8割解けるCTF「WEST-SEC」

セキュリティ初心者の方でも楽しめるゲーム形式のセキュリティイベント。CTFや勉強会の依頼があればご相談ください。

SASE

1.ゼロトラストとSASE

SASEはゼロトラストの概念を実現するための具体的なソリューションです。

1.1 SASEとは

(1)SASEとは

SASE(Secure Access Service Edge)に関して、ガートナー社は以下のように記載しています。
https://blogs.gartner.com/andrew-lerner/2019/12/23/say-hello-sase-secure-access-service-edge/

SASE combines network security functions (such as SWG, CASB, FWaaS and ZTNA), with WAN capabilities (i.e., SDWAN) to support the dynamic secure access needs of organizations.

つまり、ネットワークセキュリティ機能(SWGやCASB、FWやゼロトラストネットワークアクセス(ZTNA))にSD-WANの機能を加えたものを、単一のプラットフォームでかつ、サービスとして提供する仕組みと考えられます。
SASEの呼び方は、「pronounced “sassy”」ということで、「エスエーエスイー」ではなく、指原莉乃さんの愛称と同様に「サッシー」です。

(2)CATO社のSASE

・2015年に設立。CEOはShlomo Kramerで、CheckpointやImpervaの共同設立者
・CATO社はSASEについては、以下に詳細な記載があります。
www.catonetworks.com
・CATO社の実績だと、日本は2017年に参入し、250社以上の企業に導入。大企業よりは中規模が主なターゲット。それは、CATOを導入するのであれば部分導入ではなく、全社的な導入が望ましいからであろう。(大企業の環境を全部変えるのは現実的には難しい)。
ライオン社などの事例が紹介されている。
ライオン株式会社 様|お客様事例|SCSK株式会社
・マクニカが一次店。SCSK、KDDIなどが販社
・SASEの専門会社として一番の老舗であり、世界75か国以上でサービス展開をしており、特に海外とを接続するSD-WANを利用する場合には一日の長があると考えられる。

(3)SASEのメリット

・SASEはゼロトラスト+SD-WANと考えると、ゼロトラストのメリットは別途説明した通り。SD-WANのメリットは、柔軟かつ広帯域で、信頼性の高いネットワークを構築できることであろう。
・たとえば、拠点がたくさんあって、今までは帯域保証型のネットワークを構築している会社や、特に海外と専用線を構築している場合だと、非常に大きなコストメリットが出る可能性がある。
・海外との接続(CATO社の資料より) 

・びっくりしたのは、世界中のPOPはCATOの専用ネットワークで接続されている。インターネットVPNなどではないので、信頼されたネットワークが構築されている。
PeeringDBで、回線帯域が見える。Osakaだけでも4本がバックボーン(しかもJPIXなどの大きいところ)につながっていて、1本100Gbps。日本からは900Gbps。他のサービスと比較しても、かなり充実している。
https://www.peeringdb.com/net/11851

・先に、SASEの定義として「単一のプラットフォームでかつ、サービスとして提供」と書いたが、海外拠点も含めて、セキュリティを一元的に管理できるのは非常に有効だと思います。

1.2 SASEの機能

(1)CATO社SASEの機能

CATO社のSASEでは、まさにゼロトラストの機能が揃っている。
www.catonetworks.com

機能 概要 CATO Zacaler Prisma
SD-WAN (Software-Defined WAN) WANの最適化 ×
FWaaS (Firewall as a Service) ファイアウォール機能
ZTNA (Zero-Trust Network Access) 主にIPsecに代わるリモートアクセスでのセキュリティ。具体的には、IPsecのように、トンネルを作成して全許可するのではなく、デバイスやアプリケーションごとの制御や、横展開もきちんと検査→具体的には、このあとでZscalerの場合で説明
ZPAで実現
CASB (Cloud Access Security Broker) クラウドサービスの可視化
ZIAで実現
SWG (Secure Web Gateway) インターネットアクセスのセキュリティ強化。
AV、IPS、アプリケーションコントロール、Webフィルタリング、SSL復号など

ZIAで実現
統合管理 上記を統合管理

少し補足します。
・他社は、買収などをしたり、機能を追加してきたが、CATO社はSASEの機能を一つの管理コンソールで一元的に利用できる。そして、管理画面が見やすいことも特徴。
・中国でもPOPがあることもCATO社の特徴であろう。

(2)有していないゼロトラの機能

SASEは、一般的なゼロトラストのすべての機能を完備しているのか。
どの会社のSASEに関しても、EDRやMDMなどの端末の制御やセキュリティ強化が弱いと感じています。

