はじめに
ConnectorはFile Hashのマルウェア確認やソフトウェアアップデートのために、Internet上のCloudサーバと通信が必要になりますが、自動的にProxyサーバを検出する仕組みを備えているため、ファイアウォールやProxyサーバで外部サーバへのアクセスを制限している場合に注意が必要であり、適切な通信許可を行う必要がございます。
本記事では、ConnectorがどのようにProxyサーバを選択し、どのようにFirewallで通信許可を行う必要があるかを整理しました。
前提条件
- Connectorが接続するInternet上のCloudサーバはこちらのtechnoteを参照ください。
- Windows 7 / FireAMP Connector 4.1.1.10193にて確認しております。
- 仕様については変更される可能性もありますため、ご注意ください。
Proxyの選択
ConnectorはCloudの各サーバにアクセスする際、Proxyサーバを経由してアクセスするか、使わずに直接アクセスするかを判断します。
Connectorは以下の優先順位でProxyサーバを参照し、Proxyサーバを参照できない場合に、Proxyなしの直接アクセスを行います。
優先度の高いProxyにアクセス不可能な場合、自動的に優先度の低いProxyに切り替わる動きであるため、業務のPCを外出先等でInternet接続する場合等も、自動的にProxyを切り替え、適切にCloudを参照することが可能です。
Proxy選択の優先度
ConnectorによるProxy自動選択の優先度は以下の順番となります。Proxyが自動選択で検出されない場合、直接接続となります。
PolicyによるProxyサーバ設定/PAC設定
以下、PolicyによるProxyサーバ設定と、PAC設定の手順を説明します。
FireAMP Consoleにログインし、Management->Policiesを実行し、対象となるPolicyを選択し、Editをクリックします。
Proxyを選択し、以下必要な設定をします。
基本的な設定として、ProxyのIP/Hostname、Proxyの待ち受けPort、ProxyのType(通常はhttp_proxy)を設定します。User Name / PasswordはProxyで認証を行っていなければ入力する必要はございません。
また、PACを使用する場合は、PACのURLを設定します。
設定完了後、Updateをクリックし、PC上のpolicyを更新して、設定完了となります。
Local PCのIE設定のProxyサーバ使用時の注意
Windows PCのInternet Exploreから設定を行うProxyの設定は注意が必要です。個別ユーザ毎に設定したIEのProxy設定は、Connectorから参照できません。PCの管理者権限で全体に反映させた設定である必要があります。
システム全体に反映させる方法はいくつか考えられますが、本記事では、参考までに一つの方法を紹介します。
以下の形で、Internet Exploreの設定をWinhttpのProxy設定に読み込みを行うことでConnectorに参照させることが可能です。(cmdは、管理者権限で実行する必要があります。)
C:\Windows\system32>netsh
netsh>winhttp
netsh winhttp>import proxy ie
DNSの選択方法
Connectorが接続するサーバに対するDNS名前解決は、通常のブラウザによるHTTP接続と異なり、デフォルトではLocal PCに設定されたDNSサーバを参照して、Proxyサーバ経由でCloudサーバへの接続を試みます。
デフォルト動作では、Local PCに設定されたDNS名前解決に失敗した場合、Proxyサーバでの名前解決に自動的に切り替えられます。
ただし、Policy上で以下、Use Proxy server for DNS Resolution(デフォルト無効)を有効にすることで、最初から名前解決をProxyサーバで行うことが可能です。
しかし、Use Proxy Server for DNS Resolutionにチェックを入れた場合、Local PCのDNS設定を参照しなくなるため、ProxyサーバでDNS名前解決できない場合は、ConnectorをCloudに接続することが出来ません。
Firewall/Proxyの許可ルールについて
Firewall/Proxyで許可が必要なCloud上のサーバ(FQDN)とPortについては、以下をご参照ください。
Required Server Addresses for Proper AMP Operations
http://www.cisco.com/c/en/us/support/docs/security/sourcefire-amp-appliances/118121-technote-sourcefire-00.html
その上で、設定すべき許可ルールはConnectorがインストールされたPCと、Proxyサーバ、DNS、Firewallの設置場所によって異なります。
以下、その典型的なパターンについて説明します。
また、以下パターンはDNS名前解決が出来ている前提での説明となっておりますので、必要に応じて、DNS名前解決のFirewallのルール(UDP53)を追加してください。
パターン | 許可が必要なルール |
PCとProxyの間にFirewallが設置 | PCからProxyサーバの待ち受けポートのみ、許可ルールを設定 |
PC/ProxyとInternetの間にFirewallが設置 | 上記リンクに掲載されたサーバ群への許可ルールを設定。 注意事項として、Cloudサーバは動的IPを含むため、IPアドレス変更によるFirewallルール更新が必要な場合があります。 |
ProxyでURL Filterが設定 | 上記リンクに記載されたFQDNに対して許可ルールを設定 |