はじめてのSSG5 概要とハンズオントレーニング (Rev.D 講習会用) リリース日:2007年8月17日 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 1 第1部:はじめに Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 2 実証されたセキュリティ機能(SSGとNSの違いとは?) ScreenOS 統合型コンテンツセキュリティをSWアップグ レードにより提供 コンテンツセキュリティ アンチフィッシング アンチウイルス/ アンチスパム アンチスパイウェア Webフィルタ • 統合/リダイレクトWebフィルタ • アンチウイルス、アンチスパイウェア、アンチ フィッシング、アンチスパムの各機能を実装 ネットワークおよびアプリケーション保護 FW/VPN ディープインスペクション ネットワーク/アプリケーションレベルセキュリ ティ DoS/DDoS ユーザー認証 ネットワーキング バーチャライゼーション LANルーティング WANプロトコル 配備モード SSG特定用途向けハードウェア・プラットフォーム 固定 GE I/O 管理/ モデム Copyright © 2007 Juniper Networks, Inc. モジュール型WAN およびLAN I/O • ディープインスペクション、NAT、DoS防止、 ユーザー認証 充実したネットワーキング、バーチャライゼー ション機能 • ネットワークをセキュアセグメントに分割する バーチャライゼーション • ScreenOSの配備モード、ダイナミック・ルーティ ング、高可用性を、厳選したJUNOS WANプロ トコルと統合 Proprietary and Confidential www.juniper.net 3 SSG5でできること ブロードバンド、ISDN対応 • 光回線(FTTH)やADSL、CATVなどのブロードバンドモデムに接続できます。また、ISDNダイヤルアップルー タにも対応しています。 ファイアウォール機能 • きめ細やかなファイアウォールポリシーによるステートフルパケットインスペクション(セッションの状態を監視し ながらパケットを調査)が可能。 • 業界最多の32種類のスクリーン機能で外部からの不正アクセスに対してセキュリティを強化できます。 • LAN側、WAN側に加え、DMZが使用できます。 UTM機能 • アンチウイルス、侵入防御、アンチスパム、ウェブフィルタリングを1台で対応でき、複雑なセキュリティシステム をシンプルにできます。 IPSecによるVPN • ブロードバンド回線を利用した仮想プライベート網を構築し、安全にデータ転送をすることが可能です。 • 外出先からIPSecでLANにリモートアクセスすることもできます。 NAT • 静的/動的アドレス変換機能により、インターネットからのプライベートアドレス割振り装置の参照が行えます。 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 4 SSG5でできること2 設定用ホームページ • パソコンをSSG5に接続するだけでWebブラウザを使った設定用画面によりすべての設定を行うことができま す。 セキュアVoIP • H.323、SIP、MGCPなどのVoIPセキュリティに対応しています。 ルーティング • 静的ルーティング、RIP、OSPF、BGPに対応し、広範囲のネットワークに対応します。 ユーザ認証 • 許可されたユーザのみ通信が可能なようにIDとパスワードによる認証を行うことが可能です。 • 802.1xにも対応し、よりセキュリティを強化したネットワークを構築することができます。 無線LAN • 802.11a/b/g全ての規格に対応し、柔軟なネットワークアクセスを可能にします。 これらのことが、これまでのNetScreenと同じGUIやCLIで設定が可能です Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 5 前面部各部の説明 “TX/RX” LED (ポートにデータが流れる と点滅します。) DMZポート※ (ethernet0/1、または e0/1というインタフェース 名です。DMZサブネット に接続します。) 0/0 0/1 0/2 0/3 0/4 0/5 0/6 Untrustポート※ AUXまたはISDNポート (購入時の型番で異なります) コンソールポート (ethernet0/0、または e0/0というインタフェース 名です。インターネット側 に接続されます。) (CLIによるコマンドライン で設定する場合に使います。) Copyright © 2007 Juniper Networks, Inc. Trustポート※ (ethernet0/2~ethernet0/6、 またはe0/2~e0/6です。 LAN側のポートとなり、ユーザ PCなどが接続されます。) “LINK” LED (ケーブルで接続された 対向装置と接続性が取れた 場合に点灯します。) ※ethernetX/YのXはスロット番号、Yはインタフェース 番号となります。SSG5の場合、スロットという概念が ありませんが、”0”という値で統一されます。 SSG5のイーサネットポートはすべて10/100BaseTX です。 Untrust, DMZ, Trustの各ポートは設定によりインタフェ ースの位置を変えることが可能です。 Proprietary and Confidential www.juniper.net 6 背面部各部の説明 ワイヤレスアンテナB ワイヤレスアンテナA ファン ワイヤレスタイプ ACアダプタ 電源接続口 アース端子 (アースに接続 する場合) セキュリティスロット (市販のセキュリティロック を使い、盗難防止に使用) リセットボタン (工場出荷時の設定に 戻す場合に使います。) USBポート (デバイスとUSB1.1接続を行います。 OSやコンフィグの保存、取得が可能です。 コンパクトフラッシュと同時に使う場合、 セカンダリストレージとして動作します。) ワイヤレス無しのタイプ Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 7 パソコンにLANポートを用意する パソコンをSSG5にLAN接続するには、パソコンにLANポート(10BASETまたは100BASE-TXポート)が必要です。 SSG5には5つまで(DMZを使わない場合は6つまで)のポートをLAN側 ポートとして使うことができます。それ以上の数のパソコンをSSG5に接 続するには、市販のハブまたはスイッチが必要になります。 パソコンにLANポートが無い場合 • デスクトップ型パソコンの場合 • 拡張スロットにLANボードを取り付けます。最近のパソコンはLANボード(RJ45インタフェース)が購入時から付いているものがほとんどです。 • ノート型パソコンの場合 • PCカードスロットにLANカードを取り付けます。最近のパソコンはLANポートが 付いている場合がほとんどです。 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 8 インターネットへの接続方法を選ぶ ブロードバンド回線: インターネットへ常時接続する • Bフレッツ • フレッツ・ADSL ISDN回線: 必要なときだけインターネットへ接続する フレッツ・ISDN: ネットワーク型接続 • PPPoE 注意) プロバイダを変更した場合はSSG5を再設定してください。もとの設定を使い続けると、回 線業者やプロバイダから意図しない料金を請求される場合があります。 契約プロバイダが複数パソコンの同時接続を禁止していないかご注意ください。 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 9 アースコードの接続 アース端子に アースコードを 接続する アース端子のネジをプラスドライバで少し緩めてから、アース コードをアース端子に接続して固定します。 注意) アースコードは必ず接続してください。感電防止やノイズ防止の効果があります。 アースコードは必ずコンセントのアース端子に接続してください。ガス管などには絶対に接続し ないでください。 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 10 初期設定の前に WebUIで設定する場合、イーサネットケーブル (LANケーブル)でパソコンをethernet0/2から ethernet0/6のいずれかのTrustポートに接 続します。ストレートケーブルでもクロスケーブ ルでも構いません。 パソコンの台数や距離に合わせてLANケーブ ルを用意してください。 CLIで設定する場合、ストレートのイーサネット ケーブルをコンソールポートに接続し、もう一 方のコネクタに付属のDB-9アダプタを付け、 パソコンのシリアルポートに接続します。 パソコンにシリアルポートが無く、USBポートが ある場合はUSBシリアル変換ケーブルなどを ご用意ください。 USB to シリアル変換 ケーブル Internet 0/2から0/6のいずれか 最大5台まで 接続可能 ストレート ケーブル イーサネット ケーブル DB-9 アダプタ 回線終端装置 (ブロードバンド モデム) Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential パソコンのシリア ルポートへ www.juniper.net 11 電源の接続 SSG5にACアダプタを接続します。 SSG5には電源のON/OFFボタンはありません。コンセントに電源プラグを差込み、ACアダプ タをSSG5に接続することで電源ONとなります。 電源が入ると、 “POWER” LEDと “STATUS” LEDが緑色に光ります。 “POWER” LEDが緑色で点灯していることを確認します。 2分ほど経過すると起動(立ち上げ)が完了し、 “STATUS” LEDが緑色に点滅し始めます。こ れで正常に動作していることが確認できます。 パソコンにつないだTrustポートの“LINK” LEDが緑色に点灯していることを確認します。点灯 していれば、パソコンと接続性が保てています。 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 12 設定するパソコンのネットワーク設定 パソコンがTrustポートまたはコンソールポートに接続されていることを確認しま す。 TCP/IP設定でIPアドレスをDHCPから取得するようにします。 • Trustポートに接続した場合、SSG5から自動的にIPアドレスが割り当てられます。 MS-DOSプロンプトで “ipconfig” と打つと、192.168.1.33 (複数のパソコンをTrust ポートに接続した場合は33以上の値) が割り当てられているはずです。 • SSG5とパソコンがネットワークレベルで正しく接続されているかを確認するには、 “ping 192.168.1.1” とDOSプロンプトで入力し、応答が返ってくるのをチェックします。 Webブラウザを立ち上げます。 URLアドレスとして、 “http://192.168.1.1” を入力します。 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 13 WebUIのスタート画面 工場出荷時は Admin Name=>netscreen Password=>netscreen Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 14 SSG5ユーザインタフェース SSG5ではユーザインタフェースとして以下のような複数の操作手段を提供して います。 • • • • シリアルコンソール接続による、コマンドラインインタフェース(CLI) Telnet/SSH接続による、CLI http/httpsによるウェブインタフェース(WebUI) NetScreen Network Management System(NSM – オプション販売製品)による集 中管理インタフェース 一部詳細な設定を除き、SSG5の設定は基本的に全てWebUIから可能です。 今回は、WebUI、とりわけ初期設定ウィザードを利用した設定作業をご説明し ています。 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 15 初期設定ウィザード - SSG5初回利用時 SSG初回利用時にウェブブラウザからアクセスを行うと、迅速 導入ウィザード(Rapid Deployment Wizard)メニューが表 示されます。構成方法を次の三つから選択して利用が可能で す。 • 初期設定ウィザード(Initial Configuration Wizard) • 迅速導入(Rapid Deployment: NSMも利用した大量導入機能) • 通常のWebUIインタフェース 次から、初期設定ウィザードの使用方法を順を追って説明し ます。 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 16 初期設定ウィザード (1) – 初期アクセス時メニュー 【共通設定】 SSG5にウェブインタフェース経由で初めてアクセス時に以下のような「ラピッドディプロイメント ウィザード」メニューが表示されます。今回は、「初期設定ウィザード(Initial Configuration Wizard)」を利用します。 初期設定ウィザード利用 (今回はこれを使用) NSMを利用した導入時 (大量導入時に利用) ウィザードを利用せずに通常の ウェブインタフェーストップ画面 へ移動 上記選択後、”Next >>” ボ タンをクリック Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 17 初期設定ウィザード (2) – 初期アクセス時メニュー SSG5は初期設定ウィザードにより、典型的なインターネット利用環境 を容易に設定することが可能です。 次からの例では、二つの主要なISP接続タイプによる設定について順 に説明しています。 1. CATVインターネット,YahooBB ⇒ DHCPタイプ 2. NTT Flets ADSL, B-Flets ⇒ PPPoEタイプ 説明例では、「【共通項目】」に加え、利用するサービス、機能に応じて 必要項目をそれぞれ設定する必要があります。 無線LANの利用、DMZネットワークについては、よりシンプルな手順を 示す為、省略した設定となっています。詳細パラメータについて別途説 明を参考にしてください。 * DMZ (De-Militarized Zone):インターネットに公開するサーバ等を設置する目的で用い られるネットワーク Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 18 初期設定ウィザード (3) – 【共通設定】 ”Next >>” ボタンをクリック Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 19 初期設定ウィザード (4) – 管理者ID/PW設定 【共通設定】 SSG5の管理者IDとパスワードを設定します。また、WebUIへのアクセス方法の指定も行い ます。 管理者IDを設定します (デフォルト’netscreen’) パスワードを設定します (デフォルト’netscreen’) 同じパスワードを再度入力 選択すると、以後、HTTPSでのみ WebUIへアクセス可とさせます。 (HTTPでのアクセス試行をHTTPS へ転送) 上記入力後「Next」をクリック Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 20 初期設定ウィザード (5) – 無線LAN利用要否 【共通設定】 ユーザ側LANのネットワークとして無線LANも利用可能です。無線LANを利用要否、及び利 用時のモードを指定します。 2.4GHzの無線LANを利用する場合、モー ドを指定します 802.11b: 802.11b単独モード 802.11b/g: 802.11b/g 混在モード 802.11g: 802.11g単独モード Turbo: 802.11gターボモード 5GHzの無線LANを利用する場合、モード を指定します - 802.11a: 802.11aモード - Turbo: 802.11aターボモード 無線LANを利用する場合チェックボック スを選択します 上記入力後「Next」をクリック Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 21 初期設定ウィザード (6) – 有線インタフェース設定 【共通設定】 インターネット接続側、DMZの有線イーサネットインタフェースの設定を行います。DMZを利用 しない場合は、’DMZ Zone’に対して’null’を選択します。 インターネット接続側(ISP側)の有線インタ フェースの選択をします。 eth0/0: イーサネットインタフェース bri0/built-in: ISDNインタフェース DMZを利用する場合、DMZネットワーク用 のインタフェースを選択します。 Null: DMZ使用せず eth0/1: DMZネットワークをeth0/1へ設定 ユーザ側LANはデフォルトで bgroup0(有線LANポート0/2 ~ 0/6)に割り当てられています。 上記入力後「Next」をクリック Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 22 初期設定ウィザード (7) – インタフェース詳細設定 【共通設定】 IPアドレス等、各有線(及び利用時無線LAN)インタフェースの詳細設定を行い ます。次から各インタフェースの設定方法を説明しています。 構成するインタフェースを順次クリック し設定していきます Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 23 初期設定ウィザード (8) – ユーザLANインタフェース詳細設定 【共通設定】 ユーザLANネットワークに接続されるインタフェースである ‘bgroup0 (trust zone)’のIPアドレス/マスクを設定します。 Static IP をクリックし、利 用するインタフェースIPとマ スクを設定します。特に利 用したいIPアドレスがなけ ればディフォルト変更なしで 問題ありません Bgroup0(trust zone) をクリック デフォルトアドレス(プライベー トIP)設定 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 24 初期設定ウィザード (9-1) – eth0/0(Untrust) インタフェース設定 【フレッツADSL,BフレッツなどPPPoE方式の場合】 Eth0/0(Untrust Zone) をクリック ISPより提供されたIDを入 力します Dynamic IP via PPPoEを 選択します ISPより提供、もしくは設定 したパスワードを入力しま す 確認のため、パスワードを 再度入力します Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 25 初期設定ウィザード (9-2) – eth0/0(Untrust) インタフェース設定 【CATV、YahooBBなどのDHCP方式の場合】 CATV、YahooBBなど、DHCPを用いているサービスに接続する場合、eth0/0(Untrust Zone)インタフェースに対して’Dynamic IP via DHCP’を選択します。 