コンテンツにスキップ

UniFi詳細設定

無線LANにおけるアクセス制限

ここでは、無線LANクライアントがUniFiアクセスポイントへ接続するためのポリシー設定について説明します。

「設定」>「ワイヤレスネットワーク」>「MACフィルター」で「MACアドレスのフィルタリングを有効化」し、接続を許可するクライアントのMACアドレスを登録し「保存」します。

Placeholder

APの上位にUSGまたはUDMがある場合、それらに内蔵されるRADIUSサービスを利用できます。事前にRADIUSサーバの設定を確認してください。

Placeholder

「設定」>「サービス」>「RADIUS」で「新しいユーザーを作成」します。社内で管理しているクライアントのMACアドレスを「名前(RADIUS Username)」と「パスワード(Password)」の両方に設定します。「VLAN」を指定することで参加させるネットワークを制限できます。

Placeholder

「設定」>「ワイヤレスネットワーク」>「RADIUS MAC認証」で「RADIUS MAC認証を有効化」し、「RADIUSプロファイル(RADIUSサーバ)」と「MACアドレスフォーマット」を指定し「保存」します。 この例では、「Default」のRADIUSプロファイルと、":"コロン区切りのMACアドレス形式を選択しています。

Placeholder

「設定」>「ワイヤレスネットワーク」>「WPAエンタープライズ」でWPA2-Enterpriseによる802.1X認証を適用できます。構成済みのRADIUSプロファイル(USGやUDMのビルトインRADIUSサーバもしくは外部RADIUSサーバ)を選択し、設定を「保存」します。

Placeholder

SSIDごとに1つ以上のタグ付きVLAN、および無線ごとに4つのSSIDが存在できます。

SSIDが使用するVLANは、「設定」>「ワイヤレスネットワーク」>「高度なオプション」>「VLAN」で設定できます。なお、VLAN"1"はSSIDにタグ付けできません。

Placeholder

SSIDでVLANを設定する代わりに、RADIUS制御のVLANをUniFi APおよびUniFi Switchに適用できます。

「設定」>「プロファイル」>「RADIUS」で「VLANサポート」を有効にします。

Placeholder

「設定」>「サービス」>「RADIUS」>「ユーザー」で「VLAN」の番号、「トンネルタイプ(Tunnel Type)]を"13"、「トンネルミディアムタイプ(Tunnel Medium Type)」を"6"に設定します。Tunnel-Private-Group-Idにはここで設定したVLAN番号がセットされます。

Placeholder

無線LANグループの設定

WLANグループは、SSIDやPSKのセット、および、より詳細な無線接続ポリシー等のWLAN設定をテンプレート化しておくための概念です。これを用いることで、新しいUniFi APに用途に応じたWLAN設定をすばやく適用できます。

「設定」>「ワイヤレスネットワーク」の右上「WLANグループ」に着目し、「+」アイコンをクリックします。

Placeholder

「新しいWLANグループを作成」します。WLANグループに名前をつけ、必要なオプションを選択します。なお、既存のグループから設定をコピーするオプションも利用できます。

Placeholder

新しいWLANグループ配下に、目的のSSIDを作成する必要があります。これらの新しいWLAN設定は、手動でAPに適用するまで勝手にプロビジョニングされることはありません。

「デバイス」から、目的のAPをクリックし、「構成」タブに移動します。

無線(2.4GHz, 5GHz)毎に「WLANグループ」プルダウンからWLANグループ名を選択し、変更を適用します。

Placeholder

有線LANにおけるアクセス制限

ここでは、有線クライアントに適用するためのアクセス制限(IEEE 802.1X モード)を、UniFi Switchに設定する方法について説明します。事前にRADIUSサーバの設定を確認してください。

コントローラの「デバイス」から目的のスイッチを選択し、「構成」>「サービス」>「セキュリティ」から、「802.1X制御を有効」にし、構成済みの「RADIUSプロファイル」を選択します。

「フォールバックVLAN」は、クライアントがユーザー名とパスワードまたはMAC認証バイパスによる認証に失敗したときに、ここで選択しておいた ネットワークへクライアントを接続します。

