シスコサポートコミュニティ
キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 

[CSC/AMP] ConnectorのCloudへのアクセスのためのProxy/DNS/Firewall設定について

     

    はじめに

    ConnectorはFile Hashのマルウェア確認やソフトウェアアップデートのために、Internet上のCloudサーバと通信が必要になりますが、自動的にProxyサーバを検出する仕組みを備えているため、ファイアウォールやProxyサーバで外部サーバへのアクセスを制限している場合に注意が必要であり、適切な通信許可を行う必要がございます。
    本記事では、ConnectorがどのようにProxyサーバを選択し、どのようにFirewallで通信許可を行う必要があるかを整理しました。

    前提条件

    • Connectorが接続するInternet上のCloudサーバはこちらのtechnoteを参照ください。
    • Windows 7 / FireAMP Connector 4.1.1.10193にて確認しております。
    • 仕様については変更される可能性もありますため、ご注意ください。

    Proxyの選択

    ConnectorはCloudの各サーバにアクセスする際、Proxyサーバを経由してアクセスするか、使わずに直接アクセスするかを判断します。
    Connectorは以下の優先順位でProxyサーバを参照し、Proxyサーバを参照できない場合に、Proxyなしの直接アクセスを行います。
    優先度の高いProxyにアクセス不可能な場合、自動的に優先度の低いProxyに切り替わる動きであるため、業務のPCを外出先等でInternet接続する場合等も、自動的にProxyを切り替え、適切にCloudを参照することが可能です。

     

    Proxy選択の優先度

    ConnectorによるProxy自動選択の優先度は以下の順番となります。Proxyが自動選択で検出されない場合、直接接続となります。

     

    PolicyによるProxyサーバ設定/PAC設定

    以下、PolicyによるProxyサーバ設定と、PAC設定の手順を説明します。

    FireAMP Consoleにログインし、Management->Policiesを実行し、対象となるPolicyを選択し、Editをクリックします。

    Proxyを選択し、以下必要な設定をします。

    基本的な設定として、ProxyのIP/Hostname、Proxyの待ち受けPort、ProxyのType(通常はhttp_proxy)を設定します。User Name / PasswordはProxyで認証を行っていなければ入力する必要はございません。

    また、PACを使用する場合は、PACのURLを設定します。

    設定完了後、Updateをクリックし、PC上のpolicyを更新して、設定完了となります。

     

    Local PCのIE設定のProxyサーバ使用時の注意

    Windows PCのInternet Exploreから設定を行うProxyの設定は注意が必要です。個別ユーザ毎に設定したIEのProxy設定は、Connectorから参照できません。PCの管理者権限で全体に反映させた設定である必要があります。

    システム全体に反映させる方法はいくつか考えられますが、本記事では、参考までに一つの方法を紹介します。

    以下の形で、Internet Exploreの設定をWinhttpのProxy設定に読み込みを行うことでConnectorに参照させることが可能です。(cmdは、管理者権限で実行する必要があります。)

    C:\Windows\system32>netsh
    netsh>winhttp
    netsh winhttp>import proxy ie

    DNSの選択方法

    Connectorが接続するサーバに対するDNS名前解決は、通常のブラウザによるHTTP接続と異なり、デフォルトではLocal PCに設定されたDNSサーバを参照して、Proxyサーバ経由でCloudサーバへの接続を試みます。

    デフォルト動作では、Local PCに設定されたDNS名前解決に失敗した場合、Proxyサーバでの名前解決に自動的に切り替えられます。

    ただし、Policy上で以下、Use Proxy server for DNS Resolution(デフォルト無効)を有効にすることで、最初から名前解決をProxyサーバで行うことが可能です。


    しかし、Use Proxy Server for DNS Resolutionにチェックを入れた場合、Local PCのDNS設定を参照しなくなるため、ProxyサーバでDNS名前解決できない場合は、ConnectorをCloudに接続することが出来ません。

    Firewall/Proxyの許可ルールについて

    Firewall/Proxyで許可が必要なCloud上のサーバ(FQDN)とPortについては、以下をご参照ください。

    Required Server Addresses for Proper AMP Operations

    http://www.cisco.com/c/en/us/support/docs/security/sourcefire-amp-appliances/118121-technote-sourcefire-00.html

    その上で、設定すべき許可ルールはConnectorがインストールされたPCと、Proxyサーバ、DNS、Firewallの設置場所によって異なります。

    以下、その典型的なパターンについて説明します。

    また、以下パターンはDNS名前解決が出来ている前提での説明となっておりますので、必要に応じて、DNS名前解決のFirewallのルール(UDP53)を追加してください。

    パターン許可が必要なルール
    PCとProxyの間にFirewallが設置PCからProxyサーバの待ち受けポートのみ、許可ルールを設定
    PC/ProxyとInternetの間にFirewallが設置

    上記リンクに掲載されたサーバ群への許可ルールを設定。

    注意事項として、Cloudサーバは動的IPを含むため、IPアドレス変更によるFirewallルール更新が必要な場合があります。

    ProxyでURL Filterが設定上記リンクに記載されたFQDNに対して許可ルールを設定

     

     

    199
    閲覧回数
    5
    いいね!
    0
    コメント