Eth0/0(Untrust Zone) をクリック Dynamic IP via DHCPを 選択します Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 26 初期設定ウィザード (10) – 無線LAN詳細設定 【無線LAN利用時のみ】 無線LANとそのインタフェースの設定を行います。詳細な設定については、ここ では割愛します。 Wireless0/0(trust zone) をクリック 無線LAN構成に必要な各種パ ラメータを入力します(本説明で は省略) Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 27 初期設定ウィザード (11) – DMZインタフェース詳細設定 【DMZネットワーク利用時のみ】 DMZ Zone のインタフェース設定を行います。 Eth0/1(DMZ Zone)をクリ ック 構成するDMZ環境にあわ せ、DHCPもしくはスタティッ クにインタフェースIPアドレ ス/マスクを設定します Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 28 初期設定ウィザード (12) – インタフェース詳細設定 【共通設定】 利用する全ての利用インタフェース構成完了後、次のメニューへ移動します。 全てのインタフェース設定完了後 に’Next’をクリックします Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 29 初期設定ウィザード (13) – インタフェース設定確認 【共通設定】 構成したインタフェースの内容が表示されます。内容を確認し次に進みます。 設定したインタフェース内容を確 認します。 内容確認後、’Next’をクリック します Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 30 初期設定ウィザード (14) – ユーザLANネットワークDHCP設定 【共通設定】 有線ユーザLANネットワーク向けに、SSGをDHCPサーバとして動作させるかど うか設定します。通常は、DHCPを利用する設定にします。 DHCP利用時に選択し、割り当て るIPアドレスの範囲と、DNS サーバのIPアドレスを入力しま す。通常はデフォルトのままで問 題ありません。 DHCPを利用しない場合、Noを 選択します。 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential 設定完了後に’Next’をクリック します www.juniper.net 31 初期設定ウィザード (15) – 無線LANネットワークDHCP利用設定 【無線LAN利用時のみ】 有線ユーザLANネットワーク同様に、無線LANネットワークについてもDHCP利 用の可否及び設定を行います。 DHCP利用時に選択し、割り当て るIPアドレスの範囲と、DNS サーバのIPアドレスを入力しま す。通常はデフォルトのままで問 題ありません。 DHCPを利用しない場合、Noを 選択します。 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential 設定完了後に’Next’をクリック します www.juniper.net 32 初期設定ウィザード (16) – インタフェース設定確認 【共通設定】 構成したインタフェースの内容が表示されます。内容を確認し次に進みます。 設定したインタフェース内容を確 認します。 内容確認後、’Next’をクリック します Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 33 初期設定ウィザード (17) – 設定確認 【共通設定】 全ての構成が完了し、構成された設定が表示されます。Finishをクリックすると SSG5が再起動し、利用可能となります。 Finishをクリックします Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 34 初期出荷状態にリセットするには? 背面のリセットボタンをシャープペンシルの先などで8秒ほど(10数えるくらいの時間)押し続ける。 • • “POWER” LEDがオレンジ色に点灯。 “STATUS” LEDがオレンジ色に点滅。 “ssg5-isdn-wlan-> Configuration Erasure Process has been initiated.” というメッセージがCLIプロンプトに現れる。 リセットボタンを押してから8秒経つと、 • • “Waiting for 2nd confirmation.” というメッセージがCLIプロンプトに現れる。 “STATUS” LEDが緑色の点滅に変わる。 リセットボタンを押すのを止める。 • “POWER” LEDが緑色の点灯に変わる、 “STATUS” LEDは引き続き緑色の点滅となる。 2~3秒待ち、再度リセットボタンを8秒ほど押し続ける。(あまり早く2回目を押すと認識されない。) • • “2nd push has been confirmed.” というメッセージがCLIプロンプトに現れる。 “POWER” LEDはオレンジ色に点灯。 “STATUS” LEDが赤色で点滅。 “Configuration Erase sequence accepted, unit reset.” というメッセージがCLIプロンプトに現れる。 “POWER” LEDが緑色の点灯、 “STATUS” LEDが緑色の点灯に変わる。このとき、デバイスのリロード(再起動)が始まる。 “POWER LED”が緑色に点灯し、”STATUS LED”が緑色の点滅に変化すると、初期状態へのリセットが完了します。 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 35 第2部:ファイアーウォール機能を利用する Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 36 バーチャルルータ,ゾーン,インタフェースの考え方 SSGを利用するにあたり、バーチャルルータ,ゾーン,インタフェース の関係性を理解する必要があります。 e0/0 e0/1 bgroup0 Untrust zone DMZ zone Trust zone Untrust-VR Trust-VR SSG5 Copyright © 2007 Juniper Networks, Inc. e0/2 e0/5 e0/3 e0/6 e0/4 • IPを持つのは物理I/Fもしくは仮想インタフェース • ファイアウォールポリシーはゾーン間で設定 • ルーティングテーブルはバーチャルルータ内で独立 物理インタフェース 仮想インタフェース セキュリティゾーン バーチャルルータ(VR) 機器本体 Proprietary and Confidential www.juniper.net 37 バーチャルルータとは 従来のルーティングテーブルは、機器内に単一であり内部ネットワークと 外部ネットワークを一つで管理している為、複雑な設定、管理となります。 バーチャルルータを使用すると、ルーティングテーブルを効率よく管理で き、セキュアな設定も簡単におこなう事が可能になります。 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 38 バーチャルルータの初期設定 SSG5では予め二つのバーチャルルータが設定されています。 • Untrust-VR • Null インタフェースのデフォルト・ルータ • Trust-VR • • • • Trust, Untrust, DMZ ゾーンのデフォルト・ルータ Trust, Untrust, DMZ ゾーンのインタフェース V1-Trust, V1-Untrust, V1-DMZ ゾーンのインタフェース ユーザ定義ゾーン 初期設定ではTrust-VRだけを使います。 • Untrust-VR も利用可能ですが、Trust側とUntrust側のバーチャルルータ にTrust/ Untrust ゾーンを定義する必要があります。 Trust, Untrust, および DMZゾーンは、Trust-VRに定義されていま す。 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 39 セキュリティゾーンとは? セキュリティゾーンとは、インタフェースに割り当てる仮想的なグループで す。 SSGではセキュリティゾーンを使ってトラフィックを制御します。トラフィック 制御に用いるポリシー(後述)でチェックするのは異なるゾーン間のトラ フィックです。 通常、物理的には別インタフェースの場合でも、同一ゾーン内のトラフィッ クはチェックされません。但し、設定により、同一ゾーンに属するトラフィッ クを制御する事も可能です。 Access Policy (オプション設定可能) Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 40 セキュリティゾーンの初期設定 SSG5にて予め設定されているゾーンは3種類です。 • • • セキュリティ・ゾーン(security zone) • • • • • • • Untrust Trust DMZ Global V1-Untrust V1-Trust V1-DMZ :インターネット(外部)との接続用 :内部接続用 :公開サーバ等用 :仮想IPの定義ゾーン :トランスペアレントモード使用時に外部との接続用 :トランスペアレントモード使用時に内部との接続用 :トランスペアレントモード使用時のDMZとの接続用 • • Null Self :セキュリティゾーンにアサインする前に定義される :リモート管理用に使用します • Untrust-Tun:VPNのトンネリング用途に利用 ファンクション・ゾーン(function zone) トンネル・ゾーン(tunnel zone) Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 41 インターフェイスの動作モードについて SSG5のインタフェースには2つの動作モードがあります。 • NATモード • 内部のプライベートアドレスは、予め決められた外部インタフェースのア ドレスに変換されて外部へ転送されます。 – この動作はNAPT(Network Address Port Translation)と呼ば れます。 • Routeモード • 基本設定の場合、内部のプライベートアドレスを変換せずに外部へ転 送されます。 – アドレス/ポート変換をおこなうと動作しないアプリケーションがある 場合は、こちらを選択する必要があります。 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 42 ブリッジグループ ポート・モードの変更により、インターフェースをフレキシブルに利用可能 複数のEthernetポートとWirelessポートをL2スイッチとして動作させ、システムをL3ス イッチのように動作させることが可能 ブリッジグループに所属するインターフェースはL2スイッチとして動作 Src1 bgroup eth eth eth eth eth Dst1 bgroup wireless SSG 5 or SSG 20 Traffic eth eth wireless Server Farm Security Zone eth Bridge Groups as a virtual L2 Switch Copyright © 2007 Juniper Networks, Inc. SSG 5 or SSG 20 Proprietary and Confidential Bridge Groups as a L3 interface assigned to a Server Farm Security Zone www.juniper.net 43 ファイアウォール機能 (1) – 初期設定 SSG5での初期インタフェース設定は以下の通りです。 • bgroup • 予めbgroup0~3まで設定されています。通常はbgroup0のみを使用します。 • bgroup0にはethernet0/2~0/6までバインドされており、最大5台までの端末を直接接 続する事が可能です。 • ブリッジグループとは? – 同一ブリッジグループに所属する物理インタフェース間はブリッジ転送されます。つ まりスイッチによるフレーム転送が行われるイメージです。 – ブリッジグループに所属させる物理インタフェースは設定により変更が可能です。 • ethernet0/0 • 初期設定では”Untrust”ゾーンに設定されています。通常はこの状態のまま使用します が、必要に応じて設定変更をしてください。 • ehternet0/1 • 初期設定では”DMZ”ゾーンに設定されています。 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 44 ファイアウォール機能 (2) – ブリッジグループの設定 Editをクリック Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 45 ファイアウォール機能 (3) – ブリッジグループの設定 Bind Portをクリック Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 46 ファイアウォール機能 (4) – ブリッジグループの設定 ブリッジグループに参加/除外 させたい物理ポートを選択する。 既にZoneがアサインされてい るポートは表示されない。 同一のbgroup内ではスイッチ ング動作を行う。 設定したらApplyをクリックする Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 47 ファイアウォール機能 (5) – IPアドレスを振る zoneの設定 IPアドレスを設定 通常はManage IPには同一 アドレスを設定 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 48 ファイアウォール機能 (6) – アドレスの確認 設定したアドレスである事を 確認 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 49 ファイアウォール機能 (7) – セキュリティポリシー SSG5ではzoneをまたぐトラフィックを制御します。 • 必要に応じて同一zone内のトラフィックも制御可能です。 初期設定ではTrustからUntrustへの方向の全ての通信を許可する設定と なっています。 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 50 ファイアウォール機能 (8) – セキュリティポリシーの考え方 Src IP 10.1.10.5 Dest IP 1.1.70.250 Protocol 06 Src Port 36033 Dst Port 80 Data #$%& ポリシーのルールに従ってトラフィックを許可します • Source - Address Book または Address Group • Destination - Address Book または Address Group • Service - Pre-defined Service, Custom Service もしくはCustom Service Group Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 51 ファイアウォール機能 (9) – ポリシー設定 送信元zoneを指定 送信先zoneを指定 Newを押す Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 52 ファイアウォール機能 (9-2) – ポリシー設定 必要に応じて作成するポリシーの名前を入力します (但し、2バイト文字は未サポートです) 送受信アドレス、サービス(ポート番号)を指定します 上記で指定した通信を許可(permit)、不許可(deny)の 指定をします Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 53 ファイアウォール機能 (10) – オブジェクトとは オブジェクト(アドレスグループ、サービスグループ)を作成する と、グループ内の各アドレス、サービスに対して個々に内部ポ リシーを作成します。 オブジェクトを使用する事で作成するポリシーを少なくする事 が可能です。 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 54 ファイアウォール機能 (11) – アドレスブックの作成 objects→Addresses→Listからアドレスブックを作成します。 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 55 ファイアウォール機能 (12) – アドレスグループの作成 必要に応じてgroup名、コメント を入力します。 アドレスグループに参加させ たいオブジェクトを左のBOX に移動します。 objects→Addresses→groupから、作成したアドレスブックを 基にアドレスグループを作成します。 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 56 ファイアウォール機能 (13) – カスタムサービス SSG5では定義済みサービス以外で新規にサービスを作成することが可能です。 定義済みサービスは、Objects→Services→Predefinedにて確認が可能です。 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 57 ファイアウォール機能 (14) – サービスグループの作成 Objects→Services→Groupから、作成したカスタムサービ スを基にサービスグループを作成します。 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 58 ファイアウォール機能 (15) – オブジェクトをポリシーに適用する アドレス、サービスグループを使用する事により、個々にポリ シーを作成する必要がなくなります。 