はじめてのSSG5 - Juniper Networks

はじめてのSSG5
概要とハンズオントレーニング
(Rev.D 講習会用)
リリース日:2007年8月17日
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
1
第1部:はじめに
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
2
実証されたセキュリティ機能(SSGとNSの違いとは?)
ScreenOS
ƒ 統合型コンテンツセキュリティをSWアップグ
レードにより提供
コンテンツセキュリティ
ƒ アンチフィッシング
ƒ アンチウイルス/
ƒ アンチスパム
アンチスパイウェア
ƒ Webフィルタ
• 統合/リダイレクトWebフィルタ
• アンチウイルス、アンチスパイウェア、アンチ
フィッシング、アンチスパムの各機能を実装
ネットワークおよびアプリケーション保護
ƒ FW/VPN
ƒ ディープインスペクション
ƒ ネットワーク/アプリケーションレベルセキュリ
ティ
ƒ DoS/DDoS
ƒ ユーザー認証
ネットワーキング
ƒ バーチャライゼーション
ƒ LANルーティング
ƒ WANプロトコル
ƒ 配備モード
SSG特定用途向けハードウェア・プラットフォーム
固定
GE I/O
管理/
モデム
Copyright © 2007 Juniper Networks, Inc.
モジュール型WAN
およびLAN I/O
• ディープインスペクション、NAT、DoS防止、
ユーザー認証
ƒ 充実したネットワーキング、バーチャライゼー
ション機能
• ネットワークをセキュアセグメントに分割する
バーチャライゼーション
• ScreenOSの配備モード、ダイナミック・ルーティ
ング、高可用性を、厳選したJUNOS WANプロ
トコルと統合
Proprietary and Confidential
www.juniper.net
3
SSG5でできること
ƒ ブロードバンド、ISDN対応
• 光回線(FTTH)やADSL、CATVなどのブロードバンドモデムに接続できます。また、ISDNダイヤルアップルー
タにも対応しています。
ƒ ファイアウォール機能
• きめ細やかなファイアウォールポリシーによるステートフルパケットインスペクション(セッションの状態を監視し
ながらパケットを調査)が可能。
• 業界最多の32種類のスクリーン機能で外部からの不正アクセスに対してセキュリティを強化できます。
• LAN側、WAN側に加え、DMZが使用できます。
ƒ UTM機能
• アンチウイルス、侵入防御、アンチスパム、ウェブフィルタリングを1台で対応でき、複雑なセキュリティシステム
をシンプルにできます。
ƒ IPSecによるVPN
• ブロードバンド回線を利用した仮想プライベート網を構築し、安全にデータ転送をすることが可能です。
• 外出先からIPSecでLANにリモートアクセスすることもできます。
ƒ NAT
• 静的/動的アドレス変換機能により、インターネットからのプライベートアドレス割振り装置の参照が行えます。
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
4
SSG5でできること2
ƒ 設定用ホームページ
• パソコンをSSG5に接続するだけでWebブラウザを使った設定用画面によりすべての設定を行うことができま
す。
ƒ セキュアVoIP
• H.323、SIP、MGCPなどのVoIPセキュリティに対応しています。
ƒ ルーティング
• 静的ルーティング、RIP、OSPF、BGPに対応し、広範囲のネットワークに対応します。
ƒ ユーザ認証
• 許可されたユーザのみ通信が可能なようにIDとパスワードによる認証を行うことが可能です。
• 802.1xにも対応し、よりセキュリティを強化したネットワークを構築することができます。
ƒ 無線LAN
• 802.11a/b/g全ての規格に対応し、柔軟なネットワークアクセスを可能にします。
これらのことが、これまでのNetScreenと同じGUIやCLIで設定が可能です
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
5
前面部各部の説明
“TX/RX” LED
(ポートにデータが流れる
と点滅します。)
DMZポート※
(ethernet0/1、または
e0/1というインタフェース
名です。DMZサブネット
に接続します。)
0/0 0/1 0/2 0/3 0/4 0/5 0/6
Untrustポート※
AUXまたはISDNポート
(購入時の型番で異なります)
コンソールポート
(ethernet0/0、または
e0/0というインタフェース
名です。インターネット側
に接続されます。)
(CLIによるコマンドライン
で設定する場合に使います。)
Copyright © 2007 Juniper Networks, Inc.
Trustポート※
(ethernet0/2~ethernet0/6、
またはe0/2~e0/6です。
LAN側のポートとなり、ユーザ
PCなどが接続されます。)
“LINK” LED
(ケーブルで接続された
対向装置と接続性が取れた
場合に点灯します。)
※ethernetX/YのXはスロット番号、Yはインタフェース
番号となります。SSG5の場合、スロットという概念が
ありませんが、”0”という値で統一されます。
SSG5のイーサネットポートはすべて10/100BaseTX
です。
Untrust, DMZ, Trustの各ポートは設定によりインタフェ
ースの位置を変えることが可能です。
Proprietary and Confidential
www.juniper.net
6
背面部各部の説明
ワイヤレスアンテナB
ワイヤレスアンテナA
ファン
ワイヤレスタイプ
ACアダプタ
電源接続口
アース端子
(アースに接続
する場合)
セキュリティスロット
(市販のセキュリティロック
を使い、盗難防止に使用)
リセットボタン
(工場出荷時の設定に
戻す場合に使います。)
USBポート
(デバイスとUSB1.1接続を行います。
OSやコンフィグの保存、取得が可能です。
コンパクトフラッシュと同時に使う場合、
セカンダリストレージとして動作します。)
ワイヤレス無しのタイプ
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
7
パソコンにLANポートを用意する
ƒ パソコンをSSG5にLAN接続するには、パソコンにLANポート(10BASETまたは100BASE-TXポート)が必要です。
ƒ SSG5には5つまで(DMZを使わない場合は6つまで)のポートをLAN側
ポートとして使うことができます。それ以上の数のパソコンをSSG5に接
続するには、市販のハブまたはスイッチが必要になります。
ƒ パソコンにLANポートが無い場合
• デスクトップ型パソコンの場合
• 拡張スロットにLANボードを取り付けます。最近のパソコンはLANボード(RJ45インタフェース)が購入時から付いているものがほとんどです。
• ノート型パソコンの場合
• PCカードスロットにLANカードを取り付けます。最近のパソコンはLANポートが
付いている場合がほとんどです。
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
8
インターネットへの接続方法を選ぶ
ƒ ブロードバンド回線: インターネットへ常時接続する
• Bフレッツ
• フレッツ・ADSL
ƒ ISDN回線: 必要なときだけインターネットへ接続する
ƒ フレッツ・ISDN:
ƒ ネットワーク型接続
• PPPoE
注意)
ƒ プロバイダを変更した場合はSSG5を再設定してください。もとの設定を使い続けると、回
線業者やプロバイダから意図しない料金を請求される場合があります。
ƒ 契約プロバイダが複数パソコンの同時接続を禁止していないかご注意ください。
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
9
アースコードの接続
アース端子に
アースコードを
接続する
ƒ アース端子のネジをプラスドライバで少し緩めてから、アース
コードをアース端子に接続して固定します。
注意)
ƒ アースコードは必ず接続してください。感電防止やノイズ防止の効果があります。
ƒ アースコードは必ずコンセントのアース端子に接続してください。ガス管などには絶対に接続し
ないでください。
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
10
初期設定の前に
ƒ WebUIで設定する場合、イーサネットケーブル
(LANケーブル)でパソコンをethernet0/2から
ethernet0/6のいずれかのTrustポートに接
続します。ストレートケーブルでもクロスケーブ
ルでも構いません。
ƒ パソコンの台数や距離に合わせてLANケーブ
ルを用意してください。
ƒ CLIで設定する場合、ストレートのイーサネット
ケーブルをコンソールポートに接続し、もう一
方のコネクタに付属のDB-9アダプタを付け、
パソコンのシリアルポートに接続します。
ƒ パソコンにシリアルポートが無く、USBポートが
ある場合はUSBシリアル変換ケーブルなどを
ご用意ください。
USB to シリアル変換
ケーブル
Internet
0/2から0/6のいずれか
最大5台まで
接続可能
ストレート
ケーブル
イーサネット
ケーブル
DB-9
アダプタ
回線終端装置
(ブロードバンド
モデム)
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
パソコンのシリア
ルポートへ
www.juniper.net
11
電源の接続
ƒ SSG5にACアダプタを接続します。
ƒ SSG5には電源のON/OFFボタンはありません。コンセントに電源プラグを差込み、ACアダプ
タをSSG5に接続することで電源ONとなります。
ƒ 電源が入ると、 “POWER” LEDと “STATUS” LEDが緑色に光ります。
ƒ “POWER” LEDが緑色で点灯していることを確認します。
ƒ 2分ほど経過すると起動(立ち上げ)が完了し、 “STATUS” LEDが緑色に点滅し始めます。こ
れで正常に動作していることが確認できます。
ƒ パソコンにつないだTrustポートの“LINK” LEDが緑色に点灯していることを確認します。点灯
していれば、パソコンと接続性が保てています。
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
12
設定するパソコンのネットワーク設定
ƒ パソコンがTrustポートまたはコンソールポートに接続されていることを確認しま
す。
ƒ TCP/IP設定でIPアドレスをDHCPから取得するようにします。
• Trustポートに接続した場合、SSG5から自動的にIPアドレスが割り当てられます。
MS-DOSプロンプトで “ipconfig” と打つと、192.168.1.33 (複数のパソコンをTrust
ポートに接続した場合は33以上の値) が割り当てられているはずです。
• SSG5とパソコンがネットワークレベルで正しく接続されているかを確認するには、
“ping 192.168.1.1” とDOSプロンプトで入力し、応答が返ってくるのをチェックします。
ƒ Webブラウザを立ち上げます。
ƒ URLアドレスとして、 “http://192.168.1.1” を入力します。
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
13
WebUIのスタート画面
工場出荷時は
Admin Name=>netscreen
Password=>netscreen
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
14
SSG5ユーザインタフェース
ƒ SSG5ではユーザインタフェースとして以下のような複数の操作手段を提供して
います。
•
•
•
•
シリアルコンソール接続による、コマンドラインインタフェース(CLI)
Telnet/SSH接続による、CLI
http/httpsによるウェブインタフェース(WebUI)
NetScreen Network Management System(NSM – オプション販売製品)による集
中管理インタフェース
ƒ 一部詳細な設定を除き、SSG5の設定は基本的に全てWebUIから可能です。
今回は、WebUI、とりわけ初期設定ウィザードを利用した設定作業をご説明し
ています。
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
15
初期設定ウィザード - SSG5初回利用時
ƒ SSG初回利用時にウェブブラウザからアクセスを行うと、迅速
導入ウィザード(Rapid Deployment Wizard)メニューが表
示されます。構成方法を次の三つから選択して利用が可能で
す。
• 初期設定ウィザード(Initial Configuration Wizard)
• 迅速導入(Rapid Deployment: NSMも利用した大量導入機能)
• 通常のWebUIインタフェース
ƒ 次から、初期設定ウィザードの使用方法を順を追って説明し
ます。
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
16
初期設定ウィザード (1) – 初期アクセス時メニュー
【共通設定】
ƒ SSG5にウェブインタフェース経由で初めてアクセス時に以下のような「ラピッドディプロイメント
ウィザード」メニューが表示されます。今回は、「初期設定ウィザード(Initial Configuration
Wizard)」を利用します。
初期設定ウィザード利用
(今回はこれを使用)
NSMを利用した導入時
(大量導入時に利用)
ウィザードを利用せずに通常の
ウェブインタフェーストップ画面
へ移動
上記選択後、”Next >>” ボ
タンをクリック
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
17
初期設定ウィザード (2) – 初期アクセス時メニュー
ƒ
ƒ
SSG5は初期設定ウィザードにより、典型的なインターネット利用環境
を容易に設定することが可能です。
次からの例では、二つの主要なISP接続タイプによる設定について順
に説明しています。
1. CATVインターネット,YahooBB ⇒ DHCPタイプ
2. NTT Flets ADSL, B-Flets ⇒ PPPoEタイプ
ƒ
ƒ
説明例では、「【共通項目】」に加え、利用するサービス、機能に応じて
必要項目をそれぞれ設定する必要があります。
無線LANの利用、DMZネットワークについては、よりシンプルな手順を
示す為、省略した設定となっています。詳細パラメータについて別途説
明を参考にしてください。
*
DMZ (De-Militarized Zone):インターネットに公開するサーバ等を設置する目的で用い
られるネットワーク
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
18
初期設定ウィザード (3) – 【共通設定】
”Next >>” ボタンをクリック
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
19
初期設定ウィザード (4) – 管理者ID/PW設定
【共通設定】
ƒ SSG5の管理者IDとパスワードを設定します。また、WebUIへのアクセス方法の指定も行い
ます。
管理者IDを設定します
(デフォルト’netscreen’)
パスワードを設定します
(デフォルト’netscreen’)
同じパスワードを再度入力
選択すると、以後、HTTPSでのみ
WebUIへアクセス可とさせます。
(HTTPでのアクセス試行をHTTPS
へ転送)
上記入力後「Next」をクリック
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
20
初期設定ウィザード (5) – 無線LAN利用要否
【共通設定】
ƒ ユーザ側LANのネットワークとして無線LANも利用可能です。無線LANを利用要否、及び利
