APPLICATION NOTE ブランチ向けSRXシリーズおよびJシリーズの コンテンツフィルタリング ブランチ向けSRXシリーズ サービス・ゲートウェイおよび Jシリーズ サービスルーターでのコンテンツフィルタリングの設定 Copyright © 2014, Juniper Networks, Inc. APPLICATION NOTE - ブランチ向けSRXシリーズおよびJシリーズのコンテンツフィルタリング 目次 はじめに . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 本書の目的. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 設計上の考慮事項 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 ハードウェア要件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 ソフトウェア要件. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 説明と導入シナリオ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 機能説明 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 導入シナリオ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4 FTPコマンドフィルタリング. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4 複数のUTMプロファイルの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5 HTTP ActiveX保護 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 モニタリング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .8 まとめ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 ジュニパーネットワークスについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 図目次 図1:UTMポリシー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 図2:UTMポリシーと機能プロファイル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 図3:FTPコマンドフィルタの例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 図4:複数のUTMポリシー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 図5:HTTPフィルタリング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 ii Copyright © 2014, Juniper Networks, Inc. APPLICATION NOTE - ブランチ向けSRXシリーズおよびJシリーズのコンテンツフィルタリング はじめに ここ数年で、HTTP(Hypertext Transfer Protocol)を使用してネットワークプロトコルをカプセル化するアプリ ケーションが出現しつつあります。 この傾向には、いくつかの理由があります。特に、 「一般にHTTPトラフィックが ファイアウォールやプロキシサーバーの通過を許可されるのに対して、 トンネル化されたプロトコルは通常、 ブロッ クされる」 という事実は注目に値します。一般にHTTPは許可されているので、下位層のプロトコルをブロックする ようレイヤー3およびレイヤー4ファイアウォールが設定されている場合でも、組み込みアプリケーションは動作で きます。HTTPのカプセル化は最も一般的な例ですが、許可されている他の一般プロトコルでトンネル化される可 能性もあります。 この結果、 ファイアウォールは、 プロトコルスタックの上位レイヤーを検査する必要に迫られていま す。 本書の目的 ジュニパーネットワークスJunos® OSリリース9.5では、 ジュニパーネットワークスJシリーズ ルーターおよび特定の ジュニパーネットワークスSRXシリーズ サービス・ゲートウェイのUTMサポートが追加されました。 コンテンツフィ ルタリングは、 アンチウィルス、 アンチスパム、Webフィルタリングなどと同様に、 ジュニパーネットワークスのUTM スイートを構成する機能の1つです。下位層のプロトコルによって伝送されたコンテンツに基づいて、 トラフィックを 許可またはブロックする機能を提供します。 設計上の考慮事項 コンテンツフィルタリングの導入を決定する際に、ネットワーク設計者はセキュリティの向上によるパフォーマンス の影響範囲を考慮する必要があります。製品ガイドラインについては、Jシリーズ サービスルーターおよびSRXシ リーズ サービス・ゲートウェイのデータシートを参照してください。 ハードウェア要件 • SRX100、SRX210、SRX240、およびSRX650を含む、 ブランチ向けSRXシリーズ サービス・ゲートウェイ (コンテンツフィルタリングは、ハイエンドのSRXシリーズ プラットフォームでは利用不可) • J2320、J2350、J4350、およびJ6350サービスルーターを含む、Jシリーズ サービスルーター ソフトウェア要件 • サポート対象の全SRXシリーズ サービスゲートウェイ向けJunos OSリリース9.5以降(コンテンツフィルタリ ングは、ハイエンドのSRXシリーズ プラットフォームでは利用不可) • Jシリーズ サービスルーター上のJunos OSバージョン9.5以降 説明と導入シナリオ 機能説明 コンテンツフィルタリングは、以下のパラメータの検査結果に基づいて、 トラフィックの許可またはブロックを可能 にします。 • MIMEパターン • ファイル拡張子 • プロトコルコマンド この機能のサポート範囲は、HTTP、FTP、およびメールプロトコル(SMTP(Simple Mail Transfer Protocol)、 POP3(Post Office Protocol 3)、IMAPなど) です。 