Download presentation
Presentation is loading. Please wait.
1
iNetSec Intra Wall IPCOM連携モジュール 導入ガイド
株式会社PFU 2016年1月
2
はじめに 1. 本書の位置づけ 2.作業時に準備が必要なもの
本書は、iNetSec Intra Wall IPCOM連携モジュール(以降、IPCOM連携モジュール)の導入に際して、 具体的にIPCOM連携の設定を説明する目的で作成されたものです。 IPCOM連携モジュールの導入に関する詳細は、製品添付のマニュアルを必ずご覧ください。 2.作業時に準備が必要なもの 【ハードウェア】 ・IPCOM連携の設定を行う、マネージャー導入済みPC (IPCOMと連携するIntra wallのマネージャーにIPCOM連携モジュールソフトウェアを導入します) ・IPCOM EX シリーズ ・IPCOM設定用PC (マネージャー導入済みPCの使用も可能) ・SW、HUB、LANケーブル等は適宜用意します 【ソフトウェア】 ・ IPCOM連携モジュール 【マニュアル】 ・iNetSec Intra Wall ユーザーズガイド ・iNetSec Intra Wall IPCOM連携モジュール ユーザーズガイド ・IPCOM ユーザーズガイド ・IPCOM コマンドリファレンス
3
IPCOM連携とは iNetSec Intra Wallが検知したC&Cサーバ情報をIPCOM EXに通知することで、
※E20L32より対応、LBシリーズを除く インターネット 出口対策 攻撃者 C&Cサーバー IPCOM EXシリーズ C&Cサーバ情報を通知 IPCOM 連携モジュール iNetSec Intra Wall マネージャー 感染端末情報を マネージャに通知 iNetSec Intra Wall センサー 検知 マルウェア感染端末
4
導入
5
導入前の注意点-プロキシサーバ運用環境への導入
IPCOMより内部ネットワーク側に プロキシが配置されている場合には、 IPCOMはC&Cへの通信を遮断できません インターネット 外部 ネットワーク 本ネットワーク配置では、プロキシサーバのIPアドレスがC&CサーバのIPアドレスとして検知されるため、IPCOMでは通信を遮断できず、悪意のある通信を特定できないため、IPCOM連携モジュールの導入効果は見込めません。 攻撃者 IPCOM EXシリーズ プロキシサーバのIPアドレスがC&CサーバのIPに見える がC&Cサーバ プロキシサーバー (透過プロキシを除く) IP: 内部 ネットワーク iNetSec Intra Wall マネージャー がC&Cサーバ 遮断 重要サーバー マルウェア感染端末 iNetSec Intra Wall センサー IP:
6
IPCOMとC&Cサーバとの通信がプロキシを経由する場合の運用例
IPCOMとC&Cサーバとの通信がプロキシを経由する場合にマルウェア検知されると、IPCOMはすべてのプロキシ経由の通信を遮断してしまいます。 インターネット 攻撃者 C&Cサーバー プロキシサーバー (透過プロキシを除く) よって、IWセンサーのいるセグメントは、IPCOMで遮断除外設定します IPCOM EXシリーズ マルウェア検知情報を通知 IPCOMでの 遮断を除外 iNetSec Intra Wall マネージャー 感染端末情報を マネージャに通知 遮断 iNetSec Intra Wall センサー 検知 マルウェア感染端末 IWセンサーのいるセグメントは センサーが感染機器を遮断 IWセンサーがいないセグメントはIPCOMがセグメントごと遮断
7
連携するIPCOMのユーザー認証用アカウント設定
導入の流れ 連携モジュールインストール前準備 連携モジュールインストール 連携するIPCOMのユーザー認証用アカウント設定 連携するIPCOMのIPアドレス設定
8
1. 連携モジュールインストール前準備 IPCOM EXとIntra Wall マネージャー間では、HTTP(SSH)で送信され、ポート番号(82/tcp)を使用して受信するので、各装置のポート設定や経路上のファイアーウォールの穴あけを行います IPCOMにユーザー認証用アカウントを作成します ユーザーロールは「administrator ユーザーロール(管理者権限クラス)」または「user ユーザーロール(オペレーター権限クラス)」 IPCOMとIntra Wallの管理者が異なる場合は、セキュリティの観点から後者にしたほうが良い パスワードはPAP(固定パスワード方式) IPCOMとIntra Wall でパスワードに使用できる文字が異なっているので、両方で使用できる文字を使用してパスワードを設定します Intra Wall マネージャーと IPCOM で、時刻を同期します(推奨) Intra Wall のイベントログと IPCOM のイベントログを照合できるよう、NTP など を使用して、すべての Intra Wall マネージャーと IPCOM の時刻を同期します