用時のモードを指定します。
2.4GHzの無線LANを利用する場合、モー
ドを指定します
802.11b: 802.11b単独モード
802.11b/g: 802.11b/g 混在モード
802.11g: 802.11g単独モード
Turbo: 802.11gターボモード
5GHzの無線LANを利用する場合、モード
を指定します
- 802.11a: 802.11aモード
- Turbo: 802.11aターボモード
無線LANを利用する場合チェックボック
スを選択します
上記入力後「Next」をクリック
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
21
初期設定ウィザード (6) – 有線インタフェース設定
【共通設定】
ƒ インターネット接続側、DMZの有線イーサネットインタフェースの設定を行います。DMZを利用
しない場合は、’DMZ Zone’に対して’null’を選択します。
インターネット接続側(ISP側)の有線インタ
フェースの選択をします。
eth0/0: イーサネットインタフェース
bri0/built-in: ISDNインタフェース
DMZを利用する場合、DMZネットワーク用
のインタフェースを選択します。
Null: DMZ使用せず
eth0/1: DMZネットワークをeth0/1へ設定
ユーザ側LANはデフォルトで
bgroup0(有線LANポート0/2 ~
0/6)に割り当てられています。
上記入力後「Next」をクリック
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
22
初期設定ウィザード (7) – インタフェース詳細設定
【共通設定】
ƒ IPアドレス等、各有線(及び利用時無線LAN)インタフェースの詳細設定を行い
ます。次から各インタフェースの設定方法を説明しています。
構成するインタフェースを順次クリック
し設定していきます
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
23
初期設定ウィザード (8) – ユーザLANインタフェース詳細設定
【共通設定】
ƒ ユーザLANネットワークに接続されるインタフェースである ‘bgroup0 (trust
zone)’のIPアドレス/マスクを設定します。
Static IP をクリックし、利
用するインタフェースIPとマ
スクを設定します。特に利
用したいIPアドレスがなけ
ればディフォルト変更なしで
問題ありません
Bgroup0(trust zone)
をクリック
デフォルトアドレス(プライベー
トIP)設定
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
24
初期設定ウィザード (9-1) – eth0/0(Untrust) インタフェース設定
【フレッツADSL,BフレッツなどPPPoE方式の場合】
Eth0/0(Untrust Zone)
をクリック
ISPより提供されたIDを入
力します
Dynamic IP via PPPoEを
選択します
ISPより提供、もしくは設定
したパスワードを入力しま
す
確認のため、パスワードを
再度入力します
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
25
初期設定ウィザード (9-2) – eth0/0(Untrust) インタフェース設定
【CATV、YahooBBなどのDHCP方式の場合】
ƒ CATV、YahooBBなど、DHCPを用いているサービスに接続する場合、eth0/0(Untrust
Zone)インタフェースに対して’Dynamic IP via DHCP’を選択します。
Eth0/0(Untrust Zone)
をクリック
Dynamic IP via DHCPを
選択します
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
26
初期設定ウィザード (10) – 無線LAN詳細設定
【無線LAN利用時のみ】
ƒ 無線LANとそのインタフェースの設定を行います。詳細な設定については、ここ
では割愛します。
Wireless0/0(trust zone)
をクリック
無線LAN構成に必要な各種パ
ラメータを入力します(本説明で
は省略)
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
27
初期設定ウィザード (11) – DMZインタフェース詳細設定
【DMZネットワーク利用時のみ】
ƒ DMZ Zone のインタフェース設定を行います。
Eth0/1(DMZ Zone)をクリ
ック
構成するDMZ環境にあわ
せ、DHCPもしくはスタティッ
クにインタフェースIPアドレ
ス/マスクを設定します
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
28
初期設定ウィザード (12) – インタフェース詳細設定
【共通設定】
ƒ 利用する全ての利用インタフェース構成完了後、次のメニューへ移動します。
全てのインタフェース設定完了後
に’Next’をクリックします
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
29
初期設定ウィザード (13) – インタフェース設定確認
【共通設定】
ƒ 構成したインタフェースの内容が表示されます。内容を確認し次に進みます。
設定したインタフェース内容を確
認します。
内容確認後、’Next’をクリック
します
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
30
初期設定ウィザード (14) – ユーザLANネットワークDHCP設定
【共通設定】
ƒ 有線ユーザLANネットワーク向けに、SSGをDHCPサーバとして動作させるかど
うか設定します。通常は、DHCPを利用する設定にします。
DHCP利用時に選択し、割り当て
るIPアドレスの範囲と、DNS
サーバのIPアドレスを入力しま
す。通常はデフォルトのままで問
題ありません。
DHCPを利用しない場合、Noを
選択します。
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
設定完了後に’Next’をクリック
します
www.juniper.net
31
初期設定ウィザード (15) – 無線LANネットワークDHCP利用設定
【無線LAN利用時のみ】
ƒ 有線ユーザLANネットワーク同様に、無線LANネットワークについてもDHCP利
用の可否及び設定を行います。
DHCP利用時に選択し、割り当て
るIPアドレスの範囲と、DNS
サーバのIPアドレスを入力しま
す。通常はデフォルトのままで問
題ありません。
DHCPを利用しない場合、Noを
選択します。
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
設定完了後に’Next’をクリック
します
www.juniper.net
32
初期設定ウィザード (16) – インタフェース設定確認
【共通設定】
ƒ 構成したインタフェースの内容が表示されます。内容を確認し次に進みます。
設定したインタフェース内容を確
認します。
内容確認後、’Next’をクリック
します
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
33
初期設定ウィザード (17) – 設定確認
【共通設定】
ƒ 全ての構成が完了し、構成された設定が表示されます。Finishをクリックすると
SSG5が再起動し、利用可能となります。
Finishをクリックします
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
34
初期出荷状態にリセットするには?
ƒ 背面のリセットボタンをシャープペンシルの先などで8秒ほど(10数えるくらいの時間)押し続ける。
•
•
“POWER” LEDがオレンジ色に点灯。 “STATUS” LEDがオレンジ色に点滅。
“ssg5-isdn-wlan-> Configuration Erasure Process has been initiated.” というメッセージがCLIプロンプトに現れる。
ƒ リセットボタンを押してから8秒経つと、
•
•
“Waiting for 2nd confirmation.” というメッセージがCLIプロンプトに現れる。
“STATUS” LEDが緑色の点滅に変わる。
ƒ リセットボタンを押すのを止める。
•
“POWER” LEDが緑色の点灯に変わる、 “STATUS” LEDは引き続き緑色の点滅となる。
ƒ 2~3秒待ち、再度リセットボタンを8秒ほど押し続ける。(あまり早く2回目を押すと認識されない。)
•
•
“2nd push has been confirmed.” というメッセージがCLIプロンプトに現れる。
“POWER” LEDはオレンジ色に点灯。 “STATUS” LEDが赤色で点滅。
ƒ “Configuration Erase sequence accepted, unit reset.” というメッセージがCLIプロンプトに現れる。
ƒ “POWER” LEDが緑色の点灯、 “STATUS” LEDが緑色の点灯に変わる。このとき、デバイスのリロード(再起動)が始まる。
ƒ “POWER LED”が緑色に点灯し、”STATUS LED”が緑色の点滅に変化すると、初期状態へのリセットが完了します。
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
35
第2部:ファイアーウォール機能を利用する
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
36
バーチャルルータ,ゾーン,インタフェースの考え方
ƒ SSGを利用するにあたり、バーチャルルータ,ゾーン,インタフェース
の関係性を理解する必要があります。
e0/0
e0/1
bgroup0
Untrust
zone
DMZ
zone
Trust
zone
Untrust-VR
Trust-VR
SSG5
Copyright © 2007 Juniper Networks, Inc.
e0/2
e0/5
e0/3
e0/6
e0/4
• IPを持つのは物理I/Fもしくは仮想インタフェース
• ファイアウォールポリシーはゾーン間で設定
• ルーティングテーブルはバーチャルルータ内で独立
物理インタフェース
仮想インタフェース
セキュリティゾーン
バーチャルルータ(VR)
機器本体
Proprietary and Confidential
www.juniper.net
37
バーチャルルータとは
ƒ 従来のルーティングテーブルは、機器内に単一であり内部ネットワークと
外部ネットワークを一つで管理している為、複雑な設定、管理となります。
ƒ バーチャルルータを使用すると、ルーティングテーブルを効率よく管理で
き、セキュアな設定も簡単におこなう事が可能になります。
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
38
バーチャルルータの初期設定
ƒ SSG5では予め二つのバーチャルルータが設定されています。
• Untrust-VR
• Null インタフェースのデフォルト・ルータ
• Trust-VR
•
•
•
•
Trust, Untrust, DMZ ゾーンのデフォルト・ルータ
Trust, Untrust, DMZ ゾーンのインタフェース
V1-Trust, V1-Untrust, V1-DMZ ゾーンのインタフェース
ユーザ定義ゾーン
ƒ 初期設定ではTrust-VRだけを使います。
• Untrust-VR も利用可能ですが、Trust側とUntrust側のバーチャルルータ
にTrust/ Untrust ゾーンを定義する必要があります。
ƒ Trust, Untrust, および DMZゾーンは、Trust-VRに定義されていま
す。
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
39
セキュリティゾーンとは?
ƒ セキュリティゾーンとは、インタフェースに割り当てる仮想的なグループで
す。
ƒ SSGではセキュリティゾーンを使ってトラフィックを制御します。トラフィック
制御に用いるポリシー(後述)でチェックするのは異なるゾーン間のトラ
フィックです。
ƒ 通常、物理的には別インタフェースの場合でも、同一ゾーン内のトラフィッ
クはチェックされません。但し、設定により、同一ゾーンに属するトラフィッ
クを制御する事も可能です。
Access
Policy
(オプション設定可能)
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
40
セキュリティゾーンの初期設定
ƒ
SSG5にて予め設定されているゾーンは3種類です。
•
•
•
セキュリティ・ゾーン(security zone)
•
•
•
•
•
•
•
Untrust
Trust
DMZ
Global
V1-Untrust
V1-Trust
V1-DMZ
:インターネット(外部)との接続用
:内部接続用
:公開サーバ等用
:仮想IPの定義ゾーン
:トランスペアレントモード使用時に外部との接続用
:トランスペアレントモード使用時に内部との接続用
:トランスペアレントモード使用時のDMZとの接続用
•
•
Null
Self
:セキュリティゾーンにアサインする前に定義される
:リモート管理用に使用します
•
Untrust-Tun:VPNのトンネリング用途に利用
ファンクション・ゾーン(function zone)
トンネル・ゾーン(tunnel zone)
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
41
インターフェイスの動作モードについて
ƒ SSG5のインタフェースには2つの動作モードがあります。
• NATモード
• 内部のプライベートアドレスは、予め決められた外部インタフェースのア
ドレスに変換されて外部へ転送されます。
– この動作はNAPT(Network Address Port Translation)と呼ば
れます。
• Routeモード
• 基本設定の場合、内部のプライベートアドレスを変換せずに外部へ転
送されます。
– アドレス/ポート変換をおこなうと動作しないアプリケーションがある
場合は、こちらを選択する必要があります。
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
42
ブリッジグループ
ƒ ポート・モードの変更により、インターフェースをフレキシブルに利用可能
ƒ 複数のEthernetポートとWirelessポートをL2スイッチとして動作させ、システムをL3ス
イッチのように動作させることが可能
ƒ ブリッジグループに所属するインターフェースはL2スイッチとして動作
Src1
bgroup
eth
eth
eth
eth
eth
Dst1
bgroup
wireless
SSG 5
or
SSG 20
Traffic
eth
eth
wireless
Server Farm
Security Zone
eth
Bridge Groups as a virtual L2 Switch
Copyright © 2007 Juniper Networks, Inc.
SSG 5
or
SSG 20
Proprietary and Confidential
Bridge Groups as a L3 interface
assigned to a Server Farm Security Zone
www.juniper.net
43
ファイアウォール機能 (1) – 初期設定
ƒ SSG5での初期インタフェース設定は以下の通りです。
• bgroup
• 予めbgroup0~3まで設定されています。通常はbgroup0のみを使用します。
• bgroup0にはethernet0/2~0/6までバインドされており、最大5台までの端末を直接接
続する事が可能です。
• ブリッジグループとは?