802.1Xによるアクセス制御の有効化は、スイッチ毎に行われます。これが有効になっていない場合、UniFi SwitchはオーセンティケータとしてRADIUS認証メッセージをRADIUSサーバに渡すことができません。

Placeholder

各ポートに手動で802.1Xポリシーを適用する代わりに、迅速な展開のためにポートプロファイルを定義しておくことが推奨されます。

「設定」>「プロファイル」>「スイッチポート」から、「802.1X コントロール」のための新しいプロファイルを作成します。

802.1X コントロールモード 説明
自動(Auto) 認証が正常に行われるまで、ポートは無許可です。
強制認可(Force Authorized) ポートは、認証なしで通常のトラフィックを送受信します。
無認可として固定(Force Unauthorized) ポートはサプリカント認証の試行を無視し、クライアントに認証サービスを提供しません。
MACベース(Mac-based) 同じポートに接続された複数のサプリカントがそれぞれ個別に認証できます。ポートに接続されている各ホストは、ネットワークにアクセスするために個別に認証する必要があります。ホストはMACアドレスによって区別されます。

RADIUSで動的VLAN割り当てを使用する場合、「タグネットワーク」にて使用されるVLANを選択しておく必要があります。

Placeholder

有線LANにおけるVLAN設定

デフォルトでは、UniFiスイッチのポートは"ALL"に設定されており、そこにはタグなしのVLAN"1"があり、残りはタグ付きのVLANとなります。

VLANは、UniFi Network Controllerの「設定」>「ネットワーク」で定義する必要があります。

「新しいネットワークを作成」する際にネットワークを「VLANのみ」として設定します。

Placeholder

新しいネットワークを作成すると、「設定」>「プロファイル」>「スイッチポート」にそのプロファイルが自動的に追加されます。

Placeholder

ポートのプロファイルを変更するには、「設定」>「デバイス」から目的のスイッチをクリックして「プロパティ」を表示し、「ポート」タブで「編集」します。

「スイッチポートのプロファイル」から、定義済みのプロファイルを選択します。

Placeholder

RADIUSサーバの設定

ここでは、USGモデルとUDMモデルに内蔵されるRADIUSサーバを構成する方法について説明します。

UniFiネットワークにおけるRADIUSサーバは、有線、無線、およびL2TPによるリモートアクセスのユーザー認証に利用できます。

IEEE 802.1Xによるネットワーク認証モデルには3つの構成要素があります。

要素 説明
サプリカント(Supplicant) 接続を要求するポートに接続されたコンピューターのこと。
例えば、PCやスマートフォンに搭載されたネットワーク接続ソフトウェアを指します。
オーセンティケータ(Authenticatior) ネットワークへの接続を認可する前に認証サーバにメッセージを送信するポートまたはデバイスを指します。
ここでは、UniFi APやUniFi Switchとなります。
認証サーバ(Authentication Server) RADIUSサーバなどのユーザー認証サーバを指します。
ここでは、UniFi Security GatewayやUniFi Dream MachineにビルトインされたRADIUSサーバーとします。

sequenceDiagram Supplicant->>Authenticator: New Connection Authenticator->>Supplicant: EAP Request Identity Supplicant->>Authenticator: EAP Response Identity Authenticator->>Authentication Server: RADIUS Access Request Authentication Server->>Authenticator: RADIUS Access Challenge Authenticator->>Supplicant: EAP Request Supplicant->>Authenticator: EAP Response Authenticator->>Authentication Server: RADIUS Access Request Authentication Server->>Authenticator: RADIUS Access Accept Authenticator->>Supplicant: EAP Success
要約すると、

  1. ユーザーは自分のコンピューターをUniFi APの無線SSIDに接続する際、コンピューター上のサプリカントから資格情報の入力を求められるため、オーセンティケータであるUniFi APに資格情報を入力し送信します。
  2. オーセンティケータであるUniFi APは、RADIUS Access Requestメッセージを、(USGやUDMにビルトインされた)RADIUSサーバに送信します。
    このメッセージには、ユーザー名、パスワード、またはユーザーが接続のために提供した証明書が含まれますが、これらに限定されません。
  3. RADIUSサーバはオーセンティケータに次の3つの応答のいずれかを返します。
応答 説明
Access Reject 提出された資格情報に誤りが含まれるため、ネットワークへの接続を拒否します。
Access Challenge 認証を完了させるために、セカンダリパスワード、トークン、PIN、カードなどの追加の情報の提出を要求します。
Access Accept 提出された資格情報がRADIUSサーバに登録された情報と正しく照合されたため、ネットワークへの接続を認可します。

