この記事は、SSLインスペクション(deep-inspection)を有効にした状態で、UTM(侵入防止)の動作を確認します。先に以下の記事をお読みいただくことをお勧めします。
>> 参考記事 : SSLインスペクション(deep-inspection)設定と動作確認 FortiOS6.2.4![](https://hirotanoblog.com/wp-content/uploads/2020/10/1B330516-8306-4C6F-96FF-C067FE95C1D9.png)
IDPシグネチャによる遮断
FortigateのUTM機能の一つである不正侵入検知について設定、動作確認します。不正侵入検知は、既知の脆弱性を利用した悪意のある通信、攻撃を検知、遮断する仕組みで、攻撃パターンを定義したシグネチャベースでの検知となります。
設定
シグネチャは膨大にあり、【セキュリティプロファイル】-【IDPシグネチャ】で確認することができます。
![](https://hirotanoblog.com/wp-content/uploads/2020/10/BE0A982F-FD9D-4CA0-8FB6-772FC93DEB9E-1024x486.png)
今回、テストで使用する予定の脆弱性であるWeb.Server.Password.Files.Accessを検索枠の中に入力して、詳細を確認してみます。
すると、以下のような結果を得られます。アクションはデフォルトでブロックと定義されています。
![](https://hirotanoblog.com/wp-content/uploads/2020/10/02A42D22-8E1F-493B-9907-32532E36132F-1024x278.png)
名称の上にカーソルを合わせると、詳細を確認できます。
![](https://hirotanoblog.com/wp-content/uploads/2020/10/FF308288-D2A8-4FA1-9471-5398AB5DA38A.png)
不正侵入検知では、検知対象とアクションを定義するプロファイル設定が必要で、【セキュリティプロファイル】-【侵入検知】で 確認できます。
![](https://hirotanoblog.com/wp-content/uploads/2020/10/AA936E8F-4058-4633-89DB-34C4803D0A9B-1024x403.png)
あらかじめ用意されているdefault をダブルクリックして、設定内容を確認します。
![](https://hirotanoblog.com/wp-content/uploads/2020/10/B15BD95E-99FE-4CFC-A64C-BBB9E1E26154.png)
重大度3〜5の場合、デフォルトのアクションが実行されるよう設定されています。
先ほど検索したWeb.Server.Password.Files.Accessは、重大度3でアクションがデフォルトでブロックです。そのため、defaultプロファイルを適用したポリシーで、Web.Server.Password.Files.Accessを検知した場合は、ブロックされます。
では、内部から外部へのポリシーへプロファイルを適用します。【ポリシー&オブジェクト】-【ファイアウォールポリシー】へ移動し、Internal->Externalのポリシーを編集し、IPSを有効にし、default を適用します。
![](https://hirotanoblog.com/wp-content/uploads/2020/10/23769B0E-8BDB-429B-A3D6-5B0A98D33937.png)
動作確認
端末より、動作確認します。Googleで、/etc/passwdと検索することで、Web.Server.Password.Files.Accessのシグネチャにより検知されます。
![](https://hirotanoblog.com/wp-content/uploads/2020/10/7E0D0FA3-9621-417B-B448-DF413BB7C8E6.png)
検索を実行すると、ブラウザ上に以下のようなアラート画面が出力されます。
![](https://hirotanoblog.com/wp-content/uploads/2020/10/3F346E0A-A68D-47BD-9041-C9EE54C7BF47.png)
GUI上でも【ログ&レポート】-【侵入防止】にてブロックされたログが確認できます。
![](https://hirotanoblog.com/wp-content/uploads/2020/10/52B8F755-CBB0-4BE7-B5AA-1BEB65556982-1024x130.png)
ボットネット C&C接続の遮断
C&Cはコマンド&コントロールの略で、感染したデバイスはリモートから不正なコマンドを実行されます。Fortigateの侵入防止で、C&Cサーバへの発信を遮断することができます。
設定
セキュリティプロファイル >> 侵入防止 より、今回ポリシーに適用しているdefaultのプロファイルで、ボットネットC&Cのボットネットサイトへの発信接続をスキャンをブロックに変更します。
![](https://hirotanoblog.com/wp-content/uploads/2021/01/710EB65D-60FF-4AFA-98C2-0220DFD27CB2.png)
上の図で、botnet package にxxxx個のIPアドレス と表示されるところをクリックすると、遮断されるC&CサーバへのIPアドレス、ポート番号の一覧が参照できます。
![](https://hirotanoblog.com/wp-content/uploads/2021/01/BB179759-B3FE-4A4B-9EC0-D60517954DAD.png)
OKをクリックし、動作確認します。
動作確認
ボットネットC&C IP定義にある ポート443 TCPの接続先にブラウザでアクセスしてみます(ページは表示できません)
![](https://hirotanoblog.com/wp-content/uploads/2021/11/image-22.png)
ログ&レポート >> 侵入防止 でログを確認すると、該当通信がドロップされていることがわかります。
![](https://hirotanoblog.com/wp-content/uploads/2021/01/73E46F89-38DC-4D78-BF35-0CE07422EA5F.png)
例えば、一番上のログの詳細より、C&C接続がブロックされていることが確認できます。
![](https://hirotanoblog.com/wp-content/uploads/2021/01/CE14DBBF-E15F-48F1-9DE1-4532642A92ED.png)
コメント