回避的なアプリケーションをブロックする
構成ファイルの作成元 — Policy Manager v11.12.2
構成ファイルの作成先 — Fireware v11.12.2
ユースケース
この例では、ポリシーや WatchGuard セキュリティ サービスを使用して、回避的なアプリケーションを効果的にブロックする方法について解説します。この例では、ポリシーや WatchGuard セキュリティ サービスを使用して、回避的なアプリケーションを効果的にブロックする方法について解説します。類似するストラテジーを使用して、ネットワーク上のその他のタイプの回避的なアプリケーションをブロックすることができます。
この構成の例は、基本ガイドとして提供されています。ネットワーク環境によっては追加の構成設定が必要とされる場合があります。
解決方法の概要
この構成は主に Application Control と WebBlocker に依存していますが、アウトバウンド DNS、HTTP、HTTPS、および TCP-UDP の各ポリシーを正しく構成する方法についても説明しています。この構成の例には、構成済みのポリシーとサービスのアクションを示すいくつかのログ メッセージも含まれています。
この構成の例は Fireware v11.12.2 でインストールされた Firebox により保護されている Windows 7 ネットワーク クライアントでテストしました。Ultrasurf v.16.03 を使用しました。
仕組み
多くのプロキシ回避アプリケーションは類似するストラテジーのセットを使用して、サーバーへの接続を試行します。通常、アプリケーションは最初に DNS クエリを送信してサーバーを探します。次に HTTP ポート 80 上、続いて HTTP ポート 443 上のサーバーへの接続を試行します。アプリケーションの中には、標準ポート 443 または別のポート(TCP 53 など)、あるいは別の動的に選択されたポート上で SSL トンネルの構築を試行するものがあります。このすべてが失敗した場合、アプリケーションは Microsoft または Amazon Web Services などのユーザー数が多くしばしば許可済みのデータセンター上にあるバックアップ サーバーへの接続を試行することがあります。別のストラテジーには、アプリケーションがサーバーへの接続の試行を反復する間に別の実行可能ファイルをダウンロードしようとする試行が含まれます。
これらのアプリケーションを検出するには、プロキシとサービスを正しい設定で構成し、レポートのログ記録を有効にする必要があります。それらのアプリケーションの更新が入手可能になったときに、ネットワーク活動の新しい傾向を追跡するログ ファイルとレポートを定期的に監視することも重要です。
この構成の例はポリシーとサービスの組み合わせを使用し、Ultrasurf が使用するストラテジーをブロックします。
- プロキシ ポリシー — プロキシ ポリシーはすべてのアウトバウンド HTTP、HTTPS、および DNS 接続を検証し、脅威となり得る接続またはコンテンツを拒否またはブロックします。プロキシ ポリシーは構成済みのサービスやその他の構成設定を使用して接続やコンテンツを検証し、接続を許可するべきかを判断します。
- Application Control — Application Control は トンネリングとプロキシ サービス カテゴリおよび脅威となり得るその他のアプリケーション カテゴリのアプリケーションへの接続を切断します。すべての送信閲覧ポリシーに対して Application Control が有効になります。
- WebBlocker — WebBlocker は プロキシ回避 カテゴリおよび脅威となり得るその他のカテゴリの Web サイトへの接続をブロックします。WebBlocker 構成が HTTP-proxy と HTTPS-proxy アクションにより使用されます。
- Gateway AntiVirus — ウイルスに対して許可されたコンテンツをスキャンし、ウイルスが検出された場合に接続を切断するようにプロキシ ポリシーが構成されます。
- その他のセキュリティ サービス — Intrusion Prevention、APT Blocker、ボットネット検出、Reputation Enabled Defense のすべてが推奨される設定で有効化され、ネットワークを保護します。
サンプル構成ファイル
参考のため、このドキュメントはサンプル構成ファイルを含んでいます。構成ファイルには、この例で説明した設定が含まれます。
サンプル構成ファイルの名前は block_evasive_apps.xml です。
個々のサンプル構成ファイルの構成情報を確認するには、Policy Manager 構成ファイルを開きます。
要件
この構成例には、以下の要件があります。
- WatchGuard 登録サービス、特に Application Control と WebBlocker
- ネットワーク クライアントとインターネットの間のトラフィックをフィルタする WatchGuard ファイアウォール
Network Configuration
この構成の例は基本的なネットワーク トポロジを使用して、信頼済みネットワークと公共インターネット上のクライアント間のすべてのトラフィックを Firebox がフィルタできる様子を示しています。ネットワーク クライアントはすべて既定のゲートウェイとして Firebox を使用する必要があります。