「設定」>「プロファイル」>「RADIUS」でUSG/UDMに内蔵される「Default」のRADIUSプロファイルが定義されていることを確認できます。

Placeholder

「編集」から「プロファイル名」や「VLANサポート」等のオプションを設定し「保存」します。

Placeholder

なお、「設定」>「プロファイル」>「RADIUS」の「新しいRADIUSプロファイルを作成」では、USG/UDM内蔵のRADIUSサービスではなく、外部のRADIUSサーバと連携するためのプロファイルを設定できます。

Placeholder

「設定」>「サービス」>「RADIUS」>「サーバー」で、USG/UDMに内蔵される「RADIUSサーバーを有効化」します。任意の「シークレット」文字列を決定し、「認証ポート」以下はデフォルトの設定値で問題ありませんが、必要に応じて変更してください。

Placeholder

「設定」>「サービス」>「RADIUS」で新しいユーザーを作成します。

Placeholder

項目 説明
ユーザー名 ユーザーが入力する一意のユーザー名を入力します。
パスワード ユーザーが入力するパスワードを入力します。
VLAN RADIUS認証済みクライアントを特定のVLANに割り当てるためのVLAN番号を入力します。この設定を行わない場合、RADIUS認証済みクライアントはタグなしVLANにフォールバックされます。
トンネルタイプ(Tunnel Type) RFC2868 セクション3.1を参照し、適切なトンネルタイプを選択します。
トンネルミディアムタイプ(Tunnel Medium Type) RFC2868 セクション3.2を参照し、適切なトンネルメディアタイプを選択します。

サイト間VPNの設定

ここでは、UniFi Security GatewayモデルおよびUniFi Dream Machineモデルでサイト間VPNを構成する方法について解説します。

サイト間VPNは、2つのファイアウォール間に安全な接続を確立し、その背後にある内部ネットワークを相互に接続します。

VPN接続する各USGまたはUDMにおいて、UniFi Network Controllerの「設定」>「ネットワーク」>「新しいネットワークを作成」し、「目的」を「サイト間VPN」、「VPNタイプ」を「手動IPsec」、「このサイト間VPNを有効化」します。

Placeholder

次に、下記のパラメタを設定し保存します。

項目 説明
リモートサブネット 設定中のサイトから見てリモート側のローカルネットワークサブネットを入力します。
ルート距離 デフォルトの"30"のままとします。
ピアIP リモート側ゲートウェイのパブリックIPアドレスを入力します。
ローカルWAN IP 設定中のサイト側のUSG/UDMのパブリックIPアドレスを入力します。USG/UDMがNATの背後にある場合は、WANインターフェイスにあるアドレスを入力します。
事前共有キー 各VPNエンドポイントにおける事前共有鍵の文字列を入力します。対向するUSG/UDMで同じ文字列を設定してください。
IPsecプロファイル 「カスタマイズ済み」上記で設定したパラメタを使用します。
IPsecプロファイルの選択項目 説明
Azureダイナミックルーティング VTIを使用してMicrosoft Azureインスタンスに接続するためのパラメータを使用します。
Azureスタティックルーティング VTIのないポリシーベースのIPsecを使用してMicrosoft Azureインスタンスに接続するためのパラメータを使用します。
高度なオプションの選択項目 説明
キー交換バージョン "IKEv1"または"IKEv2"を選択します。
暗号化 "AES-128", "AES-256", または"3DES"を選択します。
ハッシュ "SHA1"または"MD5"を選択します。
DH(Diffie-Hellman)グループ "2", "5", "14", "15", "16", "19", "20", "21", "25", "26"を選択します。
PFS(Perfect Forward Secrecy) 有効化した場合、フェーズ2のDHグループはDHグループで選択されているのと同じグループにハードコードされます。
ダイナミックルーティング VTIの使用を有効または無効にします。これは、VPN構成がポリシーベース(オフ)またはルートベース(オン)のいずれかであることを指定します。

