J-Webコンテンツセキュリティアンチウイルスによるウイルス攻撃の防止
概要 コンテンツセキュリティのアンチウィルス保護と、J-Webを使用してSRXシリーズファイアウォールへのウィルス攻撃を防ぐためにコンテンツセキュリティアンチウィルスを設定する方法について説明します。SRXシリーズファイアウォールのコンテンツセキュリティアンチウイルス機能は、ネットワークトラフィックをスキャンして、ウイルス攻撃からネットワークを保護し、ウイルスの拡散を防ぎます。
コンテンツセキュリティアンチウイルスの概要
サイバーセキュリティの脅威が進化し、より巧妙化している今日の世界では、ウイルス攻撃からネットワークを保護することは非常に重要です。ウイルス、ワーム、およびマルウェアは、ファイルの損傷や削除、個人データのハッキング、システム パフォーマンスへの影響、ハード ディスクの再フォーマット、コンピューターを使用した他のコンピューターへのウイルスの送信など、望ましくない悪意のある行為を実行します。コンテンツセキュリティアンチウイルスソフトウェアは、このようなセキュリティの脅威に対する防御の最前線のように機能し、ネットワークへのウイルスの拡散を防ぎます。ウイルス攻撃、不要なコンピューターマルウェア、スパイウェア、ルートキット、ワーム、フィッシング攻撃、スパム攻撃、トロイの木馬などからネットワークを保護します。
ウイルス対策ソフトウェアとウイルスパターンファイルデータベースが最新であることを常に確認する必要があります。
Junos OS 22.2R1以降:
-
J-Web GUI では、UTM という用語はコンテンツ セキュリティに置き換えられています。
-
Junos CLI コマンドでは、コンテンツ セキュリティのために従来の用語 UTM を引き続き使用します。
ジュニパーネットワークスは、以下のコンテンツセキュリティアンチウィルスソリューションを提供しています。
デバイス上のウイルス対策保護
オンデバイスアンチウイルスはオンボックスソリューションです。デバイス上のウイルス対策検索エンジンは、デバイスにローカルに保存されているウイルスパターンファイルにアクセスしてデータをスキャンします。これは、個別にライセンスされたサブスクリプションサービスを通じて利用できる完全なファイルベースのウイルス対策スキャン機能を提供します。
メモ:デバイス上のExpressまたはカスペルスキーのスキャンエンジンは、Junos OSリリース15.1X49-D10以降ではサポートされていません。ただし、Junos OSリリース12.3X48には引き続き適用されます。
Junos OS リリース 18.4R1 以降、SRX シリーズ ファイアウォールは Avira オンデバイス アンチウィルス スキャン エンジンをサポートします。
Avira オンデバイス アンチウィルス スキャン エンジンは、SRX300、SRX320、SRX340、SRX345、SRX380、および SRX550 HM デバイスではサポートされていません。
ソフォスのウイルス対策保護
ソフォスのアンチウィルスは、クラウド内のアンチウィルスソリューションです。ウイルスパターンファイルおよび不正プログラムデータベースは、ソフォス (Sophos Extensible List) サーバーによって管理されている外部サーバーにあります。また、ソフォスのウイルス対策スキャナは、ローカルの内部キャッシュを使用して、外部リストサーバーからのクエリ応答を維持します。ソフォスのアンチウィルススキャンは、ファイルベースの完全なアンチウィルス機能に代わる、CPU への負荷の少ない代替手段として提供されています。
コンテンツセキュリティアンチウイルスの利点
デバイス上のウイルス対策ソリューション:
インターネットサーバーに接続せずにローカルでアプリケーショントラフィックをスキャンして、アプリケーショントラフィックにウイルスがないかどうかを照会します。
パターンデータベースがローカルに保存され、スキャンエンジンがデバイス上にあるため、処理の遅延が最小限に抑えられます。
ソフォスのウイルス対策ソリューション:
ウイルスパターンファイルおよびマルウェアデータベースはソフォスが管理する外部サーバーにあるため、ジュニパーデバイス上での大きなパターンデータベースのダウンロードや保守を回避できます。
ソフォスのウイルス対策スキャナがローカル内部キャッシュを使用して外部リストサーバーからのクエリ応答を維持するため、検索のパフォーマンスが向上します。
URI(Uniform Resource Identifier)チェック機能を使用して、悪意のあるコンテンツがエンドポイントクライアントまたはサーバーに到達するのを効果的に防止します。
ウイルス対策ワークフロー
スコープ
Juniper Web(J-Web)デバイスマネージャーは、SRXシリーズファイアウォール上のコンテンツセキュリティアンチウイルスソリューションをサポートします。この例では、ソフォスのウイルス対策保護を使用して、次のことを行います。
-
サーバー (10.102.70.89) からコンピューターへの HTTP および FTP トラフィックをスキャンして、ウイルス攻撃を探します。
トラフィックのスキャン中にウイルスが見つかった場合に表示されるカスタムメッセージ 「Virus Found!」 を定義します。
-
AV スキャンをスキップする許可リスト URL(http://10.102.70.89)を作成します。
メモ:前提として、サンプル URL にルーティングできる必要があります。