この例の Firebox インターフェイスには次の IP アドレスがあります:
- 外部 (eth0): 203.0.113.100/24
- 信頼済み (eth1): 10.0.100.1/24
構成の説明
このセクションでは、Ultrasurf などの回避的なアプリケーションから送信されることが予測されるパケットの時系列に基づく構成について説明します。
DNS UDP プロキシ ポリシー
回避的なアプリケーションから送信される最初のパケットはポート 53 上の DNS UDP パケットであることが多くあります。DNS プロキシ ポリシーにより許可されない DNS 要求に対しては、要求を 切断 または 拒否 する、または要求元を ブロック するようにプロキシを構成できます。最も安全で効果的なオプションは、要求の 切断 です。これにより、アプリケーションが諦めて別のストラテジーを試行するまで待機することになり、またファイアウォール リソースが節約されます。ブロック する場合、これがクライアントがパブリック DNS サーバーを使用する際にクライアントから送信されるトラフィックをブロックする非常に効果的な方法であると同時に、そのクライアントからのすべてのインターネット アクセスもブロックされることに注意してください。内部ドメイン サーバーがあるネットワークでは、DNS プロキシのブロック アクションによりネットワーク上のすべてのユーザーのインターネット アクセスをブロックできます。
ポート 53 上の TCP-UDP トラフィックに対して DNS ポリシーが Any-Trusted から Any-External へのトラフィックを許可している場合、このポリシーによりアプリケーションが TCP 53 上のサーバーへのトンネルを構築することが許可され、このポリシーに Application Control を適用していない場合、このアプリケーションの検出が回避されることがあります。そのため、この構成の例では、送信 DNS ポリシーにより、Any-Trusted からエイリアスの PUBLIC DNS への接続が許可されます。このエイリアスには、信頼済みのパブリック DNS サーバーの小グループが含まれます。プロキシ ポリシーの代わりにパケット フィルタ ポリシーを使用して、許可された DNS パケットの宛先を定義できます。これにより、ファイアウォール上のリソースを節約できます。
この例では、、このプロキシ ポリシーは定義済みの DNS-Outgoing プロキシ アクションから既定の設定を使用しますが、次の点が変更されています:
- プロキシ アクションが、次の条件を満たす有効なクエリ名ルールで構成されている:
- ドメイン名パターン *doubleclick* への接続を拒否する。
- ドメイン名パターン *ultrasurf* への接続を切断する。
ブロックしたいその他の回避的なアプリケーションのその他のドメイン名パターンをここに追加できます。
Application Control 構成
構成の例は、STRICT という名前の Application Control プロファイルが含まれます。Ultrasurf やその他の類似するアプリケーションからの接続を回避するには、トンネリングとプロキシ サービス カテゴリのすべてのアプリケーションへの接続を 切断 するようにこの Application Control アクションを構成します。保護をより完全なものにするため、このアクションにより、メディア ストリーミング サービス、ピアツーピア ネットワーク、オンライン ゲーム、および ソーシャル ネットワーク の各カテゴリのアプリケーションが制限されます。それらの追加のカテゴリは Ultrasurf のブロックでは要求されません。許可するアプリケーション カテゴリの選択は、会社のポリシーにより異なります。
不明なアプリケーションを拒否するには、アプリケーションが一致しない時に既定の 切断 アクションがトリガーされるように、どのアプリケーションを許可するかを明示する必要があります。
Ultrasurf やその他のトンネリングおよびプロキシ アプリケーションを回避するには、Application Control アクションの トンネリングとプロキシ サービス カテゴリで 切断 アクションを選択します。Web 閲覧の送信接続を処理するすべてのポリシーに STRICT Application Control アクションが適用されます。
WebBlocker の構成
構成の例では、HTTP および HTTPS プロキシ ポリシーで WebBlocker が有効になっています。不明なプロキシ回避サイトへの接続をブロックするため、WebBlocker が プロキシ回避 カテゴリをブロックします。この構成ではまた、WebBlocker により、セキュリティ セクション、拡張された保護 セクション、Web および電子メール スパム、パークドメイン、アドバタイズメント、無許可のモバイル マーケットプレイス、ハッキング、および コンピュータ セキュリティ の各カテゴリを含むその他のセキュリティおよび生産性のカテゴリがブロックされます。一部のプロキシサイトやアプリケーションは、これらのカテゴリのいずれかに認められる場合があります。