同じUniFi Network Controller内の別々のサイトで管理されるUSGを使用して、サイト間VPNを作成します。

UniFi Network Controllerの「設定」>「ネットワーク」>「新しいネットワークを作成」し、「目的」を「サイト間VPN」、「VPNタイプ」を「自動IPsec VTI」、「リモートサイト」で対向するサイト名を選択し保存します。

Placeholder

この際、以下の設定が自動で構成され、USGにプロビジョニングされます。

自動構成内容
VPNトンネルの両側でピアIPを設定し、WAN側のIPアドレスと一致させます。
各サイトのリモートネットワークを追加します。
VPNに使用する各USGのVTI(Virtual Tunnnel Interface)インターフェイスをプロビジョニングします。なお、自動VPN VTIインターフェイスはvti0で始まり、vti1, vti2...のように連番されます。自動VPNが追加されると、WAN側のIPアドレスの変更を動的に追跡します。
2つのUSG間に、ランダムに生成された強力な事前共有鍵をプロビジョニングします。

自動および動的ルーティングが有効なIPsec-VPNを通過するトラフィックをブロックするファイアウォールのルールは、UniFi Network Controllerの「設定」>「ルーティングとファイアウォール」>「ファイアウォール」> 「LAN_IN」で作成する必要があります。

送信元フィールドには、構成しているUSGからのリモートネットワークサブネットまたはIPアドレスを指定し、宛先フィールドには、トラフィックをブロックするローカルネットワークサブネットまたはIPアドレスを指定する必要があります。

リモートアクセスVPNの設定

ここでは、RADIUS認証を使用してUniFi Security GatewayモデルおよびUniFi Dream MachineモデルでL2TP-VPNサーバを設定する方法について解説します。

L2TP-VPNはUSGモデルの「WAN1」でのみ機能するように設計されていますが、UDM-Proでは「WAN1」と「WAN2」の両方で構成できます。USG/UDMでRADIUSサーバを設定するにはRADIUSサーバの設定をご一読ください。

VPN接続を構成するUSGまたはUDMにおいて、UniFi Network Controllerの「設定」>「ネットワーク」>「新しいネットワークを作成」し、「目的」を「リモートユーザーVPN」、「ゲートウェイ/サブネット」でリモートVPNクライアントにアクセスさせるサブネットを指定します。次に、「RADIUSプロファイル」で設定済みのRADIUSサーバを選択し保存します。
「設定」>「サービス」>「RADIUS」>「サーバー」で「RADIUSサーバーを有効化」し「保存」します。
「設定」>「サービス」>「RADIUS」>「ユーザー」で「新しいユーザーを作成」します。「名前」はユニークなユーザー名、「パスワード」はそのユーザー用のパスワードを設定します。「トンネルタイプ」は"3"、「トンネルミディアムタイプ」は"1"を選択し「保存」します。

リモートVPNクライアントの設定

手順 設定イメージ
「設定」>「ネットワークとインターネット」>「VPN」>「VPN接続を追加する」を押します。
以下の内容を設定し保存します。
設定項目 設定内容
VPNプロバイダー Windows(ビルトイン)
接続名 任意の文字列(この例では"L2TP")
サーバー名またはアドレス USG/UDMのWAN側のパブリックIPアドレス
VPNの種類 事前共有キーを使ったL2TP/IPsec
事前共有キー USG/UDMのRADIUSサーバに設定済みの事前共有キー文字列
サインイン情報の種類 ユーザー名とパスワード
ユーザー名 USG/UDMのRADIUSサーバに登録済みのユーザー名
パスワード ユーザーのパスワード
「設定」>「ネットワークとインターネット」>「状態」>「アダプターのオプションを変更する」>接続名(この例では"L2TP")を選択し、「この接続の設定を変更する」を押します。
「(接続名)のプロパティ」>「セキュリティ」>「次のプロトコルを許可する」>「Microsoft CHAP Version 2(MS-CHAP v2)」をチェックし「OK」を押します。
作成した接続名(この例では"L2TP")で接続できることを確認します。
VPNに接続した後、次のコマンドを実行して、コマンドシェル(CMD)ウィンドウからルーティングテーブルを確認できます。

route print -4

手順 設定イメージ
「システム環境設定」>「ネットワーク」>「+」から「VPN」インターフェイスを作成します(任意の「サービス名」を入力し「VPNタイプ」は"L2TP over IPSec"を選択)。

