この文書は Symantec Endpoint Protection ネットワーク脅威防止 (ファイアウォール) の概要とベストプラクティスホワイトペーパーについて説明します。
プライベートネットワークのコンピュータがインターネットに接続すると、そのネットワークは無数の未知のネットワークに物理的に接続されます。ほとんどの接続はコンピュータやネットワークに脅威を与えませんが、その他の接続は、保護されていないコンピュータを経由してネットワークに侵入しようとする可能性があります。攻撃が成功すれば、機密情報の漏洩、生産性の停止、ひいては評判やブランド価値の失墜につながる可能性があります。
エンドポイントコンピュータにインストールされるファイアウォールは、コンピュータとインターネットを含む外部ネットワークとの間に障壁を作ることで、このような攻撃から保護します。この文書では、シマンテックのネットワーク脅威防止 (またはクライアントファイアウォール) コンポーネントに焦点を当てます。具体的には、クライアントファイアウォールの目的、ファイアウォールポリシーの要素、ファイアウォールルールの処理方法、ネットワークにファイアウォールポリシーを実装するためのベストプラクティスアプローチについて説明します。
ファイアウォールは、強制するポリシーによってのみ有効です。不適切に構築されたポリシーは、信頼できるソースが必要なリソースにアクセスするのを妨げ、攻撃者を効果的に侵入させる可能性があります。クライアントファイアウォールを設定する前に、ファイアウォールがどのようにルールを処理するか、効果的にルールを作成する方法(パフォーマンスを最大化しながら保護する)、ファイアウォールが Symantec Endpoint Protection の他のコンポーネントとどのように相互作用するかを理解しておく必要があります。
Symantec Endpoint Protection は、エンドポイントコンピューティングデバイスをウイルス、脅威、リスクから保護し、エンドポイントコンピューティングデバイスに 3 つの保護レイヤーを提供します。このレイヤーは、ネットワークとホストエクスプロイトの緩和機能、プロアクティブ脅威防止、ウイルスとスパイウェアの保護の 3 つのレイヤーです。ネットワークとホストのエクスプロイト緩和機能は、ルールとシグネチャを使用して、脅威がコンピュータにアクセスするのをブロックします。プロアクティブ脅威防止は、脅威の行動に基づいて脅威を特定し、緩和します。ウイルスとスパイウェアの保護は、シマンテックシグネチャを使用して、お客様のコンピュータにアクセスしようとする、またはアクセスした脅威を識別し、軽減します。Symantec Endpoint Protection クライアントファイアウォールは、コンピュータと外部ネットワークとの間に障壁を提供します。クライアントファイアウォールは、権限のないユーザーがコンピュータやインターネットに接続するネットワークにアクセスすることを防ぎ、ハッカーの攻撃の可能性を検出し、個人情報を保護し、ネットワークトラフィックの不要なソースを排除します。また、ファイアウォールはボットなどのネットワーク脅威やネットワーク内で増殖しようとするマルウェアから保護します。クライアントコンピュータに出入りする情報はすべて、情報パケットを検査するクライアントファイアウォールを通過する必要があります。クライアントファイアウォールは、指定されたセキュリティ基準を満たさないパケットをブロックします。
ファイアウォールポリシーは、ユーザーのネットワークへのアクセスを許可またはブロックするために連携する 1 つまたは複数のルールで構成されています。ファイアウォールポリシーには、以下の要素があります。
ファイアウォールルールは、悪意のある送信トラフィックだけでなく、悪意のある受信トラフィックやアプリケーションからクライアントコンピュータを保護する方法を制御します。ファイアウォールルールは、インターネット上の他者からコンピュータを見えなくし、リモートユーザーをハッカーの攻撃から保護し、ハッカーがこれらのコンピュータを介して企業ネットワークにバックドアでアクセスするのを防ぐことができます。
スマートトラフィックフィルタは、DHCP、DNS、WINS など、ほとんどのネットワークで必要とされる特定の種類のトラフィックを許可します。追加のトラフィック機能を有効にするトラフィックおよびステルス設定の例としては、ドライバレベルの保護、NetBIOS 保護、トークンリングトラフィック、DNS 逆引き、ステルスモード設定などがあります。一般に、ファイアウォールルールは、ネットワーク接続を許可または拒否する条件を記述します。