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 59 セキュリティルータとして使う Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 60 SSGのルーター機能 SSGは中小規模のオフィスや自宅などではファイアウォール機能とルー タ機能を合わせ持つ、セキュリティルーターとして使用することができます ファイアウォール機能に加えて以下のL2/L3機能も使いたい、というよう なとき、SSGの機能が役立ちます • LANにあるL3SWとWANのルータを分けて管理したいが、OSPFなどのプロ トコルは使用したくない =>「Static Routeを設定する」を参照 • LANに接続されたPCに自動的にIPアドレスを割り振りたい =>「DHCPサーバーの設定」を参照 • ワイヤレスのアクセスポイントとして使用したい =>「ワイヤレスの設定」を参照 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 61 スタティックルートの設定 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 62 ネットワークの設定 インターネットやWANの先にあるネットワークをSSGに学習させたい場合 WAN ルーターまたはL3SW Internet ネットワークアドレス 172.16.1.0 サブネットマスク 255.255.255.0 自宅またはオフィス 上図のようにルーターやL3SWを介して、別のIPネットワークがある場合、こ れをSSGに学習させる方法は以下の2通りがあります 1. スタティックルートを設定する 2. ダイナミックルーティングを設定する(本書では触れません) Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 63 スタティックルートを設定する 172.16.1.0/24をSSGに手動で学習させる方法です WAN ルーターまたはL3SW Internet 自宅またはオフィス インタフェースアドレス 例:192.168.1.254 必要な情報 • SSGに学習させたい全てのネットワークアドレスとそのサブネットマスク • • 例:172.16.1.0/24 LAN側にあるルーター(L3SW)のSSG側のインタフェースアドレス • ネットワークアドレス 172.16.1.0 サブネットマスク 255.255.255.0 例:192.168.1.254 注:このとき、SSGのLAN側のインタフェースアドレスはルーター(L3SW)のSSG側のインタフェー スアドレスと同じサブネットに設定されている必要があります。SSGのインタフェースアドレスの設 定は第XX章の「インタフェースアドレスの設定」を参照 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 64 ルーティングを設定する (1) - スタティックルートの設定 メインメニューから”Network”を選択し、表 示されたサブメニューから”Routing”>”Destination”を選択してください。 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 65 ルーティングを設定する (2) - スタティックルートの設定 右上の選択BOXが“trust-vr”になってい ることを確認して”New”ボタンをクリックし てください 注: SSGでは、セキュリティを高めるためルーティン グテーブルを複数持つことができます(仮想ルータ)。 ディフォルトでは、trust-vrとuntrust-vrの二つが 利用可能となっています。 Copyright © 2007 Juniper Networks, Inc. 注:trust-vrとはSSGから見てローカル側のことです もし、デフォルトルートを使用せず、Internet側にある ネットワークをスタティックに登録したい場合は 上記選択BOXを“untrust-vr”に変更します Proprietary and Confidential www.juniper.net 66 ルーティングを設定する (3) - スタティックルートの設定 登録したいネットワーク この例では172.16.1.0/24 を“IP Address/Netmask”フィールドに入力 します “Gateway”のチェックボック スにチェックをします LAN側のルーターまたはL3SWのSSG側イン タフェースアドレス この例では192.168.1.254 を“Gateway IP Address”フィールドに入力し ます “OK”をクリックし、次のス テップへ進みます Copyright © 2007 Juniper Networks, Inc. 注:もし誤ったネットワークを入力してしまうと、ネットワーク全体の 通信が不安定になったり、通信そのものができなくなったりします。 正確なネットワークおよびゲートウェイアドレスを入力してください。 Proprietary and Confidential www.juniper.net 67 ルーティングを設定する (4) - スタティックルート設定確認 表示されたネットワークおよびゲートウェイが正しいこと を確認してください 間違っていた場合は“Remove”で消すことができます 以上で スタティックルートの設定はおわりです Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 68 第3部:NAT機能を利用する Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 69 NAT(Network Address Translation)とは? インターネットに接続された企業などで、一つのグローバルな IPアドレスを複数のコンピュータで共有する技術。組織内での み通用するIPアドレス(ローカルアドレス)と、インターネット上 のアドレス(グローバルアドレス)を透過的に相互変換すること により実現される。最近不足がちなグローバルIPアドレスを節 約できるが、一部のアプリケーションソフトが正常に動作しなく なるなどの制約がある。NATは、大きく分類すると下記の二 つの変換方式がある。 • ソースネットワークアドレス変換 • 宛先ネットワークアドレス変換 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 70 NATの動作モードについて SSGのNATには2つの動作モードがあります。 • インターフェイスベース • 内部のプライベートアドレスは、予め決められた外部インタフェースのア ドレスに変換されて外部へ転送されます。 – この動作はNAPT(Network Address Port Translation)と呼ば れます。 • ポリシーベース • ポリシーを作成することによって、より柔軟に送信アドレスや宛先アドレ スを変換することが可能です。 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 71 ソースネットワークアドレス変換とは? ソースネットワークアドレス変換では、あるソース IP アドレスを別のアドレスに 変換する、という処理を行います。(下記の図を参照)変換後のアドレスは、動 的 IP (DIP、Dynamic IP) プール、または NetScreen デバイスの 出力 イン タフェースから取得します。DIP プールから取得する場合、その具体的なアド レスは不定である場合と、予測がつく場合があります。 すなわち、DIP プール に確保されている中からランダムに選ぶか、あるいは元のソース IP アドレス から所定の計算により求めることになります。出力 インタフェースから変換後 のアドレスを取得した場合は、すべてのパケットについて、ソース IP アドレスを 当該インタフェースの IP アドレスに変換します。 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 72 ソースネットワークアドレス変換適用例 この例では、Untrust ゾーンに向かうインタフェースである ethernet3に、DIP プール 5 を定義し ています。この DIP プールには IP アドレスが 1.1.1.30 だけしかないため、自動的に PAT が 有効になっています。ここで、NetScreen デバイスが次のような処理をするよう、ポリシーを設定し ます。 • Trust ゾーンのすべてのアドレスから、Untrust ゾーンのすべてのアドレスへの HTTP トラフィックを許可。 • IP パケット中のソース IP アドレスは、DIP プール 5 に唯一存在する 1.1.1.30 に変換。 • ソース IP アドレスおよびポート番号を変換した HTTP トラフィックを、ethernet3 経由で Untrust ゾーンに 転送。 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 73 NATを利用する (1) -ソースネットワークアドレス変換設定 Untrustゾーンを選択 IPアドレス及びサブ ネットを設定 NATを選択 network ->interfaceをクリック 設定が終わったら Applyボタンを押す Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 74 NATを利用する (2) -ソースネットワークアドレス変換設定 DIPをクリック IDを5として設定 アドレス変換するア ドレスを入力 (1.1.1.30) IP address range を選択 自動的にチェックが 入る 設定が終わったら OKボタンを押す Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 75 NATを利用する (3) -ソースネットワークアドレス変換設定 Trustを選択 Untrustを選択 Policiesをクリック Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 76 NATを利用する (4) -ソースネットワークアドレス変換設定 Newをクリック Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 77 NATを利用する (5) -ソースネットワークアドレス変換設定 anyを選択 anyを選択 HTTPを選択 permitを選択 設定が終わったら OKボタンを押す Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 78 NATを利用する (6) -ソースネットワークアドレス変換設定 Advancedボタンを押す Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 79 NATを利用する (7) -ソースネットワークアドレス変換設定 Source Translationを選択 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential DIPで設定した内容を選択 www.juniper.net 80 NATを利用する (8) -ソースネットワークアドレス変換設定 設定が終わったら OKボタンを押す Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 81 宛先ネットワークアドレス変換とは? 宛先アドレスについても、ある IP アドレスから別の IP アドレスに変換する、という ポリシーを定義することができます。通常必要になるのは、公開 IP アドレスからプ ライベート IP アドレスへの変換になります。変換前アドレスと変換後アドレスとの 対応には、1 対 1、多対 1、多対多の関係がありえます。 いずれの場合も、宛先ポートマッピングが可能です。ポートマッピングとは、ある宛 先ポート番号から別のポート番号への変換で、その対応関係は予測可能 (決定 性) です。この関係は、ポートアドレス変換 (PAT) の対応とは異なります。ポート マッピングの場合、変換前と変換後のポート番号の対応関係はあらかじめ決まっ ています。一方 PAT では、ランダムに割り当てられたソースポート番号を、別のラ ンダムに決まるポート番号に変換します。 *注) • NAT-Dst に使うアドレスを設定する際は、NetScreen デバイスのルーティングテーブ ルに、パケットヘッダーに現れる変換前の宛先アドレスと、変換後のアドレス (すなわち 当該パケットのリダイレクト先) の、両方のルートが設定されている必要があります。 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 82 NAT-DST: 1 対 1 のマッピング IP パケットヘッダー中の宛先 IP アドレスを 1.2.1.8 から 10.2.1.8 に変換するような、1対1のマッピング(アドレス変換)を行う事が可能です。 このマッピングは、すべてのサービスに対して同様にマッピングすること も可能ですし、下記の例のように特定のサービスの場合のみマッピング することも可能です。 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 83 単一のアドレスから複数のアドレスへ変換 HTTP トラフィックについては、IP パケットヘッダー中の宛先 IP アドレ スを 1.2.1.8 から 10.2.1.8 に変換し、FTP トラフィックについては、 IP パケットヘッダー中の宛先 IP アドレスを 1.2.1.8 から 10.2.1.9 に変換するというように単一のアドレスから複数のアドレスへ変換する事 が可能です。 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 84 NAT-DST: 多対 1 のマッピング IP パケットヘッダー中の宛先 IP アドレスを、1.2.1.10 ま たは 1.2.1.20 から 10.2.1.15 に変換というように宛先ア ドレスが異なる トラフィックを、同じ宛先アドレスに変換する、 多対1のマッピングを行う事が可能です。 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 85 NAT-DST: 多対多のマッピング 変換前の宛先アドレスがサブネット 1.2.1.0/24 に属するな らば、サブネット 10.2.1.0/24 の対応するアドレスに変換と いうように多対多のマッピングを行う事が可能です。 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 86 宛先ネットワークアドレス変換適用例 下記の例では、1 対 1の宛先ネットワークアドレス変換 (NAT-Dst) を施す、というポリ シーを設定します。 宛先ポートアドレスは変更しません。これは、条件に合致した場合に、 次のような処理を行うポリシーです。 • Untrust ゾーン内の任意のアドレスから、宛先アドレス1.2.1.8に向かう、FTP および HTTP のト ラフィック を許可。 • IP パケットヘッダー中の宛先 IP アドレスを 1.2.1.8 から 10.2.1.8 に変換。 • TCP セグメントヘッダー中の宛先ポート番号は元のまま (HTTP ならば 80、FTP ならば 21) Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 87 NATを利用する (9) - 宛先ネットワークアドレス変換設定 Untrustゾー ンを選択 IPアドレス及びサブ ネットを設定 network ->interfaceをクリック NATを選択 設定が終わったら Applyボタンを押す Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 88 NATを利用する (10) - 宛先ネットワークアドレス変換設定 1.2.1.8をoda2として 設定 1.2.1.8をoda2として 設定 Objects ->Listをクリック Copyright © 2007 Juniper Networks, Inc. 設定が終わったら OKボタンを押す Proprietary and Confidential ZoneをDMZとして 選択 www.juniper.net 89 NATを利用する (11) - 宛先ネットワークアドレス変換設定 サービスグループ名を HTTP-FTPとする FTP及びHTTPを選択して <<をクリック Services ->Groupsをクリック Copyright © 2007 Juniper Networks, Inc. 設定が終わったらOKボ タンを押す Proprietary and Confidential www.juniper.net 90 NATを利用する (12) - 宛先ネットワークアドレス変換設定 宛先を1.2.1.8として設定 Ethernet2を選択 routing ->Destinationをクリック Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential Gatewayを選択 設定が終わったらOKボ タンを押す www.juniper.net 91 NATを利用する (13) - 宛先ネットワークアドレス変換設定 Untrustを選択 DMZを選択 Policiesをクリック Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 92 NATを利用する (14) - 宛先ネットワークアドレス変換設定 Newをクリック Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 93 NATを利用する (15) - 宛先ネットワークアドレス変換設定 anyを選択 oda2を選択 policiesをクリック HTTP-FTPを選択 permitを選択 設定が終わったら OKボタンを押す Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 94 NATを利用する (16) - 宛先ネットワークアドレス変換設定 Advancedをクリック Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 95 NATを利用する (17) - 宛先ネットワークアドレス変換設定 変換後のアドレスを 10.2.1.8として 設定 Destination Translationをチェック 設定が終わったら OKボタンを押す Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 96 MIPとは? マップ IP (MIP) とは、ある IP アドレスから別の IP アドレスに、1 対 1 で直接対応づけるマッ ピングのことです。NetScreen デバイスは、宛先が MIP であるトラフィックを受け取ると、その MIP に対応するアドレスのホストに転送します。 MIP は実際には、静的な宛先アドレス変換、すなわち、IP パケットヘッダー中の宛先 IP アド レスを別の IP アドレスに、固定的に対応づける変換です。逆に MIP ホストがアウトバウンドト ラフィックを発信した場合、NetScreen デバイスはソース IP アドレスの方を MIP アドレスに 変換します。このように、対称性を持つ両方向の変換である点で、ソースアドレス変換 (NATSrc) や宛先アドレス変換 (NAT-Dst) とは動作が異なります Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 97 MIP適用例 ethernet1 を Trust ゾーンにバインドし、IP アドレスとして 10.1.1.1/24 を割り当てます。 ethernet2 を Untrust ゾーンにバインドし、1.1.1.1/24 という IP アドレスを割り当てます。 Untrust ゾーンに属する 1.1.1.5 向けの HTTP トラフィックを、Trust ゾーンの 10.1.1.5 が割り当てられた Web サーバーに向ける MIP を設定します。 