始める前に
ソフォスのウイルス対策ライセンスをインストールします。 「インストールおよびアップグレードガイド」、「 ライセンス管理ガイド」、および 「ライセンスガイド」を参照してください。
この例で使用するSRXシリーズファイアウォールが、Junos OSリリース22.2R1を実行していることを確認します。
メモ:Junos OS 22.2R1以降:
-
J-Web GUI では、UTM という用語はコンテンツ セキュリティに置き換えられています。
-
Junos CLI コマンドでは、コンテンツ セキュリティのために従来の用語 UTM を引き続き使用します。
-
トポロジ
この例で使用されるトポロジーは、インターネットにアクセスできるコンテンツセキュリティ対応のSRXシリーズファイアウォールに接続されたPCとサーバーで構成されています。J-Web を使用して、この簡単な設定でサーバーに送信された HTTP および FTP 要求をスキャンします。次に、ソフォスのウイルス対策保護を使用して、インターネットから PC へのウイルス攻撃を防止します。
ビデオ
J-Web を使用してコンテンツセキュリティアンチウイルスを設定する方法については、次のビデオを参照してください。
スニークピーク – J-Webコンテンツセキュリティアンチウイルスの設定手順
| ステップ |
アクション |
|---|---|
| ステップ1 |
デフォルト設定でソフォスのエンジンを設定します。 ここでは、まずデフォルト設定でデフォルトエンジンをソフォスとして定義します。 |
| ステップ 2 |
ウイルス対策カスタム オブジェクトを構成します。 ここでは、ウイルス対策スキャンによってバイパスされる URL またはアドレスの URL パターン リスト (許可リスト) を定義します。URL パターン リストを作成したら、カスタム URL カテゴリ リストを作成し、それにパターン リストを追加します。 |
| ステップ 3 |
ソフォスのエンジンを使用してウイルス対策機能プロファイルを設定します。 デフォルト設定の後、機能プロファイルでウイルス スキャンに使用するパラメータを定義します。
メモ:
ウイルス対策プロファイルを作成する前に、DNS サーバーを構成する必要があります。 DNS サーバーを構成するには、[ デバイス管理 ] > [ 基本設定 ] > [ システム ID > DNS サーバー] に移動します。 |
| ステップ 4 |
ソフォスのウイルス対策のコンテンツセキュリティポリシーを作成し、ウイルス対策機能プロファイルをコンテンツセキュリティポリシーに適用します。 ここでは、コンテンツセキュリティポリシーを使用して、一連のプロトコル (HTTP など) を Sophos コンテンツセキュリティ機能プロファイルにバインドします。別のプロファイルを作成するか、プロファイルに他のプロトコル (imap-profile、pop3-profile、smtp-profile など) を追加することで、他のプロトコルもスキャンできます。 |
| ステップ 5 |
Sophos antivirus のセキュリティポリシーを作成し、コンテンツセキュリティポリシーをセキュリティポリシーに割り当てます。 ここでは、セキュリティ ファイアウォールと機能プロファイルの設定を使用して、trust ゾーン (trust) から untrust ゾーン (インターネット) へのトラフィックをスキャンします。 |
| ステップ 6 |
許可リスト URL (http://10.102.70.89) から URL にアクセスし、10.102.70.89 サーバーで使用可能なテスト ウイルス ファイル (eicar.txt) のダウンロードを試みます。 |
手順 1: ウイルス対策の既定の構成を更新する
現在地(J-Web UI): セキュリティサービス > コンテンツセキュリティ > デフォルト設定。
このステップでは、 Sophos Engine をデフォルトのエンジンタイプとして設定します。
既定のウイルス対策プロファイルを更新するには:
- 表 1 の「アクション」列にリストされているタスクを実行します。
表 1: デフォルトの構成設定 フィールド
アクション
型
ウイルス対策の Sophos エンジン の種類を選択します。
URLホワイトリスト
[ なし] を選択します。
MIME ホワイトリスト
リスト
[ なし] を選択します。
例外
[ なし] を選択します。
図1:デフォルトのウイルス対策設定
手順 2: ウイルス対策カスタム オブジェクトを構成する
手順 2a: バイパスする URL パターン リストを構成する
この手順では、ウイルス対策スキャンによってバイパスされる URL またはアドレスの URL パターン リスト (セーフリスト) を定義します。
現在地: (J-Web UI): セキュリティサービス > コンテンツセキュリティ > カスタムオブジェクト。
URL のセーフリストを設定するには:
- 表 2 の「アクション」列にリストされているタスクを実行します。
表 2: URL パターン リストの設定 フィールド
アクション
名前
タイプ av-url-pattern。
メモ:文字またはアンダースコアで始まり、英数字とダッシュやアンダースコアなどの特殊文字で構成される文字列を使用します。最大 29 文字を使用できます。
値
-
[+] をクリックして URL パターン値を追加します。
-