URL が未分類の場合、この構成はそのサイトへの接続を 許可 するように設定されます。しばしばランサムウェアに関連することがある不明な URL に対する保護を強化するため、このアクションを 拒否 に変更することができます。ただし、ローカル サプライヤ、顧客、提携先が WebBlocker により分類されていない Web サイトを使用している場合、拒否の設定により誤検出がトリガーされる可能性があります。未分類の URL に拒否アクションを使用する場合、アクセスが許可されている一部のサイトがブロックされる可能性があります。この場合、それらのサイトに WebBlocker 例外を追加し、WatchGuard セキュリティ ポータル の WebBlocker セクションでそれらのサイトをレビューに送信することができます。
HTTP プロキシの構成
HTTP Proxy は厳密でセキュアな設定で構成されます。HTTP プロキシ アクションは、許可されたすべての URL パス、コンテンツ タイプ、および本文のコンテンツ タイプに対応した AV スキャン アクションで構成されます。
本文のコンテンツ タイプの設定は、実行ファイル、dll、および CAB ファイルが *.windowsupdate.com などの例外サイトから送信されたものでない限り、ダウンロードを拒否します。これにより、プロキシ アプリケーションが HTTP プロキシを回避する最初の試行が失敗した場合に、宛先へ到達することを試みる他の実行ファイルのダウンロードとインストールを試行することが防止されます。これは、一般的にマルウェアのダウンロードを防ぐ最も簡単な方法です。
HTTPS プロキシの構成
HTTPS プロキシはコンテンツ インスペクションを有効にして構成され、HTTP プロキシ ポリシーと同じ HTTP プロキシ アクションを使用してコンテンツをスキャンおよびフィルタ処理します。
HTTPS プロキシは既定ですべてのドメインへの接続を検査し、完全修飾ドメイン「ultrasurf.*」への接続をブロックし、*.watchguard.com や WatchGuard 製品に必要となるその他のドメインへの接続を許可します。
任意の宛先のアプリケーションを捉える最も効果的な方法は、すべてのドメインへの接続を検査することです。
Log Server、Report Server または Dimension 上のレポートやログ ファイルをチェックした後、マルウェアのダウンロード、データ侵害、または生産性の管理が主要な要因となる領域(たとえば、Facebook ゲームやその他の Facebook アプリリケーション)のリスクが示される可能性がある特定のカテゴリで検査を実行するかを決定できます。
TCP-UDP プロキシの構成
ネットワークを保護するため、特定の送信元や宛先からの一連のアウトバウンドポート上のアウトバウンド トラフィックを許可するようにポリシーを構成することをお勧めします。可能な場合は、ポリシーでエイリアスの Any-External または Any を宛先として設定しないようにします。許可するすべてのポートや宛先を決定していない場合は、TCP-UDP プロキシを使用して、すべての外部の宛先へのアウトバウンド TCP および UDP トラフィックを許可して検査できます。TCP-UDP プロキシ アクションでは、HTTP と HTTPS を許可し、必要ないプロトコルをすべて拒否できます。
回避的なアプリケーションやマルウェアは多くの場合、動的または非標準のポート上の SSL 暗号をファイアウォールを回避するストラテジーとして使用しようとします。このトラフィックは前述した DNS、HTTP、および HTTPS プロキシを回避することが考えられます。それは、それらのポリシーがポート 53、80、および 443 上のトラフィックのみを処理するためです。
TCP-UDP プロキシ ポリシーは任意のポート上の TCP および UDP トラフィックを処理するため、非標準のポートのすべての接続に適用されます。
構成例では、TCP-UDP プロキシ アクションは HTTP および HTTPS の接続を許可し、HTTP および HTTPS プロキシ ポリシーと同じプロキシ アクションを使用してトラフィックを検査します。このプロキシ アクションは HTTP と HTTPS 以外のすべてのプロトコルを拒否します。
構成のテスト
Ultrasurf に対するこの構成の効果をテストするため、信頼済みのネットワーク上のクライアントで Ultrasurf を起動し、下記のログ メッセージを取得しました。この構成をテストするために、次の手順で実行しました。
- ipconfig /flushdns コマンドを使用して、Windows クライアント上の DNS キャッシュをクリアしました。
- 信頼済みのネットワークから ultrasurf.us を参照しようとしました。
- 信頼済みのネットワーク上の Ultrasurf クライアントを起動しました。
この一連のログ メッセージを Traffic Monitor から取得しました。
次のログ メッセージは、DNS プロキシがドメインに基づいて DNS クエリを拒否したことを示しています:
2016-12-22 08:16:37 Deny 10.0.100.6 208.67.220.220 dns/udp 58842 53 1-Trusted 0-External ProxyDrop: DNS question match (DNS UDP Proxy-00) DNS-Outgoing.1 proc_id="dns-proxy" rc="594" msg_id="1DFF-000E" proxy_act="DNS-Outgoing.1" rule_name="ultrasurf" query_type="A" question="ultrasurf.us" geo_dst="USA" Traffic