Untrust ゾーンの任意のアドレスから、Trust ゾーンに属する MIP (したがって MIP が指すアドレスを持 つホスト) への HTTP トラフィックを許可するポリシーを定義します。セキュリティゾーンはすべて trust-vr ルーティングドメインにあります。 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 98 NATを利用する (18) - MIP設定 Untrustゾー ンを選択 IPアドレス及びサブ ネットを設定 NATを選択 network ->interfaceをクリック Copyright © 2007 Juniper Networks, Inc. 設定が終わったら Applyボタンを押す Proprietary and Confidential www.juniper.net 99 NATを利用する (19) - MIP設定 MIPをクリック Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 100 NATを利用する (20) - MIP設定 Trust-vrを選択 設定が終わったら Applyボタンを押す Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential Mapを行うアドレスと転送す るホストのアドレス及びサブ ネットを設定。 www.juniper.net 101 NATを利用する (21) - MIP設定 anyを選択 MIPを選択 HTTPを選択 policiesをクリック permitを選択 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 102 NATを利用する (22) - MIP設定 設定が終わったらApply ボタンを押す Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 103 VIPとは? バーチャルIP(VIP)とは、ある(公開用) IPアドレスと宛先サービスポート番号(TCPやUDP)の 組み合わせと(ローカル)IPアドレスと待ち受けサービスポート番号をマッピングするアドレス変 換機能です。 NetScreenデバイスがVIPサービス当ての通信を受信すると、登録されているポートに対応し たホストへトラフィックを転送します。 MIPと異なる点としては、1対Nのアドレス変換機能である点です。これは、同一のIPアドレス宛 の通信であっても、サービスポート番号が異なれば、別のホストへアドレス変換が可能です。 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 104 VIP適用例 ethernet1 を Trust ゾーンにバインドし、IP アドレスとして 10.1.1.1/24 を割り当てます。 ethernet2 を Untrust ゾーンにバインドし、1.1.1.1/24 という IP アドレスを割り当てます。 Untrust ゾーンに属する 1.1.1.3 向けの HTTP トラフィック(TCP:80)を、Trust ゾーンの 10.1.1.10:80 が割 り当てられた Web サーバーに向ける VIP を設定します。 Untrust ゾーンに属する 1.1.1.3 向けの FTP トラフィック(TCP:21)を、Trust ゾーンの 10.1.1.20:21 が割り 当てられた FTp サーバーに向ける VIP を設定します。 Untrust ゾーンの任意のアドレスから、Trust ゾーンに属する VIP (したがって VIP が指すアドレスを持つ ホスト) への HTTP およびFTPトラフィックを許可するポリシーを定義します。セキュリティゾーンはすべて trust-vr ルーティングドメインにあります。 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 105 NATを利用する (23) - VIP設定 設定したいインタフェース の”Edit”をクリック Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 106 NATを利用する (24) - VIP設定 Untrustゾーンを選択 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 107 NATを利用する (25) - VIP設定 IPとサブネットを指定する “VIP”をクリックする Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 108 NATを利用する (26) - VIP設定 VIP登録後、”New VIP Service”をクリックする VIPとして登録するIPを指 定する Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 109 NATを利用する (27) - VIP設定 登録したVIPを選択 VIPの待ち受けポート番号 を指定 マッピングするホストのIPを 指定 設定が完了したら”OK”をク リック Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential マッピングするポート番号を 指定 マッピングしたホストの自動 検出を有効にするには、選 択をする www.juniper.net 110 NATを利用する (28) - VIP設定 登録したVIPを選択 VIPの待ち受けポート番号 を指定 マッピングするホストのIPを 指定 設定が完了したら”OK”をク リック Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential マッピングするポート番号を 指定 マッピングしたホストの自動 検出を有効にするには、選 択をする www.juniper.net 111 NATを利用する (29) - VIP設定 ホストがPingに応答すれば Statusの項が”UP”に変化 する 設定内容を確認する Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 112 NATを利用する (30) - VIP設定 Anyを選択 VIPを選択 “Multiple”をクリック し、”FTP”と”HTTP”を選択 設定が完了したら”OK”をク リック Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 113 第4部:Screen機能を利用する Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 114 Screen機能とは? SCREEN 機能は IP アドレススキャンやポートスキャン、DoS (Denial of Service: サービス拒否) ア タック、および他の種類の悪意のある攻撃から保護します。 これらはゾーン毎に設定可能です。Screen機 能では、下記の防御機能を実装しています。 • 偵察防止: • IPアドレススイープ/ポートスキャン/オペレーションシステム探査/回避技法 • 不審なパケット属性: • ICMP フラグメント/ラージICMP パケット/不良IP オプション/不明のIPプロトコル/パケットフラグメント/SYN フラグメン ト • サービス拒否(Dos)攻撃の防御 • • • ファイヤーウォールDoS攻撃 – セッションテーブルフラッド/SYN-ACK-ACKプロキシフラッド) ネットワークDos攻撃 – SYNフラッド/ICMPフラッド/UDPフラッド/Land攻撃 OS指定Dos攻撃 – Ping of Death/Teardrop攻撃/WinNuke Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 115 Screen機能とは? 先に述べた防御機能により、ファイヤーウォールルールでは、 防御不可能な多くの攻撃からネットワークを防御することが可 能です。 現在では、あらゆる手法で保護されたネットワークに対して、 攻撃を行う事が一般的になっており、これらの攻撃からネット ワークを保護するために、このようなセキュリティ機能を実施 することが非常に重要になっております。 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 116 攻撃防御手法 ポートスキャン 偵察防止 <ポートスキャン> • ポートスキャンとは、1 つのソース IP アドレスが TCP SYN セグメントを含む IP パケットを同一の宛先 IP アド レスの 10 個の異なるポートに、定義された間隔 (デフォルトは 5000 マイクロ秒) 以内に送信した際に発生し ます。 • この企みの目的は、少なくとも 1 つのポートが応答すればターゲットとするサービスを特定できると期待して、 利用可能なサービスをスキャンすることです。 • NetScreen デバイスは、1 つのリモートソースからスキャンされる異なるポートの数を内部で記録します。デ フォルトの設定を使用すると、リモートホストが 10 個のポートを 0.005 秒間 (5000 マイクロ秒) にスキャンし た場合、NetScreen はこれがポートスキャン攻撃であるとして警告を出します。 • さらに、その残りの 1 秒間、そのリモートソース (宛先 IP アドレスにかかわらず) からそれ以降に送られるすべ てのパケットを拒否します。 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 117 Screen機能を利用する (1) - ポートスキャン設定 Screening ->screenをクリック ポートスキャンを適用したい ゾーンを選択 “Port Scan Protection”を選択 閾値を設定 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 118 Screen機能を利用する (2) - ポートスキャン設定 設定が終わったらApplyボ タンを押す Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 119 攻撃防御手法 ICMP フラグメント 不審なパケット属性 <ICMP フラグメント> • ICMP (インターネット制御メッセージプロトコル) では、エラーレポートおよびネットワーク探査機 能が利用できます。 ICMP パケットに含まれるメッセージはきわめて短いため、ICMP パケットを フラグメント化する合理的な理由はありません。 • ICMP パケットがフラグメント化を必要となるほど大きい場合は、何らかの間違いがあると考えら れます。 • ICMP Fragment Protection SCREEN オプションを使用可能にした場合、NetScreen デバイ スは、More Fragments フラグセットを設定された、またはオフセットフィールドに示されたオフ セット値をもつ ICMP パケットをブロックします。 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 120 Screen機能を利用する (3) - ICMP フラグメント設定 ICMPフラグメントを適用し たいゾーンを選択 閾値を設定 Screening ->screenをクリック ICMPフラグメントを選択 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 121 Screen機能を利用する (4) - ICMP フラグメント設定 設定が終わったらApply ボタンを押す Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 122 攻撃防御手法 UDPフラッド サービス拒否(Dos)攻撃の防御 <UDP フラッド> • ICMP フラッドと同じように、UDP フラッドは、有効な接続をこれ以上処理できなくなるまで被害側 のシステムを低下させる目的で、攻撃者が UDP データグラムを含む IP パケットを送信したとき に発生します。 • UDP フラッド保護機能を使用可能にすると、 UDP フラッド攻撃保護機能を呼び出すしきい値を 設定することができます。(デフォルトしきい値は、毎秒 1000 パケットです)。 • 1 つまたは複数のソースから 単一の宛先へ向かう UDP データグラム数がこのしきい値を超える と、NetScreen デバイスはそれ以降、その宛先への UDP データグラムをその秒の残りの間お よび次の 1 秒間無視します。 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 123 Screen機能を利用する (5) - UDPフラッド設定 UDPフラッドを適用した いゾーンを選択 閾値を設定 UDPフラッドを選択 Screening ->screenをクリック Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 124 Screen機能を利用する (6) - UDPフラッド設定 設定が終わったら Applyボタンを押す Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 125 課題 Screen機能 1. Trustゾーンに対して、3000マイクロ以内にIP パケットを同一の宛先 IP アドレスの 10個の異なるポートに送信した際にポートスキャンと判 断する設定をしてみましょう。 2. DMZゾーンに対して、1 つまたは複数のソースから 単一の宛先へ向 かう UDP データグラム数が1秒間に1000パケット送出された際に UDPフラッドと判断する設定をしてみましょう。 3. “More Fragments” フラグを設定された、またはオフセットフィールド にオフセット値をもつ ICMP パケットを受信した場合にドロップさせる設 定をしてみましょう。 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 126 第5部:VPN機能を利用する Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 127 VPN接続形態を決める VPN接続には大きく分けて下記の2通りになります。 LAN1 LAN1 Internet Internet LAN間接続 リモートユーザ接続 LAN2 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 128 •LAN間接続 LAN間接続にも対向のゲートウェイのIPアドレスタイプによって設定が一部異な ります。 • 対向のゲートウェイのグローバルIPが分かっている。 • 対向のゲートウェイのIPは動的であるため、特定できない。 どちらの場合おいてもウィザードで簡単に設定が可能です。(詳しくは次ページ以 降を参照ください) Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 129 •リモートユーザ接続 インターネットを介したリモートユーザ接続を受け付ける場合 の設定についてもウィザードを使用して設定が可能です。 ユーザ側には弊社NetScreen Remote ClientやMicrosoft のネイティブなIPsec Clientの設定が別途必要となります。 (クライアントの設定については割愛いたします) Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 130 ルートベースによるVPN構築例 172.1.230.0/24から192.168.100.0/24への通信をUntrust 間で確立したVPNトンネルを経由して流すようにします。 172.1.230.0/24 LAN1 Untrustインタフェースを VPNの出力インタフェース とします。 対向機器のUntrustイン タフェースアドレスは 10.1.1.1の固定IPアドレス とします。 Internet Untrustインタフェースにトン ネルインタフェースを割り当て ます。 Local (ローカルネットワーク) Remote (リモートネットワーク) LAN2 192.168.100.0/24 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 131 LAN to LAN VPN設定手順 1. ルートベースVPN構築ウィザードを実行します 2. ローカルネットワークとリモートネットワークに対応するインタ フェースを指定します 3. Untrust側にトンネルインタフェースを構築します 4. VPNのトポロジをLAN-to-LANで設定し、対向機器のIPア ドレスを指定します 5. セキュリティレベル、パスワード(事前共有キー)などを指定し ます 6. VPNを通過させるパケットの種類を指定します 7. 設定内容を確認します Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 132 VPN機能を設定する (1) - ルートベースVPN構築ウィザードを実行 メインメニューから”Wizards”を選択、 表示されたサブメニューから”Routebased VPN”を選択してください。 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 133 VPN機能を設定する (2) - ローカルネットワークとリモートネットワークに対応す るゾーンを指定 Localは”Trust”、リモートサイト は”Untrust”のままNextボタン をクリックします。 設定が終わったらNextボタ ンを押します Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 134 VPN機能を設定する (3) - Untrust側にトンネルインタフェースを構築 上段のボタンをクリックし、 プルダウンメニューか ら”untrust (trust-vr)” を選択してください。 設定が終わったらNextボタ ンを押します Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 135 VPN機能を設定する (4-1) - VPNのトポロジをLAN-to-LANで設定 LAN間接続の場合はこち らを選択し、Nextをクリッ ク。 設定が終わったらNext ボタンを押します Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 136 VPN機能を設定する (4-2) - Dial-Up-to-LAN指定時のリモートユーザID設 定 リモートユーザのIDを指定してくだ さい。 こちらはこのままで結構です。 設定が終わったらNext ボタンを押します Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 137 VPN機能を設定する (5) - ゲートウェイのIPアドレス種別指定 自身と対向機器がいずれも固定IPア ドレス(プロバイダによって変化しな い)場合、こちらを選択 対向の機器のみIPが動的である場合 はこちらを選択し、適切なリモートユー ザIDを指定してください。 