– 同一ブリッジグループに所属する物理インタフェース間はブリッジ転送されます。つ
まりスイッチによるフレーム転送が行われるイメージです。
– ブリッジグループに所属させる物理インタフェースは設定により変更が可能です。
• ethernet0/0
• 初期設定では”Untrust”ゾーンに設定されています。通常はこの状態のまま使用します
が、必要に応じて設定変更をしてください。
• ehternet0/1
• 初期設定では”DMZ”ゾーンに設定されています。
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
44
ファイアウォール機能 (2) – ブリッジグループの設定
Editをクリック
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
45
ファイアウォール機能 (3) – ブリッジグループの設定
Bind Portをクリック
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
46
ファイアウォール機能 (4) – ブリッジグループの設定
ブリッジグループに参加/除外
させたい物理ポートを選択する。
既にZoneがアサインされてい
るポートは表示されない。
同一のbgroup内ではスイッチ
ング動作を行う。
設定したらApplyをクリックする
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
47
ファイアウォール機能 (5) – IPアドレスを振る
zoneの設定
IPアドレスを設定
通常はManage IPには同一
アドレスを設定
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
48
ファイアウォール機能 (6) – アドレスの確認
設定したアドレスである事を
確認
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
49
ファイアウォール機能 (7) – セキュリティポリシー
ƒ SSG5ではzoneをまたぐトラフィックを制御します。
• 必要に応じて同一zone内のトラフィックも制御可能です。
初期設定ではTrustからUntrustへの方向の全ての通信を許可する設定と
なっています。
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
50
ファイアウォール機能 (8) – セキュリティポリシーの考え方
Src IP
10.1.10.5
Dest IP
1.1.70.250
Protocol
06
Src Port
36033
Dst Port
80
Data
#$%&
ƒ ポリシーのルールに従ってトラフィックを許可します
• Source - Address Book または Address Group
• Destination - Address Book または Address Group
• Service - Pre-defined Service, Custom Service もしくはCustom
Service Group
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
51
ファイアウォール機能 (9) – ポリシー設定
送信元zoneを指定
送信先zoneを指定
Newを押す
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
52
ファイアウォール機能 (9-2) – ポリシー設定
必要に応じて作成するポリシーの名前を入力します
(但し、2バイト文字は未サポートです)
送受信アドレス、サービス(ポート番号)を指定します
上記で指定した通信を許可(permit)、不許可(deny)の
指定をします
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
53
ファイアウォール機能 (10) – オブジェクトとは
ƒ オブジェクト(アドレスグループ、サービスグループ)を作成する
と、グループ内の各アドレス、サービスに対して個々に内部ポ
リシーを作成します。
ƒ オブジェクトを使用する事で作成するポリシーを少なくする事
が可能です。
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
54
ファイアウォール機能 (11) – アドレスブックの作成
ƒ objects→Addresses→Listからアドレスブックを作成します。
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
55
ファイアウォール機能 (12) – アドレスグループの作成
必要に応じてgroup名、コメント
を入力します。
アドレスグループに参加させ
たいオブジェクトを左のBOX
に移動します。
ƒ objects→Addresses→groupから、作成したアドレスブックを
基にアドレスグループを作成します。
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
56
ファイアウォール機能 (13) – カスタムサービス
ƒ SSG5では定義済みサービス以外で新規にサービスを作成することが可能です。
ƒ 定義済みサービスは、Objects→Services→Predefinedにて確認が可能です。
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
57
ファイアウォール機能 (14) – サービスグループの作成
ƒ Objects→Services→Groupから、作成したカスタムサービ
スを基にサービスグループを作成します。
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
58
ファイアウォール機能 (15) – オブジェクトをポリシーに適用する
ƒ アドレス、サービスグループを使用する事により、個々にポリ
シーを作成する必要がなくなります。
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
59
セキュリティルータとして使う
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
60
SSGのルーター機能
ƒ SSGは中小規模のオフィスや自宅などではファイアウォール機能とルー
タ機能を合わせ持つ、セキュリティルーターとして使用することができます
ƒ ファイアウォール機能に加えて以下のL2/L3機能も使いたい、というよう
なとき、SSGの機能が役立ちます
• LANにあるL3SWとWANのルータを分けて管理したいが、OSPFなどのプロ
トコルは使用したくない
=>「Static Routeを設定する」を参照
• LANに接続されたPCに自動的にIPアドレスを割り振りたい
=>「DHCPサーバーの設定」を参照
• ワイヤレスのアクセスポイントとして使用したい
=>「ワイヤレスの設定」を参照
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
61
スタティックルートの設定
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
62
ネットワークの設定
インターネットやWANの先にあるネットワークをSSGに学習させたい場合
WAN
ルーターまたはL3SW
Internet
ネットワークアドレス
172.16.1.0
サブネットマスク
255.255.255.0
自宅またはオフィス
ƒ
上図のようにルーターやL3SWを介して、別のIPネットワークがある場合、こ
れをSSGに学習させる方法は以下の2通りがあります
1. スタティックルートを設定する
2. ダイナミックルーティングを設定する(本書では触れません)
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
63
スタティックルートを設定する
172.16.1.0/24をSSGに手動で学習させる方法です
WAN
ルーターまたはL3SW
Internet
自宅またはオフィス
ƒ
インタフェースアドレス
例:192.168.1.254
必要な情報
•
SSGに学習させたい全てのネットワークアドレスとそのサブネットマスク
•
•
例:172.16.1.0/24
LAN側にあるルーター(L3SW)のSSG側のインタフェースアドレス
•
ƒ
ネットワークアドレス
172.16.1.0
サブネットマスク
255.255.255.0
例:192.168.1.254
注:このとき、SSGのLAN側のインタフェースアドレスはルーター(L3SW)のSSG側のインタフェー
スアドレスと同じサブネットに設定されている必要があります。SSGのインタフェースアドレスの設
定は第XX章の「インタフェースアドレスの設定」を参照
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
64
ルーティングを設定する (1) - スタティックルートの設定
メインメニューから”Network”を選択し、表
示されたサブメニューから”Routing”>”Destination”を選択してください。
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
65
ルーティングを設定する (2) - スタティックルートの設定
右上の選択BOXが“trust-vr”になってい
ることを確認して”New”ボタンをクリックし
てください
注: SSGでは、セキュリティを高めるためルーティン
グテーブルを複数持つことができます(仮想ルータ)。
ディフォルトでは、trust-vrとuntrust-vrの二つが
利用可能となっています。
Copyright © 2007 Juniper Networks, Inc.
注:trust-vrとはSSGから見てローカル側のことです
もし、デフォルトルートを使用せず、Internet側にある
ネットワークをスタティックに登録したい場合は
上記選択BOXを“untrust-vr”に変更します
Proprietary and Confidential
www.juniper.net
66
ルーティングを設定する (3) - スタティックルートの設定
登録したいネットワーク
この例では172.16.1.0/24
を“IP Address/Netmask”フィールドに入力
します
“Gateway”のチェックボック
スにチェックをします
LAN側のルーターまたはL3SWのSSG側イン
タフェースアドレス
この例では192.168.1.254
を“Gateway IP Address”フィールドに入力し
ます
“OK”をクリックし、次のス
テップへ進みます
Copyright © 2007 Juniper Networks, Inc.
注:もし誤ったネットワークを入力してしまうと、ネットワーク全体の
通信が不安定になったり、通信そのものができなくなったりします。
正確なネットワークおよびゲートウェイアドレスを入力してください。
Proprietary and Confidential
www.juniper.net
67
ルーティングを設定する (4) - スタティックルート設定確認
表示されたネットワークおよびゲートウェイが正しいこと
を確認してください
間違っていた場合は“Remove”で消すことができます
以上で スタティックルートの設定はおわりです
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
68
第3部:NAT機能を利用する
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
69
NAT(Network Address Translation)とは?
ƒ インターネットに接続された企業などで、一つのグローバルな
IPアドレスを複数のコンピュータで共有する技術。組織内での
み通用するIPアドレス(ローカルアドレス)と、インターネット上
のアドレス(グローバルアドレス)を透過的に相互変換すること
により実現される。最近不足がちなグローバルIPアドレスを節
約できるが、一部のアプリケーションソフトが正常に動作しなく
なるなどの制約がある。NATは、大きく分類すると下記の二
つの変換方式がある。
• ソースネットワークアドレス変換
• 宛先ネットワークアドレス変換
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
70
NATの動作モードについて
ƒ SSGのNATには2つの動作モードがあります。
• インターフェイスベース
• 内部のプライベートアドレスは、予め決められた外部インタフェースのア
ドレスに変換されて外部へ転送されます。
– この動作はNAPT(Network Address Port Translation)と呼ば
れます。
• ポリシーベース
• ポリシーを作成することによって、より柔軟に送信アドレスや宛先アドレ
スを変換することが可能です。
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
71
ソースネットワークアドレス変換とは?
ソースネットワークアドレス変換では、あるソース IP アドレスを別のアドレスに
変換する、という処理を行います。(下記の図を参照)変換後のアドレスは、動
的 IP (DIP、Dynamic IP) プール、または NetScreen デバイスの 出力 イン
タフェースから取得します。DIP プールから取得する場合、その具体的なアド
レスは不定である場合と、予測がつく場合があります。 すなわち、DIP プール
に確保されている中からランダムに選ぶか、あるいは元のソース IP アドレス
から所定の計算により求めることになります。出力 インタフェースから変換後
のアドレスを取得した場合は、すべてのパケットについて、ソース IP アドレスを
当該インタフェースの IP アドレスに変換します。
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
72
ソースネットワークアドレス変換適用例
ƒ この例では、Untrust ゾーンに向かうインタフェースである ethernet3に、DIP プール 5 を定義し
ています。この DIP プールには IP アドレスが 1.1.1.30 だけしかないため、自動的に PAT が
有効になっています。ここで、NetScreen デバイスが次のような処理をするよう、ポリシーを設定し
ます。
• Trust ゾーンのすべてのアドレスから、Untrust ゾーンのすべてのアドレスへの HTTP トラフィックを許可。
• IP パケット中のソース IP アドレスは、DIP プール 5 に唯一存在する 1.1.1.30 に変換。
• ソース IP アドレスおよびポート番号を変換した HTTP トラフィックを、ethernet3 経由で Untrust ゾーンに
転送。
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
73
NATを利用する (1) -ソースネットワークアドレス変換設定
Untrustゾーンを選択
IPアドレス及びサブ
ネットを設定
NATを選択
network
->interfaceをクリック
設定が終わったら
Applyボタンを押す
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
74
NATを利用する (2) -ソースネットワークアドレス変換設定
DIPをクリック
IDを5として設定
アドレス変換するア
ドレスを入力
(1.1.1.30)
IP address range
を選択
自動的にチェックが
入る
設定が終わったら
OKボタンを押す
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
75
NATを利用する (3) -ソースネットワークアドレス変換設定
Trustを選択
Untrustを選択
Policiesをクリック
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
76
NATを利用する (4) -ソースネットワークアドレス変換設定
Newをクリック
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
77
NATを利用する (5) -ソースネットワークアドレス変換設定
anyを選択
anyを選択
HTTPを選択
permitを選択
設定が終わったら
OKボタンを押す
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
78
NATを利用する (6) -ソースネットワークアドレス変換設定
Advancedボタンを押す
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
79
NATを利用する (7) -ソースネットワークアドレス変換設定
Source Translationを選択
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
DIPで設定した内容を選択
www.juniper.net
80
NATを利用する (8) -ソースネットワークアドレス変換設定
設定が終わったら
OKボタンを押す
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
81
宛先ネットワークアドレス変換とは?
ƒ 宛先アドレスについても、ある IP アドレスから別の IP アドレスに変換する、という
ポリシーを定義することができます。通常必要になるのは、公開 IP アドレスからプ
ライベート IP アドレスへの変換になります。変換前アドレスと変換後アドレスとの
対応には、1 対 1、多対 1、多対多の関係がありえます。
ƒ いずれの場合も、宛先ポートマッピングが可能です。ポートマッピングとは、ある宛
先ポート番号から別のポート番号への変換で、その対応関係は予測可能 (決定
性) です。この関係は、ポートアドレス変換 (PAT) の対応とは異なります。ポート
マッピングの場合、変換前と変換後のポート番号の対応関係はあらかじめ決まっ
ています。一方 PAT では、ランダムに割り当てられたソースポート番号を、別のラ
ンダムに決まるポート番号に変換します。
ƒ *注)
• NAT-Dst に使うアドレスを設定する際は、NetScreen デバイスのルーティングテーブ
ルに、パケットヘッダーに現れる変換前の宛先アドレスと、変換後のアドレス (すなわち
当該パケットのリダイレクト先) の、両方のルートが設定されている必要があります。
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
82
NAT-DST: 1 対 1 のマッピング
ƒ IP パケットヘッダー中の宛先 IP アドレスを 1.2.1.8 から 10.2.1.8
に変換するような、1対1のマッピング(アドレス変換)を行う事が可能です。
ƒ このマッピングは、すべてのサービスに対して同様にマッピングすること
も可能ですし、下記の例のように特定のサービスの場合のみマッピング
することも可能です。
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
83
単一のアドレスから複数のアドレスへ変換
ƒ HTTP トラフィックについては、IP パケットヘッダー中の宛先 IP アドレ
スを 1.2.1.8 から 10.2.1.8 に変換し、FTP トラフィックについては、
IP パケットヘッダー中の宛先 IP アドレスを 1.2.1.8 から 10.2.1.9
に変換するというように単一のアドレスから複数のアドレスへ変換する事
が可能です。
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
84
NAT-DST: 多対 1 のマッピング
ƒ IP パケットヘッダー中の宛先 IP アドレスを、1.2.1.10 ま
たは 1.2.1.20 から 10.2.1.15 に変換というように宛先ア
ドレスが異なる トラフィックを、同じ宛先アドレスに変換する、
多対1のマッピングを行う事が可能です。
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
85
NAT-DST: 多対多のマッピング
ƒ 変換前の宛先アドレスがサブネット 1.2.1.0/24 に属するな
らば、サブネット 10.2.1.0/24 の対応するアドレスに変換と
いうように多対多のマッピングを行う事が可能です。
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
86
宛先ネットワークアドレス変換適用例
ƒ 下記の例では、1 対 1の宛先ネットワークアドレス変換 (NAT-Dst) を施す、というポリ
シーを設定します。 宛先ポートアドレスは変更しません。これは、条件に合致した場合に、
次のような処理を行うポリシーです。
• Untrust ゾーン内の任意のアドレスから、宛先アドレス1.2.1.8に向かう、FTP および HTTP のト
ラフィック を許可。
• IP パケットヘッダー中の宛先 IP アドレスを 1.2.1.8 から 10.2.1.8 に変換。
• TCP セグメントヘッダー中の宛先ポート番号は元のまま (HTTP ならば 80、FTP ならば 21)
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
87
NATを利用する (9) - 宛先ネットワークアドレス変換設定
Untrustゾー
ンを選択
IPアドレス及びサブ
ネットを設定
network
->interfaceをクリック
NATを選択
設定が終わったら
Applyボタンを押す
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
88
NATを利用する (10) - 宛先ネットワークアドレス変換設定
1.2.1.8をoda2として
設定
1.2.1.8をoda2として
設定
Objects
->Listをクリック
Copyright © 2007 Juniper Networks, Inc.
設定が終わったら
OKボタンを押す
Proprietary and Confidential
ZoneをDMZとして
選択
www.juniper.net
89
NATを利用する (11) - 宛先ネットワークアドレス変換設定
サービスグループ名を
HTTP-FTPとする
FTP及びHTTPを選択して
<<をクリック
Services
->Groupsをクリック
Copyright © 2007 Juniper Networks, Inc.
設定が終わったらOKボ
タンを押す
Proprietary and Confidential
www.juniper.net
90
NATを利用する (12) - 宛先ネットワークアドレス変換設定
宛先を1.2.1.8として設定
Ethernet2を選択
routing
->Destinationをクリック
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
Gatewayを選択
設定が終わったらOKボ
タンを押す
www.juniper.net
91
NATを利用する (13) - 宛先ネットワークアドレス変換設定
Untrustを選択
DMZを選択
Policiesをクリック
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
92
NATを利用する (14) - 宛先ネットワークアドレス変換設定
Newをクリック
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
93
NATを利用する (15) - 宛先ネットワークアドレス変換設定
anyを選択
oda2を選択
policiesをクリック
HTTP-FTPを選択
permitを選択
設定が終わったら
OKボタンを押す
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
94
NATを利用する (16) - 宛先ネットワークアドレス変換設定
Advancedをクリック
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
95
NATを利用する (17) - 宛先ネットワークアドレス変換設定
変換後のアドレスを
10.2.1.8として
設定
Destination Translationをチェック
設定が終わったら
OKボタンを押す
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
96
MIPとは?