9
2. 連携モジュールインストール iNetSec Intra Wallマネージャー導入PCへ管理者としてログインします
サポートページよりIPCOM連携モジュールの圧縮ファイルをダウンロードします ファイルを解凍して、取り出されたsetup.exeを管理者として実行します インストール開始画面が表示されるので、[次へ]ボタンを選択します 確認画面が表示されるので、[インストール]ボタンを選択します インストールが完了したら、インストール完了画面が表示されるので[完了]ボタンを押下します インストール開始画面 準備完了画面 インストール完了画面
10
3. 連携するIPCOMのユーザー認証用アカウント設定
IPCOM連携モジュールに、iNetSec Intra Wallと連携するIPCOM EXシリーズのユーザー認証用アカウントを設定します iNetSec Intra WallマネージャーがインストールされているPCに、管理者権限でログインします コマンドプロンプトで、ndc_configure_account.exe コマンドを管理者として実行します (コマンド配置先は、マネージャーインストールフォルダのBinフォルダ配下) 「ユーザー名を入力してください。」というメッセージが表示されるので、前準備で設定したユーザー名を入力し [Enter] キーを押します 「パスワードを入力してください。」というメッセージが表示されるので、前準備で設定したパスワードを入力し [Enter] キーを押します 「再度入力してください。」というメッセージが表示されるので、再度パスワードを入力し [Enter] キーを押します 「アカウントの設定が完了しました。」というメッセージが表示されれば、iNetSec Intra Wall と連携するIPCOMのユーザー認証用アカウントの設定が完了します > ndc_configure_account.exe
11
4. 連携するIPCOMのIPアドレス設定 iNetSec Intra WallマネージャーがインストールされているPCに、管理者権限でログインします 任意のエディタで、iNetSec Intra Wall と連携する IPCOM のIPアドレスを入力し、任意のファイル名を付けて保存します IPアドレスはIPv4 形式 「 xxx.xxx.xxx.xxx 」で入力 IPアドレスは 20個まで設定可能で、改行区切りで入力 ファイルのコード系はUTF-8, 改行コードはCRLF IPCOMが装置二重化構成の場合は、インタフェースの代表IPアドレスを指定 コマンドプロンプトで、ndc_configure_target_address.exe コマンドを管理者として実行し、作成したファイルをインポートします (コマンド配置先は、マネージャーインストールフォルダのBinフォルダ配下) 以上で、指定したファイル内容がインポートされ、iNetSec Intra Wall と連携する IPCOM の IPアドレスが設定されます > ndc_configure_target_address.exe -i C:\import_address.txt
12
運用
13
マルウェア検知した際の運用イメージ プロキシサーバなし環境での運用 プロキシサーバ運用環境では以下の手順を追加
IntraWallの機能により検知&通知 マネージャーでマルウェア検知端末を特定 IPCOMでC&Cサーバ登録を確認 遮断された端末の問題を取り除く Intra Wallによるマルウェア検知結果のクリアをする プロキシサーバ運用環境では以下の手順を追加 プロキシのログから通信先アドレスを確認 確認したアドレスをIPCOMに登録されたC&Cリストから削除
14
1. マネージャーでマルウェア検知端末を特定 マルウェア検知されてた端末は、イベント通知され、マルウェア検知欄に、 ▲のアイコンが表示されます マネージャーの[機器]リストから[すべて]機器リストを選択します マルウェア検知欄の▲のアイコンをみつけ、マルウェア検知端末を特定します 機器一覧画面