USB サムドライブまたはその他のソースなど、ユーザーが別の方法で Ultrasurf クライアントをインストールする方法を見出した場合は、初回起動後に同様の一連の試行が確認されます。次は HTTPS プロキシのコンテンツ インスペクション機能が無効な HTTP トラフィックを検出および拒否したことを示すログ メッセージの例です:
2016-12-22 08:19:44 Deny 10.0.100.6 104.20.59.72 https/tcp 54131 443 1-Trusted 0-External ProxyDeny: HTTP request version match (HTTPS-proxy STRICT-00) HTTP-Client.Standard.1 proc_id="http-proxy" rc="595" msg_id="1AFF-0019" proxy_act="HTTP-Client.Standard.1" rule_name="Default" line="PRI * HTTP/2.0\x0d\x0a" geo_dst="USA" Traffic
しばらくして、Application Control が Ultrasurf が使用されていることを検出したため、HTTPS プロキシが接続を拒否しました。次のログ メッセージはアプリケーションのカテゴリ、アプリケーション名、アプリケーションの動作を示しています:
2016-12-22 08:20:28 Deny 10.0.100.6 93.184.221.200 https/tcp 54168 443 1-Trusted 0-External ProxyDeny: HTTP App match (HTTPS-proxy STRICT-00) HTTP-Client.Standard.1 proc_id="http-proxy" rc="595" msg_id="1AFF-002E" proxy_act="HTTP-Client.Standard.1" app_cat_name="Tunnelling and proxy services" app_cat_id="11" app_name="Wujie/UltraSurf" app_id="9" app_beh_name="authority" app_beh_id="1" geo_dst="USA" Traffic
しばらくして、同じプロキシが Amazon Web Services (AWS) データセンターの別の有効なクラウドサーバーへの接続を検出して許可しました。
2016-12-22 08:26:00Allow 10.0.100.6 52.222.231.45 https/tcp 54383 443 1-Trusted 0-External ProxyInspect: HTTPS domain name match (HTTPS-proxy STRICT-00) HTTPS-Client.Standard.1 proc_id="https-proxy" rc="592" msg_id="2CFF-0003" proxy_act="HTTPS-Client.Standard.1" rule_name="Default" sni="" cn="*.awsstatic.com" ipaddress="52.222.231.45" geo_dst="USA" Traffic
一方、プロキシはその宛先への Ultrasurf の使用を検出して拒否しました。いずれののログ メッセージでも同じソース ポートと宛先が使用されているため、それを確認できます。
2016-12-22 08:26:00Deny 10.0.100.6 52.222.231.45 https/tcp 54383 443 1-Trusted 0-External ProxyDeny: HTTP App match (HTTPS-proxy STRICT-00) HTTP-Client.Standard.1 proc_id="http-proxy" rc="595" msg_id="1AFF-002E" proxy_act="HTTP-Client.Standard.1" app_cat_name="Tunnelling and proxy services" app_cat_id="11" app_name="Wujie/UltraSurf" app_id="9" app_beh_name="authority" app_beh_id="1" geo_dst="USA" Traffic
接続が Amazon のデータセンターに到達しなかった場合、Ultrasurf クライアントは別のデータセンターの他の Ultrasurf サーバーへの接続を試行するため、これらのログ メッセージが確認されました。
2016-12-22 08:26:03 Allow 10.0.100.6 93.184.221.200 https/tcp 54385 443 1-Trusted 0-External ProxyInspect: HTTPS domain name match (HTTPS-proxy STRICT-00) HTTPS-Client.Standard.1 proc_id="https-proxy" rc="592" msg_id="2CFF-0003" proxy_act="HTTPS-Client.Standard.1" rule_name="Default" sni="" cn="*.vo.msecnd.net" ipaddress="93.184.221.200" geo_dst="USA" Traffic
