show threat-prevention rule コマンドを実行し、該当するルールが削除されたことを確認します IPCOMのコマンド詳細については、IPCOMのマニュアルを参照願います ipcom# delete threat-prevention rule id 1 This will delete the threat prevention rule "1". Are you sure? (y|[n]): y The threat prevention rule was deleted. ipcom# show threat-prevention rule (以下略)
iNetSecは、お客様の安心・安全な ネットワーク環境を実現します。 製品情報は当社ホームページへ http://www.pfu.fujitsu.com/inetsec/