Gigamon に適した Blue Coat FireEye® の導入

by user

on 28 марта 2017

Category: Documents

>> Downloads: 56

411

views

Report

Comments

Description

Download Gigamon に適した Blue Coat FireEye® の導入

Transcript

Gigamon に適した Blue Coat FireEye® の導入

Gigamon に適した Blue Coat® と
FireEye® の導入
COPYRIGHT
Copyright © 2015 Gigamon.All Rights Reserved.本書のいかなる部分も検索システムに変換、送信、転写、
複製、保存したり、形式または手段を問わず、Gigamon の書面による許可を得ずに任意の言語に翻訳するこ
とはできません。
商標の帰属
Copyright © 2015 Gigamon.All rights reserved.Gigamon と Gigamon のロゴは米国および/または他の各国におけ
る Gigamon の商標です。Gigamon の商標の一覧は、www.gigamon.com/legal- trademarks に掲載さ
れています。他の商標はすべて、それぞれの所有者に帰属します。
Gigamon Inc
目次
概要 ............................................................................................................................................................ 5
導入の前提条件 ...................................................................................................................................................................................... 6
アーキテクチャの概要 ................................................................................................................................................................................ 7
トラフィック・パス .......................................................................................................................................................................................... 8
アクセス認証情報 ..................................................................................................................................................................................... 9
FireEye の構成 ........................................................................................................................................ 11
FireEye NX 2400 の構成:インライン・ツール ................................................................................................................................... 12
FireEye のインライン・ブロック運用モードの構成 ....................................................................................................................... 12
FireEye の実行するアクションの構成:コンフォート・ページ、TCP リセット ............................................................................ 13
.................................................................................................................................................................................................................... 14
Gigamon GigaVUE-HC2 の構成:インライン・ネットワークおよびツール・グループ ................................................................... 14
GigaVUE-HC2 のインライン・ネットワークとインライン・ツールの構成 .................................................................................... 15
インライン・トラフィック・フロー・マップの構成 ................................................................................................................................. 22
FireEye インライン・ツールの機能テスト ............................................................................................................................................ 26
Blue Coat SSLVA の構成 ................................................................................................................... 31
Blue Coat SSLVA の構成 ................................................................................................................................................................. 31
再署名証明認証局の構成/生成 ............................................................................................................................................... 32
IP アドレスとホストの構成リストの作成 ........................................................................................................................................ 33
ルールセット・ポリシーの作成........................................................................................................................................................... 36
ルールセットのルールの作成 ............................................................................................................................................................ 37
セグメント・ポリシーの作成とルールセットの割り当て ................................................................................................................. 40
Blue Coat SSLVA に対する GigaVUE-HC2 インライン・ツールの構成 .................................................................................. 43
SSLVA に対するインライン・ツールとインライン・ネットワーク・ポート・ペアの構成 .............................................................. 44
トラフィック・フロー・マップの変更 ..................................................................................................................................................... 46
FireEye SSL テスト URL を使用した SSLVA 復号化のテスト ................................................................................................. 52
FireEye SSL テスト URL を使用した SSLVA 復号化のテスト ............................................................................................ 52
SSL 以外のトラフィックのテスト ...................................................................................................................................................... 53
まとめと結論 .............................................................................................................................................. 54
構成例 ....................................................................................................................................................... 55
Gigamon Inc
第1章
概要
Gigamon、Blue Coat、および FireEye は、今日のアクティブなインライン・セキュリ
ティのニーズに対応する統合ソリューションを提供します。このソリューションは、
ネットワーク・リンクを追加することによって拡大する保護されたネットワーク・インフ
ラストラクチャに合わせて拡張できます。ネットワークの拡大に合わせて、Gigamon で
は Blue Coat SSL Visibility Appliance（SSLVA）と FireEye のアプライアンスに
インライン・ツール・グループを通して、インライン SSL 復号化と高度なマルウェア
保護に対するセキュリティ・サービス保証（SSA）を提供しています。SSLVA と
FireEye のインライン・ツール・グループを使用すると、アプライアンスの保守時や障害
発生時でも統合されたインライン・セキュリティ・サービスの可用性が確保されます。
また、GIMO のネットワーク・バイパス保護用インターフェース・モジュールによって、
GigaVUE-HC2 への電力供給が停止してもネットワークの可用性が確保されます。
このガイドで説明する検証済みのソリューションは、2 台以上の SSVA と FireEye
Network Threat Prevention Platform（NX シリーズ）アプライアンスを単一の
GigaVUE-HC2のシャーシに直接接続したアクティブなインライン・ネットワークとツール
の標準の導入を前提としています。導入後は、まず GigaVUE-HC2 から SSLVA
インライン・ツール・グループにトラフィックが送信され、そこでユーザー定義のポリ
シーに従って SSL トラフィックが復号化され、復号化されたトラフィックとその他の
すべてのトラフィックが GigaVUE-HC2 に送信されます。その後、GigaVUE-HC2
から必要なトラフィックのみが FireEye インライン・ツール・グループに転送され、マ
ルウェアが検査されます。
このガイドで説明するソリューションは、GigaVUE-HC2 を 1 台、高度なマルウェア
保護アプライアンスである FireEye NX 2400 を 2 台使用してテストしました。
この章では以下について説明します。
•
導入の前提条件
•
アーキテクチャの概要
•
トラフィック・パス
•
アクセス認証情報
Gigamon Inc
導入の前提条件
Gigamon と FireEye Scalable Service Assurance（SSA）のソリューションの構成は以
下のとおりです。
•
•
•
以下を搭載した GigaVUE-HC2 シャーシ
•
GigaVUE-OS 4.4.01
•
TAP-HC0G100C0 モジュール
•
GigaSMART SMT-HC0-X16 モジュール
Blue Coat SV3800 x 1 これには以下が含まれます。
•
SSL Appliance Linux Distribution 3.8.5-16
•
Linux Kernel 3.8.0-29-generic
•
Blue Coat Host Categorization License
•
セキュリティ・ツール更新のためにインターネットにアクセスできる管理用 LAN
FireEye NX 2400 アプライアンス x 2 これには以下が含まれます。
•
ソフトウェア・バージョン 7.6.0
•
コンテンツ・バージョン 404.150
•
IPMI バージョン 2.67
•
ゲスト・イメージの情報: Winxp Sp3、Win7X64 Sp1、Win7 Sp1 - 15.0210
注意: このガイドでは、すべてのアプライアンスで使用するすべての機能のライセンスが
完全に供与され、管理ネットワーク・インターフェースがすでに構成され、十分な管理者
権限のあるアカウントを使用していることが前提になります。
Gigamon Inc
アーキテクチャの概要
このセクションでは、1 台の GigaVUE-HC2 インライン・バイパス・ノード、1 台の Blue Coat
SSLVA アプライアンス、2 台の FireEye Network Security（NX）アプライアンスを組み合わせ
たソリューションについて説明します。図 1-1 の参照用アーキテクチャでは、全体のネットワー
ク・インフラストラクチャにおける各コンポーネントの位置を示していますが、すべてのネットワー
ク・コンポーネントとインライン・セキュリティ・ツールは直接 GigaVUE-HC2 に接続しています。
図 1-1:Gigamon Inline Bypass、Blue Coat SSLVA、FireEye NX の組み合わせ
図 1-1 のアーキテクチャには 2 つの側面があり、クライアントが配置されている A 側からデータ
を送受信し、クライアントから配置を要求されたインターネットとリソースのある B 側に送信され
ます。また、A 側と B 側の両方に暗号化トラフィックと復号化トラフィックがあります。
注意: インライン・ネットワークとインライン・ツール・デバイスのブリッジ・リンクを A 側と B 側に対
して GigaVUE-HC2 に正しく接続し、インライン・ツール・グループの FireEye デバイスにトラ
フィックを正しく配信する必要があります。
Gigamon Inc
トラフィック・パス
このソリューションには、各インライン・セキュリティ・ツールの前後に同じデータが複数回
GigaVUE-HC2 ノードに出入する複雑なトラフィック・パスが含まれます。このパスは図 1-2 で示
しています。この図は 2 つの GigaVUE-HC2 インターフェース・モジュールを示しています。1 つ
はギガビット銅線ネットワーク接続、もう 1 つはインライン・セキュリティ・ツールの保護をバイパス
します。
図 1-2:接続とトラフィック・フローの例
図 1-1 のトラフィック・フローは以下のとおりです。
1. 内部のクライアント（A 側）からインターネット（B 側）へとサーバー・リソースに対す
る要求が送信されると、その要求はインライン・ネットワーク・ポートの
GigaVUE-HC2 に入ります。
2. その後、ライブ・トラフィックが必要に応じて Blue Coat SSLVA 3800 に送信されて、
SSL トラフィックが復号化されます。
3. Blue Coat SSLVA 3800 ではユーザー定義のポリシーに基づいてトラフィックが復
号化され、復号化したトラフィックのコピーはその他すべてのトラフィックとともに
GigaVUE-HC2 に送信されます。
4. そのトラフィックは検査のために GigaVUE-HC2 から NX 2400 インライン・ツール・グループに送信さ
れます。
5. その要求がブロックされた場合、NX 2400 の B 側から GigaVUE-HC2 に返送さ
れます。
6. 返送された要求は、GigaVUE-HC2 から SSLVA 3800 の復号化された B 側に返送されます。
7. その後、SSLVA 3800 では NX 2400 の検査に基づいてその TCP セッションのアウ
トバウンド方向に対する処理が行われ、リセットが送信されるか、GigaVUE-HC2
への暗号化されたリンクの B 側への暗号トラフィックの送信が許可されます。
8. 最後に、要求されたサーバー・リソースへ送信する途中でインライン・ネットワーク・
ポートの B 側に GigaVUE-HC2 から要求が送信されます。サーバーの応答のリ
ターン・パスも同様に処理されますが、方向は逆です。
Gigamon Inc
アクセス認証情報
Gigavue-HC2、FireEye NX 2400、Blue Coat SSLVA 3800 のデフォルトのアクセス
認証情報は以下のとおりです。
Gigavue-HC2 のアクセスのデフォルト:
•
•
•
•
ユーザー名: admin
•
パスワード: admin123A!