![1. マネージャーでマルウェア検知端末を特定 マルウェア検知されてた端末は、イベント通知され、マルウェア検知欄に、 ▲のアイコンが表示されます. マネージャーの[機器]リストから[すべて]機器リストを選択します.](http://slidesplayer.net/slide/13638913/83/images/14/1.+%E3%83%9E%E3%83%8D%E3%83%BC%E3%82%B8%E3%83%A3%E3%83%BC%E3%81%A7%E3%83%9E%E3%83%AB%E3%82%A6%E3%82%A7%E3%82%A2%E6%A4%9C%E7%9F%A5%E7%AB%AF%E6%9C%AB%E3%82%92%E7%89%B9%E5%AE%9A+%E3%83%9E%E3%83%AB%E3%82%A6%E3%82%A7%E3%82%A2%E6%A4%9C%E7%9F%A5%E3%81%95%E3%82%8C%E3%81%A6%E3%81%9F%E7%AB%AF%E6%9C%AB%E3%81%AF%E3%80%81%E3%82%A4%E3%83%99%E3%83%B3%E3%83%88%E9%80%9A%E7%9F%A5%E3%81%95%E3%82%8C%E3%80%81%E3%83%9E%E3%83%AB%E3%82%A6%E3%82%A7%E3%82%A2%E6%A4%9C%E7%9F%A5%E6%AC%84%E3%81%AB%E3%80%81+%E2%96%B2%E3%81%AE%E3%82%A2%E3%82%A4%E3%82%B3%E3%83%B3%E3%81%8C%E8%A1%A8%E7%A4%BA%E3%81%95%E3%82%8C%E3%81%BE%E3%81%99.+%E3%83%9E%E3%83%8D%E3%83%BC%E3%82%B8%E3%83%A3%E3%83%BC%E3%81%AE%EF%BC%BB%E6%A9%9F%E5%99%A8%EF%BC%BD%E3%83%AA%E3%82%B9%E3%83%88%E3%81%8B%E3%82%89%EF%BC%BB%E3%81%99%E3%81%B9%E3%81%A6%EF%BC%BD%E6%A9%9F%E5%99%A8%E3%83%AA%E3%82%B9%E3%83%88%E3%82%92%E9%81%B8%E6%8A%9E%E3%81%97%E3%81%BE%E3%81%99..jpg "マルウェア検知欄の▲のアイコンをみつけ、マルウェア検知端末を特定します. 機器一覧画面.")
15
2. IPCOMでC&Cサーバ登録を確認(Intra Wall 側)
iNetSec Intra Wall マネージャーでC&CサーバのIPアドレスを確認します マネージャーの[イベント]タブからマルウェア検知イベントを探します イベントメッセージから、 C&Cのアドレス「RAT-Spying C&C=XXX.XXX.XXX.XXX」、 感染端末のアドレス「機器IPアドレス」部を控えます イベント一覧画面
16
2. IPCOMでC&Cサーバ登録を確認(IPCOM 側)
show logging session コマンドを実行します IDが「40D69001」 又は「40D69003」のメッセージを確認し、「src=xxx.xxx.xxx.xxx」が控えた感染端末のIPアドレスであることを確認します IPCOMのコマンド詳細については、IPCOMのマニュアルを参照願います ipcom> show logging session The newest log record 1 lines 2015 Dec 10 21:53:45 host1 IPCOMEX1300_SC: ttc WARNING[40D69001]:Packet has been discarded because the packet matched the threat prevention rule. src= dst= dstport=80 protocol=tcp interface=vlan2 rule=23 appliance=fireeye1 alert-id=105 alert-type=malwarecallback malware=Local.Callback
17
下記内容の対処を適宜感染端末に対して行い、端末の問題を取り除いてください
3. 遮断された端末の問題を取り除く 下記内容の対処を適宜感染端末に対して行い、端末の問題を取り除いてください 物理的にネットワークから感染端末を切断します 感染端末の該当アカウントのログ等を確認します 感染端末で利用者が当該ファイル名を実行したか確認します インストールされたマルウェアのアンインストールを行います アンチウィルスソフトで手動検索を行います 感染端末のシステム再インストールを行います
18
