J-Web UTM Antivirusを使用してウイルス攻撃を防止
概要 Unified Threat Managementアンチウィルス保護の概要と、UTMアンチウィルスを設定してJ-Webを使用してSRXシリーズデバイスへのウイルス攻撃を防止する方法について説明します。SRXシリーズデバイス上のUTMアンチウィルス機能は、ネットワークトラフィックをスキャンして、ウイルス攻撃からネットワークを保護し、ウイルスの拡散を防ぎます。
UTM アンチウィルスの概要
サイバーセキュリティの脅威が進化し、より巧妙になっている今日の世界では、ウイルス攻撃からネットワークを保護することが極めて重要になっています。ウイルス、ワーム、およびマルウェアは、ファイルの損傷や削除、個人データのハッキング、システム パフォーマンスへの影響、ハード ディスクの再フォーマット、コンピューターを使用した他のコンピューターへのウイルスの送信など、望ましくない悪意のある行為を実行します。UTM アンチウィルス ソフトウェアは、このようなセキュリティ上の脅威に対する防御の第一線として機能し、ネットワーク内へのウイルスの拡散を防ぎます。ウイルス攻撃、望ましくないコンピューターマルウェア、スパイウェア、ルートキット、ワーム、フィッシング攻撃、スパム攻撃、トロイの木馬などからネットワークを保護します。
ウイルス対策ソフトウェアとウィルスパターンデータベースが最新であることを常に確認してください。
ジュニパーネットワークスは、以下のUTMアンチウィルスソリューションを提供しています。
-
デバイス上のアンチウィルス保護
オンデバイスアンチウイルスは、オンボックスソリューションです。デバイス上のアンチウィルス検索エンジンは、デバイスにローカルに保存されているウイルスパターンデータベースにアクセスしてデータをスキャンします。これは、別途ライセンスされたサブスクリプションサービスを通じて利用できる完全なファイルベースのウイルス対策スキャン機能を提供します。
手記:-
デバイス上のExpressまたはKasperskyスキャンエンジンは、Junos OS リリース15.1X49-D10以降ではサポートされていません。ただし、Junos OS リリース 12.3X48 には引き続き適用できます。
-
Junos OS リリース 18.4R1 以降、SRXシリーズ デバイスは Avira オンデバイス アンチウィルス スキャン エンジンをサポートしています。
-
Avira オンデバイス アンチウィルス スキャン エンジンは、SRX300、SRX320、SRX340、SRX345、SRX380、SRX550 HM デバイスではサポートされていません。
-
-
ソフォスのウイルス対策
Sophosアンチウイルスは、クラウド内のアンチウイルスソリューションです。ウイルスパターンファイルおよび不正プログラムデータベースは、ソフォス (Sophos Extensible List) サーバーが管理する外部サーバー上にあります。また、ソフォスのウイルス対策スキャナは、ローカルの内部キャッシュを使用して、外部リストサーバーからのクエリ応答を維持します。ソフォスのアンチウィルススキャンは、完全なファイルベースのアンチウィルス機能に代わる、CPU負荷の少ないソリューションです。
UTMアンチウイルスの利点
-
デバイス上のウイルス対策ソリューション:
-
サーバーに接続せずにアプリケーショントラフィックをローカルでスキャンし、アプリケーショントラフィックにウイルスが含まれているかどうかを照会します。
-
パターンデータベースがローカルに保存され、スキャンエンジンがデバイス上にあるため、処理の遅延が最小限に抑えられます。
-
-
ソフォスのアンチウィルスソリューション:
-
ウイルスパターンファイルおよび不正プログラムデータベースは、ソフォスが管理する外部サーバー上にあるため、ジュニパー製デバイス上で大規模なパターンファイルデータベースをダウンロードして維持することを回避できます。
-
ソフォスのウイルス対策スキャナは、ローカルの内部キャッシュを使用して外部リストサーバーからのクエリ応答を維持するため、検索パフォーマンスが向上します。
-
Uniform Resource Identifier(URI)チェック機能を使用して、悪意のあるコンテンツがエンドポイントのクライアントまたはサーバーに到達するのを効果的に防止します。
-
アンチウィルスワークフロー
スコープ