さらに、以下の条件に基づいて、HTTPトラフィックも許可ま たは拒否できます。 • ActiveX • Javaアプレット • Cookies • EXEファイル • ZIPファイル コンテンツがブロックされた時点で、ユーザーは以下のどちらかの方法で通知を受けます。1つは、 プロトコルに埋 め込まれたメッセージ(具体的には、FTP、HTTP、 またはメールのエラーメッセージ)をユーザーに送信する方法 です。もう1つは、電子メールで、 メッセージをメールの送信者および/または受信者に送信する方法です。 どちらの 場合も、 メッセージの内容は管理者側で設定できます。 Copyright © 2014, Juniper Networks, Inc. 1 APPLICATION NOTE - ブランチ向けSRXシリーズおよびJシリーズのコンテンツフィルタリング Junos OSバージョン9.5の時点では、文字列のマッチングだけで、許可/ブロック (allow/block) リストのエントリ が比較されます。拡張文字は利用できないので、 ワイルドカード文字はサポートされていません。文字の比較では、 大文字と小文字が区別されません。大文字と小文字のどちらも、そのまま同じ文字として扱われます。 MIMEとプロトコルコマンドのフィルタリングのどちらでも、コンテンツの許可用とブロック用の2つのリストを用 意します。許可リストのコンテンツは、同時にブロックリストのエントリと一致した場合でも転送されます。 この機能 は、MIMEフィルタの作成時に特に役立ちます。たとえば、カテゴリ全体(applications)を拒否しながら、特定のコ ンテンツ(application–MS Word)を許可するような場合です。 この場合、拒否するよう個別に指定されていない コンテンツは、転送されます。 設定 Junos OSのUTM(Unified Threat Management)実装では、 トラフィックを分類し、適切なモジュールに割り当 てて処理するための基準として、セキュリティポリシーを利用しています。実際には、UTM関連の全パラメータを規 定するUTMポリシーがセキュリティポリシーに付随しています。 また、マッチングしたトラフィックは、UTMポリシー の設定に従って、UTMモジュールによって処理されます。 ポリシールックアップ ポリシー1 順序付けされた ルックアップ (送信元/宛先ゾーン 毎にインデックス付加) ポリシーのマッチング ... ポリシーN セキュリティポリシー UTMポリシー UTMポリシーを 指定して トラフィックを アプリケーション サービスに送信 図1:UTMポリシー 同様に、UTMポリシーは、一連のプロトコルを1つまたは複数の機能プロファイルに関連付けます。各プロファイル によって、各機能(アンチウィルス、 コンテンツフィルタリング、 アンチスパム)固有の設定が決定します。本書では、 コ ンテンツフィルタリング機能のみを紹介します。 したがって、本書の例で引用しているUTMポリシーでは、 コンテン ツフィルタリングのプロファイルのみを参照しています。 UTMポリシー ポリシーのマッチング UTMポリシーを 指定して トラフィックを アプリケーション サービスに送信 SMTP IMAP プロファイル プロファイルを (適用可能な) 各プロトコルに 関連付け POP3 HTTP アンチスパムプロファイル AVプロファイル コンテンツフィルタリング プロファイル FTP Webフィルタリングプロファイル プロトコル プロファイル 図2:UTMポリシーと機能プロファイル 2 Copyright © 2014, Juniper Networks, Inc. APPLICATION NOTE - ブランチ向けSRXシリーズおよびJシリーズのコンテンツフィルタリング コンテンツフィルタリングの設定階層は、[security utm feature-profile]の下にあります。以下に例を示します。 content-filtering { profile <name> { permit-command <cmd-list>; block-command <cmd-list>; block-extension <file-ext-list>; block-mime { list <mime-list>; exception <ex-mime-list>; } block-content-type { activex; java-applet; exe; zip; http-cookie; } notification-options { type { protocol-only | message }; not-notify-mail-sender; custom-message <msg>; } } シンプルかつ再利用可能な方法でオブジェクトを識別できるようにするため、 コンテンツフィルタリングでは、異なる 設定プロファイルで繰り返し参照できるよう、パターンリストの作成が可能です。MIME、拡張子、およびコマンドリス トは[security utm custom-objects]階層下で設定され、 ワイルドカード文字を含まない、1文字以上の文字列で 構成されています。 custom-objects { protocol-command <name> { value [<list of commands>]; } mime-pattern <name> { value [<list of commands>]; } filename-extension <name> { value [<list of commands>]; } } Copyright © 2014, Juniper Networks, Inc. 3 APPLICATION NOTE - ブランチ向けSRXシリーズおよびJシリーズのコンテンツフィルタリング 導入シナリオ 以下のセクションでは、いくつかの導入シナリオとともに、関連する設定を紹介します。 FTPコマンドフィルタリング 最初の例では、以下の図に示すように、 シンプルなネットワークから始めます。 Trust Zone Untrust Zone FTPサーバー SRX シリーズ インターネット 図3:FTPコマンドフィルタの例 この設定では、STORコマンドをブロックすることで、 トラストゾーン内のユーザーによるFTPサーバーへのファイル のアップロードを防ぎます。 