4. Intra Wallによるマルウェア検知結果のクリアをする
マルウェア検知された端末の検知結果をクリアします マネージャーの[機器]リストから[すべて]タブを選択します 検知された端末のIPアドレス左のチェックボックスをチェックします 画面下部の[機器設定変更]をクリックします [マルウェア検知結果] の[クリア] をチェックします [OK]ボタンをクリックします IPCOM側はIPCOMの設定により、自動的に遮断解除されます(※1) ※1:構成定義コマンド validity-days コマンドで解除までの有効期限を設定できます 機器一覧画面 機器設定変更画面
19
下記はプロキシサーバー運用環境の場合に実施します プロキシサーバーにログインします プロキシのログをエディタ等で開きます
5.プロキシのログから通信先アドレスを確認 下記はプロキシサーバー運用環境の場合に実施します プロキシサーバーにログインします プロキシのログをエディタ等で開きます 感染端末のアドレスや、疑わしい通信があった日時などで検索し、通信先アドレスを確認します プロキシログ (一例) ……… ……… ……… ……… … ……… ……… ……… 22/Dec/2015:20:14: TCP_MISS/ GET - DIRECT/ text/html 22/Dec/2015:20:14: TCP_MISS/ GET - DIRECT/ text/html 22/Dec/2015:20:14: TCP_MISS/ GET - DIRECT/ text/html 22/Dec/2015:20:14: TCP_MISS/ GET - DIRECT/ text/html 22/Dec/2015:20:14: TCP_MISS/ GET - DIRECT/ text/html アクセス日付 感染端末のアドレス 通信先アドレス
20
6.確認したアドレスをIPCOMに登録されたC&Cリストから削除
下記はプロキシサーバー運用環境の場合に実施します プロキシ環境IPCOMに登録された攻撃防御ルールを削除します → 攻撃防御ルールは、1~31日(※1)で自動的に削除されますが、明示的に削除したい場合には下記を実行します ※1:IPCOMの構成定義コマンド validity-days コマンドで設定します IPCOMにログインします 攻撃防御ルールの表示 : → show threat-prevention rule コマンドを実行し、該当するルールの識別番号を確認します ipcom# show threat-prevention rule The threat prevention rule list. Current time: 2015/12/15(Tue) 23:11:38 Current rule count: 3 ID Action / Count Expiration date / Last detection date Audit Creation date / Last update date 1 prevention /12/16(Wed)10:23:10 / 2015/12/02(Wed)10:23:10 1 normal 2015/12/02(Wed)10:23:10 / 2015/07/21(Tue)11:35:11 1 Appliance: 1 Alert ID: 1230 1 Alert type: malware-callback 1 Malware: Trojan.Cidox 1 Alert URL: 1 C&C Server: (以下略)
21
6.確認したアドレスをIPCOMに登録されたC&Cリストから削除
攻撃防御ルールの削除 : → delete threat-prevention rule コマンドで該当の識別番号のルールを削除します 再度、show threat-prevention rule コマンドを実行し、該当するルールが削除されたことを確認します IPCOMのコマンド詳細については、IPCOMのマニュアルを参照願います ipcom# delete threat-prevention rule id 1 This will delete the threat prevention rule "1". Are you sure? (y|[n]): y The threat prevention rule was deleted. ipcom# show threat-prevention rule (以下略)
22
iNetSecは、お客様の安心・安全な ネットワーク環境を実現します。
製品情報は当社ホームページへ
Similar presentations
