2017/08/11

ファイアウォールポリシーで外部ネットワークの不正ホストを自動ブロックする

2017 年 8 月 11 日 Teri Radichel 著

ブロックしたポートへの接続を試行するホストからのすべてのトラフィックを自動的に遮断することで、対象となる IP アドレスからのさらなる不正アクションを回避できます。前回の「トラフィックログに見つかった不審ホストを自動ブロックする」という記事でこの方法をご紹介したところ、ウォッチガードのあるお客様から、この自動ブロック機能を使って DDoS 攻撃を防ぐ方法についてコメントをいただきました。前回の記事で説明した方法で既知の不正ホストの処理にかかる時間を短縮することで、ファイアウォールが他の要求の処理に多くのリソースを使えるようになります。

記事をお読みいただいた何人かの方から、ポートで外部トラフィックだけを自動ブロックする方法について、お問い合わせをいただきました。たとえば、環境によっては、社内のネットワークのすべて、あるいは一部でポート 443 を開く必要があるものの、外部ソースからのそのポートへの接続の試行についてはすべてをブロックしたいこともあるでしょう。そのような場合は、ポート 443 に対する接続が試行されるたびにブロックするのではなく、ポート 433 への外部トラフィックを拒否するポリシーを、「Firebox」エイリアスと「Any-Trusted」エイリアスに作成します。「Any-Trusted」は、信頼される(社内の)インタフェースに定義されたネットワーク、あるいはそのインタフェースの背後にルーティングされるネットワークを対象とするエイリアスです。

「Firebox」は、Firebox、パブリック、またはプライベートに割り当てられた IP アドレスを対象とするエイリアスです。そして、「接続を試みたサイトを自動的にブロックする」というチェックボックスをオンにします。

前回のブログ記事のコメント欄でこの設定をお勧めしたところ、実際に試した方がいらっしゃったようで、ルールをオンにするとすぐに、自動ブロックされた何百もの IP アドレスがログに記録されたと教えて下さいました。

有効なホストが上記のポリシーにポートに偶発的に接続すると、Firebox は、すべての不正ホストと一緒に、そのホストも自動ブロックリストに追加します。DEF CON のあるプレゼンテーションで、内部の DDoS 攻撃の潜在的脅威について言及されていたことを考えれば、このままにしておくのも一つの方法かもしれません。ただし、特定のホストについては、拒否ポートへの接続を完全にブロックしないようにしたいのであれば、ファイアウォール管理者が、別の拒否ルールを作成し、対象となる IP アドレスの自動ブロックをオフにします。そして、ポリシーリストで、自動ブロックをオフにしたルールが自動ブロックをオンにしたルールより上になるようにします。
— Teri Radichel(@teriradichel)