2017/07/11

トラフィックログに見つかった不審ホストを自動ブロックする

2017 年 7 月 11 日 Teri Radichel 著

多くの攻撃やマルウェアに感染したホストは、ネットワークをスキャンしてインターネットに公開されているオープンポートを見つけ出し、他のホストを感染させようとします。オープンポートが見つかると、既知の脆弱性を使って、そのポートで動作しているソフトウェアを攻撃します。これらの公開されているソフトウェアの脆弱性によって、ホストやネットワークが攻撃されたり、不正アクセスが可能になったりする恐れがあり、多くのベンダが、ソフトウェアの脆弱性に関する情報を公開し、顧客に直接パッチを提供しています。また、ベンダ以外も一般的な脆弱性を追跡して、https://cve.mitre.org や https://nvd.nist.gov/ などの Web サイトで情報を公開しています。

新しい高度な攻撃が登場する一方で、多くの攻撃では、セキュリティ専門家やベンダによって何年も前に公表された脆弱性が悪用されています。たとえば、WannaCry の場合は、SMB の脆弱性を悪用し、ポート 445 を使ってアクセスしていましたが、2009 年 10 月には、SANS Internet Storm Center の記事で、ポート 445 をファイアウォールでブロックしておく必要があることを常に認識しておくべきと警告されています。

ネットワークのすべてのホストにパッチを適用して脆弱性が存在するソフトウェアを修正する方法は、ホストの数や、古いソフトウェアを必要とするシステムが存在する可能性を考えると、非現実的である場合もあるでしょう。一般的な脆弱性の悪用に必要なポートを知っておくと、ネットワーク管理者が問題のあるポートをブロックする際に役立ちます。ソフトウェアにパッチが適用されていなかったとしても、マルウェアは、必要なポートで通信できなければ、思い通りに動作できません。

WatchGuard Firebox には、管理者がネットワークポートを簡単にブロックできる機能があります。WatchGuard Firebox の管理 Web サイトで、左側のメニューの [Firewall] をクリックし、[Blocked Ports] をクリックすると、ブロックされたポートのリストが表示されます。

新しいポートを追加するには、ページの下部にあるボタンを使用します。

この自動ブロック機能を使用すると、不審トラフィックを生成するホストからの接続を自動的に拒否できます。許可しないポートに接続しようとするホストを自動的にブロックするには、リストの上部にあるチェックボックスをオンにします。Firebox は、ホストを [Blocked Ports] リストに追加し、ブロックしたホストによるすべてのポートでの接続のそれ以降の試行を拒否します。

たとえば、ネットワーク管理者がインターネットからブロックしたポート(445、137、138、139、23 など)にホストがトラフィックを送信しようとする場合、そのトラフィックの送信元の多くは、攻撃者のサーバ、感染したホスト、または構成ミスのあるホストであると考えられます。自動ブロック機能を使用すると、WatchGuard Firebox は自動的にそのホストを [Blocked Ports] リストに追加し、そのホストからの以降の接続試行をブロックします。

これらの機能を有効にしておくと、ネットワーク管理者が定期的に左側のメニューで [System Status]、[Blocked Sites] の順にクリックすることで、Firebox によって自動ブロックされているホストのリストを確認できます。このリストによって、ブロックしたポートへの接続を試行したホストを管理者が確認でき、自動ブロックされたホストの [REASON] の欄には「blocked port」と表示されます。この情報は、新しいファイアウォールルールの作成やネットワークの問題のトラブルシューティングに役立ちます。

不正ホストの自動ブロックは、ネットワークの保護だけではなく、ファイアウォールのパフォーマンス向上にも役立ちます。ファイアウォールは、あるホストからのすべてのトラフィックを完全にブロックするのであれば、そのホストからのトラフィックをさらに検査する必要はありません。そのホストのトラフィックを直ちに破棄できるため、処理能力が無駄になることなく、ネットワークにおける正規ホストのパフォーマンス向上を期待できます。

— Teri Radichel(@teriradichel)