こちらの機器のみIPが動的である場 合はこちらを選択し、適切なローカル ユーザIDを指定してください。 出力インタフェースは Untrust 設定が終わったらNextボタ ンを押します Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 138 VPN機能を設定する (6) - 対向装置のIPアドレス指定 対向機器のInternet側IPアド レスを指定します。 設定が終わったらNextボタ ンを押します Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 139 VPN機能を設定する (7) - セキュリティレベルの指定 セキュリティレベルの選択になります。親和 性が高いのは”Compatible”になります が、”Standard”がより強度なセキュリティ レベルを保つことができます。接続に問題 がある場合はCompatibleで試してみてくだ さい。 事前共有鍵の設定になります。こちらは対 向の機器と同じ文字列を入力ください。 設定が終わったらNext ボタンを押します Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 140 VPN機能を設定する (8) - ローカルネットワーク、リモートネットワークの範囲指 定 VPN接続を行うアドレス範囲を設定します。 こちら側のローカルネットワークないしVPN 接続を許可するホストの指定をしてください。 アクセスを許容されている対向のネットワー ク、ないしホストのアドレスを指定してくださ い。 設定が終わったらNextボタ ンを押します Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 141 VPN機能を設定する (9) - VPN内を流すトラフィック種別選択 許可するサービスの指定になります。すべ て許可したい場合は”ANY”を選択すれば OKです。 トンネル内のトラッフィクをどう制御するか選 択してください。双方向通信を許可するので あれば”Both direction”のままで構いませ ん。 設定が終わったらNextボ タンを押します Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 142 VPN機能を設定する (10) -オプション設定 トラフィックログ収集を 有効化 トラフィックアラーム有効化 (この場合は下のセルに閾値を入 力してください) トラフィックカウンター有 効化 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 143 VPN機能を設定する (11) - スケジュールの設定(省略) ここはそのままNextボタンを 押します Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 144 VPN機能を設定する (12) - 設定内容確認 SSGに設定されるCLIの一覧になります。上 記設定内容に問題なければNextをクリック して進んでください。 確認が終わったらNextボタン を押します Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 145 VPN機能を設定する (13) - 設定終了 これでVPN簡易設定が 完了です。詳細なパラ メータ変更については 別途行ってください。 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 146 VPN機能を設定する (14) - VPN接続の確認方法 Active Active VPNの状態確認には “VPNs > Monitor Status” をクリック VPN接続が正常に完了している場合、 こちらの表示が”Active”に変わりま す。 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 147 VPN機能を設定するWebUI – Tunnel I/F Tunnel IFを選択しNewをク リック Interface > Listをクリック Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 148 VPN機能を設定するWebUI – Tunnel I/F Zoneを選択 Unnumberdを選択 出力インタフェイスを指定 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 149 VPN機能を設定するWebUI – IKE Phase-1 Gatewayをクリック Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential Newをクリック www.juniper.net 150 VPN機能を設定するWebUI – IKE Phase-1 判別しやすい名前を つける 対向のGWのIPや FQDNを指定 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential Advancedをクリック www.juniper.net 151 VPN機能を設定するWebUI – IKE Phase-1 事前共有鍵を入力 出力インタフェイスを 指定 IKE Phase-1のセキュリティプロ ポーザルを指定する Main/Aggressive modeを 指定 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 152 VPN機能を設定するWebUI – IKE Phase-2 AutoKey IKEをクリック Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential Newをクリック www.juniper.net 153 VPN機能を設定するWebUI – IKE Phase-2 判別しやすい名前を指定 Phase-1で作成したGateway を選択 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 154 VPN機能を設定するWebUI – IKE Phase-2 Phase-2のプロポーザルを指 定する Replay Protection機能を利用する 場合にはチェックする Routing base VPNの場合には、バ インドするトンネルインタフェイスを 指定する Proxy-IDを利用する場合には指定 する Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 155 VPN機能を設定するWebUI – ルーティング 設定するVRを指定し、Newをクリッ ク Routing > Destinationをクリック Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 156 VPN機能を設定するWebUI – ルーティング 宛先のネットワークを指定する Gatewayを選択 Tunnel.xを選択 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 157 第6部:管理設定行う Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 158 管理設定 – 時刻設定 Configuration > Date/Timeをクリック 時差を設定 (日本であれば+9) クライアントPCの時刻と同期をとる 場合はクリックする DST(夏時間)を調整したい場合に はチェックする。 (日本ではサマータイムを実施して いないので、チェックしない) NTPを利用する場合 チェックをする。 NTPサーバのIP/FQDN を指定する Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 159 管理設定 – 時刻設定 ScreenOSをアップグレードする 際に選択する ライセンスキーを更新する際に選 択する Update > ScreenOS/Keysをク リック Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 160 管理設定 – Configのバックアップ Mergeは既存のConfigにUploadするConfigを追 記する。 Replaceは既存のConfigへUploadするConfigを 上書きする。 Update > Config Fileをク リック クリックすると、Configをダウ ンロード可能 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 161 管理設定 – 管理ユーザ 管理ユーザを追加する際に はNewをクリック Admin > Administratorsを クリック Copyright © 2007 Juniper Networks, Inc. 既存管理ユーザを変更する 場合はEditをクリック Proprietary and Confidential www.juniper.net 162 管理設定 – 管理ユーザの追加 新しい管理ユーザ名を入力 新しい管理ユーザ用のパス ワードを入力 確認のため再度パスワードを入 力 管理ユーザの権限を指定 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 163 管理設定 – 管理ユーザの追加 名前を変更する場合には編集する 既存のパスワードを入力 新しいパスワードを入力 再度、新しいパスワードを入力 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 164 管理設定 – マネジメントネットワークの指定 ネットワークを指定する Admin > Permitted IPsをク リック Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 165 管理設定 – 詳細管理設定 Admin > Managementをク リック WebUIのタイムアウトを設 定する WebUIの待ち受けポート変 更する WebUI (HTTPS)の待ち受 けポート変更する Telnetの待ち受けポート変 更する SSHの待ち受けポート変更 する Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 166 管理設定 – ログ設定 各プロトコルに対し、どのログレベルを出力するかを設定する Report Settings > Log Settingsをク リック Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 167 管理設定 – Emailアラート設定 アラートメッセージのEmail通 知を有効にする場合はチェッ クする SMTPサーバのIP/FQDNを 指定 Report Settings > Emailを クリック 通知先のアドレスを指定 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 168 管理設定 – SNMP設定 New Communityをクリック Report Settings > SNMPを クリック Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 169 管理設定 – SNMP設定 コミュニティ名を入力 アクセス許可を指定 SNMPのバージョンを指定 (V1,V2c,Any) SNMP Trapホストを指定 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 170 管理設定 – Syslog設定 Syslogを有効にするには チェックをする。また、送信元 I/Fを指定する Report Settings > Syslogを クリック SyslogサーバのIPと待ち受 けポートを指定する。 通信ログも送信する場合は Traffic Logにチェックをする。 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 171 第9部:UTM機能を利用する Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 172 Anti-Spam機能を利用する Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 173 Anti-Spamとは? • スパムとは? • Hormel Foods社のハム缶詰の商品名 • イギリスのコメディー番組で“SPAM”を連呼し客が注文せざるを得ない状態 になるコントが由来。 • 受信者の都合を考慮せず一方的に送られてくるメールの総称。スパムメール。 • ハム缶詰を“SPAM”、スパムメールを“spam”と表記して区別。 • いろいろなスパム • サーチエンジンスパム: 検索エンジンでヒット率を上げるためのテクニック。 検索エンジンスパム。 • トラックバックスパム: ブログにて広告目的のトラックバックを送ること。コメン トスパムとも。 • ネットワークセキュリティには必然機能のひとつ • 多くのスパムメールはこの機能で効果的にフィルタリング可能 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 174 ScreenOS Anti-Spam概要 • スタティックパターン (static pattern) • メールアドレス、ホスト名、IPアドレスで定義 • ダイナミックフィルタリング • アンチスパムサーバにクエリを送り、スパマーのIPアドレスとマッチしているかどうか判定 (※スパマー:スパ ムを送る人) • 判定に使うサーバ側のリストをSBLまたはRBLと呼んでいる。 • • SBL: Spam Block List RBL: Real-time Blackhole List • ※RBLはトレンドマイクロの商標、一般的にはDNSBL (DNS Base Blackhole List) という。 • 必要なスパム(メールマガジン等)はローカルホワイトリストで対象から外すことができる。 • スパマーリストはシマンテックが公開しているものと完全に同期 • MTA (Mail Transfer Agent) の送信アドレスを元に判定するため誤検知はほとんどない。(※MTAは MFA (Mail Forwarding Agent) とも) • デフォルトアクションはDrop、メールヘッダへのタグ挿入、メール件名へのタグ挿入が選択可能 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 175 Anti-Spamパートナー • メールセキュリティベンダとの連携 • Symantec –BrightMail • 受信者側の SMTP ゲートウェイとしてスパムメールを除去 • 本ソリューションは最高水準の技術による高い検知率を誇り、業界随一の検 知精度(99.9999%) • 米国の大手 ISP12 社のうち 9 社、Fortune100 の 3 割の企業で採用 • 世界 25カ国以上、300 万以上のおとりメールボックスより構成される Symantec Probe Network から収集した情報を活用 • スパムメールに対して優れた防御効果を発揮 スパムリストアップデート間隔: 2時間ごと 対応するスパムの種類: ゾンビ、オープンプロキシ、既知スパム リスト生成に使われるメールの割合: 全世界で20~25%のメールトラ フィックを網羅 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 176 Anti-Spamプロファイル アンチスパムプロファイルに設定する内容 • IPアドレス、メールアドレス、ホスト名、ドメイン名 • 悪性(malicious = spam)か良性(benign = non-spam)か パブリックベース・ブラック/ホワイト・リスト • MTA(Mail Transfer Agent)からのコネクションで、そのコネクションがリスト に登録してある送信元IPアドレスによって良性か悪性かを判定 ドメイン名ベース・ホワイト/ブラック・リスト • ドメイン名によって良性か悪性かを判定 アドレスブックベース・ホワイト/ブラック・リスト • 送信者のメールアドレスかドメイン名によって判定。デフォルトではすべての メールサーバは自サーバ内のユーザメールは許容する。 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 177 Anti-Spam判定手順 Anti-Spam機能を使うにはインターネットへの接続とDNSが必須 SBL (Spam Block List) サーバとインターネット経由で接続 • SBLサーバはデフォルトで “msgsecurity.juniper.net” ファイアウォールはリバースDNSルックアップを行う。 • SMTP送信者(またはリレーエージェント)のソースをauthoritativeドメインとしてリクエスト • DNSサーバはリクエストをSBLサーバへ転送 • SBLサーバは結果をファイアウォールへ送る。 またはローカルルックアップを行う。 • ファイアウォール内にローカルホワイトリスト、ローカルブラックリストを登録する。 • ローカルホワイトリストとローカルブラックリストに重複したエントリは設定できない。 ファイアウォールはまずはローカルルックアップを行い、当てはまらなければSBLサーバと通信 する。 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 178 Anti-Spam処理の流れ Juniperサイト内のブラックリ ストサーバを確認する仕組み。 このブラックリストはシマン テックBrightMailサーバと同 期が取れている(Real-time query) メール送信元のアドレスから DNS逆引きでBlacklistを確 認する。 1. 直近のMTAがメールを送る。 2. FWがSMTPコネクションを受ける。(SMTPのみサポート) 3. 受けたコネクションの送信元についてチェック 1. 2. ローカルのブラックリスト、ホワイトリストチェック 3-1でヒットしなければSBLサーバにリクエスト 1. このとき、 DNS-queryの後ろに”.msgsecurity.juniper.net”をつけて送信。 4. 悪性であると判断した場合、指定されたデフォルトアクションを実施 5. 