「サーバアドレス」にUSG/UDMのWANインターフェイスのパブリックIPアドレス、「アカウント名」にUSG/UDMのRADIUSサーバに登録済みのユーザー名を設定します。
「ユーザー認証」で「パスワード」を選択しユーザーのパスワードを設定します。

「コンピュータ認証」で「共有シークレット」を選択しUSG/UDMのRADIUSサーバに設定したシークレットを設定し「OK」を押します。
「接続」ボタンを押し「状況」が"接続済み"となることを確認します。
VPNに接続した後、次のコマンドを実行して、ターミナル(Terminal) ウィンドウからルーティングテーブルを確認できます。

netstat -nr -f inet

ゲストアクセス by wiffy

ここでは、UniFi Network Controllerに搭載されたゲストポータルサーバーと、wiffyのクラウド認証サービスを連携させる流れについて解説します。

UniFi Network Controller管理下のUniFi APのゲストコントロール無線で、wiffy仕様のWeb認証機能が有効になります。

プロファイル > RADIUS

wiffy側の「RADIUS認証サーバー」を指定します。IPアドレス」「ポート」「パスワード」を指定します。

「アカウンティング」を有効にし、wiffy側の「RADIUSアカウンティングサーバー」を指定します。「IPアドレス」「ポート」「パスワード」を指定します。

また「暫定的なアップデート」を有効にし、600秒程度に設定します(Interim packetの送信間隔)。

ゲストコントロール

「ゲストポリシー」にて「ゲストポータルを有効化」し、「認証」はホットスポットを選択します。
「デフォルトの有効期限」はwiffy側のRADIUS設定で上書きするため、そのままとします。
「ランディングページ」の「プロモーションURL」にwiffy側の(認証完了後の)スプラッシュページURLを指定します。
「リダイレクト」では、「セキュアポータルを使用」「ホスト名を使ってリダイレクト」を有効にし、コントローラのホスト名を入力します(コントローラには事前に有効なSSL証明書を導入済みであること)。

「ポータルのカスタマイズ」にて「テンプレートエンジン」に「Angular JS」を指定し、「デフォルトテンプレートをオーバーライド」します。後述するwiffy関連ファイルをUniFi OSに導入することで、「ポータルのカスタマイズ」における他の設定項目値は全て無視され、wiffy側のCMSで構成済みのスプラッシュポータルが「プレビュー」に呼び出されます。
「ホットスポット」にて「RADIUSベース認可を有効化」します。

「RADIUS」にて事前定義済みの「プロファイル」>「wiffy」を選択します。
「認証タイプ」は「CHAP」または「MS-CHAPv2」を選択します。
「切断リクエスト」を有効にし、wiffy RADIUSサーバーからの切断リクエストを受け取れるようにします。

「アクセスコントロール」では「認可前アクセス」を許すドメインまたはIPアドレスを指定します。wiffyのスプラッシュぺージのドメインおよびSNS認証を行う場合はこちらのドメインを列記します。
「認可後の制限」にはIPv4プライベートアドレス帯が事前に設定されています。

ワイヤレスネットワーク

「SSID」を設定します。ここで設定済みの「ゲストポリシーを適用」してください。

UniFi Network Controller Ver.6以上が搭載されたデバイス(UCKやUDM)の「Settings」>「Advanced」にて「SSH」を有効化し、「root」ユーザーの「SSH Password」を設定しておきます。

UniFi Network ControllerホストのIPアドレスにssh接続し、「root」ユーザーでログインします。

当社からお渡しする3つのwiffy連携ファイルを「ゲストコントロール」を有効にすることで作成される各ディレクトリに配置します。

ファイル 配置先(UCK系) 配置先(UDM系) 配置先(Ubuntu) 配置イメージ(UDM)
index.html, wiffy.html /srv/unifi/data/sites/default/app-unifi-hotspot-portal /data/unifi/data/sites/default/app-unifi-hotspot-portal /var/lib/unifi/sites/default/app-unifi-hotspot-portal
index.htmlは上書き更新となります。各ファイルのパーミッションを「644」に変更し、最後にコントローラーデバイスをrebootすることでUniFiのゲストコントロールがwiffy化します。
wiffy.js /srv/unifi/data/sites/default/app-unifi-hotspot-portal/js /data/unifi/data/sites/default/app-unifi-hotspot-portal/js /var/lib/unifi/sites/default/app-unifi-hotspot-portal/js