ƒ マップ IP (MIP) とは、ある IP アドレスから別の IP アドレスに、1 対 1 で直接対応づけるマッ
ピングのことです。NetScreen デバイスは、宛先が MIP であるトラフィックを受け取ると、その
MIP に対応するアドレスのホストに転送します。
ƒ MIP は実際には、静的な宛先アドレス変換、すなわち、IP パケットヘッダー中の宛先 IP アド
レスを別の IP アドレスに、固定的に対応づける変換です。逆に MIP ホストがアウトバウンドト
ラフィックを発信した場合、NetScreen デバイスはソース IP アドレスの方を MIP アドレスに
変換します。このように、対称性を持つ両方向の変換である点で、ソースアドレス変換 (NATSrc) や宛先アドレス変換 (NAT-Dst) とは動作が異なります
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
97
MIP適用例
ƒ ethernet1 を Trust ゾーンにバインドし、IP アドレスとして 10.1.1.1/24 を割り当てます。
ƒ ethernet2 を Untrust ゾーンにバインドし、1.1.1.1/24 という IP アドレスを割り当てます。
ƒ Untrust ゾーンに属する 1.1.1.5 向けの HTTP トラフィックを、Trust ゾーンの 10.1.1.5 が割り当てられた
Web サーバーに向ける MIP を設定します。
ƒ Untrust ゾーンの任意のアドレスから、Trust ゾーンに属する MIP (したがって MIP が指すアドレスを持
つホスト) への HTTP トラフィックを許可するポリシーを定義します。セキュリティゾーンはすべて trust-vr
ルーティングドメインにあります。
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
98
NATを利用する (18) - MIP設定
Untrustゾー
ンを選択
IPアドレス及びサブ
ネットを設定
NATを選択
network
->interfaceをクリック
Copyright © 2007 Juniper Networks, Inc.
設定が終わったら
Applyボタンを押す
Proprietary and Confidential
www.juniper.net
99
NATを利用する (19) - MIP設定
MIPをクリック
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
100
NATを利用する (20) - MIP設定
Trust-vrを選択
設定が終わったら
Applyボタンを押す
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
Mapを行うアドレスと転送す
るホストのアドレス及びサブ
ネットを設定。
www.juniper.net
101
NATを利用する (21) - MIP設定
anyを選択
MIPを選択
HTTPを選択
policiesをクリック
permitを選択
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
102
NATを利用する (22) - MIP設定
設定が終わったらApply
ボタンを押す
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
103
VIPとは?
ƒ バーチャルIP(VIP)とは、ある(公開用) IPアドレスと宛先サービスポート番号(TCPやUDP)の
組み合わせと(ローカル)IPアドレスと待ち受けサービスポート番号をマッピングするアドレス変
換機能です。
ƒ NetScreenデバイスがVIPサービス当ての通信を受信すると、登録されているポートに対応し
たホストへトラフィックを転送します。
ƒ MIPと異なる点としては、1対Nのアドレス変換機能である点です。これは、同一のIPアドレス宛
の通信であっても、サービスポート番号が異なれば、別のホストへアドレス変換が可能です。
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
104
VIP適用例
ƒ ethernet1 を Trust ゾーンにバインドし、IP アドレスとして 10.1.1.1/24 を割り当てます。
ƒ ethernet2 を Untrust ゾーンにバインドし、1.1.1.1/24 という IP アドレスを割り当てます。
ƒ Untrust ゾーンに属する 1.1.1.3 向けの HTTP トラフィック(TCP:80)を、Trust ゾーンの 10.1.1.10:80 が割
り当てられた Web サーバーに向ける VIP を設定します。
ƒ Untrust ゾーンに属する 1.1.1.3 向けの FTP トラフィック(TCP:21)を、Trust ゾーンの 10.1.1.20:21 が割り
当てられた FTp サーバーに向ける VIP を設定します。
ƒ Untrust ゾーンの任意のアドレスから、Trust ゾーンに属する VIP (したがって VIP が指すアドレスを持つ
ホスト) への HTTP およびFTPトラフィックを許可するポリシーを定義します。セキュリティゾーンはすべて
trust-vr ルーティングドメインにあります。
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
105
NATを利用する (23) - VIP設定
設定したいインタフェース
の”Edit”をクリック
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
106
NATを利用する (24) - VIP設定
Untrustゾーンを選択
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
107
NATを利用する (25) - VIP設定
IPとサブネットを指定する
“VIP”をクリックする
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
108
NATを利用する (26) - VIP設定
VIP登録後、”New VIP
Service”をクリックする
VIPとして登録するIPを指
定する
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
109
NATを利用する (27) - VIP設定
登録したVIPを選択
VIPの待ち受けポート番号
を指定
マッピングするホストのIPを
指定
設定が完了したら”OK”をク
リック
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
マッピングするポート番号を
指定
マッピングしたホストの自動
検出を有効にするには、選
択をする
www.juniper.net
110
NATを利用する (28) - VIP設定
登録したVIPを選択
VIPの待ち受けポート番号
を指定
マッピングするホストのIPを
指定
設定が完了したら”OK”をク
リック
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
マッピングするポート番号を
指定
マッピングしたホストの自動
検出を有効にするには、選
択をする
www.juniper.net
111
NATを利用する (29) - VIP設定
ホストがPingに応答すれば
Statusの項が”UP”に変化
する
設定内容を確認する
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
112
NATを利用する (30) - VIP設定
Anyを選択
VIPを選択
“Multiple”をクリック
し、”FTP”と”HTTP”を選択
設定が完了したら”OK”をク
リック
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
113
第4部:Screen機能を利用する
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
114
Screen機能とは?
ƒ SCREEN 機能は IP アドレススキャンやポートスキャン、DoS (Denial of Service: サービス拒否) ア
タック、および他の種類の悪意のある攻撃から保護します。 これらはゾーン毎に設定可能です。Screen機
能では、下記の防御機能を実装しています。
• 偵察防止:
•
IPアドレススイープ/ポートスキャン/オペレーションシステム探査/回避技法
• 不審なパケット属性:
•
ICMP フラグメント/ラージICMP パケット/不良IP オプション/不明のIPプロトコル/パケットフラグメント/SYN フラグメン
ト
• サービス拒否(Dos)攻撃の防御
•
•
•
ファイヤーウォールDoS攻撃
– セッションテーブルフラッド/SYN-ACK-ACKプロキシフラッド)
ネットワークDos攻撃
– SYNフラッド/ICMPフラッド/UDPフラッド/Land攻撃
OS指定Dos攻撃
– Ping of Death/Teardrop攻撃/WinNuke
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
115
Screen機能とは?
ƒ 先に述べた防御機能により、ファイヤーウォールルールでは、
防御不可能な多くの攻撃からネットワークを防御することが可
能です。
ƒ 現在では、あらゆる手法で保護されたネットワークに対して、
攻撃を行う事が一般的になっており、これらの攻撃からネット
ワークを保護するために、このようなセキュリティ機能を実施
することが非常に重要になっております。
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
116
攻撃防御手法 ポートスキャン
ƒ 偵察防止 <ポートスキャン>
• ポートスキャンとは、1 つのソース IP アドレスが TCP SYN セグメントを含む IP パケットを同一の宛先 IP アド
レスの 10 個の異なるポートに、定義された間隔 (デフォルトは 5000 マイクロ秒) 以内に送信した際に発生し
ます。
• この企みの目的は、少なくとも 1 つのポートが応答すればターゲットとするサービスを特定できると期待して、
利用可能なサービスをスキャンすることです。
• NetScreen デバイスは、1 つのリモートソースからスキャンされる異なるポートの数を内部で記録します。デ
フォルトの設定を使用すると、リモートホストが 10 個のポートを 0.005 秒間 (5000 マイクロ秒) にスキャンし
た場合、NetScreen はこれがポートスキャン攻撃であるとして警告を出します。
• さらに、その残りの 1 秒間、そのリモートソース (宛先 IP アドレスにかかわらず) からそれ以降に送られるすべ
てのパケットを拒否します。
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
117
Screen機能を利用する (1) - ポートスキャン設定
Screening
->screenをクリック
ポートスキャンを適用したい
ゾーンを選択
“Port Scan Protection”を選択
閾値を設定
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
118
Screen機能を利用する (2) - ポートスキャン設定
設定が終わったらApplyボ
タンを押す
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
119
攻撃防御手法 ICMP フラグメント
ƒ 不審なパケット属性 <ICMP フラグメント>
• ICMP (インターネット制御メッセージプロトコル) では、エラーレポートおよびネットワーク探査機
能が利用できます。 ICMP パケットに含まれるメッセージはきわめて短いため、ICMP パケットを
フラグメント化する合理的な理由はありません。
• ICMP パケットがフラグメント化を必要となるほど大きい場合は、何らかの間違いがあると考えら
れます。
• ICMP Fragment Protection SCREEN オプションを使用可能にした場合、NetScreen デバイ
スは、More Fragments フラグセットを設定された、またはオフセットフィールドに示されたオフ
セット値をもつ ICMP パケットをブロックします。
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
120
Screen機能を利用する (3) - ICMP フラグメント設定
ICMPフラグメントを適用し
たいゾーンを選択
閾値を設定
Screening
->screenをクリック
ICMPフラグメントを選択
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
121
Screen機能を利用する (4) - ICMP フラグメント設定
設定が終わったらApply
ボタンを押す
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
122
攻撃防御手法 UDPフラッド
ƒ サービス拒否(Dos)攻撃の防御 <UDP フラッド>
• ICMP フラッドと同じように、UDP フラッドは、有効な接続をこれ以上処理できなくなるまで被害側
のシステムを低下させる目的で、攻撃者が UDP データグラムを含む IP パケットを送信したとき
に発生します。
• UDP フラッド保護機能を使用可能にすると、 UDP フラッド攻撃保護機能を呼び出すしきい値を
設定することができます。(デフォルトしきい値は、毎秒 1000 パケットです)。
• 1 つまたは複数のソースから 単一の宛先へ向かう UDP データグラム数がこのしきい値を超える
と、NetScreen デバイスはそれ以降、その宛先への UDP データグラムをその秒の残りの間お
よび次の 1 秒間無視します。
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
123
Screen機能を利用する (5) - UDPフラッド設定
UDPフラッドを適用した
いゾーンを選択
閾値を設定
UDPフラッドを選択
Screening
->screenをクリック
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
124
Screen機能を利用する (6) - UDPフラッド設定
設定が終わったら
Applyボタンを押す
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
125
課題 Screen機能
1. Trustゾーンに対して、3000マイクロ以内にIP パケットを同一の宛先
IP アドレスの 10個の異なるポートに送信した際にポートスキャンと判
断する設定をしてみましょう。
2. DMZゾーンに対して、1 つまたは複数のソースから 単一の宛先へ向
かう UDP データグラム数が1秒間に1000パケット送出された際に
UDPフラッドと判断する設定をしてみましょう。
3. “More Fragments” フラグを設定された、またはオフセットフィールド
にオフセット値をもつ ICMP パケットを受信した場合にドロップさせる設
定をしてみましょう。
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
126
第5部:VPN機能を利用する
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
127
VPN接続形態を決める
ƒ VPN接続には大きく分けて下記の2通りになります。
LAN1
LAN1
Internet
Internet
LAN間接続
リモートユーザ接続
LAN2
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
128
•LAN間接続
ƒ LAN間接続にも対向のゲートウェイのIPアドレスタイプによって設定が一部異な
ります。
• 対向のゲートウェイのグローバルIPが分かっている。
• 対向のゲートウェイのIPは動的であるため、特定できない。
ƒ どちらの場合おいてもウィザードで簡単に設定が可能です。(詳しくは次ページ以
降を参照ください)
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
129
•リモートユーザ接続
ƒ インターネットを介したリモートユーザ接続を受け付ける場合
の設定についてもウィザードを使用して設定が可能です。
ƒ ユーザ側には弊社NetScreen Remote ClientやMicrosoft
のネイティブなIPsec Clientの設定が別途必要となります。
(クライアントの設定については割愛いたします)
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
130
ルートベースによるVPN構築例
ƒ 172.1.230.0/24から192.168.100.0/24への通信をUntrust
間で確立したVPNトンネルを経由して流すようにします。
172.1.230.0/24
LAN1
Untrustインタフェースを
VPNの出力インタフェース
とします。
対向機器のUntrustイン
タフェースアドレスは
10.1.1.1の固定IPアドレス
とします。
Internet
Untrustインタフェースにトン
ネルインタフェースを割り当て
ます。
Local
(ローカルネットワーク)
Remote
(リモートネットワーク)
LAN2
192.168.100.0/24
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
131
LAN to LAN VPN設定手順
1. ルートベースVPN構築ウィザードを実行します
2. ローカルネットワークとリモートネットワークに対応するインタ
フェースを指定します
3. Untrust側にトンネルインタフェースを構築します
4. VPNのトポロジをLAN-to-LANで設定し、対向機器のIPア
ドレスを指定します
5. セキュリティレベル、パスワード(事前共有キー)などを指定し
ます
6. VPNを通過させるパケットの種類を指定します
7. 設定内容を確認します
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
132
VPN機能を設定する (1) - ルートベースVPN構築ウィザードを実行
メインメニューから”Wizards”を選択、
表示されたサブメニューから”Routebased VPN”を選択してください。
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
133
VPN機能を設定する (2) - ローカルネットワークとリモートネットワークに対応す
るゾーンを指定
Localは”Trust”、リモートサイト
は”Untrust”のままNextボタン
をクリックします。
設定が終わったらNextボタ
ンを押します
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
134
VPN機能を設定する (3) - Untrust側にトンネルインタフェースを構築
上段のボタンをクリックし、
プルダウンメニューか
ら”untrust (trust-vr)”
を選択してください。
設定が終わったらNextボタ
ンを押します
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
135
VPN機能を設定する (4-1) - VPNのトポロジをLAN-to-LANで設定
LAN間接続の場合はこち
らを選択し、Nextをクリッ
ク。
設定が終わったらNext
ボタンを押します
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
136
VPN機能を設定する (4-2) - Dial-Up-to-LAN指定時のリモートユーザID設
定
リモートユーザのIDを指定してくだ
さい。
こちらはこのままで結構です。
設定が終わったらNext
ボタンを押します
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
137
VPN機能を設定する (5) - ゲートウェイのIPアドレス種別指定
自身と対向機器がいずれも固定IPア
ドレス(プロバイダによって変化しな
い)場合、こちらを選択
対向の機器のみIPが動的である場合
はこちらを選択し、適切なリモートユー
ザIDを指定してください。
こちらの機器のみIPが動的である場