良性であると判断した場合、通常通りの処理 SBLサーバ (msgsecurity.juniper.net) 受信メールサーバ DNSサーバ ローカルブラックリスト ローカルホワイトリスト 直近のMTA Internet FW Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 179 Anti-Spam テストスキャン SBLサーバに登録されていない(つまり良性)の場合 ssg5-> exec anti-spam testscan 1.1.1.1 anti spam result: action Pass, reason: No match SBLサーバに登録されている(悪性)の場合 ssg5-> exec anti-spam testscan 209.104.204.23 anti spam result: action Tag email subject, reason: Match sbl server blacklist ローカルのブラックリストに登録されている場合 ssg5-> exec anti-spam testscan user@home.spam.com AS: anti spam result: action Tag email subject, reason: Match local blacklist ローカルのホワイトリストに登録されている場合 ssg5-> exec anti-spam testscan 10.10.10.10 anti spam result: action Pass, reason: Match local whitelist Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 180 Anti-Spam設定例 1. 2. 3. 4. 5. SSGにはAnti-Spamライセンスがあらかじめインストールされています。 SSGにはDNSの設定が行われています。 スパムメール受信時のデフォルトアクションを設定します。 ローカルにホワイトリストとして”10.10.10.10”と”user@hotmail.com”を設定します。 ローカルにブラックリストとして”1.1.1.1”と”spam@example.com”を設定します。 1. SBLサーバはデフォルトの msgsecurity.juniper.net を使います。 SBLサーバ (msgsecurity.juniper.net) ローカルブラックリスト: 1.1.1.1 spam@example.com ローカルホワイトリスト: 10.10.10.10 user@hotmail.com 受信メールサーバ DNSサーバ 172.27.0.10 直近のMTA Internet SSG Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 181 Anti-Spam機能を利用する (1) - ライセンスの確認 “ScreenOS/Keys” をクリック UTM機能を利用するにはライセン スが必要です。 まず最初に、ライセンスが入ってい るか確認しましょう。 ライセンスが入っていない場合、販 売店にお問い合わせください。 anti_spam_keyが 入っていることを確 認 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 182 Anti-Spam機能を利用する (2) - DNSの設定確認 DNSサーバアドレスが設 定されていることを確認。 設定されていない場合は 設定する。 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 183 Anti-Spam機能を利用する (2-1) - DNSの設定確認 【DHCPを使っている場合】 UntrustポートにてDHCP クライアントを動かしてい る場合 DHCPでDNSサーバアド レスを取得している場合、 ここをチェック。 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 184 Anti-Spam機能を利用する (3) - Anti-Spam リスト作成 ”Screening > AntiSpam > Profile” とツリーを展開 し、”Profile” をクリック デフォルトアクションの設定、ホ ワイトリストやブラックリストを編 集するために”Edit”をクリック Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 185 Anti-Spam機能を利用する (4) - デフォルトアクションの設定 ここでの例は、デフォルトアクションとして、 ヘッダに “this-is-spam” というタグを付け るよう設定します。 デフォルトアクションを設 定するため”Action”をク リック 件名にタグ付け ヘッダにタグ付け ドロップ タグ付けの場合、何というタグを 付けるか設定。 この場合、ヘッダに”this-isspam”というタグが付く。 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential 設定が終わったらOKボタン を押します www.juniper.net 186 Anti-Spam機能を利用する (5) - ホワイトリストの設定 ここでの例は、ホワイトリストに “10.10.10.10” というIPアドレスを追 加する設定を行います。 1. ホワイトリストを編集するた め”White List”をクリック 2. アンチスパムの対象外とす るSMTP送信元のアドレス、ドメ イン、メールアドレスを1つずつ 記入する。ここで は”10.10.10.10” を入力する。 “Cancel”を押すとテキスト ボックス内の文字列はクリア され、Profile選択画面に戻 る 3. 記入した ら”ADD”ボタンをク リック Copyright © 2007 Juniper Networks, Inc. ここに追加されたエ ントリが表示される。 Proprietary and Confidential www.juniper.net 187 Anti-Spam機能を利用する (6) - ホワイトリストの削除 ここでの例は、ホワイトリストから “user@hotmail.com” というメールアドレスを 削除する設定を行います。 1. ホワイトリストを編集するた め”White List”をクリック 2. 削除したいエントリを記入 する。ここで は”user@hotmail.com” を入 力する。 “Cancel”を押すとテキスト ボックス内の文字列はクリア され、Profile選択画面に戻 る 3. 記入した ら ”DELETE” ボタ ンをクリック Copyright © 2007 Juniper Networks, Inc. このエントリを削除 する Proprietary and Confidential www.juniper.net 188 Anti-Spam機能を利用する (7) - ブラックリストの設定 1. ブラックリストを編集するた め”Black List”をクリック “Cancel”を押すとテキスト ボックス内の文字列はクリア され、Profile選択画面に戻 る 3. 記入した ら”ADD”ボタンをク リック Copyright © 2007 Juniper Networks, Inc. ここに追加されたエ ントリが表示される。 Proprietary and Confidential www.juniper.net 189 Policy ruleでAnti-Spamをenableにする Antispam enableのチェック ボックスをチェックする。 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 190 Anti-Spam機能を利用する (8) - トラブルシューティング アンチスパムに引っかかるとイベントログに記録される。 環境や設定の確認 • • • • ライセンスキーは入っているか? DNSサーバは設定されているか?DNSサーバへの到達性があるか? ファイアウォールポリシーにアンチスパムを行う設定がされているか? アンチスパムの設定情報を確認してみる。 Execコマンドによるテストスキャンを試してみる。 • exec anti-spam testscan <domain name> • exec anti-spam test <ip addr> 参考Webサイト(アンチスパム候補のSMTPサーバアドレス等) • http://www.senderbase.org • http://www.dnsbl.info Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 191 Web Filtering機能を利用する Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 192 Integrated Web Filtering Integrated • SurfControlのCPA (Content Portal Authority) サーバを利用する。 • CPAサーバはジュニパーにて用意、ユーザは自社内にWeb Filteringサー バを用意する必要はない。 • ライセンスキーのインストールが必要(年間契約) • HTTPSもサポート。 Webサーバ CPAサーバ (.juniper.net) 2.FWがCPAサーバ に問い合わせ、URL の疎通判定。 DNSサーバ FW Internet 3.疎通判定OKの場合、 WebサーバへHTTPリクエ ストを転送。 Copyright © 2007 Juniper Networks, Inc. 1.クライアントがWebサーバ に対しHTTPリクエストを送る。 Proprietary and Confidential クライアント www.juniper.net 193 External Web Filtering (Redirect) Redirect • ユーザは自社内にSurfControlまたはWebSenseのサーバを導入する必要がある。 • ファイアウォール側にライセンスは不要。 • ファイアウォールはHTTPリクエストをSurfControl/WebSenseサーバへ送り、URLが利用可能 かを判定。 • HTTPSはサポートしていない。 2.FWがWebフィルタリ ングサーバに問い合わせ、 URLの疎通判定。 Webサーバ Internet DNSサーバ FW 3.疎通判定OKの場合、 WebサーバへHTTPリクエ ストを転送。 Copyright © 2007 Juniper Networks, Inc. SurfControlまたは WebSenseサーバ 1.クライアントがWeb サーバに対しHTTPリクエ ストを送る。 Proprietary and Confidential クライアント www.juniper.net 194 SurfControlとWebSense SurfControl IntegratedモードとRedirectモードの2つをサポート http://www.serfcontrol.com WebSense Redirectモードのみサポート http://www.websense.com Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 195 Web Filteringの特徴まとめ Integrated Redirect Juniperライセンス 必要 不要 不要 自社網での WebFilterサーバ構 築 不要 必要 必要 設定 単純 細かい 細かい WebFilterサーバラ イセンス 不要 必要 必要 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential Integrated Redirect www.juniper.net 196 Integratedモードの動作詳細 Webサーバ CPAサーバ インターネットアクセス許可 6. キャッシュにURLがな ければCPAサーバに問い 合わせ、結果に従ってブ ロックか許可 SSG deny/permit policy ホワイトリストチェック 3. ホワイトリストにURL があれば許可 1. クライアントから HTTPリクエスト Copyright © 2007 Juniper Networks, Inc. Internet URLデータベース 定義済み カテゴリリストチェック ユーザ定義 カテゴリリストチェック カテゴリリスト URLキャッシュ リスト キャッシュに 結果を保存 5. キャッシュに従ってブ ロックか許可 4. ユーザ定義リストに従っ てブロックか許可 ブラックリストチェック CPAサーバは URLデータベース を管理しており、 各URLをカテゴリ 分けしたカテゴリ リストを保持。 2. ブラックリストにURLが あればブロック クライアント Proprietary and Confidential www.juniper.net 197 Redirectモードの動作詳細 Webサーバ インターネットアクセス許可 Internet 5. サーバからの結果 に従ってブロックまた は許可 4. 結果をSSGに通 知 3. URLをチェックし、 ブロックか許可を決 定 SurfControlまたは WebSenseサーバ カテゴリリスト 2. HTTPトラフィックをリ ダイレクト 1. クライアントから HTTPリクエスト URLデータベース クライアント Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 198 Integrated Web Filtering すべてのHTTPリクエストについてカテゴリ情報を調査する。 ローカルキャッシュまたはユーザ定義カテゴリを検索。無い場合はCPAサーバにリクエストを送 付。 調査したカテゴリ情報が許可されるか拒否されるか決定する。 キャッシュカテゴリリスト(CPAサーバの結果のキャッシュ)によるパフォーマンス向上とネット ワークトラフィック削減 • Cache life time configurable from 1 hour to 24 hours (default is 24 hours) • URL キャッシュ容量は以下の式で計算できる: • 平均URL容量 = (キャッシュメモリ制限 – (101 * 4)) / 60) – URL 容量 : 500kbyte = 8326 URL; 1Mbyte = 16659, 2Mbyte = 33319 NetScren-5GT NetScren-HSC SSG 5 / SSG 20 Netscreen-25 Netscreen-50 SSG 520 SSG 550 ISG1000 ISG2000 キャッシュのデフォ ルトサイズ 500 Kバイト 500 Kバイト 1000 Kバイト 1000 Kバイト 1000 Kバイト 2000 Kバイト 最大キャッシュサイ ズ 1000 Kバイト 1000 Kバイト 2000 Kバイト 4000 Kバイト 8000 Kバイト 16000 Kバイト 最大キャッシュサイ ズに収まる平均的 なURL数 16,500 URL 16,500 URL 33,000 URL 66,000 URL 132,000 URL 264,000 URL Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 199 Integrated Web Filtering ユーザ定義リスト • カスタムカテゴリの定義 • ブラックリスト(強制拒否)とホワイトリスト(強制許可)の定義による • プラットフォームごとの最大ユーザ定義カテゴリ数 • HSC :20, 5GT: 30, NS25: 40, NS50: 40 ユーザ定義プロファイル • URLフィルタリングプロファイルをカテゴリによって定義し、ポリシーに設定 • URLフィルタリングプロファイルの最大設定数 • HSC:5, 5GT:10, NS25:25, NS50: 50 • URLフィルタリングプロファイル内の最大URLカテゴリ数 • HSC:10, 5GT;15, NS25:20, NS50:30 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 200 Web Filtering対応機種とバージョン • 対応OSバージョン • ScreenOS 5.3以降 • SSGシリーズはScreenOS5.4以降 • 対応機種 • NS-HSC,NS-5GT,NS-25,NS-50 • ISG1000,ISG2000(Redirectのみ) • SSG5,SSG20,SSG140,SSG520,SSG550 • Integratedモードを利用する場合、ライセンス・キーが必要 • 1年毎のライセンス • 機種によって価格が異なる Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 201 設定例:Integratedモード Webサーバ CPAサーバ インターネットアクセス許可 Internet 定義済み カテゴリリストチェック SSG ユーザ定義 カテゴリリストチェック クライアント Copyright © 2007 Juniper Networks, Inc. URLデータベース ローカルブラックリスト: www.play.com ローカルホワイトリスト: www.juniper.net ホワイトリストチェック ブラックリストチェック カテゴリリスト 1. プロトコルをIntegratedモードに選択します。 2. Integratedモードのサーバ設定を確認します。 3. ローカルホワイトリストを設定します。 4. ローカルブラックリストを設定します。 5. ポリシーに適用します。 Proprietary and Confidential www.juniper.net 202 Web Filtering機能を利用する (1) - プロトコル選択 1. “Web Filtering > Protocol” をクリック 2. Integrated モードを選択 3.設定が終わった ら”Apply”をクリック Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 203 Web Filtering機能を利用する (2) - サーバ設定 プロトコル選択後、CPAサーバとの 接続に関する設定画面に移ります。 1. CPAサーバは “America”, “Asia Pacific”, “Europe/ MidEast/Africa” の3 つから選べますが、日本 で使う場合はAsia Pacificを選択。 2. Enable Cacheがチェックされ ていることを確認し、Cache size が設定されていることを確認し ます。Cache sizeは500から 1000までで設定可能です。 3. CPAサーバとの接続性 を失ったときに、すべての HTTPリクエストをブロック するか、許可するか設定し ます。 この例ではブロックします。 4.設定が終わった ら”Apply”をクリック Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 204 Web Filtering機能を利用する (3) - ブラックリスト,ホワイトリスト設定 カスタムカテゴリを新規生 成したい場合はここをク リック 既に生成されたカスタ ムカテゴリ。 カスタムカテゴリを編 集したい場合はここ をクリック カスタムカテゴリを削除 したい場合はここをク リック ここをクリックするとカス タムカテゴリが参照でき る。 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 205 Web Filtering機能を利用する (4) - ホワイトリストのカスタムカテゴリ新規生成 1つのカスタムカテゴリ (Custom Categories) には最大20個のURLエントリが設定できます。 1. カスタムカテゴリ 名を設定 2.カスタムカテゴリ に登録するURLを 設定 3. 