ファイアウォールルールの条件を定義するには、次のファイアウォールコンポーネントを使用します。
ファイアウォールルールの基準を定義するには、以下のファイアウォールコンポーネントを使用します。
ファイアウォールは、ステートフルインスペクションを採用しています。ステートフルインスペクションは、現在許可されている接続を追跡するプロセスです。宛先 IP アドレス、ポート、アプリケーションの一意の組み合わせにより、接続を識別します。
クライアントは、接続情報を使用してトラフィックフローの決定を行います。新たに受信したパケットが既存の許可された接続と一致する場合、そのパケットはルール検査プロセスを経ません。パケットは自動的に許可されます。さらに重要なことは、ステートフルインスペクションによって、ルールベースの簡素化が可能になることです。一方向にのみ開始されるトラフィックの場合、両方向のトラフィックを許可するルールを作成する必要はありません。通常、一方向に開始されるクライアントトラフィックには、Telnet(ポート23)、HTTP(ポート80)、 HTTPS(ポート443)などがあります。これらのプロトコルの場合、アウトバウンドルールのみを作成すると、SEP クライアントによって自動的にレスポンスが許可されます。
ファイアウォールテーブルの各ルールには、自動的に優先番号が割り当てられます。ルール番号は、ルールの処理順序を決定します。Symantec Endpoint Protection クライアントファイアウォールは、ルール番号 1 から順番にファイアウォール ルール セットを処理します。
ルールの重要度 (0 から 15) は、トリガーされたときにルールがどの程度重要であるかを決定します。
ルールはいかなる方法でも論理的に結合されておらず、ファイアウォールはベストフィットアルゴリズムを実装していません。このシナリオでは、単純なトラフィックのマッチング以上のルール選択ロジックを考慮する必要がないため、ルールセットの設計とトラブルシューティングがよりシンプルになります。
ファイアウォールのルールセットには、青い分割線が含まれています。
ルールは、サーバールールとクライアントルールに分類されます。サーバールールは管理サーバーで作成され、クライアントにダウンロードされます。クライアントルールは、ユーザーがクライアント上で作成するルールのことです。
以下は、クライアントユーザーの制御レベルと、ファイアウォール規則に関するユーザーの相互作用の関係を示しています。
混合制御のクライアントの場合、ファイアウォールはサーバー規則とクライアント規則を特定の順序で処理します。高い優先順位を持つサーバー ルールが最初に処理されます。クライアント ルールは 2 番目に処理され、優先度の低いサーバー ルールは最後に処理されます。
ユーザーがすべてのトラフィックを許可するクライアント規則を作成し、この規則が青線より下のすべてのサーバー規則を上書きすることができるため、クライアントを混合制御に設定する場合は注意してください。
ファイアウォールは、許可、拒否、ブロックとログ、ログのみに分類されるデフォルトのルールがインストールされています。デフォルトのルールは、必要に応じて有効または無効にすることができます。
許可ルールには、フラグメントパケットと Wireless Extensible Authentication Protocol Over LANS (Wireless EAPOL) が含まれます。ワイヤレス EAPOL は、現在 802.1x ワイヤレスを含むイーサネットライク LAN と、トークンリング LAN (FDDI を含む) 用に定義されています。
また MS リモートアクセスとルーティング ARP ドライバ、すべての発信ビジネスアプリケーション、すべての発信 ping、pong、tracert および VPN が許可されています。
拒否のルールには、IPv6、IPv6 over IPv4、ローカルファイル共有およびリモート管理のブロックが含まれます。
ログ取得のルールは以下の通りです: ブロードキャストおよびマルチキャストトラフィックを記録しない、IP トラフィックをブロックして記録する、その他のすべてのトラフィックをブロックする。