•
管理用 IP アドレスにはデフォルトはありません。
Blue Coat SSLVA 3800 のアクセスのデフォルト:
•
デフォルトのユーザー名とパスワードは最初の構成時に設定されます。
•
デフォルトの管理用 IP アドレスは 192.168.2.42 です。
FireEye NX 2400 のアクセスのデフォルト:
•
ユーザー名: admin
•
パスワード: admin
•
管理用 IP アドレスにはデフォルトはありません。
注意: GigaVUE-HC2 は H-VUE と Command Line Interface（CLI）のグラフィカル・ユーザー・
インターフェース（GUI）をサポートしています。この文書では、H-VUE の手順のみを説明しま
す。CLI の構成コマンドについては、「GigaVUE-OS CLI User’s Guide」のリリース 4.4.01 を
参照してください。
Gigamon Inc
Gigamon Inc
第2章
FireEye の構成
この章では、FireEye の GUI、Gigamon-OS、H-VUE を使用した
GigaVUE-HC2 と FireEye NX 2400 のインライン・ツール・グループ・ソリュー
ションの構成手順について説明します。手順の内容は以下のとおりです。
•
FireEye NX 2400 の構成:インライン・ツール
•
Gigamon GigaVUE-HC2 の構成:インライン・ネットワークおよびインライ
ン・ツール・グループ
FireEye の GUI の手順は、FireEye インライン・ブロックの運用モードを中心に
説明します。構成手順では、GigaVUE-HC2 を構成して、ライブ・トラフィックを
FireEyeインライン・ツール・グループに送信します。そうすることで、FireEyeのシステ
ムの導入テスト・ツールを使用できます。
FireEye のベスト・プラクティスのガイドラインによると、Gigamon
GigaVUE-HC2 はインライン・ツール・グループの 2 台の FireEye アプライアンス
にトラフィックを転送するよう構成し、1 つのクライアント（IP アドレスで識別）に
対するすべてのトラフィックが FireEye インライン・ツール・グループの同じ構成
要素に転送されるようにします。
注意: この章は、図 1-1 と図 1-2 で示すように、FireEye アプライアンスが直
接 GigaVUE-HC2 に接続していることが前提となります。FireEye アプライアン
スが接続しているすべての GigaVUE-HC2 ポートは、インライン・ツールのポー
ト・タイプとして構成します。また、ネットワーク・デバイスが接続しているすべての
GigaVUE-HC2 インライン・バイパス・ポートは、インライン・ネットワークのポート・タ
イプとして構成します。これらの作業方法の説明については、H-VUE のヘル
プ・トピックのリンクを参照してください。
Gigamon Inc
FireEye NX 2400 の構成:インライン・ツール
このセクションでは、図 2-1 の参照用アーキテクチャの図で、影付きでハイライトした部分
の手順を説明します。
図 2-1:FireEye NX 2400 のインライン・ツール
FireEye のインライン・ブロック運用モードの構成
FireEye NX 2400 でトラフィックをブロックし、不正なトラフィックを検出するには、以下の手
順に従って、FireEye アプライアンスのそれぞれを個別に構成します。
1. FireEye の GUI で、［Settings］ > ［Inline Operational Modes］を選択します。
2. ［Policy Settings］のセクションで、図 2-2 のようにポート・ペア A と B の両方で［Inline］
> ［Block］ > ［FS Open］列の下のラジオ・ボタンを選択します。
図 2-2:FireEye アプライアンスのインライン・ブロック運用モード
3. ［Update:Operational Modes］をクリックします。
Gigamon Inc
FireEye の実行するアクションの構成:コンフォート・ページ、TCP リセット
FireEye NX では、不正なコンテンツが検出された場合に、複数のオプションから実行するアク
ションを選択できます。以下では、カスタマイズされたコンフォート・ページをクライアントに、
TCP リセットをクライアントとサーバーにそれぞれ送信する手順を説明します。これらの手順は
オプションです。
実行するアクションとコンフォート・ページを設定するには、以下の手順に従います。
1. ［Policy Settings］ページの［Actions Taken］セクションで、図 2-3 で示すように、［Port
Pair］の A と B に対してコンフォート・ページと TCP リセットのすべてのボックスを選択しま
す。
2. ［Policy Settings］ページの［Comfort Type］セクションでは、プリファレンスが
［access-forbidden］（HTTP レスポンス・コード 403）でない限り、ラジオ・ボタンを
［access-denied］（HTTP レスポンス・コード 401）に設定したままにします。
3. ［Comfort Page］セクションで、［Comfort Page Message］ダイアログ・ボックスにポー
ト・ペア A と B に対してカスタマイズしたメッセージを入力します。
4.
［Update:Action Taken / Comfort Page］をクリックします。
図 2-3:FireEye の［Action Taken｝/［Comfort Page］のカスタマイズ
Gigamon Inc
Gigamon GigaVUE-HC2 の構成:インライン・ネットワークおよびツール・
グループ
このセクションでは、トラフィック・フロー・マップの作成に使用するすべてのインライン・
ネットワークとインライン・ツールの要素に対する GigaVUE-HC2 の構成について説明
します。この構成の手順は以下のとおりです。
•
GigaVUE-HC2 のインライン・ネットワークとインライン・ツールの構成
•
インライン・トラフィック・フロー・マップの構成
•
FireEyeインライン・ツールの機能テスト
このセクションでは、図 2-4 のハイライトされた部分の構成手順について説明します。
図 2-4:Gigavue-GigaVUE-HC2 の構成
Gigamon Inc
GigaVUE-HC2 のインライン・ネットワークとインライン・ツールの構成
このセクションでは、インライン・ネットワーク・バイパス・ペアとそのインライン・ネットワーク・グルー
プの構成に必要な手順について説明します。企業のアーキテクチャの拡大に合わせて、イン
ライン・ネットワーク・グループにインライン・ネットワーク・ペアを追加できます。基本的な手順は
以下のとおりです。
•
手順 1:インライン・ネットワーク・バイパス・ペアの構成
•
手順 2:インライン・ネットワーク・グループの構成
•
手順 3:インライン・ツールの構成
このセクションで説明する手順は、GigaVUE-OS H-VUE にログ・インしていることを前提と
しています。また、GigaVUE-FM も使用できますが、その場合、ログ・イン後、メイン・ナビ
ゲーション・ペインから［Physical Nodes］を選択し、［Physical Nodes］ページで
［GigaVUE-HC2］を選択します。
注意: このセクションは、ネットワーク・デバイスが接続しているすべてのポートがインライン・ネッ
トワーク・ポート・タイプとして設定されていることを前提としています。この作業の説明について
は、H-VUE のヘルプ・トピックのリンクまたは「Gigamon-OS H-VUE User’s Guide」を参照
してください。
手順 1:インライン・ネットワーク・バイパス・ペアの構成
インライン・ネットワーク・バイパス・ペアを構成するには、以下の手順に従います。
1. H-VUE で、［Ports］ > ［Inline Bypass］ > ［Inline Networks］を選択します。
注意: GigaVUE-HC2 にバイパス・コンボ・モジュールがある場合、図 2-5 で示すように、
事前に構成されたインライン・ネットワーク・ポート・ペアが 4 つあります。ネットワークが 1G
または 10G のファイバーの場合、事前に構成されたこれらのインライン・バイパス・ペアのう
ちの 1 つを使用します。それ以外の場合は、手順 2 に進んでください。
図 2-5:［Inline Networks］ページ
2. ［New］をクリックします。［Inline Network］構成ページが表示されます。
3. ［Inline Network］ページで、以下を構成して［Save］をクリックします。
Gigamon Inc
•
［Alias］フィールドに、そのインライン・ネットワーク・バイパス・ペアのネットワー
ク・リンクがわかるようなエイリアスを入力します。たとえば、ESX9-VMNet-Link
などと入力します。
•
ドロップダウン・リストを使用して［Port A］のポートを選択するか、図 1-1 のネッ
トワーク・トポロジのダイアグラムで示すように［A Side］ポートの［Port A］フィー
ルドにポート・ラベルを入力します。
［Port B］フィールドの値は、［Port A］のポートを選択すると自動的に入力さ
れます。
重要: GigaVUE-HC2 の A 側と B 側を NX 2400 の A 側と B 側に一致させ
ないと、インライン・ツール・グループへのトラフィック転送が正常に機能しませ
ん。
•
［Traffic Path］と［Link Failure Propagation］は、デフォルト値のままにします。
•
［Physical Bypass］を選択します。それによって、トラフィック・マップ変
更時のパケット・ロスが最小化されます。
この構成ページは、図 2-6 の例に従います。
注意: パケット・ロスを防止するため、インライン・ツール・グループとマップを設定するまで［Traffic Path］
を［Bypass］に設定します。インライン・ツール・グループとマップを構成すると、手順 3: インライン・
ネットワーク・トラフィック・パスからインライン・ツールへの変更の説明に従ってトラ
フィック・パスをインライン・ツールに設定できます。
図 2-6:インライン・ネットワーク・ペアの構成
4. その他のすべてのネットワーク・リンクに対して手順 2 と 3 を繰り返します。
Gigamon Inc
手順 2:インライン・ネットワーク・グループの構成
インライン・ネットワーク・グループを構成するには、以下の手順に従います。
1. H-VUE で、［Ports］ > ［Inline Bypass］ > ［Inline Network Groups］を選択します。
2. ［New］をクリックします。
3. ［Alias］フィールドで、そのインライン・ネットワーク・グループを示すエイリアスを入
力します。たとえば、ESX9-11_NGroup などと入力します。
4. ［Inline Network］フィールドをクリックして、図 2-7 で示すようにドロップダウン・リストから選
