Deep SecurityのWebレピュテーションで不正なWebサイトへアクセスをブロックしてみた
Trend Micro Deep SecurityのWebレピュテーションをAmazon Linuxで試してみました。
テストサイトにcurlでアクセスすると、遮断される事を確認しました。
セキュリティ製品のWeb関連のフィルタには、大きく2種類あります。
1つめがソーシャルネットワーキングサービスや賭博などサイトの種類に応じて行うフィルタリングです。
主にPCなどのクライアント向けの機能です。
2つめが不正なURLへの接続を遮断するフィルタリングです。
クライアント、サーバーどちらに対しても意味のある機能です。
不正プログラムが不正なWebサイトへアクセスするのを止めることにより、感染拡大や情報漏えいなどを阻止できるからです。
Deep SecurityのWebレピュテーションは、後者の出口対策としての意味をもつ機能です。
Webレピュテーションの設定
EC2にDeep Security Agent(DSA)をインストールします。
インストール手順はこちらをご覧ください。
有効化
コンピュータエディタまたは、ポリシーエディタを開きます。
Webレピュテーション > 一般タブ > Webレピュテーションのステータス をONにします。
ONにすることで不正なWebアドレスへの接続がブロックされます。
通知のみの設定はできません。
セキュリティレベル
不正なWebアドレスにはリスクレベル(不審/非常に不審/危険)が割り当てられます。
ブロック対象に応じてセキュリティレベルを設定します。
今回は危険/非常に不審をブロックする"中"を設定しました。
除外
明示的に許可またはブロックするドメインやURLを指定できます。
誤遮断があった場合などに利用できます。
Smart Protection
Webレピュテーションはトレンドマイクロが管理するデータベースを利用します。
ローカルのSmart Protection ServerまたはGlobal Smart Protectionサービスへの直接接続を選択します。
今回は直接接続を選択しました。
詳細
ブロックページ
ブロック対象のURLに接続しようとすると、指定したブロックページに転送されます。
デフォルトはhttp://sitesafety.trendmicro.com/
です。
デフォルトのままにします。
アラート
Webレピュテーションのイベントが作成された時にアラートを作成するかを設定します。
"はい"を選択し、アラートを作成します。
ポート
Webレピュテーションで監視するポートを選択します。
デフォルトの80,8080としました。
なお、WebレピュテーションではHTTPSトラフィックを監視できません。
テストURLへのアクセス
ブロックページへの誘導
セキュリティレベル"中"では、スコアが50-79の時にブロックされます。
評価スコア51のテストサイトhttp://wrs51.winshipway.com/
にcurlコマンドで接続すると、ブロックページに接続されました。
[ec2-user@ip-172-31-18-156 ~]$ curl http://wrs51.winshipway.com/ <html> <head> <title>Page Blocked</title> <style> body {font-family:Verdana,sans-serif;font-size:12px;padding:8px;} h1 {font-size:18px;font-weight:bold;} h2 {font-size:16px;color:#F00;} h3 {font-size:16px;font-weight:normal;} .l {border-bottom:1px solid #999;padding-bottom:10px;} </style> </head> <body> <h1 class="l">Trend Micro Deep Security</h1> <h2>This page is unsafe.</h2> <h3>URL: wrs51.winshipway.com/</h3> <h3>Risk Level: Highly Suspicious</h3> <br/> <h3>Your administrator has blocked this page for safety.</h3> <br/> <fieldset> <legend>What you can do</legend> <ul> <li><a href="javascript:history.go(-1)">Go back to the previous page</a></li> <li><a href="http://sitesafety.trendmicro.com/">Contest this rating</a></li> </ul> </fieldset> <br/> <div class="l" align="right">Blocked by Web Reputation, Trend Micro Deep Security Agent</div> <br/> Copyright © 2017 Trend Micro Inc. All rights reserved. </body> </html> [ec2-user@ip-172-31-18-156 ~]$
HTMLビューワーで確認すると、以下のように表示されます。
Deep Security Managerを確認します。
Webレピュテーションイベントが作成されました。
誤検知だった場合、許可リストに追加できます。
エージェントを停止するとテストサイトに接続される
Deep Security エージェントを停止し、同じURLに接続するとテストサイトに接続されました。
[ec2-user@ip-172-31-18-156 ~]$ sudo service ds_agent stop Stopping ds_agent: [ OK ] Unloading dsa_filter module... [ OK ] [ec2-user@ip-172-31-18-156 ~]$ curl http://wrs51.winshipway.com/ <body> wrs51.winshipway.com/<p> Category: 58(Shopping)<br> WTP Score: 51(Highly Suspicious)<br> Credibility: 2(Suspicious) [Obsoleted]<br> <p><p><font size=2>By CoreTech WRS team ([email protected])</font><br> </body> [ec2-user@ip-172-31-18-156 ~]$
HTMLビューワーで確認すると、以下のように表示されます。
評価スコア51のテストサイトである事がわかります。
おわりに
Trend Micro Deep SecurityのWebレピュテーションをAmazon Linuxで試してみました。
テストサイトにcurlコマンドで接続したところ、ブロックページに誘導されました。
Deep SecurityのWebレピュテーションは出口対策として有効な機能である事を確認しました。
検証環境
- Trend Micro Deep Security as a Service
- Deep Security Agent 10.2.0.340