機能 概要 CATO Zacaler Prisma
エンドポイントセキュリティの強化 EPPやEDRなどの機能
EPP(別途ライセンスが必要)は最近リリースで、今はVPNのエージェントとは別
×
別製品のEDR
認証機能 多くの場合、自分たちで持たず、AzureAD(EntraID)などと連携する(SSO)
端末のデバイス制御(MDM機能) 多くは持っておらず、MSのIntuneとAzureAD(EntraID)  -
(MDM機能はない、ポスチャー管理まで) 
 -   - 

1.3 契約に関して

・ライセンスは、帯域ライセンスとユーザライセンスがある。
・帯域ライセンスがの場合、25Mbps、50Mbps、100Mbps、250bps、500bps、1Gbps・・・MAX10Gbpsまで契約できます。
・ユーザライセンスは、最小10ライセンスから。

Q.帯域ライセンスの場合、ユーザ個々の管理というか認証認可はできる?

A.たしかに、事業所にソケットを置く場合、ユーザ個々の管理は、そのままではできません。ですが、全ての端末にCATOのエージェント(そのなかのidentityエージェントの機能)をインストールすることで、ユーザ個々の管理は可能です。エージェントが、ユーザIDなどの情報をクラウドに送ってくれる。連携先がAzureAD(EntraID)の場合、費用は無料。Okutaなどは別途調整が必要。

1.4 構成に関して

(1)必要な機器やソフト

❶リモートPCから
スマホの場合はスマホのアプリをインストールします。
PCの場合は、Cato VPN Clientソフト(エージェント)をインストールします。これらのソフトが、CATOのPOPに接続します。具体的な方法はこのあと「2.5 利用ユーザの設定」で説明します。

❷拠点から
・拠点を接続する場合はソケット(ルータ機能をもつSDN装置)が必要です。(必要に応じて冗長化します。)または、ソケットの代わりに、FortiGateなどの製品でPOPまでIPsecで接続することもできます。
・AWSの場合、バーチャル版のソケットがあります。

(2)構成例

・従来型の境界型防御が一番左、全面的にSASEを導入する場合が一番右。

・しかし、特に日本の場合は、組織間での調整が難しく、部分導入が多くなる。(CATOのSASEでネットワークを全面的に組み直すなら設計は難しくはないが、現実的にはそれは無理ですね)
すると、既存部分はFortigateやPaloによる旧来型の境界型防御、リモート部分はCatoなどのSASEを使うことになるだろう。その一例を表したのが↑の真ん中。
リモートの端末は、アプリやエージェントを使ってCATOのPOPに接続する。そして、本社もCATOのNWに参画する必要があるので、本社のソケットを置いて、CATOのPoPに接続する。このとき、既存で境界防御をしている回線にソケットを置くと、帯域ライセンスが高くなる。図のように、インターネット回線を分けることもあるだろう。やり方はいくつかあるが、CATOのルータをデフォルトGWに設定し、インターネット通信はProxyサーバとして、ProxyサーバからUTMを通って通常のインターネットに抜けるなど。

2.初期設定

設定のマニュアルは以下が参考になります。
https://support.catonetworks.com/hc/en-us/categories/4964852963229-Cato-Networks-Knowledge-Base

2.1 アカウントについて

(1)3つのアカウント

アカウントには以下がある。

アカウント 説明
マルチテナントのリセラーアカウント (※今回は説明の対象外)マルチテナントの管理者
(テナントの)管理者 テナントの管理者
一般ユーザ 一般ユーザは管理画面んはログインできない
(2)アカウント登録

①申請して、管理者用のアカウントを発行してもらいましょう。
②CATOからinvitation メールが届く

Configure your network access 
==テナント名== 	
	Hello Bob, 

Welcome to Cato Management Application (CC2). To access your account and get the most value from CC2, please review our Evaluation Agreement and then configure your password. 

リンクをクリックすると、新しいパスワードを設定するように言われる。

2.2 ログイン

(1)管理者でのログイン

以下のどちらかからログインします。
https://コンテナ名.auth.catonetworks.com
https://コンテナ名.cc.catonetworks.com
※マルチテナントの場合、作成したサイト(というか画面ではユーザ)の名前を付けます。同じサイト名を付けたら重複しますが・・・。
以下、MFA有りと無しの画面です。MFAの有り無しは管理者の設定で変えられますが、もちろん有りが推奨です。
・MFA有り 

・二要素認証(MFA無し)

(2)一般ユーザでのログイン

以下のURLから、ID(メールアドレス)とパスワードでログインします。
https://myvpn.catonetworks.com/login
何ができるかというと、エージェントをインストールする。または、設定ファイルを取得する、TLSインスペクションのための証明書をダウンロードするくらい。

