復号化
パロアルトネットワークスの次世代ファイアウォールでは、SSL/TLSおよびSSH暗号化トラフィックを検査して制御することができます。弊社の復号化機能を使用すれば、暗号化トラフィック内に潜んでいる脅威を食い止めることができ、また、機密内容の組織外への流出も防止できます。
復号化するトラフィックは(組織または法令の要件に基づいて)お客様が制御でき、ユーザーへの通知やオプトアウト オプションもあります。復号化されたトラフィックのコピーをDLPまたはフォレンジック/コンプライアンス システムに「ミラーリング」することもできます。ファイアウォールでは、特定の暗号スイートやプロトコル バージョンなどの強力な暗号化オプションの使用を強制することができます。
復号化の制御
復号化は、URLカテゴリ、接続元、接続先、ユーザー、ユーザー グループおよびポートに基づいて選択的に制御(有効化または無効化)できます。制御は、ファイアウォールの復号化ポリシーで設定されます。復号化使用許可ポリシーと一致する接続では、ユーザーが「オプトアウト」できるオプションがあります(ユーザーがオプトアウトすると、そのセッションは終了します)。
復号化ポリシー(復号化する接続を指定)の他に、復号化プロファイルを割り当てて、ポリシーによって制御されるセッションのさまざまなオプションを制御できます。たとえば、特定の暗号化スイートの使用や、暗号化プロトコル バージョンが必要になる場合があります。
復号化トラフィックの制御
SSL/TLSトラフィックが選択的に復号化されると、通常のApp-ID™やセキュリティ ポリシー(脅威防御、WildFire™への転送、URLフィルタリング、ファイル ブロッキング プロファイルなど)が適用されます。このトラフィックは、ファイアウォールを出るときに再暗号化されます(サーバーまたはクライアントのいずれかに向かいます)。
復号化されたSSHトラフィックはコンテンツや脅威の検査を受けませんが、設定されているセキュリティ ポリシーに応じて、SSHトンネリング(ポート フォワーディング)を検出してブロックできます。
復号ポート ミラーリング
復号化されたトラフィックのコピーは、設定済みのファイアウォール インターフェイスに「ミラーリング」できます*。これは、サードパーティDLPまたはフォレンジック/コンプライアンス システムを統合する際に便利です。復号化ファイアウォール トラフィックすべてをミラーリングするオプション、またはすべてのセキュリティ ポリシー適用後にファイアウォールによって転送されたトラフィックのみをミラーリングするオプションを使用できます。
この機能は、すべての次世代ファイアウォールで使用できます。
*復号化ポート ミラーリングは、PA-7000シリーズ、PA-5000シリーズ、およびPA-3000シリーズでのみ使用できます。
詳細な分析・アーカイブ化のためのSSLトラフィックのオフロード
攻撃証拠の保全や履歴保持の目的や、情報漏洩・流出防止(DLP)機能のために、データ全体のキャプチャが必要な場合、 ポートミラーリング機能を使ってNetWitnessやSoleraなどサードパーティのソリューションにSSLトラフィックのコピーを渡し、 さらにきめ細かい分析アーカイブ化を実行できます。PA-5000シリーズとPA-3000シリーズでのみサポート
SSHトラフィックの識別と制御
パロアルトのエンタープライズ向けセキュリティ プラットフォームでは、SSHでトンネリングされたトラフィックに対してポリシーベースの識別・制御を実行できます。SSH内でポート フォワーディングやX11フォワーディングをSSHトンネルとして検知する際にはMITM方式が用いられます。また、リモートマシンへの通常のシェルやscpおよびsftpによるアクセスはSSHとしてレポートされます。デフォルトでは、SSH制御は無効に設定されています。
関連コンテンツ
Palo Alto Networks WanaCrypt0r ランサムウェア攻撃に対するプロテクション
何が起こったか: 2017年5月12日金曜日、WanaCrypt0rの最新亜種による一連の攻撃が広範囲に対して始まりました。これらの攻撃は世界中の公的・民間組織に影響を与えたと報告されています。Palo Alto Networks の次世代セキュリティプラットフォームはこの攻撃に対するプロテクションを自動で作成、配布、適用を行いました。 どうやって攻撃されるのか: WwanaCrypt0rはリンクもしくはPDFドキュメントを添付したフィッシングメールによる攻撃が始まります。フィッシング攻撃の成功により WanaCrypt0r ランサムウェアはターゲットシステムに感染し、次にSMBプロトコル経由でMicrosoft Windows システムにある EternalBlue 脆弱性 (CVE-2017-0144)を悪用して広範囲に感染を広めようとして攻撃します。この脆弱性は Microsoft により MS17-010として2017年3月に対応されています。この脆弱性は Shadow Brokers グループによって 2017年4月に一般公開されていました。MS17-010 のパッチを適用している組織は WanaCrypt0r の感染がネットワークを介して広まるリスクはありません。MS17-010は現在アクティブな攻撃で使用されているネットワークコンポーネントにあるリモートコード実行可能な脆弱性を修正しているため、私たちはこのセキュリティアップデートの適用を早急に行うことを強くおすすめします。 阻止: Palo Alto Networks のお客様は、攻撃ライフサイクルのいずれにおいても脅威を自動的に止めることができる脅威阻止アプローチを適用している我々の次世代セキュリティプラットフォーム経由で守られています。Palo Alto Networks のお客様は次世代セキュリティプラットフォームに対して提供している複数の脅威阻止コントロールを通じて自動的にWanaCrypt0rランサムウェアから守られています。 WildFire はすべての既知サンプルをマルウェアとして分類し、悪意のあるコンテンツがユーザに配布されることを自動的にブロックしています。 Threat Preventionはこの攻撃に使用されている脆弱性の悪用(CVE-2017-0144 - MS17-010)に対応する IPS シグネチャを適用しています。 Traps はエンドポイントで WanaCrypt0r マルウェアの実行を阻止します。 AutoFocus はWanaCrypt0rタグを通じて脅威分析と脅威ハンティングできるようこの攻撃を追跡します。 GlobalProtect を通じて次世代ファイアウォールポリシーをモバイルユーザに拡大することでリモートワーカーを守ることができます。 Palo Alto Networks 次世代セキュリティプラットフォームを使ってランサムウェアを阻止するベストプラクティスについてはこちらのナレッジベースを参照ください。
パロアルトネットワークス管理者ガイド日本語版
このガイドで、パロアルトネットワークスのファイアウォールのWeb管理画面の使用方法を説明します。対象は設置、運用管理、メンテナンスを行うシステム管理者向けです。 ※このページで提供する管理者ガイドが最新版でない可能性があります。最新版に関しては、製品をご購入された販売代理店にご相談ください。
脅威の概要: WanaCrypt0r について判明していること
本 Unit 42 ブログ記事では、WanaCrypt0r ランサムウェアによる攻撃とその拡散方法についての本脅威の現況について、更新情報を提供します。
Rick Howard, Palo Alto Networks,
PA-800 シリーズ
主なセキュリティ機能: すべてのアプリケーションをすべてのポートで常時識別 • 使用されているポートや暗号化(SSLまたはSSH)、セキュリティの回避技術に関わらず、アプリケーションを識別します。 • 許可、拒否、スケジュール、スキャン、帯域制御の適用などのセキュリティ ポリシー決定の要素として、ポートではなくアプリケーションを使用します。 • 不明なアプリケーションを、ポリシー制御、脅威のフォレンジック、またはApp-ID™アプリケーション識別テクノロジの開発が行えるよう分類します。
PA-3000シリーズ スペックシート
PA-3000シリーズの主な機能、パフォーマンスと容量、および仕様。