シングルサイトの場合、内蔵ポータル関連のディレクトリ名は「default」となりますが、マルチサイトを追加した場合は当該サイトIDに対応するディレクトリが作成されますので、wiffy連携ファイルの配置先にはご注意ください。

UniFi Network Controllerホストは常時オンラインである必要があります。UCKG2などのコントローラー搭載デバイスの電源抜けやケーブル抜けはゲストサービスにおける障害ポイントであることにご留意ください。

コントローラー搭載デバイスの工場出荷戻しにより、wiffy連携ファイルは消去されます。

wiffy連携ファイルの解析・改造・流用は固く禁止させていただきます。また、当社と機密保持契約のない法人 / 個人には本稿の仕組みは提供されません。

統合脅威管理

「Traffic & Security」>「Traffic & Device Management」にて、「Device Identification」と「Traffic Identification」を有効化すると、Deep Packet Inspection(精密パケット検査)によるクライアントデバイスおよびトラフィックを可視化できます。

次に、Deep Packet Inspection(精密パケット検査)によるトラフィック制限ルールを設定していきます。

「Restriction Definitions」でDPIによるトラフィック制限ポリシーを策定したグループを作成し、「Restriction Assignments」にて構成済みの有線または無線ネットワークに適用していきます。
1.「Restriction Definitions」でグループを作成します。

2.「Edit Restriction」でカテゴリ、アプリケーション、そして動作を選択します。

3.「Restriction Assignments」でグループを適用する有線ネットワークあるいは無線ネットワークを指定します。

4.構成済みのグループポリシーを適用します。この画像の例では、無線ネットワークSSID「_GUEST」に「ストリーミング制限」グループを適用しました。

「Traffic & Security」>「Global threat Management」は、侵入検知/防止システム(IDS/IPS)のことで、シグニチャ(攻撃の特徴やパターン)に基づいて潜在的に悪意のある通信を識別する機能です。「Detect」または「Detect & Block」を選択後、詳細設定項目にて調整していきます。

Detect ネットワーク上に存在する脅威を自動的に検出して警告しますが、悪意のある通信自体は遮断されません。
Detect & Block 潜在的に悪意のある通信が自動的に検出、警告、遮断されます。
System Sensitivity 脅威管理デーモンにロードされる、カテゴリ別の脅威検知ルールの感度です。感度レベルを上げるごとにメモリとCPUの使用率が上昇します。
Country Restriction 指定した国との間のトラフィックを制限します。
Threat Scanner ネットワークに接続されているクライアントを自動スキャンして、潜在的なセキュリティの脅威と脆弱性を特定します。
Internal Honeypot ハニーポットをネットワークに適用して、マルウェア、ワーム、およびネットワークをスキャンして脆弱性を検出しようとするその他の種類の悪意のあるトラフィックを検出します。
「Advanced Features and Customization」>「Customize Threat Management」では、検知/防止するカテゴリーを手動選択できます。

なお「Threat Management Allow List」の設定により、脅威管理を適用しないネットワーク、サブネット、および特定のIPアドレスを指定できます。

