fw sam

説明

Suspicious Activity Monitoring (SAM)ルールを管理します。SAMルールを使用すれば、セキュリティポリシーを変更したり再インストールしたりすることなく、IPアドレスへの接続やIPアドレスからの接続をブロックすることができます。詳細は、sk112061を参照してください。

Suspicious Activity Rulesは、2つの方法で作成できます。

  • SmartConsoleのモニタリング結果から

  • CLIでfw samコマンドを使用

注:

  • VSXゲートウェイとVSXクラスタメンバは、SAM(Suspicious Activity Monitoring)ルールをサポートしません。sk79700を参照してください。

  • 詳細はfw sam_policyそしてsam_alertコマンドを使用する。

  • SAMルールは、セキュリティゲートウェイのCPUリソースを消費します。

    ベストプラクティスSAMポリシーのルールは、セキュリティゲートウェイのCPUリソースを消費します。ルールの有効期限は、調査するための時間を確保しつつ、パフォーマンスに影響を与えないように設定します。必要なSAMポリシールールだけを残しておきます。リスクがあるアクティビティを確認した場合、セキュリティポリシーの編集、ユーザへの教育など、リスクへの対応を行います。

  • 強制された SAM ルール (fw samコマンドで設定) のログは、$FWDIR/log/sam.datファイルに保存されます。

    保存されているエントリが10万件に達すると、ファイルが消去される設定になっています。

    このデータログファイルには、これらのいずれかの形式で記録されています。

    <type>,<actions>,<expire>,<ipaddr>

    <type>,<actions>,<expire>,<src>,<dst>,<dport>,<ip_p>

  • SAM Requestsはセキュリティゲートウェイのカーネルテーブルsam_requestsに格納されます。

  • SAMルールでブロックされたIPアドレスは、セキュリティゲートウェイのカーネルテーブルsam_blocked_ipsに格納されます。

- セキュリティゲートウェイまたはクラスタのSAMサーバ設定を構成するには:

  1. SmartConsoleで該当するSecurity Management ServerまたはDomain Management Serverに接続します。

  2. 左のナビゲーションパネルから、ゲートウェイ&サーバをクリックします。

  3. セキュリティゲートウェイまたはクラスタのオブジェクトを開きます。

  4. 左側のツリーから、Other > SAM をクリックします。

  5. 設定を行います。

  6. クリックOK

  7. Security Gatewayまたはクラスタオブジェクトにアクセスコントロールポリシーをインストールします。

構文

  • 基準に従ってSAMルールを追加またはキャンセルする:

    fw [-d] sam [-v] [-s <SAM Server>] [-S <SIC Name of SAM Server>] [-f <Security Gateway>] [-t <Timeout>] [-l <Log Type>] [-C] [-e <key=val>]+ [-r] -{n|i|I|j|J} <Criteria>

  • すべてのSAMルールを削除する

    fw [-d] sam [-v] [-s <SAM Server>] [-S <SIC Name of SAM Server>] [-f <Security Gateway>] -D

  • すべてのSAMルールをモニタする:

    fw [-d] sam [-v] [-s <SAM Server>] [-S <SIC Name of SAM Server>] [-f <Security Gateway>] [-r] -M -{i|j|n|b|q} all

  • 基準に従ってSAMルールをモニタする:

    fw [-d] sam [-v] [-s <SAM Server>] [-S <SIC Name of SAM Server>] [-f <Security Gateway>] [-r] -M -{i|j|n|b|q} <Criteria>

パラメータ

パラメータ

説明

-d

デバッグモードでコマンドを実行します。

コマンド自体のトラブルシューティングを行う場合のみ使用します。

ベストプラクティス - このパラメータを使用する場合、出力をファイルにリダイレクトするか、scriptコマンドを使用してCLIセッション全体を保存してください。

-v

詳細モードを有効にします。

このモードでは、コマンドが実行されるセキュリティゲートウェイごとに、stderrにメッセージが1つずつ書き込まれます。これらのメッセージは、コマンドが成功したかどうかを示します。

-s <SAM Server>

コマンドを実行するセキュリティゲートウェイのIPアドレス(X.X.X.X形式)または解決可能なHostNameを指定します。

デフォルトはlocalhostです。

-S <SIC Name of SAM Server>

連絡するSAMサーバのSIC名を指定します。SAMサーバはこのSIC名を持っている必要があり、そうでない場合は接続に失敗します。

注:

  • SIC名を明示的に指定しない場合、SIC名の比較を行わずに接続を継続します。

  • SICの有効化の詳細については、「OPSEC API仕様」を参照してください。

  • VSX Gateway上で、fw vsx showcs -vs <VSID>コマンドを実行し、該当する仮想システムの SIC 名を表示します。

-f <Security Gateway>

アクションを実行するセキュリティゲートウェイを指定します。

<Security Gateway>のいずれかである:

  • すべて- デフォルト。SAMサーバが動作する、管理されたすべてのセキュリティゲートウェイにアクションを強制するように指定します。

    この構文は、Security Management ServerまたはDomain Management Serverでのみ使用することができます。

  • localhost- このローカルのCheck Pointコンピュータ(fw sam コマンドが実行されるコンピュータ)でアクションを実行するように指定します。

    この構文は、セキュリティゲートウェイまたはStandAloneでのみ使用できます。

  • ゲートウェイ- SAM サーバが実行されるセキュリティゲートウェイとして定義されたすべてのオブジェクトに対してアクションを実行するように指定します。

    この構文は、Security Management ServerまたはDomain Management Serverでのみ使用することができます。

  • セキュリティゲートウェイオブジェクトの名前- この特定のセキュリティゲートウェイオブジェクトにアクションを実行するように指定します。

    この構文は、Security Management ServerまたはDomain Management Serverでのみ使用することができます。

  • グループオブジェクトの名前- このグループオブジェクト内のすべての特定のセキュリティゲートウェイにアクションを実行するように指定します。

注:

  • この構文は、Security Management ServerまたはDomain Management Serverでのみ使用することができます。

  • VSX GatewayとVSXクラスタメンバは、Suspicious Activity Monitoring (SAM) ルールをサポートしていません。sk79700を参照してください。

-D

すべての禁止("-i", "-j", "-I", "-J" )と通知("-n" )パラメータをキャンセルします。

注:

  • 禁止されている接続を「解除」するには、fw samコマンドに "-C"または"-D"パラメータを付けて実行します。

  • アクティブなSAMリクエストにこのコマンドを使用することもできます。

-C

指定されたパラメータでの接続を禁止するfw samコマンドをキャンセルします。

注:

  • これらの接続は、もはや阻害されません(拒否またはドロップされない)。

  • コマンドパラメータは、-t <Timeout>パラメータを除き、元のfw samコマンドのパラメータと一致している必要があります。

-t <Timeout>

アクションを実行する時間帯(秒)を指定します。

デフォルトはforever、またはfw samコマンドをキャンセルするまでです。

-l <Log Type>

強制動作のログの種類を指定します。

  • nolog- ログ/アラートをまったく生成しない

  • short_noalert- ログの生成

  • short_alert- アラートの発生

  • long_noalert- ログの生成

  • long_alert- アラートを生成する(これはデフォルトです)

-e <key=val>+

キーと与えられた値に基づいて、ルール情報を指定します。

複数のキーは、プラス記号(+)で区切られます。

使用可能なキーは以下のとおりです(それぞれ100文字以内)。

  • name- セキュリティ・ルール名

  • comment- セキュリティ・ルールに関するコメント

  • originator- セキュリティ・ルール作成者のユーザ名

-r

IPアドレスを解決しないことを指定します。

-n

通知のロングフォーマットログエントリを生成します。

注:

  • このパラメータは、指定されたサービスまたはIPアドレスに一致する接続がセキュリティゲートウェイを通過するときにアラートを生成します。

  • この動作は、接続をブロック/終了するものではありません。

-i

指定されたパラメータによる新規接続を禁止(ドロップまたは拒否)します。

注:

  • ブロックされた各接続は、ログタイプに従ってログに記録されます。

  • 一致する接続は拒否されます。

-I

指定されたパラメータを持つ新規接続を禁止(ドロップまたは拒否)し、指定されたパラメータを持つ既存の接続をすべて閉じます。

注:

  • 一致する接続は拒否されます。

  • ブロックされた各接続は、ログタイプに従ってログに記録されます。

-j

指定されたパラメータによる新規接続を禁止(ドロップまたは拒否)します。

注:

  • 一致する接続はドロップされます。

  • ブロックされた各接続は、ログタイプに従ってログに記録されます。

-J

指定されたパラメータを持つ新規接続を禁止し、指定されたパラメータを持つ既存の接続をすべて閉じます。

注:

  • 一致する接続はドロップされます。

  • ブロックされた各接続は、ログタイプに従ってログに記録されます。

-b

指定されたパラメータによる新規接続をバイパスします。

-q

指定されたパラメータを持つ新しい接続を隔離します。

-M

指定されたアクションと基準で、アクティブなSAMリクエストを監視します。

all

アクティブなSAMリクエストをすべて取得します。これはモニタ用としてのみ使用します。

<Criteria>

基準は、接続のマッチングに使用されます。

基準とは、以下のパラメータの様々な組み合わせで構成されます。

 

可能な組み合わせは以下のとおりです(この表の下にある説明を参照)。

  • src <IP>

  • dst <IP>

  • any <IP>

  • subsrc <IP> <Netmask>

  • subdst <IP> <Netmask>

  • subany <IP> <Netmask>

  • srv <Src IP> <Dest IP> <Port> <Protocol>

  • subsrv <Src IP> <Src Netmask> <Dest IP> <Dest Netmask> <Port> <Protocol>

  • subsrvs <Src IP> <Src Netmask> <Dest IP> <Port> <Protocol>

  • subsrvd <Src IP> <Dest IP> <Dest Netmask> <Port> <Protocol>

  • dstsrv <Dest IP> <Port> <Protocol>

  • subdstsrv <Dest IP> <Dest Netmask> <Port> <Protocol>

  • srcpr <IP> <Protocol>

  • dstpr <IP> <Protocol>

  • subsrcpr <IP> <Netmask> <Protocol>

  • subdstpr <IP> <Netmask> <Protocol>

  • generic <key=val>

<Criteria>構文の説明

パラメータ

説明

src <IP>

接続元IPアドレスに一致します。

dst <IP>

接続先のIPアドレスに一致します。

any <IP>

接続元IPアドレスまたは接続先IPアドレスのいずれかに一致します。

subsrc <IP> <Netmask>

ネットマスクに応じた接続元IPアドレスにマッチします。

subdst <IP> <Netmask>

ネットマスクに応じた接続先IPアドレスに一致します。

subany <IP> <Netmask>

ネットマスクに応じた接続元IPアドレスまたは接続先IPアドレスのいずれかに一致します。

srv <Src IP> <Dest IP> <Port> <Protocol>

特定の送信元IPアドレス、送信先IPアドレス、サービス(ポート番号)、プロトコルにマッチします。

subsrv <Src IP> <Netmask> <Dest IP> <Netmask> <Port> <Protocol>

特定の送信元IPアドレス、送信先IPアドレス、サービス(ポート番号)、プロトコルにマッチします。

送信元と送信先のIPアドレスは、ネットマスクに従って割り当てられます。

subsrvs <Src IP> <Src Netmask> <Dest IP> <Port> <Protocol>

特定の送信元IPアドレス、送信元ネットマスク、送信先ネットマスク、サービス(ポート番号)、プロトコルにマッチします。

subsrvd <Src IP> <Dest IP> <Dest Netmask> <Port> <Protocol>

特定の送信元IPアドレス、宛先IP、宛先ネットマスク、サービス(ポート番号)、プロトコルに一致します。

dstsrv <Dest IP> <Service> <Protocol>

特定の宛先IPアドレス、サービス(ポート番号)、プロトコルにマッチします。

subdstsrv <Dest IP> <Netmask> <Port> <Protocol>

特定の宛先IPアドレス、サービス(ポート番号)、プロトコルにマッチします。

宛先 IP アドレスはネットマスクに応じて割り当てられます。

srcpr <IP> <Protocol>

送信元IPアドレスとプロトコルに一致します。

dstpr <IP> <Protocol>

宛先IPアドレスとプロトコルに一致します。

subsrcpr <IP> <Netmask> <Protocol>

接続元のIPアドレスとプロトコルにマッチします。

送信元IPアドレスは、ネットマスクに従って割り当てられます。

subdstpr <IP> <Netmask> <Protocol>

接続先のIPアドレスとプロトコルにマッチします。

宛先 IP アドレスはネットマスクに応じて割り当てられます。

generic <key=val>+

指定されたキーと提供された値に基づいて、GTP接続をマッチングします。

複数のキーは、プラス記号(+)で区切られます。

使用可能なキーは以下のとおりです。

  • service=gtp

  • imsi

  • msisdn

  • apn

  • tunl_dst

  • tunl_dport

  • tunl_proto