まず、 プロトコルコマンドリストを定義して、そのプロトコルコマンドリストをコンテンツ フィルタリングプロファイルから参照するよう設定します。 security { utm { custom-objects { protocol-command { ftp-put { value STOR; } } } feature-profile { content-filtering { profile block-ftp-upload { block-command ftp-put; } } } } } コンテンツフィルタリングプロファイルを定義したら、そのコンテンツフィルタリングプロファイルをFTPトラフィック にマッピングするUTMポリシーを作成できます。FTPトラフィックの場合(FTPトラフィックのみ)、 トラフィックの方向 (クライアントからサーバー、 またはこの逆) ごとに異なるプロファイルを適用できるので、 トラフィックの方向が重要 な意味を持ちます。 security { utm { utm-policy ftp-inspect { content-filtering { ftp { upload-profile block-ftp-upload; } } } } } 4 Copyright © 2014, Juniper Networks, Inc. APPLICATION NOTE - ブランチ向けSRXシリーズおよびJシリーズのコンテンツフィルタリング 最後のステップでは、セキュリティポリシーを設定することで、UTMモジュールに送信して処理する対象のトラフィッ クを選択します。 security { policies { from-zone trust to-zone untrust { policy Inspect-Internet-Traffic { match { source-address any; destination-address any; application any; } then { permit { application-services { utm-policy ftp-inspect; } } } } } } } 複数のUTMプロファイルの使用 今度は、ネットワークに2つのゾーンがあり、それぞれ異なるポリシーが必要であるという事例について考えてみま しょう。 トラストゾーンからアントラストゾーンに送信されるトラフィックも、同様にno-uploadプロファイルを使用し ます。 ファイナンスゾーンからのトラフィックはファイルのアップロードを防ぐだけでなく、拡張子ベースのフィルタリ ングによって、実行可能ファイルのダウンロードもブロックします。 Trust Zone Untrust Zone FTPサーバー SRX シリーズ インターネット ファイナンシャル ゾーン 図4:複数のUTMポリシー 新しいUTMとコンテンツフィルタリングポリシーが作成され、実行可能ファイルの拡張子を持つファイルをブロック します(ここで紹介している実行可能ファイルのリストは、対象を網羅しているわけではなく、単に説明用の例として 取り上げています)。 utm { custom-objects { filename-extension { executables { Copyright © 2014, Juniper Networks, Inc. 5 APPLICATION NOTE - ブランチ向けSRXシリーズおよびJシリーズのコンテンツフィルタリング value [ ADE ADP BAS BAT CHM CMD COM CPL CRT DLL DOT EXE HLP HTA INF INS ISP JS JSE LNK MDB MDE MSC MSI MSP MST OCX PCD PIF POT PPT REG SCR SCT SHB SHS SYS URL VB VBE VBS WSC WSF WSH XLT ]; } } } feature-profile { content-filtering { profile block-exe { block-extension executables; } } } utm-policy ftp-block-exe { content-filtering { ftp { upload-profile block-exe; download-profile block-exe; } } } } 前の例と同様に、 トラストゾーンからアントラストゾーンに送信されるトラフィックに対してftp-inspectポリシーを 適用します。 さらに、新しく作成したftp-block-exeポリシーは、 ファイナンスゾーンとアントラストゾーンの間のトラ フィックに対して適用されます。 policies { from-zone trust to-zone untrust { policy Inspect-Internet-Traffic { match { source-address any; destination-address any; application any; } then { permit { application-services { utm-policy ftp-inspect; } } } } } from-zone finance to-zone untrust { policy allow-all-block-executables { match { source-address any; destination-address any; application any; } then { permit { application-services { utm-policy ftp-block-exe; } } } } } } 6 Copyright © 2014, Juniper Networks, Inc. APPLICATION NOTE - ブランチ向けSRXシリーズおよびJシリーズのコンテンツフィルタリング HTTP ActiveX保護 ActiveXやJavaのコンポーネントは、悪意のあるコードをクライアントマシン上で実行する目的で使用される場合 があるので、事例によっては、 このようなコンポーネントを使用するサイトへのユーザーアクセスを禁止することが 推奨されます。以下の設定の例では、ActiveXおよびJavaがブロックされ、攻撃の意図のあるコンポーネントがポリ シーによってブロックされたことを通知するエラーメッセージのページが生成されます。 