合はこちらを選択し、適切なローカル
ユーザIDを指定してください。
出力インタフェースは
Untrust
設定が終わったらNextボタ
ンを押します
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
138
VPN機能を設定する (6) - 対向装置のIPアドレス指定
対向機器のInternet側IPアド
レスを指定します。
設定が終わったらNextボタ
ンを押します
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
139
VPN機能を設定する (7) - セキュリティレベルの指定
セキュリティレベルの選択になります。親和
性が高いのは”Compatible”になります
が、”Standard”がより強度なセキュリティ
レベルを保つことができます。接続に問題
がある場合はCompatibleで試してみてくだ
さい。
事前共有鍵の設定になります。こちらは対
向の機器と同じ文字列を入力ください。
設定が終わったらNext
ボタンを押します
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
140
VPN機能を設定する (8) - ローカルネットワーク、リモートネットワークの範囲指
定
VPN接続を行うアドレス範囲を設定します。
こちら側のローカルネットワークないしVPN
接続を許可するホストの指定をしてください。
アクセスを許容されている対向のネットワー
ク、ないしホストのアドレスを指定してくださ
い。
設定が終わったらNextボタ
ンを押します
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
141
VPN機能を設定する (9) - VPN内を流すトラフィック種別選択
許可するサービスの指定になります。すべ
て許可したい場合は”ANY”を選択すれば
OKです。
トンネル内のトラッフィクをどう制御するか選
択してください。双方向通信を許可するので
あれば”Both direction”のままで構いませ
ん。
設定が終わったらNextボ
タンを押します
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
142
VPN機能を設定する (10) -オプション設定
トラフィックログ収集を
有効化
トラフィックアラーム有効化
(この場合は下のセルに閾値を入
力してください)
トラフィックカウンター有
効化
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
143
VPN機能を設定する (11) - スケジュールの設定(省略)
ここはそのままNextボタンを
押します
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
144
VPN機能を設定する (12) - 設定内容確認
SSGに設定されるCLIの一覧になります。上
記設定内容に問題なければNextをクリック
して進んでください。
確認が終わったらNextボタン
を押します
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
145
VPN機能を設定する (13) - 設定終了
これでVPN簡易設定が
完了です。詳細なパラ
メータ変更については
別途行ってください。
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
146
VPN機能を設定する (14) - VPN接続の確認方法
Active
Active
VPNの状態確認には “VPNs >
Monitor Status” をクリック
VPN接続が正常に完了している場合、
こちらの表示が”Active”に変わりま
す。
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
147
VPN機能を設定するWebUI – Tunnel I/F
Tunnel IFを選択しNewをク
リック
Interface > Listをクリック
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
148
VPN機能を設定するWebUI – Tunnel I/F
Zoneを選択
Unnumberdを選択
出力インタフェイスを指定
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
149
VPN機能を設定するWebUI – IKE Phase-1
Gatewayをクリック
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
Newをクリック
www.juniper.net
150
VPN機能を設定するWebUI – IKE Phase-1
判別しやすい名前を
つける
対向のGWのIPや
FQDNを指定
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
Advancedをクリック
www.juniper.net
151
VPN機能を設定するWebUI – IKE Phase-1
事前共有鍵を入力
出力インタフェイスを
指定
IKE Phase-1のセキュリティプロ
ポーザルを指定する
Main/Aggressive modeを
指定
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
152
VPN機能を設定するWebUI – IKE Phase-2
AutoKey IKEをクリック
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
Newをクリック
www.juniper.net
153
VPN機能を設定するWebUI – IKE Phase-2
判別しやすい名前を指定
Phase-1で作成したGateway
を選択
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
154
VPN機能を設定するWebUI – IKE Phase-2
Phase-2のプロポーザルを指
定する
Replay Protection機能を利用する
場合にはチェックする
Routing base VPNの場合には、バ
インドするトンネルインタフェイスを
指定する
Proxy-IDを利用する場合には指定
する
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
155
VPN機能を設定するWebUI – ルーティング
設定するVRを指定し、Newをクリッ
ク
Routing > Destinationをクリック
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
156
VPN機能を設定するWebUI – ルーティング
宛先のネットワークを指定する
Gatewayを選択
Tunnel.xを選択
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
157
第6部:管理設定行う
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
158
管理設定 – 時刻設定
Configuration >
Date/Timeをクリック
時差を設定
(日本であれば+9)
クライアントPCの時刻と同期をとる
場合はクリックする
DST(夏時間)を調整したい場合に
はチェックする。
(日本ではサマータイムを実施して
いないので、チェックしない)
NTPを利用する場合
チェックをする。
NTPサーバのIP/FQDN
を指定する
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
159
管理設定 – 時刻設定
ScreenOSをアップグレードする
際に選択する
ライセンスキーを更新する際に選
択する
Update > ScreenOS/Keysをク
リック
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
160
管理設定 – Configのバックアップ
Mergeは既存のConfigにUploadするConfigを追
記する。
Replaceは既存のConfigへUploadするConfigを
上書きする。
Update > Config Fileをク
リック
クリックすると、Configをダウ
ンロード可能
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
161
管理設定 – 管理ユーザ
管理ユーザを追加する際に
はNewをクリック
Admin > Administratorsを
クリック
Copyright © 2007 Juniper Networks, Inc.
既存管理ユーザを変更する
場合はEditをクリック
Proprietary and Confidential
www.juniper.net
162
管理設定 – 管理ユーザの追加
新しい管理ユーザ名を入力
新しい管理ユーザ用のパス
ワードを入力
確認のため再度パスワードを入
力
管理ユーザの権限を指定
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
163
管理設定 – 管理ユーザの追加
名前を変更する場合には編集する
既存のパスワードを入力
新しいパスワードを入力
再度、新しいパスワードを入力
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
164
管理設定 – マネジメントネットワークの指定
ネットワークを指定する
Admin > Permitted IPsをク
リック
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
165
管理設定 – 詳細管理設定
Admin > Managementをク
リック
WebUIのタイムアウトを設
定する
WebUIの待ち受けポート変
更する
WebUI (HTTPS)の待ち受
けポート変更する
Telnetの待ち受けポート変
更する
SSHの待ち受けポート変更
する
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
166
管理設定 – ログ設定
ƒ 各プロトコルに対し、どのログレベルを出力するかを設定する
Report Settings > Log Settingsをク
リック
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
167
管理設定 – Emailアラート設定
アラートメッセージのEmail通
知を有効にする場合はチェッ
クする
SMTPサーバのIP/FQDNを
指定
Report Settings > Emailを
クリック
通知先のアドレスを指定
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
168
管理設定 – SNMP設定
New Communityをクリック
Report Settings > SNMPを
クリック
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
169
管理設定 – SNMP設定
コミュニティ名を入力
アクセス許可を指定
SNMPのバージョンを指定
(V1,V2c,Any)
SNMP Trapホストを指定
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
170
管理設定 – Syslog設定
Syslogを有効にするには
チェックをする。また、送信元
I/Fを指定する
Report Settings > Syslogを
クリック
SyslogサーバのIPと待ち受
けポートを指定する。
通信ログも送信する場合は
Traffic Logにチェックをする。
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
171
第9部:UTM機能を利用する
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
172
Anti-Spam機能を利用する
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
173
Anti-Spamとは?
• スパムとは?
• Hormel Foods社のハム缶詰の商品名
• イギリスのコメディー番組で“SPAM”を連呼し客が注文せざるを得ない状態
になるコントが由来。
• 受信者の都合を考慮せず一方的に送られてくるメールの総称。スパムメール。
• ハム缶詰を“SPAM”、スパムメールを“spam”と表記して区別。
• いろいろなスパム
• サーチエンジンスパム: 検索エンジンでヒット率を上げるためのテクニック。
検索エンジンスパム。
• トラックバックスパム: ブログにて広告目的のトラックバックを送ること。コメン
トスパムとも。
• ネットワークセキュリティには必然機能のひとつ
• 多くのスパムメールはこの機能で効果的にフィルタリング可能
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
174
ScreenOS Anti-Spam概要
• スタティックパターン (static pattern)
• メールアドレス、ホスト名、IPアドレスで定義
• ダイナミックフィルタリング
• アンチスパムサーバにクエリを送り、スパマーのIPアドレスとマッチしているかどうか判定 (※スパマー:スパ
ムを送る人)
• 判定に使うサーバ側のリストをSBLまたはRBLと呼んでいる。
•
•
SBL: Spam Block List
RBL: Real-time Blackhole List
• ※RBLはトレンドマイクロの商標、一般的にはDNSBL (DNS Base Blackhole List) という。
• 必要なスパム(メールマガジン等)はローカルホワイトリストで対象から外すことができる。
• スパマーリストはシマンテックが公開しているものと完全に同期
• MTA (Mail Transfer Agent) の送信アドレスを元に判定するため誤検知はほとんどない。(※MTAは
MFA (Mail Forwarding Agent) とも)
• デフォルトアクションはDrop、メールヘッダへのタグ挿入、メール件名へのタグ挿入が選択可能
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
175
Anti-Spamパートナー
• メールセキュリティベンダとの連携
• Symantec –BrightMail
• 受信者側の SMTP ゲートウェイとしてスパムメールを除去
• 本ソリューションは最高水準の技術による高い検知率を誇り、業界随一の検
知精度(99.9999%)
• 米国の大手 ISP12 社のうち 9 社、Fortune100 の 3 割の企業で採用
• 世界 25カ国以上、300 万以上のおとりメールボックスより構成される
Symantec Probe Network から収集した情報を活用
• スパムメールに対して優れた防御効果を発揮
ƒ スパムリストアップデート間隔: 2時間ごと
ƒ 対応するスパムの種類: ゾンビ、オープンプロキシ、既知スパム
ƒ リスト生成に使われるメールの割合: 全世界で20~25%のメールトラ
フィックを網羅
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
176
Anti-Spamプロファイル
ƒ アンチスパムプロファイルに設定する内容
• IPアドレス、メールアドレス、ホスト名、ドメイン名
• 悪性(malicious = spam)か良性(benign = non-spam)か
ƒ パブリックベース・ブラック/ホワイト・リスト
• MTA(Mail Transfer Agent)からのコネクションで、そのコネクションがリスト
に登録してある送信元IPアドレスによって良性か悪性かを判定
ƒ ドメイン名ベース・ホワイト/ブラック・リスト
• ドメイン名によって良性か悪性かを判定
ƒ アドレスブックベース・ホワイト/ブラック・リスト
• 送信者のメールアドレスかドメイン名によって判定。デフォルトではすべての
メールサーバは自サーバ内のユーザメールは許容する。
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
177
Anti-Spam判定手順
ƒ Anti-Spam機能を使うにはインターネットへの接続とDNSが必須
ƒ SBL (Spam Block List) サーバとインターネット経由で接続
• SBLサーバはデフォルトで “msgsecurity.juniper.net”
ƒ ファイアウォールはリバースDNSルックアップを行う。
• SMTP送信者(またはリレーエージェント)のソースをauthoritativeドメインとしてリクエスト
• DNSサーバはリクエストをSBLサーバへ転送
• SBLサーバは結果をファイアウォールへ送る。
ƒ またはローカルルックアップを行う。
• ファイアウォール内にローカルホワイトリスト、ローカルブラックリストを登録する。
• ローカルホワイトリストとローカルブラックリストに重複したエントリは設定できない。
ƒ ファイアウォールはまずはローカルルックアップを行い、当てはまらなければSBLサーバと通信
する。
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
178
Anti-Spam処理の流れ
Juniperサイト内のブラックリ
ストサーバを確認する仕組み。
このブラックリストはシマン
テックBrightMailサーバと同
期が取れている(Real-time
query)
メール送信元のアドレスから
DNS逆引きでBlacklistを確
認する。
1. 直近のMTAがメールを送る。
2. FWがSMTPコネクションを受ける。(SMTPのみサポート)
3. 受けたコネクションの送信元についてチェック
1.
2.
ローカルのブラックリスト、ホワイトリストチェック
3-1でヒットしなければSBLサーバにリクエスト
1.
このとき、 DNS-queryの後ろに”.msgsecurity.juniper.net”をつけて送信。
4. 悪性であると判断した場合、指定されたデフォルトアクションを実施
5. 良性であると判断した場合、通常通りの処理
SBLサーバ
(msgsecurity.juniper.net)
受信メールサーバ
DNSサーバ
ローカルブラックリスト
ローカルホワイトリスト
直近のMTA
Internet
FW
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
179
Anti-Spam テストスキャン
ƒ SBLサーバに登録されていない(つまり良性)の場合
ssg5-> exec anti-spam testscan 1.1.1.1
anti spam result: action Pass, reason: No match
ƒ SBLサーバに登録されている(悪性)の場合
ssg5-> exec anti-spam testscan 209.104.204.23
anti spam result: action Tag email subject, reason: Match sbl server blacklist
ƒ ローカルのブラックリストに登録されている場合
ssg5-> exec anti-spam testscan user@home.spam.com
AS: anti spam result: action Tag email subject, reason: Match local blacklist
ƒ ローカルのホワイトリストに登録されている場合
ssg5-> exec anti-spam testscan 10.10.10.10
anti spam result: action Pass, reason: Match local whitelist
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
180
Anti-Spam設定例
1.
2.
3.
4.
5.
SSGにはAnti-Spamライセンスがあらかじめインストールされています。
SSGにはDNSの設定が行われています。
スパムメール受信時のデフォルトアクションを設定します。
ローカルにホワイトリストとして”10.10.10.10”と”user@hotmail.com”を設定します。
ローカルにブラックリストとして”1.1.1.1”と”spam@example.com”を設定します。
1.