スマートトラフィックフィルタリングは、必要不可欠なネットワークサービスの使用を、それらのサービスを明示的に許可するルールを定義することなく可能にします。
スマートフィルターはデフォルトで有効になっており、次のサービスに対して定義されています。
スマートフィルターは、ルールセットの審査の前に評価されます。つまり、スマートフィルターに一致するすべてのパケットが許可されます。それ以外は拒否されます。DHCP、DNS または WINSのリクエストは、クライアントコンピュータから発信され、応答は事前に定義された 5 秒以内に発生しなければなりません。サーバは応答を送信し、その応答の種類が元のクライアントの要求に関連して有効であることが検証されます。
スマート DHCP は、ルールを定義せずに通常の DHCP ブロードキャストメッセージングを可能にします。クライアントの DHCP メッセージは、IP アドレスを自動的に取得するように設定されなければなりません。
スマートフィルタが DHCP 交換メッセージを処理する方法:
DNS リクエストを送信するインターフェースは、TCP/IP 設定において、プライマリー DNS サーバーおよびオプションでセカンダリー DNS サーバーを設定しなければなりません。プライマリーサーバーとセカンダリーサーバーの割り当ては、手動で設定するか、DHCP アドレスを使用して受信することができます。クライアントから開始され、指定されたプライマリまたはセカンダリ DNS サーバーに宛てられた要求のみが許可されます。それ以外の DNS リクエストは自動的に拒否されます。
スマート WINS は WINS サービスを使用することを可能にします。WINS リクエストは、TCP/IP の詳細設定で WINS 解決を使用するように設定する必要があります。プライマリーサーバーとセカンダリーサーバーの指定に制限される DNS とは異なり、WINS サーバーはいくつでも定義することができます。クライアントから開始され、定義済みの WINS サーバーを宛先とするリクエストのみが許可されます。それ以外の WINS リクエストは自動的に拒否されます。クライアントの解決要求によって、5 秒間の応答ウィンドウが定義された新しいスマートフィルタがリストに追加されます。勧誘されたサーバーは応答しなければならず、その応答は指定された時間内に受け取られなければなりません。応答の内容は、元のリクエストに対しても検証され、無効なレスポンスは無視されます。
クライアントでトラフィック設定を有効にすると、ドライバー、NetBIOS、トークンリングを介して通信するトラフィックを検出し、ブロックすることができます。また、より目に見えない攻撃を使用するトラフィックを検出するための設定も可能です。
トラフィック設定には、以下のものがあります。
ステルス設定を行う場合、設定によっては Web サイトのレンダリングが正しく行われないことがあることに注意してください。また、互換性のない NIC カードが装着されている場合、すべてのトラフィックがブロックされる可能性があります。トラフィック設定とは異なり、すべてのステルス設定は無効になります。
以下のステルス設定が可能です。
以下は、すべてのネットワーク脅威防止の要素が処理される順序を示しています。これらの要素には、トラフィックとステルス設定が含まれます。
侵入防止システム (IPS) は、ファイアウォールに次ぐクライアントの防御層です。侵入防止システムはネットワークベースのシステムで、クライアントがインストールされ侵入防止システムが有効になっているすべてのコンピュータで動作します。既知の攻撃が検出された場合、1 つまたは複数の侵入防止技術が自動的に攻撃をブロックすることができます。
クライアントには、侵入攻撃を許可する可能性が低いスマートな攻撃シグネチャが含まれています。また、クライアントにはすべての受信および送信トラフィックを追跡するステートフルエンジンも含まれています。クライアントには、侵入防止エンジンとそれに対応する攻撃シグネチャのセットがデフォルトで含まれています。
クライアントで特定のタイプの侵入防止攻撃をブロックすることができますが、これは選択した侵入防御の設定に依存します。たとえば、Symantec 侵入防止シグネチャエンジンおよびカスタム侵入防止シグネチャエンジンを有効にするには [侵入防止を有効にする] 設定を有効にする必要があります。
以下の侵入防止設定を構成することができます。