タイプ http://10.102.70.89。
-
チェックマークアイコン
をクリックします。
図 2: URL パターン リスト
の追加
-
よく出来ました!構成の結果を次に示します。
手順 2b: 許可する URL を分類する
次に、作成した URL パターンを URL カテゴリ リストに割り当てます。カテゴリ リストは、マッピングのアクションを定義します。たとえば、 セーフリスト カテゴリを許可する必要があります。
現在地: セキュリティサービス > コンテンツセキュリティ > カスタムオブジェクト。
URL を分類するには:
- 表 3 の「アクション」列にリストされているタスクを実行します。
表 3: URL カテゴリ リストの設定 フィールド
アクション
名前
セーフリスト URL パターンの URL カテゴリ リスト名として入力します av-url 。
メモ:文字またはアンダースコアで始まり、英数字とダッシュやアンダースコアなどの特殊文字で構成される文字列を使用します。最大 59 文字を使用できます。
URL パターン
「使用可能」列から URL パターン値 av-url-pattern を選択し、右矢印をクリックして URL パターン値を「選択済み」列に移動します。これにより、URL パターン値 av-url-pattern を URL カテゴリ リスト av-url に関連付けます。
図 3: URL カテゴリ リスト
の追加
- [ OK ] をクリックして、カテゴリ リストの構成を保存します。
よく出来ました!構成の結果を次に示します。
手順 3: ウイルス対策プロファイルを作成する
現在地: セキュリティ サービス > コンテンツ セキュリティ > ウイルス対策プロファイル。
この手順では、新しいコンテンツ セキュリティ アンチウィルス プロファイルを作成し、作成した URL オブジェクト (パターンとカテゴリ) をプロファイルに参照して、通知の詳細を指定します。
新しいウイルス対策プロファイルを作成するには:
- 表 4 の「アクション」列にリストされているタスクを実行します。
表 4: ウイルス対策プロファイルの設定 フィールド
アクション
一般 名前
新しいウイルス対策プロファイルを入力します av-profile 。
メモ:最大 29 文字を使用できます。
URL 許可リスト
リストから av-url を選択します。
フォールバック オプション コンテンツサイズ
[ ログと許可] を選択します。
デフォルト アクション
[ ログと許可] を選択します。
通知オプション ウイルス検出
[ メール送信者に通知] を選択します。
通知タイプ
[メッセージ] を選択します。
カスタムメッセージの件名
タイプ ***Antivirus Alert***。
カスタムメッセージ
タイプ Virus Found !。
図 4: ウイルス対策プロファイルの全般設定
の作成
図 5: ウイルス対策プロファイルの通知設定
を作成する
- 「成功」というメッセージが表示されたら、「閉じる」をクリックします。
よく出来ました!構成の結果を次に示します。
手順 4: ウイルス対策プロファイルをコンテンツ セキュリティ ポリシーに適用する
ウイルス対策機能プロファイルを作成したら、ウイルス対策スキャン プロトコルのコンテンツ セキュリティ ポリシーを構成し、「 手順 3: ウイルス対策プロファイルの作成」で作成したウイルス対策プロファイルにこのポリシーをアタッチします。この例では、HTTP および FTP トラフィックのウイルスをスキャンします。
現在地: セキュリティサービス > コンテンツセキュリティ > コンテンツセキュリティポリシー。
コンテンツセキュリティポリシーを作成するには:
- 「成功」というメッセージが表示されたら、「 閉じる 」をクリックします。
もうすぐです!構成の結果を次に示します。
ステップ 5: コンテンツセキュリティポリシーをセキュリティファイアウォールポリシーに割り当てる
このステップでは、ウイルス対策プロファイル設定を使用して、trust ゾーン (trust) からuntrust ゾーン (インターネット) に渡されるトラフィックを Sophos antivirus でスキャンするファイアウォールセキュリティポリシーを作成します。
コンテンツ セキュリティ構成を、信頼ゾーンからインターネット ゾーンのセキュリティ ポリシーにまだ割り当てていません。フィルタリングアクションは、一致条件として機能するセキュリティポリシールールにコンテンツセキュリティポリシーを割り当てた後にのみ実行されます。
セキュリティポリシールールが許可されている場合、SRXシリーズファイアウォールは以下を行います。
HTTP 接続をインターセプトし、(HTTP 要求内の) 各 URL、または IP アドレスを抽出します。
メモ:HTTPS 接続の場合、ウイルス対策は SSL 転送プロキシ経由でサポートされます。
-
[アンチウイルス(セキュリティ サービス ] > [コンテンツ セキュリティ ] > [デフォルト設定]) の下のユーザ設定セーフリスト内の URL を検索します。その後、URL がユーザ設定のセーフリストに含まれている場合、デバイスはその URL を許可します。
ウイルス対策プロファイルで構成された既定のアクションに基づいて、URL (カテゴリが構成されていない場合) を許可またはブロックします。
現在地: Security Policies & Objects > Security Policies.
