SB C&Sの最新技術情報 発信サイト

C&S ENGINEER VOICE

SB C&S

新人ブログ 番外編 Vol.3 (アプリケーション制御とSSLインスペクション ) 前編

Fortinet
2019.09.24

本ブログは、日々お客様よりいただくネットワーク・セキュリティプロダクトに関するお問い合わせを、

エンジニア1年生が先輩の指導を受けながら検証などを行い、回答した内容を一問一答方式でまとめたブログです。

<番外編 アプリケーション制御とSSLインスペクション 前編>

今回はアプリケーション制御と暗号化について検証しました。

アプリケーション制御を行うには、情報システム管理者がアプリケーション通信を可視化する必要があります。

なぜ可視化が必要なのか。その理由は以下の2つです。

  • ネットワークの観点では、ユーザーの使用状況を把握することで、適切な帯域確保やアプリ管理のため
  • セキュリティの観点では、危険な通信(マルウェアや情報漏えい)を発見、ブロックするため

このFortiGateによるアプリケーションの可視化と制御を利用するには、以下の機能を理解しておく必要があります。

①アプリケーションコントロール

②SSLインスペクション

番外編Vol.3では上記の機能を前後編に分けて紹介します。

前編はアプリケーションコントロールについて説明していきます。

<アプリケーションコントロール>

FortiGateのNGFW機能の1つです。

FortiGateで制御する通信上のアプリケーションを可視化や制御するための機能です。

この機能により業務に必要なアプリケーションのみアクセスを許可したり、情報漏洩の危険性があるアプリケーションの使用や、業務に無関係なアプリケーションの使用を禁止することができます。

アプリケーションコントロール画面

アプリケーションコントロールはFortiOS5.6以降で標準ライセンス化されています。

  • アプリケーションレイヤー制御

アプリケーションコントロールではパケットのL7レイヤ情報をFortiGateが識別し、コントロールします。

アプリケーションコントロールは従来のファイアウォールだけでは制御できない通信(主にWeb通信)を制御する事ができます。

  • アプリケーション可視化の設定方法

ポリシー設定画面からLAN→WANのポリシーを編集します。

初期状態では全てのアプリケーションがモニター状態となっているので、プロファイルを有効にしてdefaultを設定します。

※ここで有効になるSSLインスペクションについては後編で説明します。


実際に通信を行った後、FortiGateからログを確認すると、アプリケーション名の欄に利用したアプリケーションとアイコンが表示されます。



<アプリケーションシグネチャ>

  • アプリケーションシグネチャリスト

FortiGateではFortiGuardから、一般的によく使われているアプリケーションの制御リストが自動的に更新されます。

▼FortiGuard アプリケーションリスト

https://fortiguard.com/appcontrol

  • カスタムアプリケーションシグネチャの作成

FortiGateのアプリケーションリストは自動的に更新されますが、中にはFortiGuardから配信されないアプリケーションもあるため、ユーザー固有のカスタムアプリケーションシグネチャを作成することも可能です。

最後にブラウザのユーザーエージェントを利用した、カスタムアプリケーションシグネチャの作成例を紹介していきます。

今回はウェブブラウザ「Vivaldi」を利用したHTTP通信を制御するためのシグネチャを作成していきます。

1.パケットからユーザーエージェントを確認するために、パケットキャプチャを実行しVivaldiからHTTPのサイトにアクセスします。




2.GETメソッドがあるパケット選択し、HTTPからユーザーのブラウザ情報を取得します。



3.ユーザーエージェント情報を参考にVivaldiのHTTP通信を制御するシグネチャを作成します。

 セキュリティ > カスタムシグネチャ > 新規作成(アプリケーションシグネチャ)



ポリシーにデフォルトのプロファイルを適用している場合は、アクションを変更するためデフォルトのプロファイルにアプリケーションオーバーライドを利用します。



4.VivaldiからHTTPサイトへのアクセスが拒否されたことが確認できました。



----------------------

検証後記

カスタムシグネチャの作成は一見複雑そうに見えますが、よく読むと簡単に作成できます。
FortiGate自体にあらかじめ登録されたリストに存在しない、ユーザー固有のアプリケーションをFortiGateに登録する際にご活用ください。

後編はSSLインスペクション機能の検証をしていきます。
現在のアプリケーションはほとんどがHTTPS(TCP:443)の暗号化(SSL)された通信で行われます。

そのためアプリケーション内で行われる特定の動作を可視化し、
制御するには暗号化を強制的に解読する必要があります。

次回は暗号を複合化するDeep Inspection(フルインスペクション)の仕組みを紹介していきます。

著者紹介

SB C&S株式会社
ICT事業本部 ICT事業戦略・技術本部 技術統括部 第3技術部 3課

渡邊 理史