なおクライアントを混合制御に設定した場合は [クライアント/サーバー制御の設定] ダイアログボックスでこれらの設定も有効にする必要があります。
ファイアウォールポリシーをネットワーク全体に適用する前に、ネットワークを代表するクライアントの小規模なサブセットにポリシーを適用する必要があります。可能であれば、最初にテスト環境でポリシーを適用する必要があります。Symantec Endpoint Protection は、お客様が構築するための基礎としてデフォルトのファイアウォールポリシーを提供します。ほとんどの場合、ネットワークのアーキテクチャと会社のセキュリティポリシーに対応するために、デフォルトのファイアウォールポリシーを変更する必要があります。
ファイアウォールはステートフルインスペクションを使用しているため、ルールの作成とメンテナンスが簡単で、クライアントコンピュータは保護された状態で必要な接続を行うことができます。ファイアウォールルールに基づかないファイアウォールポリシーのコンポーネントも、クライアントコンピュータを保護します。これらのコンポーネントには、侵入防止とスマートトラフィックフィルタが含まれます。
ネットワークにファイアウォールポリシーを適用する準備ができたら、次の手順に従ってください。
他のネットワーク脅威防止機能をどのように設定するかにかかわらず、侵入防止を有効にすることで、多くのネットワーク攻撃からクライアントとサーバーを保護することができます。侵入防止は、既知の攻撃をブロックする効果的な方法です。新しい攻撃に対するシグネチャが作成されると、LiveUpdate を通じて侵入防止シグネチャを更新することで、コンピュータを保護することができます。さらに、カスタムの侵入防止シグネチャを作成し、ファイアウォールが最初に処理するようにすることができます。
デフォルトのファイアウォールポリシーでは、企業が事業活動を行う上で必要なトラフィックを遮断してしまう可能性があります。この可能性を回避するために、デフォルトのポリシーをより寛容になるように変更する必要があります。
次のいずれかの変更を行うことで、デフォルトのポリシーをより緩和することができます。
変更したファイアウォールポリシーを適用した後、Symantec Endpoint Protection Manager コンソールから、クライアントコンピュータを通過するトラフィックを監視および分析することができます。トラフィックログから、アプリケーション、時間帯、またはサービスに基づいて、どのトラフィックを許可またはブロックすべきかを判断することができます。
トラフィックログの情報を調べた後は、その情報を元にファイアウォールポリシーを変更することができます。また、トラフィックとステルス設定を構成して、いくつかのタイプのネットワークトラフィックを許可または防止することで、ファイアウォールポリシーを強化または緩和することができます。
一般に、アプリケーションのネットワークへのアクセスや起動を制限することで、ファイアウォールポリシーを強化することができます。特定のアプリケーションのためのカスタムファイアウォールルールを作成することによって、これを行うことができます。しかし、特定のアプリケーションがネットワークにアクセスするのをブロックするファイアウォールルールでも、アプリケーションの起動は許可されるため、限界があります。この結果は、あなたが意図したものとは異なるかもしれません。
より効率的な方法として、アプリケーションコントロールポリシーを使用する方法も検討されています。アプリケーション制御ポリシーを使用すると、アプリケーションの実行をブロックすることができます。
ファイアウォールポリシーは、繰り返しながら徐々に厳しくしていく必要があります。例えば、一度に 1 つか 2 つのアプリケーションをブロックして、再度ポリシーをテストします。問題がなければ、必要に応じてポリシーをより厳しくしていくことができます。
トラフィックログや環境テストから得たネットワーク情報をもとにファイアウォールポリシーの修正が完了したら、ファイアウォールがクライアントコンピュータを保護し、必要なトラフィックを通過させることに大きな自信を持って、ファイアウォールポリシーをネットワーク全体に展開することができるようになります。
Symantec Endpoint Protection のクライアントファイアウォールおよびアプリケーションコントロールの詳細については インストールガイドおよび管理者ガイド を参照してください。