Juniper Web(J-Web)デバイス マネージャーは、SRXシリーズ デバイスで UTM アンチウィルス ソリューションをサポートします。この例では、ソフォスのウイルス対策保護を使用して次のことを行います。
-
サーバー(10.102.70.89)からコンピューターへのHTTPおよびFTPトラフィックをスキャンして、ウイルス攻撃を検出します。
-
トラフィックのスキャン中にウイルスが見つかった場合に表示されるカスタム メッセージ Virus Found! を定義します。
-
AV スキャンがスキップされる許可リスト URL (http://10.102.70.89) を作成します。
手記:サンプル URL にルーティングできる必要があることを前提としています。
始める前に
-
ソフォスのアンチウイルスライセンスとアプリケーション識別機能の有効なライセンスをインストールしてください。 インストールおよびアップグレード ガイド、 ライセンス管理ガイド、および ライセンス ユーザー ガイドを参照してください。
-
アプリケーションを識別するために、アプリケーション署名パッケージをインストールします。 セキュリティデバイス向けアプリケーションセキュリティユーザーガイドを参照してください。
-
この例で使用するSRXシリーズデバイスがJunos OS リリース20.4R1を実行していることを確認します。
位相幾何学
この例で使用されたトポロジーは、インターネットとサーバーにアクセスできるUTM対応SRXシリーズデバイスに接続されたPCで構成されています。J-Web を使用して、この簡単なセットアップでサーバーに送信された HTTP 要求と FTP 要求をスキャンします。次に、ソフォスのウイルス対策保護を使用して、サーバーから PC へのウイルス攻撃を防ぎます。
ビデオ
J-Webを使用してUTMアンチウイルスを設定する方法については、以下の動画をご覧ください。
スニークピーク – J-Web UTM アンチウィルスの構成手順
| 歩 |
アクション |
|---|---|
| ステップ1 |
ソフォスのエンジンを「デフォルト設定」で設定します。 ここでは、まず「デフォルト設定」でデフォルトエンジンをソフォスとして定義します。 |
| ステップ 2 |
アンチウイルスカスタムオブジェクトを設定します。 ここでは、ウイルス対策スキャンによってバイパスされる URL またはアドレスの URL パターン リスト (許可リスト) を定義します。URL パターン リストを作成したら、カスタム URLカテゴリ リストを作成し、それにパターン リストを追加します。 |
| ステップ 3 |
ソフォスのエンジンを使用してウイルス対策機能プロファイルを設定します。 デフォルト設定の後、ウイルス対策プロファイルでウイルス スキャンに使用するパラメータを定義します。
手記:
ウイルス対策プロファイルを作成する前に、DNS サーバーを構成する必要があります。DNSサーバを設定するには、[デバイス管理>基本設定>システムアイデンティティ>DNSサーバに移動します。 |
| ステップ 4 |
Sophos アンチウィルスの UTM ポリシーを作成し、アンチウィルスプロファイルを UTM ポリシーに適用します。 ここでは、UTM ポリシーを使用して、一連のプロトコル (HTTP など) を Sophos UTM 機能プロファイルにバインドします。別のプロファイルを作成するか、imap-profile、pop3-profile、smtp-profile などの他のプロトコルをプロファイルに追加することで、他のプロトコルもスキャンできます。 |
| ステップ 5 |
Sophos アンチウイルスのセキュリティポリシーを作成し、UTM ポリシーをセキュリティポリシーに割り当てます。 ここでは、セキュリティ ファイアウォールとウイルス対策プロファイルの設定を使用して、trust ゾーン(trust)から untrust ゾーン(インターネット)へのトラフィックをスキャンします。 |
| ステップ 6 |
許可リスト URL (http://10.102.70.89) から URL にアクセスし、10.102.70.89 サーバーで使用できるテスト ウイルス ファイル (eicar.txt) をダウンロードしてみてください。 |
ステップ1:ウイルス対策のデフォルト設定を更新する
現在地: セキュリティ サービス > UTM > デフォルト設定.