2.3 画面概要

(1)ログイン後

ログインするとメニュー画面に遷移する。

「Try the new Interface」で新しい画面に変更できる。上記は変更した画面。旧のIFに戻るには、「Old Interface」ボタンを押す。

(2)メニュー構成

上部にメニュー画面がある。
Monitoring、Networkなどの大項目、左に大項目の中のサブメニューが表示される。

以下、メニューの全体像であるが、設定項目は非常に多い

以下はマルチテナントの画面。右上に複数のアカウントが表示される場合、マルチテナントの切り替えができます。(アカウントはユーザではなく、テナントというかサイト?と考えてください)

2.4 管理者の追加

管理系>管理者
役割:Editor
サイトとユーザのアクセス権限:すべてのサイトまたはユーザ
その下の編集権限も付与する。

2.5 利用ユーザの設定

モバイルアカウントをSDPユーザと呼んでいる。以降にて、ユーザの画面にSDPという表記が見えるが、SDPはゼロトラストのSDP(Software Definded premeter)であり、ユーザ=SDPユーザと考えていい。

(1)招待メールでユーザの追加(一般的)

a)アクセス > ユーザ > ユーザディレクトリ から「新規」ボタンでユーザを作る。
 
b)登録する

c)ユーザにメールが飛ぶ。そこで、PWを設定する。

d)エージェントのダウンロードリンクが表示されるので、ダウンロード

e)真ん中の電源ボタンを押すと認証画面が開き、ユーザIDとPWを入れてログイン

f)最寄りのPOP(point of presence)に接続される
※日本は東京と大阪にある
g)PCのネットワーク設定を見ると、以下のように別途IPアドレスが割り当てられている。
DNSも、CATOのDNSを示している。

h)管理者のコンソール画面でみると、そのユーザが接続されているのがわかる

Q.毎回アプリを起動して、ログインする必要あり?自動ログインはできる?
A.自動接続や、強制が可能。デフォルトはONにはなっていない。
強制するには、アクセス > アクセス制御 > 常時オンポリシーで、対象ユーザを決めて、常時オンにできる。勝手にCATOのVPNに接続させられて、OFFにもできない。

(2)登録コードでユーザの追加(あまりやらない)

今回は、研修用に事務局にてユーザを作っておきたかったので、メールじゃなくて、登録コードで認証をすることにした。一般的ではないだろうが、やり方のメモを記載しておく。
a)アクセス> ディレクトリサービス > ユーザプロビジョニング
種別を:「招待メール」から「登録コード」に変更する

b)ユーザを作成
先と同様に、アクセス > ユーザ > ユーザディレクトリ から「新規」ボタンでユーザを作る。
c)登録コードを生成
アクセス > ディレクトリサービス > ユーザプロビジョニング の「新規ユーザの登録コードを生成する」
そして、登録コードをダウンロード を押すと発行される。
CSVファイルがダウンロードして、そこにコードが入っている。
d)以下のサイトにアクセス。上にある「Go to the portal」を押すと、エージェントのダウンロードページに遷移する。
https://myvpn.catonetworks.com/login

d)エージェントのダウンロード

e)エージェントをインストールし、ソフトを起動
以下で、Join using Registration Codeをクリック

e)切り替わった画面でユーザID(メールアドレス)と登録コードを入れてインストールができる。
f)管理者の管理画面で、その端末がSASEのネットワークに参加したことが確認できるであろう

2.6 管理設定

❶言語の変更
右上の自分のアカウントのマークをクリックすると Language を日本語に変更

3.セキュリティ設定

3.1 FirewallとURLフィルタ

(1)機能概要

・CATO社のCASEでは、SecurityタブのInternet FirewallでFirewallとURLフィルタを設定します。
・一般的に言われるWebプロキシの機能を実現しますが、他社とは違い、透過型プロキシです。

(2)透過型プロキシと明示型プロキシ

明示型プロキシ(Explicit Proxy)は、皆さんが想像する従来型のプロキシです。ブラウザにプロキシサーバのIPアドレス(FQDN)やポート番号を指定します。
透過型プロキシは、PCに何も設定をしません。
メリットデメリットは何とも言えないが、明示型だと、ネットワークの利便性で、双方向ができない?などの制約が多い気がする。
・Zscalerは明示型と透過型の両方が設定できる。クライアントソフトであるZCCを使って(明示型?)でアクセスする。
・CATOは透過型プロキシであり、明示型で利用することはできません。透過型のため、PCのブラウザでプロキシの設定をする必要がありません。
・その代わり、PCのエージェントがSASEのネットワークを経由するように制御します。

(3)設計ポリシー

・通常のFWと同じで、上からルール(ポリシー)をチェックし、合致するものがあればそれを適用。それ以降は見ない。
・通常のFirewallと違い、暗黙のDENYが無い。なので、一番下にAll Denyを入れるべき。