SBLサーバはデフォルトの msgsecurity.juniper.net を使います。
SBLサーバ
(msgsecurity.juniper.net)
ローカルブラックリスト:
1.1.1.1
spam@example.com
ローカルホワイトリスト:
10.10.10.10
user@hotmail.com
受信メールサーバ
DNSサーバ
172.27.0.10
直近のMTA
Internet
SSG
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
181
Anti-Spam機能を利用する (1) - ライセンスの確認
“ScreenOS/Keys”
をクリック
UTM機能を利用するにはライセン
スが必要です。
まず最初に、ライセンスが入ってい
るか確認しましょう。
ライセンスが入っていない場合、販
売店にお問い合わせください。
anti_spam_keyが
入っていることを確
認
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
182
Anti-Spam機能を利用する (2) - DNSの設定確認
DNSサーバアドレスが設
定されていることを確認。
設定されていない場合は
設定する。
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
183
Anti-Spam機能を利用する (2-1) - DNSの設定確認
【DHCPを使っている場合】
UntrustポートにてDHCP
クライアントを動かしてい
る場合
DHCPでDNSサーバアド
レスを取得している場合、
ここをチェック。
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
184
Anti-Spam機能を利用する (3) - Anti-Spam リスト作成
”Screening > AntiSpam >
Profile” とツリーを展開
し、”Profile” をクリック
デフォルトアクションの設定、ホ
ワイトリストやブラックリストを編
集するために”Edit”をクリック
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
185
Anti-Spam機能を利用する (4) - デフォルトアクションの設定
ここでの例は、デフォルトアクションとして、
ヘッダに “this-is-spam” というタグを付け
るよう設定します。
デフォルトアクションを設
定するため”Action”をク
リック
件名にタグ付け
ヘッダにタグ付け
ドロップ
タグ付けの場合、何というタグを
付けるか設定。
この場合、ヘッダに”this-isspam”というタグが付く。
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
設定が終わったらOKボタン
を押します
www.juniper.net
186
Anti-Spam機能を利用する (5) - ホワイトリストの設定
ここでの例は、ホワイトリストに
“10.10.10.10” というIPアドレスを追
加する設定を行います。
1. ホワイトリストを編集するた
め”White List”をクリック
2. アンチスパムの対象外とす
るSMTP送信元のアドレス、ドメ
イン、メールアドレスを1つずつ
記入する。ここで
は”10.10.10.10” を入力する。
“Cancel”を押すとテキスト
ボックス内の文字列はクリア
され、Profile選択画面に戻
る
3. 記入した
ら”ADD”ボタンをク
リック
Copyright © 2007 Juniper Networks, Inc.
ここに追加されたエ
ントリが表示される。
Proprietary and Confidential
www.juniper.net
187
Anti-Spam機能を利用する (6) - ホワイトリストの削除
ここでの例は、ホワイトリストから
“user@hotmail.com” というメールアドレスを
削除する設定を行います。
1. ホワイトリストを編集するた
め”White List”をクリック
2. 削除したいエントリを記入
する。ここで
は”user@hotmail.com” を入
力する。
“Cancel”を押すとテキスト
ボックス内の文字列はクリア
され、Profile選択画面に戻
る
3. 記入した
ら ”DELETE” ボタ
ンをクリック
Copyright © 2007 Juniper Networks, Inc.
このエントリを削除
する
Proprietary and Confidential
www.juniper.net
188
Anti-Spam機能を利用する (7) - ブラックリストの設定
1. ブラックリストを編集するた
め”Black List”をクリック
“Cancel”を押すとテキスト
ボックス内の文字列はクリア
され、Profile選択画面に戻
る
3. 記入した
ら”ADD”ボタンをク
リック
Copyright © 2007 Juniper Networks, Inc.
ここに追加されたエ
ントリが表示される。
Proprietary and Confidential
www.juniper.net
189
Policy ruleでAnti-Spamをenableにする
Antispam enableのチェック
ボックスをチェックする。
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
190
Anti-Spam機能を利用する (8) - トラブルシューティング
ƒ アンチスパムに引っかかるとイベントログに記録される。
ƒ 環境や設定の確認
•
•
•
•
ライセンスキーは入っているか?
DNSサーバは設定されているか?DNSサーバへの到達性があるか?
ファイアウォールポリシーにアンチスパムを行う設定がされているか?
アンチスパムの設定情報を確認してみる。
ƒ Execコマンドによるテストスキャンを試してみる。
• exec anti-spam testscan <domain name>
• exec anti-spam test <ip addr>
ƒ 参考Webサイト(アンチスパム候補のSMTPサーバアドレス等)
• http://www.senderbase.org
• http://www.dnsbl.info
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
191
Web Filtering機能を利用する
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
192
Integrated Web Filtering
ƒ Integrated
• SurfControlのCPA (Content Portal Authority) サーバを利用する。
• CPAサーバはジュニパーにて用意、ユーザは自社内にWeb Filteringサー
バを用意する必要はない。
• ライセンスキーのインストールが必要(年間契約)
• HTTPSもサポート。
Webサーバ
CPAサーバ
(.juniper.net)
2.FWがCPAサーバ
に問い合わせ、URL
の疎通判定。
DNSサーバ
FW
Internet
3.疎通判定OKの場合、
WebサーバへHTTPリクエ
ストを転送。
Copyright © 2007 Juniper Networks, Inc.
1.クライアントがWebサーバ
に対しHTTPリクエストを送る。
Proprietary and Confidential
クライアント
www.juniper.net
193
External Web Filtering (Redirect)
ƒ Redirect
• ユーザは自社内にSurfControlまたはWebSenseのサーバを導入する必要がある。
• ファイアウォール側にライセンスは不要。
• ファイアウォールはHTTPリクエストをSurfControl/WebSenseサーバへ送り、URLが利用可能
かを判定。
• HTTPSはサポートしていない。
2.FWがWebフィルタリ
ングサーバに問い合わせ、
URLの疎通判定。
Webサーバ
Internet
DNSサーバ
FW
3.疎通判定OKの場合、
WebサーバへHTTPリクエ
ストを転送。
Copyright © 2007 Juniper Networks, Inc.
SurfControlまたは
WebSenseサーバ
1.クライアントがWeb
サーバに対しHTTPリクエ
ストを送る。
Proprietary and Confidential
クライアント
www.juniper.net
194
SurfControlとWebSense
ƒ SurfControl
IntegratedモードとRedirectモードの2つをサポート
http://www.serfcontrol.com
ƒ WebSense
Redirectモードのみサポート
http://www.websense.com
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
195
Web Filteringの特徴まとめ
Integrated
Redirect
Juniperライセンス
必要
不要
不要
自社網での
WebFilterサーバ構
築
不要
必要
必要
設定
単純
細かい
細かい
WebFilterサーバラ
イセンス
不要
必要
必要
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
Integrated
Redirect
www.juniper.net
196
Integratedモードの動作詳細
Webサーバ
CPAサーバ
インターネットアクセス許可
6. キャッシュにURLがな
ければCPAサーバに問い
合わせ、結果に従ってブ
ロックか許可
SSG
deny/permit policy
ホワイトリストチェック
3. ホワイトリストにURL
があれば許可
1. クライアントから
HTTPリクエスト
Copyright © 2007 Juniper Networks, Inc.
Internet
URLデータベース
定義済み
カテゴリリストチェック
ユーザ定義
カテゴリリストチェック
カテゴリリスト
URLキャッシュ
リスト
キャッシュに
結果を保存
5. キャッシュに従ってブ
ロックか許可
4. ユーザ定義リストに従っ
てブロックか許可
ブラックリストチェック
CPAサーバは
URLデータベース
を管理しており、
各URLをカテゴリ
分けしたカテゴリ
リストを保持。
2. ブラックリストにURLが
あればブロック
クライアント
Proprietary and
Confidential
www.juniper.net
197
Redirectモードの動作詳細
Webサーバ
インターネットアクセス許可
Internet
5. サーバからの結果
に従ってブロックまた
は許可
4. 結果をSSGに通
知
3. URLをチェックし、
ブロックか許可を決
定
SurfControlまたは
WebSenseサーバ
カテゴリリスト
2. HTTPトラフィックをリ
ダイレクト
1. クライアントから
HTTPリクエスト
URLデータベース
クライアント
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
198
Integrated Web Filtering
ƒ すべてのHTTPリクエストについてカテゴリ情報を調査する。
ƒ ローカルキャッシュまたはユーザ定義カテゴリを検索。無い場合はCPAサーバにリクエストを送
付。
ƒ 調査したカテゴリ情報が許可されるか拒否されるか決定する。
ƒ キャッシュカテゴリリスト(CPAサーバの結果のキャッシュ)によるパフォーマンス向上とネット
ワークトラフィック削減
• Cache life time configurable from 1 hour to 24 hours (default is 24 hours)
• URL キャッシュ容量は以下の式で計算できる:
• 平均URL容量 = (キャッシュメモリ制限 – (101 * 4)) / 60)
– URL 容量 : 500kbyte = 8326 URL; 1Mbyte = 16659, 2Mbyte = 33319
NetScren-5GT
NetScren-HSC
SSG 5 / SSG 20
Netscreen-25
Netscreen-50
SSG 520
SSG 550
ISG1000
ISG2000
キャッシュのデフォ
ルトサイズ
500 Kバイト
500 Kバイト
1000 Kバイト
1000 Kバイト
1000 Kバイト
2000 Kバイト
最大キャッシュサイ
ズ
1000 Kバイト
1000 Kバイト
2000 Kバイト
4000 Kバイト
8000 Kバイト
16000 Kバイト
最大キャッシュサイ
ズに収まる平均的
なURL数
16,500 URL
16,500 URL
33,000 URL
66,000 URL
132,000 URL
264,000 URL
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
199
Integrated Web Filtering
ƒ ユーザ定義リスト
• カスタムカテゴリの定義
• ブラックリスト(強制拒否)とホワイトリスト(強制許可)の定義による
• プラットフォームごとの最大ユーザ定義カテゴリ数
• HSC :20, 5GT: 30, NS25: 40, NS50: 40
ƒ ユーザ定義プロファイル
• URLフィルタリングプロファイルをカテゴリによって定義し、ポリシーに設定
• URLフィルタリングプロファイルの最大設定数
• HSC:5, 5GT:10, NS25:25, NS50: 50
• URLフィルタリングプロファイル内の最大URLカテゴリ数
• HSC:10, 5GT;15, NS25:20, NS50:30
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
200
Web Filtering対応機種とバージョン
• 対応OSバージョン
• ScreenOS 5.3以降
• SSGシリーズはScreenOS5.4以降
• 対応機種
• NS-HSC,NS-5GT,NS-25,NS-50
• ISG1000,ISG2000(Redirectのみ)
• SSG5,SSG20,SSG140,SSG520,SSG550
• Integratedモードを利用する場合、ライセンス・キーが必要
• 1年毎のライセンス
• 機種によって価格が異なる
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
201
設定例:Integratedモード
Webサーバ
CPAサーバ
インターネットアクセス許可
Internet
定義済み
カテゴリリストチェック
SSG
ユーザ定義
カテゴリリストチェック
クライアント
Copyright © 2007 Juniper Networks, Inc.
URLデータベース
ローカルブラックリスト:
www.play.com
ローカルホワイトリスト:
www.juniper.net
ホワイトリストチェック
ブラックリストチェック
カテゴリリスト
1.
プロトコルをIntegratedモードに選択します。
2.
Integratedモードのサーバ設定を確認します。
3.
ローカルホワイトリストを設定します。
4.
ローカルブラックリストを設定します。
5.
ポリシーに適用します。
Proprietary and Confidential
www.juniper.net
202
Web Filtering機能を利用する (1) - プロトコル選択
1. “Web Filtering >
Protocol” をクリック
2. Integrated
モードを選択
3.設定が終わった
ら”Apply”をクリック
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
203
Web Filtering機能を利用する (2) - サーバ設定
プロトコル選択後、CPAサーバとの
接続に関する設定画面に移ります。
1. CPAサーバは
“America”, “Asia
Pacific”, “Europe/
MidEast/Africa” の3
つから選べますが、日本
で使う場合はAsia
Pacificを選択。
2. Enable Cacheがチェックされ
ていることを確認し、Cache size
が設定されていることを確認し
ます。Cache sizeは500から
1000までで設定可能です。
3. CPAサーバとの接続性
を失ったときに、すべての
HTTPリクエストをブロック
するか、許可するか設定し
ます。
この例ではブロックします。
4.設定が終わった
ら”Apply”をクリック
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
204
Web Filtering機能を利用する (3) - ブラックリスト,ホワイトリスト設定
カスタムカテゴリを新規生
成したい場合はここをク
リック
既に生成されたカスタ
ムカテゴリ。
カスタムカテゴリを編
集したい場合はここ
をクリック
カスタムカテゴリを削除
したい場合はここをク
リック
ここをクリックするとカス
タムカテゴリが参照でき
る。
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
205
Web Filtering機能を利用する (4) - ホワイトリストのカスタムカテゴリ新規生成
1つのカスタムカテゴリ (Custom Categories) には最大20個のURLエントリが設定できます。
1. カスタムカテゴリ
名を設定
2.カスタムカテゴリ
に登録するURLを
設定
3. 設定が終わった
ら ”OK”をクリック
今回の例では、ホワイトリストとして ”custom_white_list” というカ
スタムカテゴリを作り、そのエントリとして “www.juniper.net” を設
定します。
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
206
Web Filtering機能を利用する (5) - ブラックリストのカスタムカテゴリ新規生成
1つのカスタムカテゴリ (Custom Categories) には最大20個のURLエントリが設定できます。
1. カスタムカテゴリ
名を設定
3. 設定が終わっ
たら”OK”をクリック
2.カスタムカテゴリ
に登録するURLを
設定
既に生成されたエン
トリがここに表示さ
れる。
今回の例では、ブラックリストとして ”custom_black_list” というカスタ
ムカテゴリを作り、そのエントリとして “www.play.com” を設定します。
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
207
Web Filtering機能を利用する (6) - カスタムプロファイルの新規生成
2. カスタムプロファ
イルを新規生成す
るため、ここをクリッ
ク
1. ここをクリックするとカスタムプロ
ファイルが参照できます
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
208
Web Filtering機能を利用する (7) -カスタムプロファイルの新規生成
前スライドで “New” ボタンをクリックした後の画面
1.カスタムプロファイル
名を設定
2. ブラックリストとしてカ
スタムカテゴリを選択。
3.ホワイトリストとしてカ
スタムカテゴリを選択。
3. 設定が終わった
ら”OK”をクリック
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
209
Web Filtering機能を利用する (8) - ポリシーに適用する
2. Web Filteringに
チェック
3. カスタムプロファ
イルを選択
1. ポリシー設定で
該当のポリシーを
選択
Copyright © 2007 Juniper Networks, Inc.