Restrict Access to Malicious IP Addresses 悪意のあるIPアドレスを持つクライアントのネットワーク接続を防ぎます。
Restrict Access to Tor トーアによって暗号化されたトラフィックのネットワーク通過を防ぎます。
Virus & Malware Protection Botcc 既知のアクティブなボットネットおよびコマンド&コントロールサーバとの通信を検知します。
Malware マルウェアとスパイウェアに関する既知のシグネチャ、マルウェアが利用する既知のユーザーエージェント文字列パターンを用い、マルウェアの活動を検知します。
WORM ネットワークに潜むワームのアクティビティを示す通信を検知します。
P2P Protection P2P 攻撃に利用されやすいtorrent, edonkey, Bittorrent, Gnutella, Limewire等のP2Pクライアントからの通信を検知します。
TOR TOR(The Onion Router)は、TCP/IPにおける接続経路の匿名化を実現するための規格、及びそれを実装であるソフトウェア/サービスの名称です。攻撃者は、TORを送信元アドレスや位置情報の隠蔽に使い、また、IPアドレス/ドメインのブラックリストに基づく検知の回避にも利用しますが、このような通信を検知します。
Hacking Protection Exploit WindowsシステムやFlashプレイヤー、SQLサーバなどに潜む脆弱性を突いて攻撃する活動を検知します。
Shellcode リモートシェルコードは、攻撃者がローカルネットワークまたはイントラネット上の別のマシンで実行されている脆弱なプロセスをターゲットにする場合に使用されます。通常、標準のTCP/IPソケット接続を使用して、攻撃者がターゲットマシンのシェルにアクセスできるようにしますが、このような活動を検知します。
Internet Traffic Protection DNS マルウェアがC&Cサーバと通信する際 (ほとんどの企業ではファイアウォールで制限されることのない) DNSプロトコルを利用するケースが確認されています。ここでは、TXTレコードやAレコードの中に、連続してランダムな (長い)文 字列(暗号化された指令や応答)を乗せてクエリしているものを検知します。
User Agents HTTPのUser-Agentヘッダを用いてマルウェア通信を行う攻撃を検知します。
Bad Reputation Protection Dshield 世界中のファイアウォールログの収集&分析を行うコミュニティDShieldで更新される攻撃者のリストを用い攻撃者の活動を相関検知します。
Spamhaus 迷惑メール発信元の特定やスパム対策を行うプロジェクトSpamhausで更新されるブラックリストを用い攻撃者の活動を相関検知します。
これらの脅威検知カテゴリのソースは、ProofpointのET Proのルールセットです。Proofpoint ET Proは、次世代ファイアウォール(NGFW)やネットワーク侵入検知・防止システム(IDS/IPS)などの既存のネットワークセキュリティアプライアンスを使用して高度な脅威を検出およびブロックするためのタイムリーで正確なルールセットです。

ET Proは毎日更新され、SNORTおよびSuricata形式で利用できます。40以上の異なるカテゴリのネットワーク動作、マルウェアのコマンド&コントロール、DoS攻撃、ボットネット、エクスプロイト、脆弱性、SCADAネットワークプロトコル、エクスプロイトキットアクティビティなどをカバーします。

「Networks」から、構成済みのネットワークごとにDNSフィルターを適用できます。

DNSフィルターが適用されたセグメントにおけるクライアントから送信されるすべてのDNS要求は、次のカテゴリのポリシーに基づいて除去されます。
カテゴリ 説明
Work フィッシング、スパム、マルウェア、悪意のあるドメインへのアクセスがブロックされます。
Family フィッシング、スパム、マルウェア、悪意のあるドメインへのアクセスがブロックされます。

アダルトサイト、ポルノサイト、露出の多いサイトへのアクセスがブロックされます。

GoogleやBing、YouTubeによる検索にはセーフモードが適用されます。

フィルターをバイパスするために使用されるプロキシドメインとVPNドメインへのアクセスがブロックされます。

WPA2-Enterprise子機設定例

手順 設定イメージ
目的のSSIDに「接続」します。
ユーザー名とパスワードを入力し、「OK」します。
証明書の詳細を表示し「接続」します。
「接続済み」となることを確認します。

手順 設定イメージ
目的のSSIDを選択し、「アカウント名」「パスワード」を入力し「OK」します。
「証明書を表示」します。
「続ける」を押します。
「接続済み」となることを確認します。

手順 設定イメージ
目的のSSIDに「接続」し、EAP方式「PEAP」、フェーズ2認証「なし」、CA証明書「指定なし」、IDとパスワードを入力し「接続」します。
「接続済み」となることを確認します。

手順 設定イメージ
目的のSSIDに「接続」し、「ユーザー名」と「パスワード」を入力し「接続」します。
証明書を「信頼」します。
接続済みとなることを確認します。

Back to top