設定が終わった ら ”OK”をクリック 今回の例では、ホワイトリストとして ”custom_white_list” というカ スタムカテゴリを作り、そのエントリとして “www.juniper.net” を設 定します。 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 206 Web Filtering機能を利用する (5) - ブラックリストのカスタムカテゴリ新規生成 1つのカスタムカテゴリ (Custom Categories) には最大20個のURLエントリが設定できます。 1. カスタムカテゴリ 名を設定 3. 設定が終わっ たら”OK”をクリック 2.カスタムカテゴリ に登録するURLを 設定 既に生成されたエン トリがここに表示さ れる。 今回の例では、ブラックリストとして ”custom_black_list” というカスタ ムカテゴリを作り、そのエントリとして “www.play.com” を設定します。 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 207 Web Filtering機能を利用する (6) - カスタムプロファイルの新規生成 2. カスタムプロファ イルを新規生成す るため、ここをクリッ ク 1. ここをクリックするとカスタムプロ ファイルが参照できます Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 208 Web Filtering機能を利用する (7) -カスタムプロファイルの新規生成 前スライドで “New” ボタンをクリックした後の画面 1.カスタムプロファイル 名を設定 2. ブラックリストとしてカ スタムカテゴリを選択。 3.ホワイトリストとしてカ スタムカテゴリを選択。 3. 設定が終わった ら”OK”をクリック Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 209 Web Filtering機能を利用する (8) - ポリシーに適用する 2. Web Filteringに チェック 3. カスタムプロファ イルを選択 1. ポリシー設定で 該当のポリシーを 選択 Copyright © 2007 Juniper Networks, Inc. 4. 設定が終わった ら”OK”をクリック Proprietary and Confidential www.juniper.net 210 Web Filtering機能を利用する (9) - ポリシー確認 ポリシーにWeb Filteringが適用され るとWWWのマークが現れます。 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 211 Anti Virus機能を利用する Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 212 統合型ウイルス検知・防御 ウイルス、スパイウェア、アドウェア、キーロガーからネットワークを防御 • クラス最高のアンチウイルスエンジン を搭載 • SMTP、POP3、Webメール、FTP、IMAP、HTTPのウイルスを検知 • 内部および外部からのトラフィックに対してウイルススキャンを実行 ウイルス除去済み メールがユーザに届 く 除去済みメール To: John@work.com 感染メール From: Joe@org.org To: John@work.com From: Joe@org.org Subject: See Attachment! Internet Infected Attachment dropped Subject: See Attachment! 1. ウイルスに感染し たメールが届く 2. SSGの統合型AV エンジンによりメール をスキャン 3. 感染ファイル を除去 Copyright © 2007 Juniper Networks, Inc. AVスキャン SSG 4. ウイルスを除去し たメールを転送 メールサーバ 5. 管理者にアラーム が届く Proprietary and Confidential 管理者端末 www.juniper.net 213 Anti Virus対応機種、バージョン • 対応OSバージョン • SSGシリーズ: ScreenOS5.4以降 • 対応機種 • NS-HSC,NS-5GT • SSG5,SSG20,SSG140,SSG320 • SSG350,SSG520,SSG550 • ライセンス・キーが必要 • 1年毎のライセンス • 機種によって価格が異なる Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 214 SSG - Antivirus Engine SSG シリーズはカスペルスキー (Kaspersky) AV エンジン をサポート 外部から侵入するスパイウェア、アドウェア、キーロガーをブ ロック 精細なAVポリシーを定義可能 スキャンレベルの設定が可能 1時間ごとにパターンファイルをアップデート サポートするプロトコル • SMTP, POP3, FTP, IMAP, HTTP, IM(Yahoo,MSN) Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 215 新アンチウイルス・エンジン 業界トップのAVベンダーであるKasperskyと連携 • 業界No.1の検知能力および管理性の高さを誇る • これまではNS5GTでのみ、Trend Microのエンジンを使ったソリューション があった 新AVソリューションは スパイウェア・アドウェア・キーロガーをも検知可 能 • “phone-home” (侵入されたシステムからのデータ流出) に対する検知機能 も優れたエンジン ScreenOS 5.3に完全に統合 (SSGは、5.4以降でサポート) Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 216 ウィルススキャンレベル Standard • デフォルト、推奨オプション • 最も広い範囲で攻撃をカバー、最も誤検知率の低い組み合わせ(スパイウェア含む) In-The-Wild • Standardよりも少ない範囲をカバー • “in-the-wild”(野生の、つまり実際に活動している)ウイルスのみを検知することによ り、高いパフォーマンスを提供 (あまり見られないようなウイルスはスキャンしない) Extended • 典型的なアドウェア等をスキャン対象に加えたモード • より多くのアドウェアを検知可能だが、誤検知が増える可能性がある Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 217 きめ細やかなAV設定 スキャニングON/OFF • アプリケーションプロトコル単位 • ファイル拡張子とコンテキストタイプ単位 に設定可能 ファイアウォールポリシー毎にスキャンオプション設定 アプリケーションプロトコルに基づいたデコード ウェブメールURLパターン用除外オプション メールによる通知のカスタマイズ Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 218 パターンファイル更新 SSGに更新サーバの URL を設定 SSGはそのURLよりサーバ初期化ファイルを入手 Kasperskyを使用した場合のURL • http://update.juniper-updates.net/AV/SSG5_SSG20/ SSGは、まずserver-initializationファイルをダウンロードし、デバイス内の定 義ファイルの状態をチェック SSG内の定義ファイルが最新ではない場合は、自動的にパターンファイルサー バからパターンファイルをダウンロード 自動更新または手動更新 • 自動更新の場合、更新間隔を10~10080分(10分から7日)の間で設定 1. パターンファイル リクエスト 13=ocr.arm,0XLSznpdI71fB300 e7Uwj1E1YRc5B2zQJypcsNTc xr1IyWXcAQzVjOuHIh,636,2 7/12/2005 14=base001.arm,0XLSznpdI71f B300e7Uwj1RLzut9ECuZlkpT3l LuB72AjCAqRTQ7riDfzA,4632 7,16/10/2006 15=base002.arm,0XLSznpdI71f B300e7Uwj10A4pgVvtNRN2d/ AdDyERY3Ab9hvKBKQfLHG5,5 5749,16/10/2006 Copyright © 2007 Juniper Networks, Inc. パターンファイルサーバ Internet 2. パターンファイル 転送 Proprietary and Confidential パターンファイル 13=ocr.arm,0XLSznpdI71fB300 e7Uwj1E1YRc5B2zQJypcsNTc xr1IyWXcAQzVjOuHIh,636,2 7/12/2005 14=base001.arm,0XLSznpdI71f B300e7Uwj1RLzut9ECuZlkpT3l LuB72AjCAqRTQ7riDfzA,4632 7,16/10/2006 15=base002.arm,0XLSznpdI71f B300e7Uwj10A4pgVvtNRN2d/ AdDyERY3Ab9hvKBKQfLHG5,5 5749,16/10/2006 www.juniper.net 219 最新パターンファイルの確認 パターンファイルの更新状況及び内容は、下記のURLで確認 可能。 • https://www.juniper.net/security/virus/index.html パターンファイルはCritical/High/Lowにカテゴリー分け パターンファイルの更新日、パターンファイルに関する情報を 提供 • どのような攻撃に対する防御が可能かを閲覧可能 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 220 最新パターンファイルの確認 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 221 Anti-Virus設定例 ここでは、SSGのアンチウイルスについて以下の手順で設定します。 • • • • スキャンエンジンのグローバル設定(全体機能設定)します。 ウイルス定義ファイルのアップデートについて設定します。 デフォルトのAVプロファイルであるns-profileを利用するか、新規にProfileを作成します。 新規でProfileを作成する場合 • • • • profileのFTPに関するアンチウイルス設定を行います。 profileのHTTPに関するアンチウイルス設定を行います。 profileのIMAP/POP3に関するアンチウイルス設定を行います。 profileのSMTPに関するアンチウイルス設定を行います。 • ポリシーにAVプロファイルを適用します。 Internet AVスキャン Copyright © 2007 Juniper Networks, Inc. SSG Proprietary and Confidential メールサーバ 管理者端末 www.juniper.net 222 AntiVirus機能を利用する (1) - グローバル設定画面 HTTPのKeep-Alive方式、つまりデータ転送後もTCP FIN を投げない接続オプションを使う場合はチェック。 このチェックを外すと、TCP FINがサーバから来たときに データ転送が終了したと判断し、スキャンを始める。 スキャンが正しくできな かった場合でも、その データを転送したい場合 はチェック “Global”をクリック 1つの送信元から大量に来 るパケットの処理に対して 割り当てるリソースを設定。 100%だとリソース制限を かけないことになる。 TricklingはHTTPタイムアウトとなら ないように、スキャンしていないHTTP トラフィックをクライアントに少量送る こと。 CustomではTrickling を始める最小ファイル サイズ、何メガスキャン するごとに何バイトデー タを送信するか指定。 DisableはTricklingを行わ ない。 Defaultは3MB以上の HTTPファイルの場合、1MB スキャンするごとに500バイ ト送る。 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 223 AntiVirus機能を利用する (2) - スキャンマネージャの設定 2. ここにパターンファイル サーバのURLを入れる(最初 から入っていて変更の必要 はなし)。 1. ここをクリック 4. 手動更新時、こ こをクリック 5. 自動更新時、更 新間隔を指定 3. 自動更新すると きはここをチェック 1. 2. 3. 4. 5. 6. 7. 8. 圧縮ファイルの指定した圧縮回数を超えたときの 動作 パスワード付きファイルの動作 壊れたファイルの動作 スキャンエンジンのリソースがない場合の動作 スキャンエンジンが準備できていない場合の動作 スキャンタイムアウト時の動作 スキャンコンテンツサイズが超過した場合の動作 同時スキャン数を超過した場合の動作 8. 設定が終わったら “Apply” をクリック Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 224 AntiVirus機能を利用する (3) - profileの編集 ns-profile (Default)の確認をする場 合は “View” をクリック (編集不可) 新規でプロファイルを設定する場合に は”New”をクリック カスタムプロファイルを編集するに は”Edit”をクリック Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 225 AntiVirus機能を利用する (4) - FTPの設定 1. FTPのプロファイル設定を行う にはここをクリック 2. プロファイルの有効化 3. スキャンモードの設 定。 ”Scan All”は全ファイル をスキャン。 “Scan Intelligent”は 最適化アルゴリズムで 必要と判断したものだ けをスキャン。 “Scan By Extension” は外部リストで定義した ファイルのみをスキャン。 4. 圧縮ファイル内の圧縮ファイル を何階層まで見るか設定 FTPのスキャンのタイムアウト時間 の設定(1~1800秒) 5. 設定が終わった ら”OK”をクリック Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 226 AntiVirus機能を利用する (5) - HTTPの設定 1. HTTPのプロファイル設定を行う にはここをクリック 2. プロファイルが有効 になっているか確認 (チェックされていること) 3. スキャンモードの設 定。 ”Scan All”は全ファイル をスキャン。 “Scan Intelligent”は 最適化アルゴリズムで 必要と判断したものだ けをスキャン。 “Scan By Extension” は外部リストで定義した ファイルのみをスキャン。 4. 圧縮ファイル内の圧縮ファイル を何階層まで見るか設定 HTTPのスキャンのタイムアウト時 間の設定(1~1800秒) 5. 設定が終わった ら”OK”をクリック Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 227 AntiVirus機能を利用する (6) - IMAP/POP3の設定画面 1. IMAPまたはPOP3のプロファイル 設定を行うにはここをクリック 2. プロファイルの有効化 3. スキャンモードの設 定。 ”Scan All”は全ファイル をスキャン。 “Scan Intelligent”は 最適化アルゴリズムで 必要と判断したものだ けをスキャン。 “Scan By Extension” は外部リストで定義した ファイルのみをスキャン。 4. 圧縮ファイル内の圧縮ファイル を何階層まで見るか設定 IMAP/POP3のスキャンのタイムアウト 時間の設定(1~1800秒) 5. メールによるウイルス警告メッセージ通知 設定。 “Virus Sender” はメール送信者にウイルス が検知されたことを通知。 “Scan-error Sender” はメール送信者にス キャン失敗した旨を通知。 “Scan-error Recipient” はメール受信者に スキャン失敗した旨を通知。 6. 設定が終わった ら”OK”をクリック Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 228 AntiVirus機能を利用する (7) - SMTPの設定画面 1. SMTPのプロファイル設定を行う にはここをクリック 3. スキャンモードの設 定。 ”Scan All”は全ファイル をスキャン。 “Scan Intelligent”は 最適化アルゴリズムで 必要と判断したものだ けをスキャン。 “Scan By Extension” は外部リストで定義した ファイルのみをスキャン。 2. プロファイルの有効化 4. 圧縮ファイル内の圧縮ファイル を何階層まで見るか設定 SMTPのスキャンのタイムアウト時間の 設定(1~1800秒) 6.設定が終わったら”OK” をクリック Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential 5. メールによるウイルス警告メッセージ通知 設定。 “Virus Sender” はメール送信者にウイルス が検知されたことを通知。 “Scan-error Sender” はメール送信者にス キャン失敗した旨を通知。 “Scan-error Recipient” はメール受信者に スキャン失敗した旨を通知。 www.juniper.net 229 AntiVirus機能を利用する (8) - IMの設定画面 1. IMのプロファイル設定を行うに はここをクリック 2. プロファイルの有効化 3. スキャンモードの設 定。 ”Scan All”は全ファイル をスキャン。 “Scan Intelligent”は 最適化アルゴリズムで 必要と判断したものだ けをスキャン。 “Scan By Extension” は外部リストで定義した ファイルのみをスキャン。 スキャン対象の選択 ・メッセージ本文 ・ファイル転送 4. 圧縮ファイル内の圧縮 ファイルを何階層まで見る か設定 サポートする転送プロトコルを表示 (アプリケーションのバージョン情報 ではないことに注意) 利用されているプロトコルが不明な場 合の動作を選択 “Best Effort”は既存のプロトコルの 情報を元に検査する “Pass”は何もせず転送する Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 230 AntiVirus機能を利用する (9) - AVポリシーの設定 Policiesでの設定 ここでポリシーに割り当 てるAVプロファイルを 指定する Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 231 AntiVirus機能を利用する (10) - AVポリシー確認 すべての送信元から”LAN” (アドレ スリストで指定したネットワーク) 宛 の HTTPトラフィックについて、AVを 行う。 