4. 設定が終わった
ら”OK”をクリック
Proprietary and Confidential
www.juniper.net
210
Web Filtering機能を利用する (9) - ポリシー確認
ポリシーにWeb Filteringが適用され
るとWWWのマークが現れます。
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
211
Anti Virus機能を利用する
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
212
統合型ウイルス検知・防御
ƒ ウイルス、スパイウェア、アドウェア、キーロガーからネットワークを防御
•
クラス最高のアンチウイルスエンジン を搭載
•
SMTP、POP3、Webメール、FTP、IMAP、HTTPのウイルスを検知
•
内部および外部からのトラフィックに対してウイルススキャンを実行
ウイルス除去済み
メールがユーザに届
く
除去済みメール
To: John@work.com
感染メール
From: Joe@org.org
To: John@work.com
From: Joe@org.org
Subject: See Attachment!
Internet
Infected Attachment
dropped
Subject: See Attachment!
1. ウイルスに感染し
たメールが届く
2. SSGの統合型AV
エンジンによりメール
をスキャン
3. 感染ファイル
を除去
Copyright © 2007 Juniper Networks, Inc.
AVスキャン
SSG
4. ウイルスを除去し
たメールを転送
メールサーバ
5. 管理者にアラーム
が届く
Proprietary and Confidential
管理者端末
www.juniper.net
213
Anti Virus対応機種、バージョン
• 対応OSバージョン
• SSGシリーズ: ScreenOS5.4以降
• 対応機種
• NS-HSC,NS-5GT
• SSG5,SSG20,SSG140,SSG320
• SSG350,SSG520,SSG550
• ライセンス・キーが必要
• 1年毎のライセンス
• 機種によって価格が異なる
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
214
SSG - Antivirus Engine
ƒ SSG シリーズはカスペルスキー (Kaspersky) AV エンジン
をサポート
ƒ 外部から侵入するスパイウェア、アドウェア、キーロガーをブ
ロック
ƒ 精細なAVポリシーを定義可能
ƒ スキャンレベルの設定が可能
ƒ 1時間ごとにパターンファイルをアップデート
ƒ サポートするプロトコル
• SMTP, POP3, FTP, IMAP, HTTP, IM(Yahoo,MSN)
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
215
新アンチウイルス・エンジン
ƒ 業界トップのAVベンダーであるKasperskyと連携
• 業界No.1の検知能力および管理性の高さを誇る
• これまではNS5GTでのみ、Trend Microのエンジンを使ったソリューション
があった
ƒ 新AVソリューションは スパイウェア・アドウェア・キーロガーをも検知可
能
• “phone-home” (侵入されたシステムからのデータ流出) に対する検知機能
も優れたエンジン
ƒ ScreenOS 5.3に完全に統合 (SSGは、5.4以降でサポート)
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
216
ウィルススキャンレベル
ƒ Standard
• デフォルト、推奨オプション
• 最も広い範囲で攻撃をカバー、最も誤検知率の低い組み合わせ(スパイウェア含む)
ƒ In-The-Wild
• Standardよりも少ない範囲をカバー
• “in-the-wild”(野生の、つまり実際に活動している)ウイルスのみを検知することによ
り、高いパフォーマンスを提供 (あまり見られないようなウイルスはスキャンしない)
ƒ Extended
• 典型的なアドウェア等をスキャン対象に加えたモード
• より多くのアドウェアを検知可能だが、誤検知が増える可能性がある
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
217
きめ細やかなAV設定
ƒ スキャニングON/OFF
• アプリケーションプロトコル単位
• ファイル拡張子とコンテキストタイプ単位
に設定可能
ƒ ファイアウォールポリシー毎にスキャンオプション設定
ƒ アプリケーションプロトコルに基づいたデコード
ƒ ウェブメールURLパターン用除外オプション
ƒ メールによる通知のカスタマイズ
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
218
パターンファイル更新
ƒ SSGに更新サーバの URL を設定
ƒ SSGはそのURLよりサーバ初期化ファイルを入手
ƒ Kasperskyを使用した場合のURL
• http://update.juniper-updates.net/AV/SSG5_SSG20/
ƒ SSGは、まずserver-initializationファイルをダウンロードし、デバイス内の定
義ファイルの状態をチェック
ƒ SSG内の定義ファイルが最新ではない場合は、自動的にパターンファイルサー
バからパターンファイルをダウンロード
ƒ 自動更新または手動更新
• 自動更新の場合、更新間隔を10~10080分(10分から7日)の間で設定
1. パターンファイル
リクエスト
13=ocr.arm,0XLSznpdI71fB300
e7Uwj1E1YRc5B2zQJypcsNTc
xr1IyWXcAQzVjOuHIh,636,2
7/12/2005
14=base001.arm,0XLSznpdI71f
B300e7Uwj1RLzut9ECuZlkpT3l
LuB72AjCAqRTQ7riDfzA,4632
7,16/10/2006
15=base002.arm,0XLSznpdI71f
B300e7Uwj10A4pgVvtNRN2d/
AdDyERY3Ab9hvKBKQfLHG5,5
5749,16/10/2006
Copyright © 2007 Juniper Networks, Inc.
パターンファイルサーバ
Internet
2. パターンファイル
転送
Proprietary and Confidential
パターンファイル
13=ocr.arm,0XLSznpdI71fB300
e7Uwj1E1YRc5B2zQJypcsNTc
xr1IyWXcAQzVjOuHIh,636,2
7/12/2005
14=base001.arm,0XLSznpdI71f
B300e7Uwj1RLzut9ECuZlkpT3l
LuB72AjCAqRTQ7riDfzA,4632
7,16/10/2006
15=base002.arm,0XLSznpdI71f
B300e7Uwj10A4pgVvtNRN2d/
AdDyERY3Ab9hvKBKQfLHG5,5
5749,16/10/2006
www.juniper.net
219
最新パターンファイルの確認
ƒ パターンファイルの更新状況及び内容は、下記のURLで確認
可能。
• https://www.juniper.net/security/virus/index.html
ƒ パターンファイルはCritical/High/Lowにカテゴリー分け
ƒ パターンファイルの更新日、パターンファイルに関する情報を
提供
• どのような攻撃に対する防御が可能かを閲覧可能
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
220
最新パターンファイルの確認
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
221
Anti-Virus設定例
ƒ ここでは、SSGのアンチウイルスについて以下の手順で設定します。
•
•
•
•
スキャンエンジンのグローバル設定(全体機能設定)します。
ウイルス定義ファイルのアップデートについて設定します。
デフォルトのAVプロファイルであるns-profileを利用するか、新規にProfileを作成します。
新規でProfileを作成する場合
•
•
•
•
profileのFTPに関するアンチウイルス設定を行います。
profileのHTTPに関するアンチウイルス設定を行います。
profileのIMAP/POP3に関するアンチウイルス設定を行います。
profileのSMTPに関するアンチウイルス設定を行います。
• ポリシーにAVプロファイルを適用します。
Internet
AVスキャン
Copyright © 2007 Juniper Networks, Inc.
SSG
Proprietary and Confidential
メールサーバ
管理者端末
www.juniper.net
222
AntiVirus機能を利用する (1) - グローバル設定画面
HTTPのKeep-Alive方式、つまりデータ転送後もTCP FIN
を投げない接続オプションを使う場合はチェック。
このチェックを外すと、TCP FINがサーバから来たときに
データ転送が終了したと判断し、スキャンを始める。
スキャンが正しくできな
かった場合でも、その
データを転送したい場合
はチェック
“Global”をクリック
1つの送信元から大量に来
るパケットの処理に対して
割り当てるリソースを設定。
100%だとリソース制限を
かけないことになる。
TricklingはHTTPタイムアウトとなら
ないように、スキャンしていないHTTP
トラフィックをクライアントに少量送る
こと。
CustomではTrickling
を始める最小ファイル
サイズ、何メガスキャン
するごとに何バイトデー
タを送信するか指定。
DisableはTricklingを行わ
ない。
Defaultは3MB以上の
HTTPファイルの場合、1MB
スキャンするごとに500バイ
ト送る。
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
223
AntiVirus機能を利用する (2) - スキャンマネージャの設定
2. ここにパターンファイル
サーバのURLを入れる(最初
から入っていて変更の必要
はなし)。
1. ここをクリック
4. 手動更新時、こ
こをクリック
5. 自動更新時、更
新間隔を指定
3. 自動更新すると
きはここをチェック
1.
2.
3.
4.
5.
6.
7.
8.
圧縮ファイルの指定した圧縮回数を超えたときの
動作
パスワード付きファイルの動作
壊れたファイルの動作
スキャンエンジンのリソースがない場合の動作
スキャンエンジンが準備できていない場合の動作
スキャンタイムアウト時の動作
スキャンコンテンツサイズが超過した場合の動作
同時スキャン数を超過した場合の動作
8. 設定が終わったら
“Apply” をクリック
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
224
AntiVirus機能を利用する (3) - profileの編集
ns-profile (Default)の確認をする場
合は “View” をクリック
(編集不可)
新規でプロファイルを設定する場合に
は”New”をクリック
カスタムプロファイルを編集するに
は”Edit”をクリック
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
225
AntiVirus機能を利用する (4) - FTPの設定
1. FTPのプロファイル設定を行う
にはここをクリック
2. プロファイルの有効化
3. スキャンモードの設
定。
”Scan All”は全ファイル
をスキャン。
“Scan Intelligent”は
最適化アルゴリズムで
必要と判断したものだ
けをスキャン。
“Scan By Extension”
は外部リストで定義した
ファイルのみをスキャン。
4. 圧縮ファイル内の圧縮ファイル
を何階層まで見るか設定
FTPのスキャンのタイムアウト時間
の設定(1~1800秒)
5. 設定が終わった
ら”OK”をクリック
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
226
AntiVirus機能を利用する (5) - HTTPの設定
1. HTTPのプロファイル設定を行う
にはここをクリック
2. プロファイルが有効
になっているか確認
(チェックされていること)
3. スキャンモードの設
定。
”Scan All”は全ファイル
をスキャン。
“Scan Intelligent”は
最適化アルゴリズムで
必要と判断したものだ
けをスキャン。
“Scan By Extension”
は外部リストで定義した
ファイルのみをスキャン。
4. 圧縮ファイル内の圧縮ファイル
を何階層まで見るか設定
HTTPのスキャンのタイムアウト時
間の設定(1~1800秒)
5. 設定が終わった
ら”OK”をクリック
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
227
AntiVirus機能を利用する (6) - IMAP/POP3の設定画面
1. IMAPまたはPOP3のプロファイル
設定を行うにはここをクリック
2. プロファイルの有効化
3. スキャンモードの設
定。
”Scan All”は全ファイル
をスキャン。
“Scan Intelligent”は
最適化アルゴリズムで
必要と判断したものだ
けをスキャン。
“Scan By Extension”
は外部リストで定義した
ファイルのみをスキャン。
4. 圧縮ファイル内の圧縮ファイル
を何階層まで見るか設定
IMAP/POP3のスキャンのタイムアウト
時間の設定(1~1800秒)
5. メールによるウイルス警告メッセージ通知
設定。
“Virus Sender” はメール送信者にウイルス
が検知されたことを通知。
“Scan-error Sender” はメール送信者にス
キャン失敗した旨を通知。
“Scan-error Recipient” はメール受信者に
スキャン失敗した旨を通知。
6. 設定が終わった
ら”OK”をクリック
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
228
AntiVirus機能を利用する (7) - SMTPの設定画面
1. SMTPのプロファイル設定を行う
にはここをクリック
3. スキャンモードの設
定。
”Scan All”は全ファイル
をスキャン。
“Scan Intelligent”は
最適化アルゴリズムで
必要と判断したものだ
けをスキャン。
“Scan By Extension”
は外部リストで定義した
ファイルのみをスキャン。
2. プロファイルの有効化
4. 圧縮ファイル内の圧縮ファイル
を何階層まで見るか設定
SMTPのスキャンのタイムアウト時間の
設定(1~1800秒)
6.設定が終わったら”OK”
をクリック
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
5. メールによるウイルス警告メッセージ通知
設定。
“Virus Sender” はメール送信者にウイルス
が検知されたことを通知。
“Scan-error Sender” はメール送信者にス
キャン失敗した旨を通知。
“Scan-error Recipient” はメール受信者に
スキャン失敗した旨を通知。
www.juniper.net
229
AntiVirus機能を利用する (8) - IMの設定画面
1. IMのプロファイル設定を行うに
はここをクリック
2. プロファイルの有効化
3. スキャンモードの設
定。
”Scan All”は全ファイル
をスキャン。
“Scan Intelligent”は
最適化アルゴリズムで
必要と判断したものだ
けをスキャン。
“Scan By Extension”
は外部リストで定義した
ファイルのみをスキャン。
スキャン対象の選択
・メッセージ本文
・ファイル転送
4. 圧縮ファイル内の圧縮
ファイルを何階層まで見る
か設定
サポートする転送プロトコルを表示
(アプリケーションのバージョン情報
ではないことに注意)
利用されているプロトコルが不明な場
合の動作を選択
“Best Effort”は既存のプロトコルの
情報を元に検査する
“Pass”は何もせず転送する
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
230
AntiVirus機能を利用する (9) - AVポリシーの設定
Policiesでの設定
ここでポリシーに割り当
てるAVプロファイルを
指定する
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
231
AntiVirus機能を利用する (10) - AVポリシー確認
すべての送信元から”LAN” (アドレ
スリストで指定したネットワーク) 宛
の HTTPトラフィックについて、AVを
行う。
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
アクションとしてAV
が加わった
www.juniper.net
232
Deep Inspection機能を利用する
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
233
Deep Inspection対応機種、バージョン
• 対応OSバージョン
• NetScreenシリーズ: ScreenOS 5.0以降
• SSGシリーズ: ScreenOS5.4以降
• 対応機種
• すべての機種
• NS5GTはメモリの都合上、シグネチャ数が制限される
• ライセンス・キーが必要
• 1年毎のライセンス
• 機種によって価格が異なる
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
234
Deep Inspectionとは?