択するか、インライン・ネットワーク・グループに追加するインライン・ネットワークに関連する
エイリアスの任意の部分を入力します。
図 2-7:インライン・ネットワークの選択
5. 図 2-8 のように、すべてのポート・ペアが［Inline Network］フィールドに入力されるまでイ
ンライン・ネットワークを追加します。
Gigamon Inc
図 2-8:インライン・ネットワーク・グループへのインライン・ネットワークの追加
6. 追加したら、［Save］をクリックします。
図 2-9:完成したインライン・ネットワーク・グループのリスト
Gigamon Inc
手順 3:インライン・ツールの構成
このセクションでは、この後の手順で定義するトラフィック・フロー・マップで使用するインライン・
ポート・ペアとインライン・ツール・グループの定義に必要な手順について説明します。
1. H-VUE で、［Ports］ > ［Inline Bypass］ > ［Inline Tools］を選択します。
図 2-10:［Inline Tools］ページへのナビゲーション
2. ［New］をクリックして、インライン・ツールの構成ページを開きます。
3. ［Alias］フィールドで、そのインライン・ツール・ペアのインライン・ツールがわかるようなエ
イリアスを入力します。たとえば、FireEye1 などと入力します。
4. ［Ports］セクションで、以下のようにポートを指定します。
•
［Port A］には、ネットワーク図の A 側に対応するポートを指定します。
•
［Port B］には、ネットワーク図の B 側に対応するポートを指定します。ネットワーク図
については、図 1-1 を参照してください。
重要: ［Port A］と［Port B］は、インライン・ネットワーク・ポート・ペアの A 側と B 側にそれ
ぞれ一致する必要があります。
5. 残りの構成オプションはデフォルト設定のままにします。
構成は、図 2-11 の例に従います。
Gigamon Inc
図 2-11:インライン・ツール・ペアの構成
6. ［Save］をクリックします。
7. 追加のすべてのインライン・ツールに対して手順 2 から 6 を繰り返します。
注意: このインライン・ツールの失敗のアクションは ToolBypass です。これは、失敗モー
ドとみなされる場合、GigaVUE-HC2 からそのインライン・ツールにトラフィックは送信され
ていないことを意味します。インライン・ツールの失敗に対するその他のオプションは、オ
ンライン・ヘルプで説明しています。全体のトラフィック・フローに対する効果はオプション
によって大きく異なります。ハートビート機能が無効になっているため、いずれかのリンク
が切断するとツールは失敗したとみなされます。
手順 4:インライン・ツール・グループの構成
インライン・ツール・グループを構成するには、以下の手順に従います。
1. H-VUE で、［Ports］ > ［Inline Bypass］ > ［Inline Tool Groups］を選択します。
2. ［New］をクリックして、［Inline Tool Groups］構成ページを開きます。
3. ［Alias］フィールドで、そのインライン・ツール・グループを示すエイリアスを入力します。例えば、
IT-GRP_FE1-FE2 などと入力します。
4. ［Ports］セクションで、［Inline tools］フィールドをクリックして、使用できるインライ
ン・ツールのリストからそのグループのすべてのインライン・ツールを選択します。
［Inline spare tool］を選択するオプションがあります。このオプションを構成すると、
そのインライン・ツール・グループの最初の失敗のアクションになります。
Gigamon Inc
5. ［Configuration］セクションで以下の手順に従い、終了したら［Save］をクリックします。
•
［Enable］を選択します。
•
適用可能な場合は、［Release Spare If Possible］を選択します。
•
［Failover action］、［Failover Mode］および［Minimum Healthy Group Size］はデフォル
トのままにします。
•
［Hash］は［a-srcip-bdstip］を選択します。
構成は、図 2-12 の例に従います。
図 2-12:インライン・ツール・グループの構成
Gigamon Inc
インライン・トラフィック・フロー・マップの構成
このセクションでは、インライン・ネットワーク・リンクからインライン FireEye ツール・グルー
プまでのトラフィック・フローを構成し、グループ内の FireEye アプライアンスの導入機能
テストを可能にするための高度なプロセスについて説明します。これは、以下の 3 つの
手順で構成されます。
•
手順 1:インライン・バイパス・ルールによるトラフィック・フロー・マップの構成
•
手順 2:インライン・トラフィック・コレクタ・マップの構成
•
手順 3:インライン・ネットワーク・トラフィック・パスからインライン・ツールへの変更
これらの手順の終了後、FireEye アプライアンスの導入をテストできます。テストの手順
は、「FireEyeインライン・ツールの機能テスト」を参照してください。
手順 1:インライン・バイパス・ルールによるトラフィック・フロー・マップの構成
このセクションでは、インライン・ネットワーク・グループとインライン・ツール・グループの間
のトラフィック・フロー・マップの構成について説明します。
1. H-VUE で、［Maps］ページに移動します。
2. ［New］をクリックします。［New Map］ページが表示されます。
3. ［Map Info］セクションで、以下の手順に従います。
•
［Alias］フィールドで、ネットワークの送信元とツールの送信先を示すマップのエ
イリアスを入力します。
•
［Inline］には［Type］を設定します。
•
［By Rule］には［Sub Type］を設定します。
•
［Bypass］には［Traffic Path］を設定します。
4. ［Map Source and Destination］で、［Source］と［Destination］を以下のように設定します。
•
［Source］には、手順 2:インライン・ネットワーク・グループの構成で作成した
インライン・ネットワーク・グループを設定します。
•
［Destination］には、手順 4:インライン・ツール・グループ
たインライン・ツール・グループを設定します。
の構成で作成し
5. ［Map Rules］で、［Add a Rule］をクリックします。
6. 以下でルールを指定します。
a. ［Rule］の［Condition］検索フィールドをクリックして、ドロップダウン・リストか
ら［ip4Proto］を選択します。
b. ［Pass］を選択します。（これがデフォルトです。）
c. ［Bi Directional］を選択します。
d. ［Ipv4 Protocol］ドロップダウン・リストで［IGMP］を選択します。
このマップ・ルールは、図 2-13 の例に従います。
Gigamon Inc
図 2-13:インライン・ツール・フロー・マップのルール
注意: 追加のトラフィックは、マップにルールを追加するとバイパスできます。
7. ［Save］をクリックします。
手順 2:インライン・トラフィック・コレクタ・マップの構成
このセクションでは、もう 1 つのトラフィック・マップであるコレクタを作成する手順を説明します。
このマップによって、最初のトラフィック・フロー・マップに一致しないすべてのトラフィックがインライ
ン・ツール・グループに送信されます。トラフィックには間接的なパスがないため、このコレクタ・パ
ス・ルールを作成する必要があります。コレクタを定義しないと、パス・ルールに一致しないイン
ライン・ネットワークのすべてのインライン・トラフィックが廃棄されます。
コレクタ・マップを構成するには、以下の手順に従います。
1. H-VUE で、［Maps］ページに移動して［New］をクリックします。［New Map］ペー
ジが表示されます。
2. ［Map Info］セクションで、以下の手順に従います。
•
［Alias］フィールドで、手順 1:インライン・バイパス・ルールによるトラフィック・フロー・マッ
プの構成で作成したトラフィック・マップと同じインライン・ネットワークのコレクタ・マップ
であることが識別できるマップ・エイリアスを入力します。たとえば、Collector-ING_ITG
などと入力します。
•
［Inline］には［Type］を設定します。
•
［Collector］には［Sub Type］を設定します。
•
［Normal］には［Traffic Path］を設定します。
3. ［Map Source and Destination］で、［Source］と［Destination］に手順 1:インライン・
バイパス・ルールによるトラフィック・フロー・マップの構成で構成した最初のルール・マッ
プと同じ送信元と送信先を設定します。
Gigamon Inc
図 2-14:コレクタ・マップの構成
手順 3:インライン・ネットワーク・トラフィック・パスからインライン・ツールへの変更
マップを構成したら、インライン・ネットワークのトラフィック・パスを［Bypass］から［Inline
Tool］に変更します。ただし、トラフィック・パスを［Inline Tool］に設定する前に、インライ
ン・ツール・ポートが有効であるか確認します。ポートのステータスを確認するには、メイ
ン・ナビゲーション・ペインで［Chassis］を選択して、H-VUE の［Chassis View］ページに
移動します。
バイパスからインライン・ツールにトラフィック・パスを変更するには、以下の手順に従います。
1. H-VUE で、［Ports］ > ［Inline Bypass］ > ［Inline Networks］を選択します。
2. すでに定義済みのインライン・ネットワークから 1 つを選択して（手順 2:C イン
ライン・ネットワーク・グループの構成参照）、［Edit］をクリックします。
3. ［Configuration］セクションで、以下のように変更します。
•
［Traffic Path］には［Inline Tool］を設定します。
•
［Physical Bypass］のチェックを外します。
Gigamon Inc
図 2-15:インライン・ネットワークの［Traffic Path］を［Inline Tool］に変更し、［Physical
Bypass］の選択を解除
4. ［Save］をクリックします。
5. インライン・ネットワーク・グループの各インライン・ネットワークに対して手順 3 と 4 を繰り返します。
Gigamon Inc
FireEye インライン・ツールの機能テスト
FireEye のインライン・ツールの機能をテストするには、以下の手順に従います。
1. GigaVUE-HC2 のインライン・ネットワークとインライン・ツール・ポートの統計を入手します。
a. GigaVUE-HC2 に対するシリアル・コンソールまたは SSH セッションを開始します。
b. admin としてログ・インして、コマンド・プロンプト（HC2>）で以下のコマンドを