このステップでは、 Sophos Engine をデフォルトのエンジンタイプとして設定します。
既定のウイルス対策プロファイルを更新するには:
- 表 2 の「アクション」列にリストされているタスクを実行します。
表 2: 既定の構成設定 畑
アクション
種類
ウイルス対策の Sophos Engine の種類を選択します。
URL ホワイトリスト
[ なし] を選択します。
MIME ホワイトリスト リスト
[ なし] を選択します。
例外
[ なし] を選択します。
図1:デフォルトのアンチウイルス構成
ステップ 2: ウイルス対策カスタム オブジェクトを構成する
ステップ 2a: バイパスする URL パターン リストを構成する
この手順では、ウイルス対策スキャンによってバイパスされる URL またはアドレスの URL パターン リスト (セーフリスト) を定義します。
現在地 (J-Web UI): セキュリティ サービス > UTM > カスタムオブジェクト。
URL のセーフリストを設定するには、次の手順を実行します。
- 表 3 の「アクション」列にリストされているタスクを実行します。
表 3:URL パターン リストの設定 畑
アクション
名前
「 av-url-pattern」と入力します。
手記:文字またはアンダースコアで始まり、英数字とダッシュやアンダースコアなどの特殊文字で構成される文字列を使用します。最大 29 文字を使用できます。
価値
-
[+] をクリックして URL パターン値を追加します。
-
「 http://10.102.70.89」と入力します。
-
チェックマークアイコンをクリックします。
図 2: URL パターン リストの追加
-
よく出来ました!設定の結果は次のとおりです。
手順 2b: 許可する URL を分類する
次に、作成した URL パターンを URLカテゴリ リストに割り当てます。カテゴリ リストは、マッピングのアクションを定義します。たとえば、 セーフリスト カテゴリを許可する必要があります。
現在地: セキュリティ サービス > UTM > カスタムオブジェクト。
URL を分類するには:
- 表 4 の「アクション」列にリストされているタスクを実行します。
表 4:URL カテゴリ リストの設定 畑
アクション
名前
セーフリストに登録された URL パターンのURLカテゴリリスト名として「 av-url 」と入力します。
手記:文字またはアンダースコアで始まり、英数字とダッシュやアンダースコアなどの特殊文字で構成される文字列を使用します。最大 59 文字を使用できます。
URL パターン
[使用可能(Available)] 列から URL パターン値 [av-url-pattern ] を選択し、右矢印をクリックして URL パターン値を [選択済み(Selected)] 列に移動します。これにより、URL パターン値 av-url-pattern が URLカテゴリ リスト av-url に関連付けられます。
図 3: [Add URL Category List]
- [OK] をクリックして、カテゴリ リストの構成を保存します。
よく出来ました!設定の結果は次のとおりです。
手順 3: アンチウイルスプロファイルを作成する
現在地: セキュリティ サービス > UTM > アンチウィルス プロファイル。
このステップでは、新しいUTMアンチウィルスプロファイルを作成し、作成したURLオブジェクト(パターンとカテゴリー)をプロファイルに参照して、通知の詳細を指定します。
新しいウイルス対策プロファイルを作成するには、次の手順を実行します。
- 表 5 の「アクション」列にリストされているタスクを実行します。
表 5: アンチウイルスプロファイル設定 畑
アクション
全般 名前
新しいウイルス対策プロファイルの「 av-profile 」を入力します。
手記:最大 29 文字を使用できます。
URL許可リスト
ドロップダウン リストから [av-url ] を選択します。
フォールバックオプション コンテンツ サイズ
[ログと許可] を選択します。
デフォルトアクション
[ログと許可] を選択します。
通知オプション ウイルス検出
[ メール送信に通知] を選択します。
通知のタイプ
[ メッセージ] を選択します。
カスタムメッセージの件名
「 ***Antivirus Alert***」と入力します。
カスタムメッセージ
「 Virus Found !」と入力します。
図4:アンチウイルスプロファイルの作成一般設定
図5:アンチウイルスプロファイルの作成通知設定
- 構成に成功したというメッセージが表示されたら、[閉じる] をクリックします。
よく出来ました!設定の結果は次のとおりです。
ステップ 4: アンチウイルスプロファイルを UTM ポリシーに適用する
ウイルス対策機能プロファイルを作成したら、ウイルス対策スキャン プロトコルの UTM ポリシーを構成し、このポリシーを 「手順 3: アンチウイルスプロファイルを作成する」で作成したウイルス対策プロファイルにアタッチします。この例では、HTTP トラフィックと FTP トラフィックをスキャンしてウイルスを検出します。
You are here: セキュリティ サービス > UTM > UTM Policies.
UTMポリシーを作成するには:
- 構成に成功したというメッセージが表示されたら、[閉じる] をクリックします。
もうすぐです!設定の結果は次のとおりです。
ステップ 5: UTM ポリシーをセキュリティ ファイアウォール ポリシーに割り当てる
このステップでは、機能プロファイル設定を使用して、trust ゾーン (trust) から untrust ゾーン (インターネット) に通過するトラフィックをソフォスのウイルス対策ソフトウェアでスキャンするファイアウォールセキュリティポリシーを作成します。
UTM 設定をセキュリティ ポリシーの trust ゾーンから internet ゾーンにまだ割り当てていません。フィルタリング アクションは、一致条件として機能するセキュリティ ポリシー ルールに UTM ポリシーを割り当てた後にのみ実行されます。
セキュリティ ポリシー ルールが許可されている場合、SRXシリーズデバイスは以下を実行します。
-
HTTP 接続をインターセプトし、(HTTP 要求内の) 各 URL または IP アドレスを抽出します。
手記:HTTPS接続の場合、ウイルス対策はSSLフォワードプロキシを介してサポートされます。
-
[アンチウイルス (UTM > デフォルト設定セキュリティ サービス>)] で、ユーザーが設定したセーフリスト内の URL を検索します。その後、URL がユーザー設定のセーフリストに含まれている場合、デバイスはその URL を許可します。
-
アンチウイルスプロファイルで構成されたデフォルトのアクションに基づいて、URLを許可またはブロックします(カテゴリが構成されていない場合)。
現在地: セキュリティポリシーとオブジェクト > セキュリティポリシー.