コンテンツセキュリティポリシーのセキュリティポリシールールを作成するには:
- チェックマークアイコン をクリックして変更を保存します。
よく出来ました!構成の結果を次に示します。
手順 6: コンテンツ セキュリティ アンチウイルスが動作していることを確認する
目的
設定済みのコンテンツセキュリティアンチウイルスが、インターネットサーバからのウイルス攻撃を防止し、許可リストサーバからのトラフィックを許可していることを確認します。
アクション
-
PC を使用して、HTTP 要求を http://10.102.70.89 に送信します。
よく出来ました!http://10.102.70.89 サーバーにアクセスできます。
-
PC を使用して、FTP 要求を 10.102.70.89 サーバーに送信し、eicar.txt ファイルをダウンロードします。eicar.txtファイルは、で利用可能になるテストウイルスファイルです 10.102.70.89 サーバー.
すみません!SRXシリーズファイアウォールがファイルのダウンロードをブロックし、カスタムブロックメッセージ 「アンチウイルスアラート***- ウイルスが見つかりました!」を送信しました。
eicar.txtファイルをダウンロードしようとしたときに、SRXデバイスがウイルス アラートを送信した場合の出力例を次に示します。
[centos-01 ~]$ ftp 10.102.70.89 Connected to 10.102.70.89 (10.102.70.89). 220 XX FTP server (Version 6.00LS) ready. Name (10.102.70.89:lab): root 331 Password required for root. Password: 230 User root logged in. Remote system type is UNIX. Using binary mode to transfer files. ftp> get eicar.txt local: eicar.txt remote: eicar.txt 227 Entering Passive Mode (10,102,70,89,197,55) 150 Opening BINARY mode data connection for 'eicar.txt' (70 bytes). netin: Connection reset by peer 426 10.102.70.89:21->10.0.1.1:36240 ***Antivirus Alert***- Virus Found!
脅威を見つけた場合に出力されるアンチウイルス統計の例を次に示します。
[edit] root@srx> show security utm anti-virus statistics UTM Anti Virus statistics: Intelligent-prescreening passed: 0 MIME-whitelist passed: 0 URL-whitelist passed: 1 Session abort: 0 Scan Request: Total Clean Threat-found Fallback 2 0 1 0 Fallback: Log-and-Permit Block Permit Engine not ready: 0 0 0 Out of resources: 0 0 0 Timeout: 0 0 0 Maximum content size: 0 0 0 Too many requests: 0 0 0 Decompress error: 0 0 0 Others: 0 0 0
次は何ですか?
あなたがしたい場合は |
そうしたら |
|---|---|
コンテンツセキュリティアンチウイルスの詳細と統計情報の監視 |
J-Webで、[>セキュリティサービスを監視する]>[コンテンツセキュリティ>アンチウイルス]に移動します。 |
許可されたURLとブロックされたURLに関するレポートを生成および表示する |
レポートを生成および表示するには:
|
コンテンツセキュリティ機能の詳細 |
コンテンツセキュリティユーザーガイドを参照してください |
サンプル設定出力
このセクションでは、この例で定義されている Web サイトからのウイルス攻撃をブロックする構成の例を示します。
以下のコンテンツセキュリティ設定を [edit security utm] 階層レベルで設定します。
階層レベルでの [edit security utm] カスタムオブジェクトの作成:
custom-objects {
url-pattern {
av-url-pattern {
value http://10.102.70.89 ;
}
}
custom-url-category {
av-url {
value av-url-pattern;
}
}
}
階層レベルでのウイルス対策プロファイル [edit security utm] の作成:
default-configuration {
anti-virus {
type sophos-engine;
}
}
feature-profile {
anti-virus {
profile UTM-LB-AV {
notification-options {
virus-detection {
type message;
notify-mail-sender;
custom-message “Virus-Found!”;
custom-message-subject “***Antivirus Alert***”;
}
}
}
}
}
コンテンツセキュリティポリシーの作成:
utm-policy av-policy {
anti-virus {
http-profile av-profile;
ftp {
upload-profile av-profile;
download-profile av-profile;
}
}
}
階層レベルでのセキュリティポリシー [edit security policies] のルールの作成:
from-zone trust to-zone internet {
policy av-security-policy {
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
application-services {
utm-policy av-policy;
}
}
}
}
}