購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
新しい記事を作成する
2833
閲覧回数
5
いいね!
0
コメント

[CSC/AMP] ConnectorのCloudへのアクセスのためのProxy/DNS/Firewall設定について

Kenichiro Kato
Cisco Employee
Cisco Employee

‎2016-04-22 07:34 PM ‎2017-08-31 11:15 AM 更新

     

    はじめに

    ConnectorはFile Hashのマルウェア確認やソフトウェアアップデートのために、Internet上のCloudサーバと通信が必要になりますが、自動的にProxyサーバを検出する仕組みを備えているため、ファイアウォールやProxyサーバで外部サーバへのアクセスを制限している場合に注意が必要であり、適切な通信許可を行う必要がございます。
    本記事では、ConnectorがどのようにProxyサーバを選択し、どのようにFirewallで通信許可を行う必要があるかを整理しました。

    前提条件

    • Connectorが接続するInternet上のCloudサーバはこちらのtechnoteを参照ください。
    • Windows 7 / FireAMP Connector 4.1.1.10193にて確認しております。
    • 仕様については変更される可能性もありますため、ご注意ください。

    Proxyの選択

    ConnectorはCloudの各サーバにアクセスする際、Proxyサーバを経由してアクセスするか、使わずに直接アクセスするかを判断します。
    Connectorは以下の優先順位でProxyサーバを参照し、Proxyサーバを参照できない場合に、Proxyなしの直接アクセスを行います。
    優先度の高いProxyにアクセス不可能な場合、自動的に優先度の低いProxyに切り替わる動きであるため、業務のPCを外出先等でInternet接続する場合等も、自動的にProxyを切り替え、適切にCloudを参照することが可能です。

     

    Proxy選択の優先度

    ConnectorによるProxy自動選択の優先度は以下の順番となります。Proxyが自動選択で検出されない場合、直接接続となります。

     

    PolicyによるProxyサーバ設定/PAC設定

    以下、PolicyによるProxyサーバ設定と、PAC設定の手順を説明します。

    FireAMP Consoleにログインし、Management->Policiesを実行し、対象となるPolicyを選択し、Editをクリックします。

    Proxyを選択し、以下必要な設定をします。

    基本的な設定として、ProxyのIP/Hostname、Proxyの待ち受けPort、ProxyのType(通常はhttp_proxy)を設定します。User Name / PasswordはProxyで認証を行っていなければ入力する必要はございません。

    また、PACを使用する場合は、PACのURLを設定します。

    設定完了後、Updateをクリックし、PC上のpolicyを更新して、設定完了となります。

     

    Local PCのIE設定のProxyサーバ使用時の注意

    Windows PCのInternet Exploreから設定を行うProxyの設定は注意が必要です。個別ユーザ毎に設定したIEのProxy設定は、Connectorから参照できません。PCの管理者権限で全体に反映させた設定である必要があります。

    システム全体に反映させる方法はいくつか考えられますが、本記事では、参考までに一つの方法を紹介します。

    以下の形で、Internet Exploreの設定をWinhttpのProxy設定に読み込みを行うことでConnectorに参照させることが可能です。(cmdは、管理者権限で実行する必要があります。)

    C:\Windows\system32>netsh
    netsh>winhttp
    netsh winhttp>import proxy ie

    DNSの選択方法

    Connectorが接続するサーバに対するDNS名前解決は、通常のブラウザによるHTTP接続と異なり、デフォルトではLocal PCに設定されたDNSサーバを参照して、Proxyサーバ経由でCloudサーバへの接続を試みます。

    デフォルト動作では、Local PCに設定されたDNS名前解決に失敗した場合、Proxyサーバでの名前解決に自動的に切り替えられます。

    ただし、Policy上で以下、Use Proxy server for DNS Resolution(デフォルト無効)を有効にすることで、最初から名前解決をProxyサーバで行うことが可能です。


    しかし、Use Proxy Server for DNS Resolutionにチェックを入れた場合、Local PCのDNS設定を参照しなくなるため、ProxyサーバでDNS名前解決できない場合は、ConnectorをCloudに接続することが出来ません。

    Firewall/Proxyの許可ルールについて

    Firewall/Proxyで許可が必要なCloud上のサーバ(FQDN)とPortについては、以下をご参照ください。

    Required Server Addresses for Proper AMP Operations

    http://www.cisco.com/c/en/us/support/docs/security/sourcefire-amp-appliances/118121-technote-sourcefire-00.html

    その上で、設定すべき許可ルールはConnectorがインストールされたPCと、Proxyサーバ、DNS、Firewallの設置場所によって異なります。

    以下、その典型的なパターンについて説明します。

    また、以下パターンはDNS名前解決が出来ている前提での説明となっておりますので、必要に応じて、DNS名前解決のFirewallのルール(UDP53)を追加してください。

    パターン許可が必要なルール
    PCとProxyの間にFirewallが設置PCからProxyサーバの待ち受けポートのみ、許可ルールを設定
    PC/ProxyとInternetの間にFirewallが設置

    上記リンクに掲載されたサーバ群への許可ルールを設定。

    注意事項として、Cloudサーバは動的IPを含むため、IPアドレス変更によるFirewallルール更新が必要な場合があります。

    ProxyでURL Filterが設定上記リンクに記載されたFQDNに対して許可ルールを設定

     

     

    Getting Started

    検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

    シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします

    Customers Also Viewed These Support Documents