UTM ポリシーのセキュリティ ポリシー ルールを作成するには、以下を実行してください。
- チェックマークアイコンをクリックして、変更を保存します。
よく出来ました!設定の結果は次のとおりです。
ステップ 6: UTM アンチウイルスが動作していることを確認する
目的
設定したUTMアンチウィルスが、許可リストサーバからのトラフィックを許可し、サーバからのウイルス攻撃を防止していることを確認します。
アクション
-
PC を使用して、http://10.102.70.89 に HTTP 要求を送信します。
よく出来ました!http://10.102.70.89 サーバーにアクセスできます。
-
PC を使用して、10.102.70.89 サーバーに FTP リクエストを送信し、eicar.txtファイルをダウンロードします。eicar.txtファイルは、10.102.70.89サーバーで使用できるテストウイルスファイルです。
すみません!SRXシリーズデバイスがファイルのダウンロードをブロックし、「 アンチウイルスアラート***- ウイルスが見つかりました!」というカスタムブロックメッセージを送信しました。
以下は、eicar.txtファイルをダウンロードしようとすると、SRXシリーズ Firewallがウイルス警告を送信した場合の出力例です。
[centos-01 ~]$ ftp 10.102.70.89 Connected to 10.102.70.89 (10.102.70.89). 220 XX FTP server (Version 6.00LS) ready. Name (10.102.70.89:lab): root 331 Password required for root. Password: 230 User root logged in. Remote system type is UNIX. Using binary mode to transfer files. ftp> get eicar.txt local: eicar.txt remote: eicar.txt 227 Entering Passive Mode (10,102,70,89,197,55) 150 Opening BINARY mode data connection for 'eicar.txt' (70 bytes). netin: Connection reset by peer 426 10.102.70.89:21->10.0.1.1:36240 ***Antivirus Alert***- Virus Found!
次に、脅威を検出した場合のアンチウイルスの統計出力の例を示します。
[edit] root@srx> show security utm anti-virus statistics UTM Anti Virus statistics: Intelligent-prescreening passed: 0 MIME-whitelist passed: 0 URL-whitelist passed: 1 Session abort: 0 Scan Request: Total Clean Threat-found Fallback 2 0 1 0 Fallback: Log-and-Permit Block Permit Engine not ready: 0 0 0 Out of resources: 0 0 0 Timeout: 0 0 0 Maximum content size: 0 0 0 Too many requests: 0 0 0 Decompress error: 0 0 0 Others: 0 0 0
【今後の予定】
| あなたが望むなら |
そうしたら |
|---|---|
| UTM アンチウィルスの詳細と統計を監視する |
J-Web で、[> セキュリティ サービス > UTM > Anti Virusを監視する] に移動します。 |
| 許可およびブロックされたURLに関するレポートを生成および表示する |
レポートを生成して表示するには、次のようにします。
|
| UTM機能の詳細 |
『Unified Threat Managementユーザーガイド』を参照してください。 |
設定出力の例
このセクションでは、この例で定義された Web サイトからのウイルス攻撃をブロックする構成の例を示します。
以下のUTM設定は、 [edit security utm] 階層レベルで設定します。
[edit security utm]階層レベルでのカスタムオブジェクトの作成:
custom-objects {
url-pattern {
av-url-pattern {
value http://10.102.70.89 ;
}
}
custom-url-category {
av-url {
value av-url-pattern;
}
}
}
[edit security utm] 階層レベルでのアンチウイルス プロファイルの作成:
default-configuration {
anti-virus {
type sophos-engine;
}
}
feature-profile {
anti-virus {
profile av-profile {
notification-options {
virus-detection {
type message;
notify-mail-sender;
custom-message “Virus-Found!”;
custom-message-subject “***Antivirus Alert***”;
}
}
}
}
}
UTMポリシーの作成:
utm-policy av-policy {
anti-virus {
http-profile av-profile;
ftp {
upload-profile av-profile;
download-profile av-profile;
}
}
}
[edit security policies]階層レベルでのセキュリティポリシーのルールの作成:
from-zone trust to-zone internet {
policy av-security-policy {
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
application-services {
utm-policy av-policy;
}
}
}
}
}