入力します。このコマンドのポート・リストはインライン・ネットワークとインライ
ン・ツール・ポートです。
HC2 > en
HC2 # config t
HC2 (config) # clear port stats port-list
3/3/g21..g24,3/1/x3..x6 HC2 (config) # show port stats
port-list 3/3/g21..g24,3/1/x3..x6
show port コマンドを入力すると、「インライン・ネットワーク・ペアの構成」の例
と同様に、指定したポート・リストのポートの統計が表示されます。
図 2-16:インライン・ネットワークおよびインライン・ツール・ポートの統計
2. 以下の手順は、5 つ以上のワークステーションに対して、IP アドレスを 1 つずつ増や
して繰り返す必要があります。たとえば、10.10.10.21 から 10.10.10.26 までの IP ア
ドレスを使用するなどです。それによって、FireEye の導入テストのトラフィック転送
は、FireEye のインライン・ツール・グループのアプライアンスに可能な限り均等に割
り当てられます。
a. インライン・ネットワーク・ツール・グループ内のインライン・ネットワーク・リンクの 1
つを通してトラフィックを渡すため、ワークステーションのブラウザを起動します。
GUI を使用して FireEye のアプライアンスの 1 つに admin としてログ・インします。
Gigamon Inc
b. ［About］ > ［Deployment Check］を選択します。
c. 図 2-17 で示す［Detection Verification」の［Perform Check］の各リンク
をクリックします。
注意: 図 2-18 で示した導入テストとコールバック・ブロックを含む各テストに関連する一
連のクライアント応答ページを参照してください。
図 2-17:FireEye の導入テスト・ページ
Gigamon Inc
図 2-18:FireEye 導入テスト・クライアント応答ページ
d. これらのテストは、前の注意に記載したように IP アドレスが連続する他の
4 台以上のワークステーションで繰り返します。
e. 各 FireEye アプライアンスにログ・インします。これらのシステムにおけるテスト・
アラートの分布が表示されます。
f.
GigaVUE-HC2 の SSH またはシリアル・コンソールを表示し、show port stats
コマンドを使用してインライン・ツール・ポートのパケットの分布を確認します。
FireEye のベスト・プラクティスに従って、1 つのクライアント IP のすべてのトラ
フィックが 1 台の FireEye アプライアンスに割り当てられているか確認します。
注意: データ自体が各インライン・ツールに送信されるデータ量の要因であるため、
トラフィックの分布がすべてのインライン・ツールで均等でない場合があります。つま
り、セッションによっては、他よりも関連するデータが多いことがあります。
g. FireEye アプライアンスにログ・インしてから、図 2-19 で示すように
［Dashboard］をスクロール・ダウンして、［Top 25 Infected Subnets］を表
示します。
Gigamon Inc
図 2-19:FireEye のダッシュボード — Top 25 Infected Sites（感染したサイト上位 25）
i.
［Malware Events］リンクをクリックします。図 2-20 で示すように、［Source IP］列にク
ライアントの IP アドレスのリストが表示されます。
図 2-20:［Source IP］列にクライアント IP アドレスが表示された FireEye のアラート
j.
インライン・ツール・グループの他のすべての FireEye アプライアンスに対して、前の手
順を繰り返します。
各クライアント IP アドレスはそれぞれ、1 台の FireEye アプライアンスに対してのみ表
示されます。ただし、クライアント IP アドレスの分布は、FireEye のすべてのアプライアン
スで均等にならない可能性があります。
Gigamon Inc
Gigamon Inc
第3章
Blue Coat SSLVA の構成
この章では、Blue Coat SSLVA アプライアンスと GigaVUE-HC2 の構成手順について
説明します。手順の内容は以下のとおりです。
•
Blue Coat SSLVA の構成
•
Blue Coat SSLVA に対する GigaVUE-HC2 インライン・ツールの構成
Blue Coat SSLVA の構成
これらの手順は、参照用ネットワーク・アーキテクチャを示した図 3-1 でハイライトしたト
ポロジの一部に適用されます。
•
再署名証明認証局の構成/生成
•
IP アドレスとホストの構成リストの作成
•
ルールセット・ポリシーの作成
•
セグメント・ポリシーの作成とルールセットの割り当て
•
Blue Coat SSLVA に対する GigaVUE-HC2 インライン・ツールの構成
図 3-1:Blue Coat SSLVA
SSLVA には、セグメントとルールセット・ポリシーの両方を構成して割り当てます。セグメ
ント・ポリシーを作成するときにルールセット・ポリシーを割り当てるため、ルールセット・ポ
リシーを最初に作成します。
統合されたリンクが VLAN タグと非対称の場合、Blue Coat では VLAN タグのマッピン
グに SSLVA の機能を使用しないことを推奨しています。
Gigamon Inc
また、この導入の例では以下を除き、Blue Coat SSLVA の構成によって SSL のすべ
てのトラフィックが復号化されます。
•
IP アドレス: VMWare vCenter サーバーおよび ESX ホスト
•
Blue Coat Web Filter のカテゴリ:金融サービス、ブローカー/商取引、医療
•
Blue Coat SSLV サポート対象外サイト
注意: このガイドでは、自己署名証明書を作成および使用して、この組み合わせを機能させる最も
単純な SSLVA の構成シナリオを中心に説明します。外部の証明書のアップロード、信頼された認証
局の設定、HSM の実装など、より複雑な PKI の導入については、「Blue Coat SV2800, SV3800
Administration Guide」を参照してください。
再署名証明認証局の構成/生成
このセクションでは、クライアントが HTTPS/SSL のアクセスを要求する外部リソースによって送信
された、再署名証明に使用する自己署名の RSA と楕円曲線による証明書の生成に必要な
手順について説明します。これらの証明書は、外部の HTTPS/SSL リソースから送信するので
はなく、SSLVA からクライアントに送信します。
SSLVA の再署名証明認証局を生成するには、以下の手順に従います。
1. PKI の管理権限のある admin アカウントで SSLVA GUI にログ・インします。
2.
［PKI］ > ［Resigning Certificate Authorities］を選択します。
3.
［Local Resigning Certificate Authorities］セクションで、図 3-2 で示した赤色の認証シールのアイコ
ンをクリックします。
図 3-2:Blue Coat SLVA の自己署名証明書の作成
4. ［Generate Certificate］ページで、組織に適した情報を入力します。鍵タイプは RSA のまま
にします。有効な時間と鍵のサイズのデフォルト値は多くの場合に使用できますが、必要に応
じて変更します。図 3-3 に例を示しています。
Gigamon Inc
図 3-3:証明書生成フォーム
5. ［Generate self-signed CA］をクリックします。
6. 必要に応じて、楕円曲線証明書にも同じ手順を繰り返します。
7. ［PKI Changes］ページの最下部にある［Apply］をクリックします。
IP アドレスとホストの構成リストの作成
このセクションは、ポリシー・ルールセットの後半でカット・スルー・ポリシーの作成に使用
するリスト作成に必要な手順について説明します。一部のサイトは現在 SSLVA によ
る適切な暗号化をサポートしていないため、Blue Coat が提供するサポート対象外サ
イトのリストに記載されています。後続のセクションの手順で説明しますが、IP アドレス
とホストの分類リストはユーザー定義です。
•
IP アドレス・リストの作成
•
ホスト構成リストの作成
IP アドレス・リストの作成
テストに使用した Gigamon ラボの vCenter サーバーでは、vCenter サーバーが管理す
る ESX ホストとの通信に自己署名証明書は使用できませんでした。そのため、両方
の IP アドレスのリストが必要でした。組織によっては同じ要件があります。
以下は、vCenter と ESX のホストの IP アドレスを作成する手順です。
1. ［Policies］ > ［IP Address List］を選択します。
2. ［IP Addresses List］セクションで、中に「+」記号の付いた緑色の円をクリックします。
3. ［Name］ダイアログ・ボックスの IP アドレスのリストに適切な名前を入力します。
4. ［OK］をクリックします。リストの名前が［IP Addresses Lists］に表示されます。
5. リストの名前をハイライトして、［IP Addresses］セクションの、中に「+」記号の付いた緑色の円をク
リックします。
6. ポップ・アップ表示された［Add IP Address Item］ボックスに IP アドレスを入力します。
Gigamon Inc
図 3-4:Blue Coat SSLVA のための IP アドレス・リストの作成
7. ［OK］をクリックします。
8. すべての IP アドレスに対して繰り返します。
注意: SSLVA の IP アドレス・リストは IPv6 と CIDR のフォーマットをサポートしています。
詳細については、Blue Coat SV2800 および SV3800 の「Administration and
Deployment Guide」を参照してください。
9. ページの最下部にある［Apply］をクリックします。
Gigamon Inc
ホスト構成リストの作成
Blue Coat ではホスト分類リストが提供されます。このリストは SSLVA によってライセンス供与
され、復号化エンジンに送信せずに直接渡すことのできるサイトのトラフィックをユーザーが定
義したポリシーに使用できます。多くの企業がこの機能を使用して、営業時間中に社内リ
ソースを使用して医療および財務の Web サイトにアクセスする場合の社員のプライバシーを
守っています。この機能を使用しなければ、企業はすべての SSL トラフィックを復号化すること
になります。
もう 1 つのアプローチではすべての SSL トラフィックをカット・スルーして、不適切または不正なコ
ンテンツの送信元とみなしたサイトのみ復号化します。いずれのアプローチでも以下の手順を
使用して、ポリシーに対してホスト分類リストを作成します。
ホスト分類リストを作成するには、以下の手順に従います。
1.