ƒ SSGが許可したトラフィックをフィルタリングするためのメカニ
ズム
ƒ 調べる内容:
•
•
•
•
レイヤ3のパケットヘッダ (IPヘッダ)
レイヤ4のセグメントヘッダ (TCPヘッダ)
レイヤ7のアプリケーションコンテンツ
レイヤ7のプロトコル特性
ƒ ファイアウォールとの違い:
• ファイアウォールがIP/TCP/UDPヘッダ情報を見て処理するの
に対し、Deep Inspectionではさらに深い(Deepな)アプリケー
ションデータの内容まで見る(Inspectionする)。
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
235
Deep Inspectionの処理フロー
レイヤ3、レイヤ4ヘッダの
アドレス、ポート番号チェッ
ク
ファイアウォール機能
ポリシー不一致
パケット調査
パケット廃棄
ポリシー一致
パケット不許可
ポリシー調査
パケット廃棄
パケット許可
Deep Inspection
利用?
No
Yes
攻撃検知?
Yes
攻撃対応
アクション実施
No
Deep Inspection機能
パケット転送
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
236
Deep Inspection設定
1.
ライセンスキーを入れる
1.
2.
“get license-key” でDIライセンスが入っているか、またはDIがenableになっているか確認。
入っていない、またはDisableであればライセンスキーを入れる。(exec license-keyコマンドかWebUI経
由)
2.
ライセンスキーを入れたらリブートし、 “get license-key” でDIがenableになっていることを確認。
3.
WebUI上の Configuration > Update > ScreenOS/Keys で Retrieve Subscriptions Now または
Retrieve Trial keys Now を実施。
4.
データベースサーバを設定する。ScreenOS5.3以降ではシグネチャパックによってパスが変わる。
“set attack db server https://services.netscreen.com/restricted/sigupdates”
5.
“exec attack-db update” コマンド(またはWebUIやNSM経由)でシグネチャをダウンロードする。
6.
必要に応じてカスタムシグネチャやカスタムグループを生成する。
7.
ポリシーを設定し、そこで検知させたいアタックグループを指定する。
1.
“set policy from xx to xx src_adr dst_adr service permit attack GROUP”
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
237
攻撃オブジェクトデータベースサーバ
Attack Object Database Server
ƒ データベースサーバに定義済みの全部の攻撃オブジェクトが入っている。
ƒ 各オブジェクトはプロトコルや重大度レベル別の攻撃オブジェクトグルー
プに分けられる。
ƒ https://services.netscreen.com/restricted/sigupdatesに攻撃オ
ブジェクトデータベースを格納
ƒ SSGはこのサーバからデータベースをダウンロードし、ロードしてからオ
ブジェクトを参照。
ƒ ユーザはDIシグネチャサービスに加入する必要がある。
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
238
シグネチャの種類
ƒ ステートフルシグネチャ (Stateful Signature)
• 特定の攻撃パターンを記したデータファイル。
• 有害であるとされる特定のトラフィックパターンやテキストパターン。
• デフォルト定義またはユーザ定義。
ƒ TCPストリームシグネチャ (TCP stream signature)
• ユーザ定義のみ。
• コンテキストに関わらず調査する。
• NS5000シリーズのみサポート。
ƒ プロトコルアノーマリ (Protocol Anomaly)
• RFCなどで定義されたプロトコルのルールや振る舞いからかけ離れたトラ
フィックを検出。
• DNS, FTP, HTTP, IMAP, POP3, SMTP
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
239
攻撃シグネチャパック ~いずれか1つ選択~
ƒ Base (ベースシグネチャパック) ※デフォルト
• リモート拠点、支店、中小企業に最適化されたクライアントサーバ型通信、ワーム防御のシグネ
チャ群
• 公衆インターネットで対象となる攻撃(例: HTTP, DNS, FTP, SMTP, POP3, IMAP,
NetBIOS/SMB, MS-RPC, P2P, インターネットメッセンジャーなど)
ƒ Server protection (サーバ防御シグネチャパック)
• IISやExchangeなどサーバファームとの境界を対象としたシグネチャ群
• HTTP, DNS, FTP, SMTP, IMAP, MS-SQL, LDAP, サーバを攻撃対象とするワームに関する
シグネチャ
ƒ Client protection (クライアント防御シグネチャパック)
• ユーザのパソコンが置かれたネットワークとの境界を対象としたシグネチャ群
• HTTP, DNS, FTP, IMAP, POP3, P2P, インターネットメッセンジャー、クライアント攻撃対象とす
るワームに関するシグネチャ
ƒ Worm Mitigation (ワーム緩和シグネチャパック)
• ワームからの攻撃を総合的に防御するためのシグネチャ群
• ストリームシグネチャ、すべてのプロトコルに対するワーム攻撃を対象
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
240
攻撃オブジェクトデータベースの更新
ƒ 即時更新 (Immediate Update)
• 即時にサーバに格納されたデータベースへ更新する。
ƒ 自動更新 (Automatic Update)
• 定期的に更新する。
ƒ 自動通知と即時更新 (Automatic Notification and Immediate Update)
• 決められた時間にオブジェクトデータのバージョンをチェックし、サーバのほうが新しけ
ればユーザに通知。ユーザはその後即時更新可能。
ƒ 手動更新 (Manual Update)
• サーバのデータベースをローカルにダウンロードし、アプライアンスにロードする。
関連コマンド
exec attack-db check
exec attack-db update
攻撃オブジェクト
データベースサーバ
1. 更新要求
13=ocr.arm,0XLSznpdI71fB300
e7Uwj1E1YRc5B2zQJypcsNTc
xr1IyWXcAQzVjOuHIh,636,2
7/12/2005
14=base001.arm,0XLSznpdI71f
B300e7Uwj1RLzut9ECuZlkpT3l
LuB72AjCAqRTQ7riDfzA,4632
7,16/10/2006
15=base002.arm,0XLSznpdI71f
B300e7Uwj10A4pgVvtNRN2d/
AdDyERY3Ab9hvKBKQfLHG5,5
5749,16/10/2006
Copyright © 2007 Juniper Networks, Inc.
Internet
2. データベース更新
攻撃オブジェクト
データベース
13=ocr.arm,0XLSznpdI71fB300
e7Uwj1E1YRc5B2zQJypcsNTc
xr1IyWXcAQzVjOuHIh,636,2
7/12/2005
14=base001.arm,0XLSznpdI71f
B300e7Uwj1RLzut9ECuZlkpT3l
LuB72AjCAqRTQ7riDfzA,4632
7,16/10/2006
15=base002.arm,0XLSznpdI71f
B300e7Uwj10A4pgVvtNRN2d/
AdDyERY3Ab9hvKBKQfLHG5,5
5749,16/10/2006
https://services.netscreen.com/restricted/sigupdates
Proprietary and Confidential
www.juniper.net
241
攻撃オブジェクトデータベースの更新
現在使用中の攻撃データベー
スファイルバージョン
シグネチャパックの選択。
URLは自動的に決定さ
れる。
何もしない
現在のものより新しい攻撃
データベースがサーバにある
場合、自動通知する
手動でデータベース
サーバのURLを登録
毎日更新がないかチェック
したい場合
指定した時間に自動
アップデートを行う
何時にデータベース更
新を行うか設定。午前1
時15分の場合、”01:15”
と記入。
Copyright © 2007 Juniper Networks, Inc.
手動で攻撃データベースを機
器へ取り込むときに使う
1週間ごとに更新がないか
チェックしたい場合、チェック
する曜日を指定
即時アップデー
トを行う
1ヶ月ごとに更新がないか
チェックしたい場合、チェック
する日を指定
Proprietary and Confidential
www.juniper.net
242
シグネチャパックごとデータベース更新URL
ƒ Base (ベースシグネチャパック) ※デフォルト
• https://services.netscreen.com/restricted/sigupdates
ƒ Server protection (サーバ防御シグネチャパック)
• https://services.netscreen.com/restricted/sigupdates/server
ƒ Client protection (クライアント防御シグネチャパック)
• https://services.netscreen.com/restricted/sigupdates/client
ƒ Worm Mitigation (ワーム緩和シグネチャパック)
• https://services.netscreen.com/restricted/sigupdates/worm
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
243
シグネチャ
ƒ
ƒ
ƒ
定義済みシグネチャとカスタムシグネチャの2種類がある
定義済みシグネチャは “Objects>Attacks>Predefined” でチェック
可能
カスタムシグネチャ名は “CS:”から始まらなければならない
•
•
コンテンツの中身に対して、正規表現を使って生成。
例:
•
•
コンテンツは複数プロトコルの複数要素から選択する
定義済みシグネチャを参考に作ると良い。
•
.*¥x00 00 00¥x.* : コンテンツ内に00 00 00という3バイトのダンプがある
set attack "CS:HTTP_TEST" http-text-html ".*¥x6a 61 76 61 73 63 72 69 70 74¥x.*" severity critical
set attack group CS:TEST
set attack group "CS:TEST" add "CS:HTTP_TEST"
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
244
定義済みシグネチャの確認
データ種別
シグネチャ名
•シグネチャ種別
•signature:
•ステートフルシグネチャ
•anomaly:
• プロトコルアノマリ
•chain:
•チェーン化されたシグネチャ
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
危険度
•critical:
•クラッシュやシステムレベル権限
を得られてしまうような脅威
•high:
•サービス中断やユーザレベルの
権限を得られてしまうような脅威
•medium:
• 情報漏えいとなるハッキングな
ど
•low:
•重要ではない情報のハッキング
など
•info:
•害の無いエラーなど
www.juniper.net
245
シグネチャグループとは?
ƒ ポリシーにDIシグネチャを割り当てるには、シグネチャグルー
プを指定する必要がある。
ƒ シグネチャ単体ではポリシーに割り当てられない。
ƒ 定義済みシグネチャグループはそのままポリシーに割り当て
られる。(例:CRITICAL:HTTP:SIGSなど)
• 定義済みシグネチャグループ内には、定義済みシグネチャや定
義済みアノマリが入っている。
ƒ カスタムシグネチャを生成した場合、カスタムグループに登録
し、カスタムグループをポリシーに割り当てる。
• カスタムグループは “CS:”から始まる名前にしなければならない。
• カスタムグループにはカスタムシグネチャしか入れられない。
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
246
DIのシグネチャを使う設定
ƒ 以下の設定を行います。
1. カスタムシグネチャを生成します(オプション)
2. カスタムグループを生成し、カスタムシグネチャをグループメ
ンバとします。
3. ポリシーに定義済みシグネチャとカスタムシグネチャを割り当
てます。
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
247
DIを利用する (1) - カスタムシグネチャの設定
2. “New”ボタンをクリック
1. “Security > Deep Inspection > Attacks > Custom” をクリック
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
248
DIを利用する (2) - カスタムシグネチャの設定
1. カスタムシグネチャ名を入力。”CS:”
から始まらなければならない。この例で
は “CS:HTTP_gif”
2. 攻撃対象のコンテキストを
指定。この例では、HTTPリク
エスト。
3. 攻撃パターンを入力。
4. 設定が終わったら “OK”
をクリック
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
249
DIを利用する (3) - カスタムグループ生成
新規にカスタムグルー
プを生成する場合、ここ
をクリック
登録されたカスタムグ
ループ名
カスタムグループを編
集する場合、 “Edit” を
クリック
カスタムグループに登
録されたカスタムシグネ
チャ一覧
Copyright © 2007 Juniper Networks, Inc.
カスタムグループを削
除する場合、
“Remove” をクリック
Proprietary and Confidential
www.juniper.net
250
DIを利用する (4) - カスタムグループ生成,編集
1. カスタムグループ名
を入力
カスタムグループに登
録可能なカスタムシグ
ネチャ一覧が表示され
る。
2. 右側のリストで選択した
カスタムシグネチャをカス
タムグループに登録する
場合ここをクリック
カスタムグループに登
録されたカスタムシグネ
チャ一覧が表示される。
3. 設定が終わったら “OK”
をクリック
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
251
アタックアクション
ƒ Close
• TCPコネクションに使用
• SSGはコネクションをドロップし、TCP RSTをクライアント(送信側)とサーバ(あて先側)に送る
• TCP RSTは信頼性がないが、両側に送ることでいずれかが受信すればよいことになる
ƒ Close Server
• Untrust側のクライアントからTrust側のサーバに入ってくるようなTCPコネクションに適用。TCP RSTをサーバ
にだけ送る。
ƒ Close Client
• Trust側のクライアントからUntrust側のサーバへのTCPコネクションに適用。RSTをクライアントにだけ送る。
ƒ Drop
• DNSなどのUDPやTCP以外のプロトコルに使用。SSGはパケットをドロップするがTCP RSTは送らない。
ƒ Drop Packet
• パケットをドロップ
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
252
DIを利用する (5) - DIポリシーの設定
Policiesでの設定
DIを設定するには
ここをクリック
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
253
DIを利用する (6) - DIポリシーの設定
2. シグネチャヒット時のアクション
として、ドロップ、無視、コネクション
クローズなどを選択
1. ポリシーに割り当て
るシグネチャグループ
を選択
3. ログを残す場合はここ
をチェック
4. 選択したグループを下
のリストに加える場合、こ
こをクリック
5. 割り当てるシグネチャグルー
プを選択し終わったら”OK”をク
リック
6. 最後にポリシー設定の
“OK” をクリック
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
254
DIを利用する (7) - DI設定ポリシーの確認
AVとDIが両方入って
いる場合、このアイコ
ンが出る
DIのみ設定されてい
る場合、このアイコン
が出る
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
255
本資料に対するご質問やご意見に関しましては、
下記までお問い合わせください
ジュニパーネットワークス株式会社
第二技術本部 セキュリティプロダクトグループ
mailto:SSG-info@juniper.net
SSG製品のご購入や、技術サポート等に関しましては、製品ご購
入の各代理店様へお問い合わせください。
http://www.juniper.co.jp/company/contactus/ssg.html
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
256