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential アクションとしてAV が加わった www.juniper.net 232 Deep Inspection機能を利用する Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 233 Deep Inspection対応機種、バージョン • 対応OSバージョン • NetScreenシリーズ: ScreenOS 5.0以降 • SSGシリーズ: ScreenOS5.4以降 • 対応機種 • すべての機種 • NS5GTはメモリの都合上、シグネチャ数が制限される • ライセンス・キーが必要 • 1年毎のライセンス • 機種によって価格が異なる Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 234 Deep Inspectionとは? SSGが許可したトラフィックをフィルタリングするためのメカニ ズム 調べる内容: • • • • レイヤ3のパケットヘッダ (IPヘッダ) レイヤ4のセグメントヘッダ (TCPヘッダ) レイヤ7のアプリケーションコンテンツ レイヤ7のプロトコル特性 ファイアウォールとの違い: • ファイアウォールがIP/TCP/UDPヘッダ情報を見て処理するの に対し、Deep Inspectionではさらに深い(Deepな)アプリケー ションデータの内容まで見る(Inspectionする)。 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 235 Deep Inspectionの処理フロー レイヤ3、レイヤ4ヘッダの アドレス、ポート番号チェッ ク ファイアウォール機能 ポリシー不一致 パケット調査 パケット廃棄 ポリシー一致 パケット不許可 ポリシー調査 パケット廃棄 パケット許可 Deep Inspection 利用? No Yes 攻撃検知? Yes 攻撃対応 アクション実施 No Deep Inspection機能 パケット転送 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 236 Deep Inspection設定 1. ライセンスキーを入れる 1. 2. “get license-key” でDIライセンスが入っているか、またはDIがenableになっているか確認。 入っていない、またはDisableであればライセンスキーを入れる。(exec license-keyコマンドかWebUI経 由) 2. ライセンスキーを入れたらリブートし、 “get license-key” でDIがenableになっていることを確認。 3. WebUI上の Configuration > Update > ScreenOS/Keys で Retrieve Subscriptions Now または Retrieve Trial keys Now を実施。 4. データベースサーバを設定する。ScreenOS5.3以降ではシグネチャパックによってパスが変わる。 “set attack db server https://services.netscreen.com/restricted/sigupdates” 5. “exec attack-db update” コマンド(またはWebUIやNSM経由)でシグネチャをダウンロードする。 6. 必要に応じてカスタムシグネチャやカスタムグループを生成する。 7. ポリシーを設定し、そこで検知させたいアタックグループを指定する。 1. “set policy from xx to xx src_adr dst_adr service permit attack GROUP” Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 237 攻撃オブジェクトデータベースサーバ Attack Object Database Server データベースサーバに定義済みの全部の攻撃オブジェクトが入っている。 各オブジェクトはプロトコルや重大度レベル別の攻撃オブジェクトグルー プに分けられる。 https://services.netscreen.com/restricted/sigupdatesに攻撃オ ブジェクトデータベースを格納 SSGはこのサーバからデータベースをダウンロードし、ロードしてからオ ブジェクトを参照。 ユーザはDIシグネチャサービスに加入する必要がある。 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 238 シグネチャの種類 ステートフルシグネチャ (Stateful Signature) • 特定の攻撃パターンを記したデータファイル。 • 有害であるとされる特定のトラフィックパターンやテキストパターン。 • デフォルト定義またはユーザ定義。 TCPストリームシグネチャ (TCP stream signature) • ユーザ定義のみ。 • コンテキストに関わらず調査する。 • NS5000シリーズのみサポート。 プロトコルアノーマリ (Protocol Anomaly) • RFCなどで定義されたプロトコルのルールや振る舞いからかけ離れたトラ フィックを検出。 • DNS, FTP, HTTP, IMAP, POP3, SMTP Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 239 攻撃シグネチャパック ~いずれか1つ選択~ Base (ベースシグネチャパック) ※デフォルト • リモート拠点、支店、中小企業に最適化されたクライアントサーバ型通信、ワーム防御のシグネ チャ群 • 公衆インターネットで対象となる攻撃(例: HTTP, DNS, FTP, SMTP, POP3, IMAP, NetBIOS/SMB, MS-RPC, P2P, インターネットメッセンジャーなど) Server protection (サーバ防御シグネチャパック) • IISやExchangeなどサーバファームとの境界を対象としたシグネチャ群 • HTTP, DNS, FTP, SMTP, IMAP, MS-SQL, LDAP, サーバを攻撃対象とするワームに関する シグネチャ Client protection (クライアント防御シグネチャパック) • ユーザのパソコンが置かれたネットワークとの境界を対象としたシグネチャ群 • HTTP, DNS, FTP, IMAP, POP3, P2P, インターネットメッセンジャー、クライアント攻撃対象とす るワームに関するシグネチャ Worm Mitigation (ワーム緩和シグネチャパック) • ワームからの攻撃を総合的に防御するためのシグネチャ群 • ストリームシグネチャ、すべてのプロトコルに対するワーム攻撃を対象 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 240 攻撃オブジェクトデータベースの更新 即時更新 (Immediate Update) • 即時にサーバに格納されたデータベースへ更新する。 自動更新 (Automatic Update) • 定期的に更新する。 自動通知と即時更新 (Automatic Notification and Immediate Update) • 決められた時間にオブジェクトデータのバージョンをチェックし、サーバのほうが新しけ ればユーザに通知。ユーザはその後即時更新可能。 手動更新 (Manual Update) • サーバのデータベースをローカルにダウンロードし、アプライアンスにロードする。 関連コマンド exec attack-db check exec attack-db update 攻撃オブジェクト データベースサーバ 1. 更新要求 13=ocr.arm,0XLSznpdI71fB300 e7Uwj1E1YRc5B2zQJypcsNTc xr1IyWXcAQzVjOuHIh,636,2 7/12/2005 14=base001.arm,0XLSznpdI71f B300e7Uwj1RLzut9ECuZlkpT3l LuB72AjCAqRTQ7riDfzA,4632 7,16/10/2006 15=base002.arm,0XLSznpdI71f B300e7Uwj10A4pgVvtNRN2d/ AdDyERY3Ab9hvKBKQfLHG5,5 5749,16/10/2006 Copyright © 2007 Juniper Networks, Inc. Internet 2. データベース更新 攻撃オブジェクト データベース 13=ocr.arm,0XLSznpdI71fB300 e7Uwj1E1YRc5B2zQJypcsNTc xr1IyWXcAQzVjOuHIh,636,2 7/12/2005 14=base001.arm,0XLSznpdI71f B300e7Uwj1RLzut9ECuZlkpT3l LuB72AjCAqRTQ7riDfzA,4632 7,16/10/2006 15=base002.arm,0XLSznpdI71f B300e7Uwj10A4pgVvtNRN2d/ AdDyERY3Ab9hvKBKQfLHG5,5 5749,16/10/2006 https://services.netscreen.com/restricted/sigupdates Proprietary and Confidential www.juniper.net 241 攻撃オブジェクトデータベースの更新 現在使用中の攻撃データベー スファイルバージョン シグネチャパックの選択。 URLは自動的に決定さ れる。 何もしない 現在のものより新しい攻撃 データベースがサーバにある 場合、自動通知する 手動でデータベース サーバのURLを登録 毎日更新がないかチェック したい場合 指定した時間に自動 アップデートを行う 何時にデータベース更 新を行うか設定。午前1 時15分の場合、”01:15” と記入。 Copyright © 2007 Juniper Networks, Inc. 手動で攻撃データベースを機 器へ取り込むときに使う 1週間ごとに更新がないか チェックしたい場合、チェック する曜日を指定 即時アップデー トを行う 1ヶ月ごとに更新がないか チェックしたい場合、チェック する日を指定 Proprietary and Confidential www.juniper.net 242 シグネチャパックごとデータベース更新URL Base (ベースシグネチャパック) ※デフォルト • https://services.netscreen.com/restricted/sigupdates Server protection (サーバ防御シグネチャパック) • https://services.netscreen.com/restricted/sigupdates/server Client protection (クライアント防御シグネチャパック) • https://services.netscreen.com/restricted/sigupdates/client Worm Mitigation (ワーム緩和シグネチャパック) • https://services.netscreen.com/restricted/sigupdates/worm Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 243 シグネチャ 定義済みシグネチャとカスタムシグネチャの2種類がある 定義済みシグネチャは “Objects>Attacks>Predefined” でチェック 可能 カスタムシグネチャ名は “CS:”から始まらなければならない • • コンテンツの中身に対して、正規表現を使って生成。 例: • • コンテンツは複数プロトコルの複数要素から選択する 定義済みシグネチャを参考に作ると良い。 • .*¥x00 00 00¥x.* : コンテンツ内に00 00 00という3バイトのダンプがある set attack "CS:HTTP_TEST" http-text-html ".*¥x6a 61 76 61 73 63 72 69 70 74¥x.*" severity critical set attack group CS:TEST set attack group "CS:TEST" add "CS:HTTP_TEST" Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 244 定義済みシグネチャの確認 データ種別 シグネチャ名 •シグネチャ種別 •signature: •ステートフルシグネチャ •anomaly: • プロトコルアノマリ •chain: •チェーン化されたシグネチャ Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential 危険度 •critical: •クラッシュやシステムレベル権限 を得られてしまうような脅威 •high: •サービス中断やユーザレベルの 権限を得られてしまうような脅威 •medium: • 情報漏えいとなるハッキングな ど •low: •重要ではない情報のハッキング など •info: •害の無いエラーなど www.juniper.net 245 シグネチャグループとは? ポリシーにDIシグネチャを割り当てるには、シグネチャグルー プを指定する必要がある。 シグネチャ単体ではポリシーに割り当てられない。 定義済みシグネチャグループはそのままポリシーに割り当て られる。(例:CRITICAL:HTTP:SIGSなど) • 定義済みシグネチャグループ内には、定義済みシグネチャや定 義済みアノマリが入っている。 カスタムシグネチャを生成した場合、カスタムグループに登録 し、カスタムグループをポリシーに割り当てる。 • カスタムグループは “CS:”から始まる名前にしなければならない。 • カスタムグループにはカスタムシグネチャしか入れられない。 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 246 DIのシグネチャを使う設定 以下の設定を行います。 1. カスタムシグネチャを生成します(オプション) 2. カスタムグループを生成し、カスタムシグネチャをグループメ ンバとします。 3. ポリシーに定義済みシグネチャとカスタムシグネチャを割り当 てます。 Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 247 DIを利用する (1) - カスタムシグネチャの設定 2. “New”ボタンをクリック 1. “Security > Deep Inspection > Attacks > Custom” をクリック Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 248 DIを利用する (2) - カスタムシグネチャの設定 1. カスタムシグネチャ名を入力。”CS:” から始まらなければならない。この例で は “CS:HTTP_gif” 2. 攻撃対象のコンテキストを 指定。この例では、HTTPリク エスト。 3. 攻撃パターンを入力。 4. 設定が終わったら “OK” をクリック Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 249 DIを利用する (3) - カスタムグループ生成 新規にカスタムグルー プを生成する場合、ここ をクリック 登録されたカスタムグ ループ名 カスタムグループを編 集する場合、 “Edit” を クリック カスタムグループに登 録されたカスタムシグネ チャ一覧 Copyright © 2007 Juniper Networks, Inc. カスタムグループを削 除する場合、 “Remove” をクリック Proprietary and Confidential www.juniper.net 250 DIを利用する (4) - カスタムグループ生成,編集 1. カスタムグループ名 を入力 カスタムグループに登 録可能なカスタムシグ ネチャ一覧が表示され る。 2. 右側のリストで選択した カスタムシグネチャをカス タムグループに登録する 場合ここをクリック カスタムグループに登 録されたカスタムシグネ チャ一覧が表示される。 3. 設定が終わったら “OK” をクリック Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 251 アタックアクション Close • TCPコネクションに使用 • SSGはコネクションをドロップし、TCP RSTをクライアント(送信側)とサーバ(あて先側)に送る • TCP RSTは信頼性がないが、両側に送ることでいずれかが受信すればよいことになる Close Server • Untrust側のクライアントからTrust側のサーバに入ってくるようなTCPコネクションに適用。TCP RSTをサーバ にだけ送る。 Close Client • Trust側のクライアントからUntrust側のサーバへのTCPコネクションに適用。RSTをクライアントにだけ送る。 Drop • DNSなどのUDPやTCP以外のプロトコルに使用。SSGはパケットをドロップするがTCP RSTは送らない。 Drop Packet • パケットをドロップ Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 252 DIを利用する (5) - DIポリシーの設定 Policiesでの設定 DIを設定するには ここをクリック Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 253 DIを利用する (6) - DIポリシーの設定 2. シグネチャヒット時のアクション として、ドロップ、無視、コネクション クローズなどを選択 1. ポリシーに割り当て るシグネチャグループ を選択 3. ログを残す場合はここ をチェック 4. 選択したグループを下 のリストに加える場合、こ こをクリック 5. 割り当てるシグネチャグルー プを選択し終わったら”OK”をク リック 6. 最後にポリシー設定の “OK” をクリック Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 254 DIを利用する (7) - DI設定ポリシーの確認 AVとDIが両方入って いる場合、このアイコ ンが出る DIのみ設定されてい る場合、このアイコン が出る Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 255 本資料に対するご質問やご意見に関しましては、 下記までお問い合わせください ジュニパーネットワークス株式会社 第二技術本部 セキュリティプロダクトグループ mailto:SSG-info@juniper.net SSG製品のご購入や、技術サポート等に関しましては、製品ご購 入の各代理店様へお問い合わせください。 http://www.juniper.co.jp/company/contactus/ssg.html Copyright © 2007 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 256
© Copyright 2024 Paperzz