［Policies］ >
［Host Categorization List］を選択します。
2. データベースがロードされ、使用可能であることを［Host Categorization Status］
で確認します。図 3-5 に例を示しています。
図 3-5:Blue Coat Web Filter データベースのステータス
3. ［Host Categorization Lists］セクションで、中に「+」記号の付いた緑色の円をクリックします。
4. ［Add Host Categorization List］ダイアログ・ボックスに適切な名前を入力して、［OK］
をクリックします。
5. 新しいリストの名前をハイライトして、［Host Categorizations］セクションの
鉛筆のアイコンをクリックします。
6. リストのホスト分類のタイプに適切な分類をチェックします。図 3-6 に復号化「し
ない」リストの例を示しています。
図 3-6:Blue Coat の分類チェックリスト
7. ［OK］をクリックします。
8. ページの最下部にある［Apply］をクリックします。
Gigamon Inc
Blue Coat サポート対象外サイト・リストの作成
サポート対象外サイト・リストを定義するには、サポート対象外サイトのリストを作成し
てから、そのリストをルールとして挿入します。
サポート対象外サイトのリストを作成するには、以下の手順に従います。
1.
［Policies］ > ［Subject/Domain Names List］を選択します。
2. ［Subject/Domain Names Lists］セクションで、中に「+」記号の付いた緑色の円をクリックします。
3. ［Add Subject/Domain Names List］ダイアログで、sslng-unsupported-sites と入力します。
4. ［OK］をクリックします。
5. 作成した名前をハイライトして、［Ruleset Options］セクションの鉛筆のアイコンをクリックします。
6. リストは、図 3-7 の例のようになります。
7. ページの最下部にある［Apply］をクリックします。
図 3-7:サポート対象外サイトのリスト
ルールセット・ポリシーの作成
このセクションでは、サポート対象外のサイト、IP アドレス、および復号化してカット・ス
ルーする SSL トラフィックを定義するために作成したホスト・リストからルールセットを作
成するプロセスについて説明します。以下の例では最後のルールは「復号化」です。そ
のため、最後のルールである「復号化」より前のルールに一致しないすべてのトラフィッ
クが復号化されます。
ルールセットのこの最後のルールに加え、この例では［Catch All Action］（すべてのアク
ションを取得）が［Cut Through］（カット・スルー）に設定されています。ここでは、ルー
ルセットのどのルールもトリガしない SSL セッションの処理を定義します。これは直観に
反して、ルールセットの最後のルールが互いに相反するように見えます。これは Blue Coat の
この分野の専門家の推奨事項です。
1. ［Policies］ > ［Rulesets］を選択します。
2. ［Rulesets］セクションの、中に「+」記号の付いた緑色の円をクリックします。
3. ［Add Ruleset］ダイアログ・ボックスに適切な名前を入力します。
4. ［OK］をクリックします。
5. 作成した名前をハイライトして、［Ruleset Options］セクションの鉛筆のアイコンをクリックします。
6. ［Ruleset Options］を選択します。
Gigamon Inc
•
Default RSA & EC:前の PKI の構成をローカルまたは外部の証明書および
/または認証局に照合
•
Catch All Action:Cut Through
•
Host Categorization IP Exclude List:デフォルト（Not Set）
•
HSM Failure Action:HSM の設定に合わせて適宜
7. ［OK］をクリックします。
8. ページの最下部にある［Apply］をクリックします。
ルールセットのルールの作成
このセクションでは、以下のルールセットのルールを作成する手順について説明します。
•
Blue Coat のサポート対象外リストのルール
•
IP アドレス・リストのルール
•
ホスト分類リストのルール
•
復号化再署名最後のルール
Blue Coat のサポート対象外リストのルール
サポート対象外サイトのルールを作成するには、以下の手順に従います。
1. ［Policies］ > ［Rulesets］を選択します。
2. ［Rulesets］セクションで、ルールを追加するルールセットを選択してハイライトします。
3. ［Rules］セクションで、中に「+」記号の付いた緑色の円をクリックします。
4. ［Subject/Domain Name List］の横のラジオ・ボタンを選択する以外、
すべてのデフォルト設定をそのままにします。
5. 図 3-8 で示すように、ドロップダウン・リストから［sslng-unsupported-sites］を選択しま
す。これは前の手順で作成したリストです。
Gigamon Inc
図 3-8:Blue Coat SSLVA サポート対象外サイトのルール
6. ［OK］をクリックします。
7. ページの最下部にある［Apply］をクリックします。
IP アドレス・リストのルール
IP アドレス・リストに 2 つ目のルールを追加するには、以下の手順に従います。
1. ［Rules］セクションで、中に「+」記号の付いた緑色の円をクリックします。
2. ［Source IP List］の横のラジオ・ボタンを選択する以外、すべてのデフォルト設定をそのままにしま
す。
3. 「IP アドレス・リスト
の作成」のセクションで作成した IP アドレス・リストを選択しま
す。
4. ［OK］をクリックします。
5. ページの最下部にある［Apply］をクリックします。
ホスト分類リストのルール
ホスト分類リストにルールを追加するには、以下の手順に従います。
1. ［Rules］セクションで、中に「+」記号の付いた緑色の円をクリックします。
2. ［Host Categorization List］の横のプルダウン・リストから選択します。これは、「ホ
ストの構成リストの作成（35 ページ）」のセクションで作成したリストです。その他の
設定はすべてデフォルトのままにします。
3. ［OK］をクリックします。
4. ページの最下部にある［Apply］をクリックします。
Gigamon Inc
証明書再署名復号化最後のルール
これは、前のルールのいずれにも一致しない場合、すべてのトラフィックが一致する必要のある
重要な最後のルールです。たとえば、復号化と再署名が適切であるなどです。
復号化再署名最後のルールを定義するには、以下の手順に従います。
1. ［Rules］セクションで、中に「+」記号の付いた緑色の円をクリックします。
2. 以下だけを選択して、残りは変更しないでください。
•
Action:Decrypt (Resign Certificate)
•
EC Resigning CA:外部またはインポートした証明書がない限り、自己署名した EC
証明書
•
RSA resigning CA:外部またはインポートした証明書がない限り、自己署名
した RSA 証明書
選択は、図 3-9 の例に従います。
図 3-9:最後のルール（暗号化のアクションに対するすべてのルールを取得）
3. ［OK］をクリックします。
4. ページの最下部にある［Apply］をクリックします。
復号化再署名最後のルールを定義すると、図 3-9 の例のようなルールセットになります。
注意: 復号化（再署名証明書）ルールがルールセット・リストの最下部にあることを確認しま
す。下矢印を使用して、必要に応じてルールを移動します。
Gigamon Inc
図 3-10:完全な SSLVA ルールセット
注意: この例では、「カット・スルー」の「ホワイトリスト」ルールを除くすべての SSL トラ
フィックが復号化されています。正反対のアプローチでは、復号化および再署名する「ブ
ラックリスト」のルールセットを作成し、最後のルールを「カット・スルー」として設定します。
セグメント・ポリシーの作成とルールセットの割り当て
このセクションは、セグメント・ポリシーを作成するのに必要な手順について説明します。
これには、運用の物理ブリッジ・ポートのモード、セグメントに割り当てたルールセット、
およびポリシーを適用する物理ポート・ペアの最終的な定義も含まれます。
セグメント・ポリシーを作成するには、以下の手順に従います。
1. ［Policy］ > ［Segment］を選択します。
2. ［Segments］セクションで、中に「+」記号の付いた緑色の円をクリックします。
［Add Segment］ページが表示されます。
3. ［Add Segment］ページで、［Mode of Operation］に対して［Edit］をクリックします。
4. 小さい図で示した物理的な接続に一致する運用モードを選択します。
たとえば、図 3-11 で示した［Active Inline］、［Fail to Appliance］に一致する接
続などです。
Gigamon Inc
図 3-11:Blue Coat SSVA の運用セグメント・モード
5. ［OK］をクリックします。
これで、運用モードは［Add Segment］に表示されます。
6. ［Add Segment］ページで、以下の手順に従います。
a. ［Ruleset］ドロップダウン・リストで、「ルールセット・ポリシーの作成」で作成したルー
ルセットを選択します。
b. ［Session Log Mode］と［VLAN Translation］をデフォルトのままにします。適切なコ
メントを追加します。
c. ［OK］をクリックします。
7. このセグメントとルールセットのポリシーを物理ポートに割り当てるには、ポリシーの列をハ
イライトして、図 3-12 で示すように［Mark for Activation］アイコンをクリックします。
図 3-12:Blue Coat SSLVA の有効化するセグメント・ポリシーのマーキング
Gigamon Inc
8. 図 3-13 で示すように、表示された［Segment Activation］ページで、フクシア色の
ポートで示した順番でセグメント・イメージからポートを選択して［Next］を選択しま
す。