Trust Zone Untrust Zone Webサーバー SRX シリーズ インターネット 図5:HTTPフィルタリング policies { from-zone trust to-zone untrust { policy block-http-components { match { source-address any; destination-address any; application any; } then { permit { application-services { utm-policy block-http-components; } } } } } policy-rematch; } utm { feature-profile { content-filtering { profile block-http-components { block-content-type { activex; java-applet; } notification-options { custom-message “You are not allowed to view pages that use ActiveX or Java components.”; } } } } utm-policy block-http-components { content-filtering { http-profile block-http-components; } } } Copyright © 2014, Juniper Networks, Inc. 7 APPLICATION NOTE - ブランチ向けSRXシリーズおよびJシリーズのコンテンツフィルタリング モニタリング コンテンツフィルタリングのエンジンによってブロックされた対象の概要を確認するには、show security utm content-filtering statisticsコマンドを実行します。 show security utm content-filtering statistics Content-filtering-statistic: Base on command list: Base on mime list: Base on extension list: ActiveX plugin: Java applet: EXE files: ZIP files: HTTP cookie: Blocked 1 0 0 0 0 0 0 2 このコマンドは、正しいセキュリティポリシー(UTMプロファイルの適用対象)によってトラフィックが実際に処理さ れていることを確認する場合にも役立ちます。show security flow sessionコマンドはセッションテーブルを参照し て、特定のトラフィックを処理しているポリシーを確認します。 show security flow session Session ID:991, Policy name: block-http-components/4, Timeout:1798 In:10.1.1.11/60697 --> 74.125.19.103/80;tcp, If: fe-0/0/5.0 Out:74.125.19.103/80 --> 172.19.101.42/1127;tcp, If: fe-0/0/7.0 まとめ Junos OS 9.5に導入されたコンテンツフィルタリング機能は、SRXシリーズ サービス・ゲートウェイまたはJシリー ズ サービスルーターから転送されたアプリケーションレイヤーのトラフィックを確認してコントロールする手順を簡 素化します。 この機能は、データ損失を防ぐための基盤を提供します。データの窃盗による攻撃が増加している現状 では、 この機能の重要度が増しています。 ジュニパーネットワークスについて ジュニパーネットワークスは、ネットワークイノベーション企業です。デバイスからデータセンター、消費者からクラウ ド事業者にいたるまで、 ジュニパーネットワークスは、ネットワーキング体験とビジネスを変革するソフトウェア、 シリ コン、 システムを提供しています。 ジュニパーネットワークスに関する詳細な情報は、以下をご覧ください。 http://www.juniper.net/jp/ 、Twitter 、Facebook 日本 米国本社 アジアパシフィック、 ヨーロッパ、中東、 アフリカ ジュニパーネットワークス株式会社 Juniper Networks, Inc. Juniper Networks International B.V. 東京本社 〒163-1445 東京都新宿区西新宿3-20-2 東京オペラシティタワー45F 1194 North Mathilda Ave Sunnyvale, CA 94089 USA Boeing Avenue 240 1119 PZ Schiphol-Rijk Amsterdam, The Netherlands 電話 電話 FAX 電話 FAX 03-5333-7400 03-5333-7401 西日本事務所 〒541-0041 大阪府大阪市中央区北浜1-1-27 グランクリュ大阪北浜 URL http://www.juniper.net/jp/ 888-JUNIPER (888-586-4737) または 408-745-2000 FAX 408-745-2100 URL 31-0-207-125-700 31-0-207-125-701 http://www.juniper.net Copyright© 2013, Juniper Networks, Inc. All rights reserved. Juniper Networks、Junos、QFabric、Juniper Networksロゴは、米国およびその他の国におけるJuniper Networks, Inc.の登録 商標または商標です。 また、その他記載されているすべての商標、サービスマーク、登録商標、登録サービスマークは、各所有者に所 有権があります。 ジュニパーネットワークスは、本資料の記載内容に誤りがあった場合、一切責任を負いません。 ジュニパーネットワ ークスは、本発行物を予告なく変更、修正、転載、 または改訂する権利を有します。 3500149-002 JP Apr 2014 8 Copyright © 2014, Juniper Networks, Inc.
© Copyright 2024 Paperzz