2016-12-22 08:26:03 Deny 10.0.100.6 93.184.221.200 https/tcp 54385 443 1-Trusted 0-External ProxyDeny: HTTP App match (HTTPS-proxy STRICT-00) HTTP-Client.Standard.1 proc_id="http-proxy" rc="595" msg_id="1AFF-002E" proxy_act="HTTP-Client.Standard.1" app_cat_name="Tunnelling and proxy services" app_cat_id="11" app_name="Wujie/UltraSurf" app_id="9" app_beh_name="authority" app_beh_id="1" geo_dst="USA" Traffic
Ultrasurf クライアントが接続の試行を続行します。
これらのメッセージは Azure と AWS への Ultrasurf クライアントの接続を示しています:プロキシ アクションの Application Control が、宛先が許可されている場合であっても、Ultrasurf クライアントからの接続を拒否しました。
2016-12-22 08:26:03 Allow 10.0.100.6 93.184.221.200 https/tcp 54385 443 1-Trusted 0-External HTTP request (HTTPS-proxy STRICT-00) HTTP-Client.Standard.1 proc_id="http-proxy" rc="525" msg_id="1AFF-0024" proxy_act="HTTP-Client.Standard.1" op="POST" dstname="rs.azureedge.net" arg="/_cXTxUxhDWm7abAQTjTH3bI3MAKj8xQmmDzxxLEEySSdZUh?id=pl2L8Zw9&pid=R6cU[…]" sent_bytes="1408" rcvd_bytes="0" elapsed_time="0.001722 sec(s)" app_id="9" app_cat_id="11" reputation="-1" geo_dst="USA" Traffic
2016-12-22 08:26:05 Allow 10.0.100.6 52.222.231.45 https/tcp 54386 443 1-Trusted 0-External ProxyInspect: HTTPS domain name match (HTTPS-proxy STRICT-00) HTTPS-Client.Standard.1 proc_id="https-proxy" rc="592" msg_id="2CFF-0003" proxy_act="HTTPS-Client.Standard.1" rule_name="Default" sni="" cn="*.awsstatic.com" ipaddress="52.222.231.45" geo_dst="USA" Traffic
2016-12-22 08:26:05 Deny 10.0.100.6 52.222.231.45 https/tcp 54386 443 1-Trusted 0-External ProxyDeny: HTTP App match (HTTPS-proxy STRICT-00) HTTP-Client.Standard.1 proc_id="http-proxy" rc="595" msg_id="1AFF-002E" proxy_act="HTTP-Client.Standard.1" app_cat_name="Tunnelling and proxy services" app_cat_id="11" app_name="Wujie/UltraSurf" app_id="9" app_beh_name="authority" app_beh_id="1" geo_dst="USA" Traffic
結論
この構成の例は、ネットワークを完全に保護するためにポリシーとサービスの組み合わせを構成することがなぜ重要であるかを示しています。
Ultrasurf や同様の回避的なアプリケーションをブロックするには、以下が必要です。
- ユーザーがアプリケーションをダウンロードするプロキシ サイトへの接続をブロックする WebBlocker
- ネットワーク クライアント上にアプリケーションがインストールされている場合にその使用を検出する Application Control
- すべてのトラフィックを検査する十分に構成された Web プロキシとポリシー
高度なマルウェアやその他の回避的なアプリケーションに対する保護にも同じタイプの構成ストラテジーを適用できます。そのためには、APT Blocker、RED、および IPS などのその他のセキュリティ サービスを構成する必要があります。ログ メッセージやレポートを定期的に監視することで新種の脅威を特定し、脅威やアプリケーションの動作の進化とともに構成を更新することができます。