図 3-13:Blue Coat SSLVA のセグメント有効化ポートの選択
9. 次のポート・ペアのセットを選択して、［Next］をクリックします。
10. ［Copies］ポートで、物理インターフェースを選択しないで［Next］を選択し、［OK］
をクリックします。
11. ページの最下部にある［Apply］をクリックします。
注意: ［Certificate Status Actions］、［Appliance Feedback Options］、［VLAN
Mappings］を変更する構成は複数あります。この導入ガイドではこれらの構成の詳細は
説明しません。
Gigamon Inc
Blue Coat SSLVA に対する GigaVUE-HC2 インライン・ツールの構成
このセクションでは Blue Coat SSLVA インライン・ツールの要素、または新しいマップを作成し
て、既存のトラフィック・フロー・マップの変更に使用する要素に対する GigaVUE-HC2 の構成
について説明します。高位では、SSLVA は GigaVUE-HC2 と、トラフィックを適宜 SSL 復号
化する FireEye インライン・ツール・グループの間の論理インラインに配置します。
このセクションは、図 3-14 でハイライトしたセクションの構成を説明します。
図 3-14:GigaVUE-HC2 の構成
構成手順は以下の順に説明します。
•
SSLVA に対する GigaVUE-HC2 インライン・ツール・ペアの構成。SSLVA の観点からは、
これらのポートはネットワーク入力ポートです。
•
SSLVA に対する GigaVUE-HC2 インライン・ネットワーク・ポート・ペアの構成。SSLVA の
観点からは、これらのポートは暗号化されたトラフィック・ツール出力ポートです。
•
インライン・ネットワーク・グループに対する GigaVUE-HC2 の既存のトラフィック・マップを
削除します。インライン・ネットワーク・グループが FireEye インライン・ツール・グループでは
なく、SSLVA インライン・ツール・ペアに転送されるよう、新しいマップを作成します。
•
GigaVUE-HC2 の SSLVA インライン・ネットワーク・ポート・ペアから FireEye のイ
ンライン・ツール・グループへの新しいトラフィック・マップを作成します。
注意: これらの手順の変更は推奨しません。
Gigamon Inc
SSLVA に対するインライン・ツールとインライン・ネットワーク・ポート・ペアの構成
SSLVA に対しては、インライン・ツール・ペアとインライン・ネットワーク・ポート・ペアの両
方を作成します。これは、図 3-15 で示すように、GigaVUE-HC2 が復号化のために
SSLVA にトラフィックを送信し、SSLVA から復号化されたトラフィックを受信して、
FireEye のインライン・ツール・グループに転送するために必要です。また、この図は、
GigaVUE-HC2 と Blue Coat アプライアンス間のポート・タイプの関係性も示しています。
GigaVUE-HC2 の観点からは、Blue Coat SSLVA はインライン・ツールです。それに対
し、Blue Coat SSVLA の観点からは、GigaVUE-HC2 はインライン・ネットワークの一
部です。
図 3-15:GigaVUE-HC2 インライン・ツール・ポート・ペアの Blue Coat SSLVA インライ
ン・ネットワーク・ポート・ペアへの接続
このセクションでは、インライン・ネットワーク（IN）バイパス・ペアと SSLVA のインライン・
ツール（IT）ペアの構成に必要な手順について説明します。企業のインフラストラクチャ
が拡大し、トラフィックの復号化のためにより多くの SSLVA が必要になると、インライ
ン・ネットワークとインライン・ツール・グループをそれぞれ作成して、SSLVA にトラフィック
を配信できます。詳細な手順については、この導入ガイドの前のセクションを参照して
ください。
注意: すべての SSLVA が図 3-15 で示すポートに接続され、GigaVUE-HC2 のインラ
イン・ネットワークがインライン・ネットワーク・ポート・タイプとして設定されていることが前
提となります。また、GigaVUE-HC2 のインライン・ツールとされているツールは、インライ
ン・ツール・タイプ・ポートとして構成します。これらの作業の詳細については、
GigaVUE-OS H-VUE のヘルプ・トピックを参照してください。
Gigamon Inc
SSLVA に対する GigaVUE-HC2 インライン・ツール・ペアの構成
このセクションは、SSLVA ポートの暗号化された側の GigaVUE-HC2 インライン・ツー
ル・ポート・ペアの構成に必要な手順について説明します。前のセクションの図 3-15
で、GigaVUE-HC2 と SV3800 の間の赤色のインライン・ツールのリンクを参照してくだ
さい。
インライン・ツール・ポート・ペアを構成するには
1. H-VUE で、［Ports］ > ［Inline Bypass］ > ［Inline Tools］を選択します。
2. ［New］をクリックします。［Inline Tools］構成ページが表示されます。
3. ［Alias］フィールドで、そのインライン・ツール・ペアのインライン・ツールがわかるようなエイリアスを入
力します。たとえば、Inline-Tool_SSLVA などです。
4. ［Ports］セクションで、ネットワーク図の A 側と B 側に対応するポート A とポート B
を選択します。
重要:このようにインライン・ネットワーク・ポート・ペアの A 側と B 側を一致させることは必
須です。
5. 残りの構成はデフォルト設定のままにします。
6. ［Save］をクリックします。
注意: このインライン・ツールの失敗のアクションは ToolBypass です。これは、失敗モードとみ
なされる場合、GigaVUE-HC2 からそのインライン・ツールにはトラフィックが送信されないことを
意味します。インライン・ツールの失敗に対するその他のオプションは、オンライン・ヘルプで説
明しています。全体のトラフィック・フローに対する効果はオプションによって大きく異なります。
Gigamon Inc
SSLVA に対する GigaVUE-HC2 インライン・ネットワーク・ポート・ペアの構成
このセクションは、SSLVA ポートの復号化された側の GigaVUE-HC2 インライン・ネットワーク・
ポート・ペアの構成に必要な手順について説明します。図 3-15 で、GigaVUE-HC2 と
SV3800 の間の青色のインライン・ツールのリンクを参照してください。
ネットワーク・ポート・ペアを構成するには、以下の手順に従います。
1. H-VUE で、［Ports］ > ［Inline Bypass］ > ［Inline Networks］を選択します。
2. ［New］をクリックします。［Inline Network Info］ページが表示されます。
3. ［Alias］フィールドに、そのインライン・ネットワーク・バイパス・ペアのネットワーク・リンクがわ
かるようなエイリアスを入力します。たとえば、
Inline-Network_from_SSLVA などと入力します。
4. ポート A は、［Ports］セクションでプルダウン・リストを使用するか、ネットワーク・トポロジ・
ダイアグラムに示されている A 側ポートのポート・ラベルを入力します。
重要:GigaVUE-HC2 の A 側と B 側を SSLVA の A 側と B 側に一致させないと、インラ
イン・ツール・グループへのトラフィック転送が正常に機能しません。
5. ［ポート B］は、プルダウン・リストを使用するか、ネットワーク・トポロジ・ダイアグラムに示
されている A 側ポートのポート・ラベルを入力します。
6. ［Traffic Path］を［Inline Tool］に変更します。
7. ［Link Failure Propagation］の設定はそのままにします。
8. ［Save］をクリックします。
注意: SSLVA インライン・ネットワーク・ポートに BPS ポートを使用している場合、インライ
ン・ネットワーク・バイパス・ペアの構成で説明した手順と同じです。エイリアスは変更できま
せん。また、ポート A と B が事前に選択されています。
トラフィック・フロー・マップの変更
トラフィック・マップを変更して、インライン・ネットワーク・グループのトラフィックを SSLVA に送信
し、SSL トラフィックを復号化してから FireEye インライン・ツール・グループに送信し、グループ
内のアプライアンスに転送してマルウェアを検査します。以下は、このプロセスの高位の手順で
す。
1. ［Inline Networks］を［Physical Bypass］に設定します。「物理バイパス・トラフィッ
ク・パスの変更」を参照してください。
Gigamon Inc
2. インライン・ネットワークから FireEye インライン・ツール・グループへの 2 つの既存の
トラフィック・フロー・マップ（バイパスおよびコレクタのトラフィック・フロー・マップ）を削
除します。「FireEye の既存のマップの削除」を参照してください。
3. すべてのトラフィックをインライン・ネットワーク・グループから 1 つの SSLVA インライ
ン・ツールに送信する新しいトラフィック・フロー・マップを作成します。「SSLVA マッ
プに対する新しいインライン・ネットワーク・グループの作成」を参照してください。
4. すべてのトラフィック（復号化されたトラフィック）を SSLVA インライン・ネットワーク・
ポート・ペアから FireEye のインライン・ツール・グループに送信する新しいトラフィッ
ク・フロー・マップを作成します。「FireEye のマップに対する新しい SSLVA の作
成:バイパスおよびコレクタ」と「FireEye のコレクタ・マップに対する新しい SSLVA
の作成」を参照してください。
注意: パケット・ロスを最小化するため、この手順にはトラフィック・フロー・マップの変更
時にインライン・ネットワーク・ポート・ペアを物理バイパスに変更する手順が含まれます。
これは必須ではなく推奨です。
物理バイパス・トラフィック・パスの変更
以下の手順に従って、インライン・ネットワーク・グループのインライン・ネットワーク・パス
に対する物理バイパスを有効化します。
