IPブロック機能

説明

IPブロック機能は、特定のIPアドレスとの間で行われる悪意のあるトラフィックをブロックする機能を提供します。

IPブロック機能は、悪意のあるIPアドレスのリストをフィード（URL）として必要とします。

IP Block機能は定期的に実行され、IPリストを再度取得し、フィード内のリストに基づいてSecurity GatewayのIPアドレスを更新します。

ブロッキングの仕組みは、ダイナミックオブジェクトによるアクセス制御ルール通信セッションに対して指定されたアクションが実行されるようにする、ルールベース内のトラフィックパラメータおよびその他の条件のセット。で強制される。

チェック・ポイントの Security Intelligence は、TOR Exit Nodes と呼ばれる IP アドレスのリストを管理し、定期的に更新しています。

https://secureupdates.checkpoint.com/IP-list/TOR.txt

ベストプラクティス- 「Custom Intelligence Feeds」の検討をお勧めします。sk132193。

注 - これらのIP範囲は、デフォルトで除外されています。10.0.0.0/8、172.16.0.0/12、192.168.0.0/16です。

CLI

構文

ip_block -h

ip_block -s SET_DYN_OBJ

ip_block -n

ip_block -a ADD_URL [ADD_URL ...]

ip_block -d DEL_URL

ip_block -l [-j]

ip_block -e ACTIVATE

ip_block -x

ip_block -c

ip_block -r [-f]

パラメータ

パラメータ	説明
`-h` `--help`	内蔵のヘルプを表示します。
`-a ADD_URL [ADD_URL ...]` `--add-url ADD_URL [ADD_URL ...]`	IP フィードの URL（カンマ区切り）をコンフィギュレーションに追加します。
`-d DEL_URL` `--del-url DEL_URL`	IP フィードの URL（カンマで区切られたもの）を設定から削除します。
`-l` `--list-urls`	設定されている IP フィードの URL を表示します。
`-s SET_DYN_OBJ` `--set-dynamic-object SET_DYN_OBJ`	コンフィグレーションのDynamic Objectの名称を指定します。例： `MyDynObj`
`-n` `--show-dynamic-object-name`	設定されているダイナミック・オブジェクト名を表示します。
`-r` `--run`	コンフィグレーションのIPアドレスを更新します。
`-f` `--force`	強制的にアップデートします。
`-j` `--json`	JSON形式で出力を表示します。
`-c` `--clear-cache`	キャッシュをクリアします。
`-e ACTIVATE` `--activate ACTIVATE`	指定された間隔で、その機能の定期的な実行を開始します。 ACTIVATE 間隔は、数値の後に単位を付けて指定する。 `Xs` - はX秒に1回実行されます。 `Xm` - はX分に1回実行されます（例：20m）。 `Xh` - はX時間ごとに実行されます。
`-x` `--deactivate`	機能の定期的な実行を停止します。

説明

-h

--help

内蔵のヘルプを表示します。

-a ADD_URL [ADD_URL ...]

--add-url ADD_URL [ADD_URL ...]

IP フィードの URL（カンマ区切り）をコンフィギュレーションに追加します。

-d DEL_URL

--del-url DEL_URL

IP フィードの URL（カンマで区切られたもの）を設定から削除します。

-l

--list-urls

設定されている IP フィードの URL を表示します。

-s SET_DYN_OBJ

--set-dynamic-object SET_DYN_OBJ

コンフィグレーションのDynamic Objectの名称を指定します。

例： MyDynObj

-n

--show-dynamic-object-name

設定されているダイナミック・オブジェクト名を表示します。

-r

--run

コンフィグレーションのIPアドレスを更新します。

-f

--force

強制的にアップデートします。

-j

--json

JSON形式で出力を表示します。

-c

--clear-cache

キャッシュをクリアします。

-e ACTIVATE

--activate ACTIVATE

指定された間隔で、その機能の定期的な実行を開始します。

ACTIVATE 間隔は、数値の後に単位を付けて指定する。

Xs - はX秒に1回実行されます。
Xm - はX分に1回実行されます（例：20m）。
Xh - はX時間ごとに実行されます。

-x

--deactivate

機能の定期的な実行を停止します。

手順

SmartConsole Check Point 環境の管理に使用される Check Point GUI アプリケーション-セキュリティポリシーの構成、デバイスの構成、製品とイベントの監視、アップデートのインストールなど。とSecurity Groupで以下の手順を実行します。

手順

ステップ

手順

SmartConsoleで管理サーバに接続します。

Dynamic Objectを新規に作成します。

右側のパネルObjects から、New > More > Network Object > Dynamic Objects > Dynamic Object をクリックします。

New Dynamic Object ウィンドウで、名前（たとえば、MyDynObj ）を入力し、OK をクリックします。

この名前は、後でCLIでSecurity Groupに使用します。

該当するアクセスコントロールポリシーに、新しい動的オブジェクト IPアドレスが事前にわかっていない特殊なオブジェクトタイプ。セキュリティゲートウェイは、このオブジェクトのIPアドレスをリアルタイムで解決します。からのすべてのトラフィックをドロップする新しいルールを追加します。

発信元	宛先	VPN	サービス&アプリケーション	アクション	追跡
動的オブジェクト	`Any`	`Any`	`Any`	`Drop`	`None`

Security Groupでコマンドラインに接続します。

エキスパートモード CheckPoint Gaiaオペレーティングシステムで完全なシステムルート権限を付与する完全なコマンドラインシェルの名前。にログインします。

SmartConsoleで設定したDynamic Objectの名前を設定します。

ip_block --set-dynamic-object <Name of Dynamic Object>

Dynamic Objectが追加されていることを確認するため、コンフィギュレーションを調べます。

ip_block --show-dynamic-object-name

IP フィードの URL を設定します。

ip_block --add-url <URL>

例:

ip_block --add-url https://secureupdates.checkpoint.com/IP-list/TOR.txt

注：これはあなた自身のウェブサーバ上のファイルでもかまいません。

設定を調べて、フィードのURLが追加されていることを確認します。

ip_block --list-urls

指定した間隔で定期的に実行を開始する。

ip_block --activate <ACTIVATE>

CPDデーモンによって「ip_block」コマンドが指定された間隔で実行されるようスケジュールされていることを確認するため、設定を調べます。

cpd_sched_config print | grep -A 5 "ip_block"

出力例:

Task: "ip_block"
        Command: /bin/ip_block
        Arguments: -r
        Interval: 600
        Active: true
        RunAtStart: false

SmartConsoleで、Access Control PolicyをSecurity Groupオブジェクトにインストールします。

Security Group のログを調べる。

/var/log/ip_block.elg