1. H-VUE で、［Ports］ > ［Inline Bypass］ > ［Inline Networks］を選択します。
2. 「Gigamon GigaVUE-HC2 の構成:インライン・ネットワークおよびインライン・
ツール・グループ」で構成したインライン・ネットワーク・ペアの 1 つの横にあるボッ
クスにチェックを入れます。
3. ［Edit］をクリックして、そのリンクのプロパティ・ページを表示します。
4. 図 3-16 で示すように、［Physical Bypass］を選択してから、［Save］をクリックします。
図 3-16:インライン・ネットワークの物理バイパスの有効化
Gigamon Inc
5. インライン・ネットワーク・グループのその他すべてのインライン・ネットワーク・ペアに対して
手順 2 から 4 を繰り返します。
トラフィック・フロー・マップの構成
このセクションでは、既存のトラフィック・フロー・マップを削除し、Blue Coat SSLVA インライン
をネットワーク・リンクと FireEye インライン・ツール・グループの間に論理的に配置するための新
しいトラフィック・フロー・マップを作成する手順について説明します。
FireEye の既存のマップの削除
当初 FireEye アプライアンスに対して作成した既存のマップを削除するには、以下の手順に
従います。
1. H-VUE で、［Maps］ > ［Maps］を選択します。
2. インライン・ネットワーク・グループから FireEye ツール・グループまでのコレクタのトラフィッ
ク・フロー・マップを選択します。
3. ［Delete］をクリックします。
4. ［FireEye Inline Tool Group］に対して［Rule based Inline Network Group］を選択します。
5. ［Delete］をクリックします。
SSLVA マップに対する新しいインライン・ネットワーク・グループの作成
インライン・ネットワーク・ツール・グループに対して新しいマップを作成するには、以下の手順に従いま
す。
1. ［Maps］ページで［New］をクリックします。
2. 新しいマップの構成は以下のとおりです。
•
Map Alias:ING_to_SSLVA
•
Type:Inline
•
Sub Type:Pass All
•
Traffic Path:Normal
•
Traffic Type:Symmetric
•
Source:インライン・ネットワーク・グループを選択
•
Destination:SSLVA インライン・ツールを選択
その他の構成はすべてデフォルトのままにします。マップの構成は、図 3-17 の例に従いま
す。
3. ［Save］をクリックします。
Gigamon Inc
図 3-17:SSLVA トラフィック・マップに対するインライン・ネットワーク・グループ
FireEye のマップに対する新しい SSLVA の作成:バイパスとコントローラ
バイパス・トラフィック・マップを作成するには、以下の手順に従います。
1. H-VUE で、［Maps］ページに移動して［New］をクリックします。
2. 新しいマップの構成は以下のとおりです。
•
Map Alias:Bypass_IN-SSLVA
•
Type:Inline
•
Sub Type:By Rule
•
Traffic Path:Bypasss
•
Source:SSVA インライン・ネットワークを選択
•
Destination:なし
•
Map Rule
［Rule］フィールドをクリックして［ip4Proto］を選択してから、［IPv4 Protocol］
に対して［Pass］、［Bi Directional］および［IGMP］を選択します。
マップの構成は、図 3-17 の例に従います。
Gigamon Inc
3. ［Save］をクリックします。
図 3-18:SSLVA トラフィック・マップに対するインライン・ネットワーク・グループ
FireEye のコレクタ・マップに対する新しい SSLVA の作成
新しいコレクタ・マップを作成するには、以下の手順に従います。
1. ［Maps］ページで［New］をクリックします。
2. マップの構成は以下のとおりです。
•
Map Alias:Collector_IN-SSLVA_ITG_FE1-FE2
•
Type:Inline
•
Sub Type:Collector
•
Traffic Path:Normal
•
Source:Inline_Network_form_SSLVA（SSLVA インライン・ネットワークのエイリアス）
•
Destination:ITGRP-FE1-FE2
マップの構成は、図 3-19 の例に従います。
3. ［Save］をクリックします。
Gigamon Inc
図 3-19:コレクタ SSLVA インライン・ネットワークから FireEye インライン・ツール・グループまでのトラフィック・
マップ
インライン・ネットワークからの物理バイパスの削除
インライン・ネットワークから物理バイパスを削除するには、以下の手順に従います。
1. H-VUE で、［Ports］ > ［Inline Bypass］ > ［Inline Networks］を選択します。
2. ［Inline Networks］ページで、インライン・ネットワーク・ペアを 1 つ選択します。
3. ［Edit］をクリックして、そのリンクのプロパティ・ページを表示します。
4. ［Physical Bypass］の選択を解除してから［Save］をクリックします。
5. インライン・ネットワーク・グループのその他のインライン・ネットワークに対して手順 2 から 4 を繰り返しま
す。
Gigamon Inc
FireEye SSL テスト URL を使用した SSLVA 復号化のテスト
このセクションでは、FireEye の導入テスト・トラフィックの SSL バージョンを使用し、Blue Coat
SSL 復号化と FireEye マルウェア検出を組み合わせたソリューションのテストについて説明しま
す。
注意: Blue Coat はソフトウェア・バージョン 3.8.5-16 から、要求したユーザーのブラウザへの
［Block/Comfort］ページの転送のサポートを中止します。そのため、HTTPS がブロックされた
コンテンツに対する「アクセス拒否」のページが表示されなくなります。
FireEye SSL テスト URL を使用した SSLVA 復号化のテスト
一般的に、IP アドレスが 1 ずつ増える約 4 台のワークステーションを使用するという点で
SSLVA を使用しないテストと同じです。
ただし、HTTP をブラウザに挿入するため、FireEye が提供する URL を手入力する必要があ
ります。以下は、手入力を軽減するために使用できるリンクの一部です。
https://fedeploycheck.fireeye.com/appliance-test/alert.html
https://fedeplycheck.fireeye.com/appliance-test/block.html
https://fedeplycheck.fireeye.com/appliance-test/test-infecti
on.pdf
https://fedeplycheck.fireeye.com/appliance-test/test-infecti
on.exe https://fedeploymentcheck.dns.fireeye.com
https://fedeplycheck.fireeye.com/appliance-test/test-infecti
on.zip
SSL トラフィックでない前のセクションと同じ結果になります。これは、1 つのクライアント IP アド
レスからのトラフィックはすべて、FireEye インライン・ツール・グループの 1 つのツールにのみ転送
されることを意味します。
SSL の復号化を確認するには、SSLVA にログ・インして［Monitor］ > ［SSL Session Log］
を選択します。図 3-20 で示すように、FireEye の導入テストのドメインは［Domain Name］列、
［Reject in the Action］列、および［Status］列の［Rejected by IPS］に表示されます。
図 3-20:Blue Coat SSLVA のセッション・ログ
Gigamon Inc
SSL 以外のトラフィックのテスト
SSLVA から FireEye インライン・ツール・グループまでの SSL 以外のトラフィックも確認し
て、正しく分析されているか確認するといいでしょう。FireEye が提供し、「FireEyeインライ
ン・ツールの機能テスト」に記載されている導入テストのリンクを使用して、導入テストの同
じ設定を繰り返します。送信先の HTTPS と HTTP の両方のテストがアラート・カウンタ
に反映されていることを確認します。
Gigamon Inc
第4章
まとめと結論
ここまで、Gigavue-HC2 のバイパス保護、Blue Coat の SSL 復号化、
FireEye のネットワーク・セキュリティ・アプライアンスの組み合わせを導入する
方法について説明してきました。Gigamon-GigaVUE-HC2 のシャーシでインラ
イン・ツールの高可用性を確保し、トラフィックを配信するこの統合ソリューショ
ンでは、以下の目標を達成できます。
•
ツールのフェイルオーバーのアクションによって、各インライン・セキュリティ・
ソリューションを Gigamon インライン・ツール・グループに含めることによって、
Blue Coat の SSL 復号化と FireEye のマルウェア検出の高可用性を確
保。停止や定期的なメンテナンスなど、原因を問わず、ツールがオフライ
ンになっても個別のセキュリティ・ニーズに合わせてインライン・ツール・グ
ループを最適化。
•
ネットワーク・インフラストラクチャの拡張に合わせたシームレスな拡張、
およびインライン・ツールによる追加のトラフィックへの対応。
•
GigaVUE-HC2 に物理的に追加したすべての新しいツールがパス・スルー
のトラフィック・フロー・マップに論理的に追加される高度な柔軟性により、
物理的な変更管理をせずに新しいタイプのインライン・セキュリティ・ツール
を追加可能。
Gigamon の Security Delivery Platform が提供する GigaVUE-HC2 のバイ
パス保護、高可用性および拡張性の詳細については、www.gigamon.com を
参照してください。
サポートへのアクセス:
Gigamon 製品に関する問題については、
http://www.gigamon.com/support-and-services/contact-support および
Gigamon のサポート契約を参照してください。または、テクニカル・サポートに
電子メール（[email protected]）でご連絡ください。
FireEye 製品に関する問題については FireEye のサポート契約を参照し、説
明に従ってサポート・ケースを開いてください。
Blue Coat 製品に関する問題については、
http://www.bluecoat.com/techical-support で最新の文書とソフトウェアの
ダウンロード、ナレッジベースへのアクセス、サポート・チケットの記録が行えま
す。
Gigamon Inc
付録 A
構成例
以下は、この導入ガイドの各セクションの説明に基づいた構成例です。
HC2-C03-13 (config) # show run
##
## Running database "initial"
## Generated at 2015/11/10 23:29:20 +0000
## Hostname: HC2-C03-13
##
## Note: If you are not an admin user some command invocations may be omitted
## because you do not have permissions to see them.
##
##
## Network interface configuration
##
interface eth0
create comment
"" no dhcp
display duplex
auto
ip address 192.168.0.53 /21 mtu 1500
no shutdown
speed auto no
zeroconf exit
##
## Network interface IPv6 configuration
##
interface eth0
no ipv6 address autoconfig ipv6 address
autoconfig default
no ipv6 address autoconfig privacy no ipv6
dhcp client enable
ipv6 enable exit
##
## Routing configuration
##
ip default-gateway 192.162.0.1 eth0
##
## Other IP configuration
##
hostname HC2-C03-13
ip domain-list 192.168.0.22
ip name-server 192.168.0.20
##
## Other IPv6 configuration
##
no ipv6 enable
##
## AAA remote server configuration
##
# ldap bind-password ********
Gigamon Inc
# radius-server key ********
# tacacs-server key ********
##
## Chassis level configurations
##
chassis box-id 1 serial-num C0036 type hc2
##
## Card level configurations
##
card slot 1/1 product-code
132-00BD card slot 1/2
product-code 132-00BE card slot
1/3 product-code 132-00B3 card
slot 1/4 product-code 132-00BK
card slot 1/5 product-code
132-00AT card slot 1/cc1
product-code 132-00AN
##
## Port level configurations
##
port 1/1/x1
type inline-tool
port 1/1/x1 params admin enable autoneg
type network
enable port 1/1/x10
port 1/1/x11
type
inline-net port 1/1/x12
type
inline-net port 1/1/x13
type
network port 1/1/x14
type
network port 1/1/x15
type
network port 1/1/x16
type
network port 1/1/x17
type
network port 1/1/x18
type
network port 1/1/x19
type
network port 1/1/x2
type
inline-tool
port 1/1/x2 params admin enable autoneg
enable port 1/1/x20
type network
port 1/1/x21
type
network port
1/1/x22
type
network port
1/1/x23
type
network port
1/1/x24
type
network port 1/1/x3
type
network port 1/1/x4
type
tool
port 1/1/x4 params admin
enable port 1/1/x5
type
network
port 1/1/x6
type network
port
1/1/x7
type
Gigamon Inc
network
port
1/1/x8
type network port 1/1/x9
type network port 1/2/q1
type network port 1/2/q2
type network port 1/2/q3
type network port 1/2/q4
type network port 1/2/q5
type network port 1/2/q6
type network port 1/3/g1
type network
port 1/3/g1 params taptx passive
port 1/3/g10
type network
port 1/3/g10 params taptx passive
port 1/3/g11
type network
port 1/3/g11 params taptx passive
port 1/3/g12
type network
port 1/3/g12 params taptx passive
port 1/3/g13
type network
port 1/3/g13 params taptx passive
port 1/3/g14
type network
port 1/3/g14 params taptx passive
port 1/3/g15
type network
port 1/3/g15 params taptx passive
port 1/3/g16
type network
port 1/3/g16 params taptx passive
port 1/3/g17
type network
port 1/3/g17 params taptx passive
port 1/3/g18
type network
port 1/3/g18 params taptx passive
port 1/3/g19
type network
port 1/3/g19 params taptx passive
port 1/3/g2
type network
port 1/3/g2 params taptx passive
port 1/3/g20
type network
port 1/3/g20 params taptx passive
port 1/3/g21
type inline-net
port 1/3/g21 params admin enable
port 1/3/g22
type inline-net
port 1/3/g22 params admin enable
port 1/3/g23
type inline-net
port 1/3/g23 params admin enable
port 1/3/g24
type inline-net
port 1/3/g24 params admin enable
port 1/3/g3
type network
port 1/3/g3 params taptx passive
port 1/3/g4
type network
port 1/3/g4 params taptx passive
port 1/3/g5
type network
port 1/3/g5 params taptx passive
port 1/3/g6
type network
port 1/3/g6 params taptx passive
port 1/3/g7
type network
port 1/3/g7 params taptx passive
port 1/3/g8
type network
port 1/3/g8 params taptx passive
port 1/3/g9
type network
port 1/3/g9 params taptx passive
port 1/4/x1
type network
port 1/4/x10
type network
port 1/4/x11
type
inline-tool
port 1/4/x11 params admin
enable port 1/4/x12
type
inline-tool port 1/4/x12
params admin enable port
1/4/x13
type
inline-tool
port 1/4/x13 params admin enable autoneg
enable port 1/4/x14
type inline-tool
port 1/4/x14 params admin enable autoneg
enable port 1/4/x15
type inline-tool
Gigamon Inc
port 1/4/x15 params admin enable autoneg
type inline-tool
enable port 1/4/x16
port 1/4/x16 params admin enable autoneg
enable port 1/4/x2
type network
port 1/4/x3
type
network port 1/4/x4
type
network port 1/4/x5
type
network port 1/4/x6
type
network port 1/4/x7
type
inline-net
port 1/4/x7 params admin
enable port 1/4/x8
type
inline-net port 1/4/x8
params admin enable port
1/4/x9
type
network
##
## Gigastream configurations
##
gigastream advanced-hash slot 1/cc1 default
##
## Gsgroup configurations
##
gsgroup alias gsgrp-1_4_e1 port-list 1/4/e1
##
## Gs params configurations
##
gsparams gsgroup gsgrp-1_4_e1
cpu utilization type total
rising 80 dedup-action drop
dedup-ip-tclass
include
dedup-ip-tos
include
dedup-tcp-seq
include
dedup-timer
500000
dedup-vlan
ignore
flow-sampling-rate 5
flow-sampling-timeout 1
flow-sampling-type
device-ip gtp-flow
timeout 48
gtp-persistence disable
gtp-persistence file-age-timeout 30
gtp-persistence interval 10
gtp-persistence
restart-age-time 30
gtp-whitelist add MyIMSIs
ip-frag forward
enable ip-frag
frag-timeout 10
ip-frag
head-session-timeout 30 lb
failover disable
lb failover-thres lt-bw 80
lb failover-thres lt-pkt-rate
1000 lb replicate-gtp-c
disable
lb use-link-spd-wt disable
Gigamon Inc
resource buffer-asf disable
ssl-decrypt decrypt-fail-action drop
ssl-decrypt enable
ssl-decrypt key-cache-timeout 10800
ssl-decrypt non-ssl-traffic drop
ssl-decrypt pending-session-timeout 60
ssl-decrypt session-timeout 300
ssl-decrypt tcp-syn-timeout 20
ssl-decrypt ticket-cache-timeout 10800
exit
##
## Gsop configurations
##
gsop alias GTP-Flowsample flow-ops gtp-flowsample lb app gtp metric hashing
key imsi port-list gsgrp-1_4_e1
gsop alias gtp-whitelist flow-ops gtp-whitelist lb app gtp metric hashing
key imsi port-list gsgrp-1_4_e1
##
## Vport configurations
##
vport alias vport1 gsgroup gsgrp-1_4_e1
##
## Inline-network configurations
##
inline-network alias InLineNetwo
lfp enable
physical-bypass disable
traffic-path
to-inline-tool exit
inline-network alias InLineNetworkPair1
pair net-a 1/3/g21 and net-b 1/3/g22 lfp
enable
physical-bypass disable
traffic-path
to-inline-tool exit
inline-network alias InlineNetwork4BC
pair net-a 1/4/x7 and net-b 1/4/x8 lfp
enable
physical-bypass disable
traffic-path
to-inline-tool exit
inline-network alias InlineNetworkPair2
pair net-a 1/3/g23 and net-b 1/3/g24 lfp
enable
physical-bypass disable
traffic-path
to-inline-tool exit
##
## Inline-network-group configurations
##
inline-network-group alias ESX12_INGroup
network-list InLineNetworkPair1,InlineNetworkPair2 exit
##
## Inline-tool configurations
##
inline-tool alias ITFireEye1
pair tool-a 1/4/x13 and tool-b 1/4/x14
enable
exit
inline-tool alias ITFireEye2
pair tool-a 1/4/x15 and tool-b 1/4/x16
enable
exit
inline-tool alias InlineToolBC
Gigamon Inc
pair tool-a 1/4/x11 and tool-b 1/4/x12
enable
exit
##
## Inline-tool-group configurations
##
inline-tool-group alias
ITG-Fe1-fe2 tool-list
ITFireEye1,ITFireEye2
enable
hash
a-srcip-b-dstip
exit
##
## Traffic map connection configurations
##
map alias
PassAll2FEs
type inline
byRule
roles replace admin to owner_roles
rule add pass macsrc 00:00:00:00:00:00 00:00:00:00:00:00 bidir
to ITG-Fe1-fe2
from
InlineNetwork4BC
exit
map-passall alias ING_to_SSLVA
roles replace admin to
owner_roles to InlineToolBC
from
ESX12_INGroup
exit
##
## X.509 certificates configuration
##
#
# Certificate name system-self-signed, ID
316ea8f8a0b6980795515b55d2d377477379aeb2
# (public-cert config omitted since private-key config is hidden)
##
## Web configuration
##
# web proxy auth basic password ********
web auto-logout 30
##
## E-mail configuration
##
# email auth password ********
# email autosupport auth password ********
Gigamon Inc
See Inside Your NetworkTM
JP-4051-02 12/15
Gigamon Inc