3.2 インターネットファイアウォール

(1)基本設定

・SecurityタブのInternet Firewallで設定する。
・右上のFirewall EnabledをONにする。デフォルトは「インターネットファイアウォールは無効になっています」

・デフォルトのポリシーでは、ログインして設定を見るとわかるが、Default Block Tor, SMB, SMTPがブロックされている。よって、メールを送るには該当のSMTPサーバへの通信を許可する必要がある。

(2)ポリシーの追加
項目 説明
# ルールの番号。順番を意味する
名称 任意の名前
送信元 ユーザやユーザグループ、IPアドレス、サブネット、インターフェースなどで指定が可能
デバイス OSの種類を選択
アプリ/カテゴリ 設定できる内容としては、以下がある。

・アプリケーション:webやGoogleDrive、Microsoft Azure、Webex、zoomなど11000以上のアプリケーションが登録されている
・Countory:国を選択可
・Domain:ドメインを指定
・FQDN:FQDNを指定
・IP Range:IPの範囲
サービス/ポート プロトコル(TCPやUDP)やポート番号、サービスを選ぶことができる。サービスは、DNSやDHCP、FTPなどのサービスなどが選べる
アクション ❶アクション

RBIも選ぶことができる
❷トラッキング
いわゆるログ
❸時間
曜日や時間を細かく設定できる
(3)ポリシーの削除

一番右にある「・・・」から「Delete Rule」

(4)ログの設定とアクセスログの確認

・ファイアウォールルールで、アクションにて、トラッキング、「イベント」にチェックを入れると、全てのログが取得される。
・モニタリング > イベント で確認できる。
以下のように、「プリセット選択」のところで、何のログを表示できるかを選択が可能。

また、フィルタも可能で、ログ分析はやりやすい。

3.3 WAN Firewall

インターネット通信ではなく、拠点間通信(会社のWAN)の通信の制御を行う。
従来のFWであれば、インターネットとWANでファイアウォールを分けないが、単に管理しやすいようと考えてください。たしかに、FWルールは大量になるので、内部通信とインターネット通信で分けるのは一理あると思います。
設定ですが、ALL Deny(ゼロトラストの考え)で始まり、許可するところだけを許可する。
ソケットが入っている拠点をイメージすることが多いだろうが、モバイルでも可能。
これで、拠点間の通信であったり、拠点とモバイルとの通信ができる。

3.4 URLフィルタ

(1)概要

・FortigateなどではFirewallとWebフィルタは別の設定画面であるが、CATOのSASEの場合はInternet Firewallに統合されている。
・Assetsでカテゴリをまとめるなどができる

(2)個別のURLをフィルタする

・httpsのサイトであっても、FQDNまでは、フィルタリングができる。
・たとえば、www.yahoo.co.jpのページをブロックするやり方は以下
a)インターネットファイアウォール > 新規 > 新規ルール
b)アプリ/カテゴリにて、FQDNを選択し、www.yahoo.co.jpを入れる。Actionはブロックにする。

c)必要に応じて、ポリシーの順番を変える(上から順にチェックするため)
※世界中のPOPに設定を反映するので、反映には3分ほどかかるので、すぐにやってもすり抜けるでしょう。

(3)TLSインスペクション(SSLインスペクション)

・最近ではSSL通信が当たり前であり、SSLインスペクションをしないと、正しくURLフィルタができないことが多い。
・ただし、証明書認証により、FQDNまでは、TLSインスペクションが無くても実現できる。
・SSLインスペクションをする場合には、別途メニュー画面のTLS Inspectionから行う。

3.5 TLSインスペクション(SSLインスペクション)

セキュリティ > ファイアウォール のTLS Inspectionから行う。

・設定方法は以下
a) セキュリティ > ファイアウォール > TLSインスペクション
 TLSインスペクションを有効にします。(右上の「TLSインスペクションは無効になっています」のチェックボックス)

b) ルールを作って除外設定などをする。

Q.ルールを作らないと、機能しない?
A.そうではない。 ONにするだけで、全てがインスペクションされる。除外ルールなどをここで設定すると考えればいい。銀行のサイトなどはルールで除外しておこう。
※明らかに復号できないサイトは除外されている。

Q.ルートCAの証明書ってどこから取得?
A.WindowsとMACのエージェントにあらかじめ入っている。
または、Catoのmyvpnのページからダウンロードも可能。

Q.ソケットで利用している場合
A.各端末に証明書を配布して、インストールする必要がある。
ダウンロード方法は、セキュリティ > 証明書管理 の「アクション」からダウンロードできる。
PEM証明書、CRT証明書とあるが、それぞれ拡張子が.pemか.cerの違いである。どちらでもインポートできると思う。

3.6 アプリケーションコントロール

・FortiGateやPaloAltoでいうアプリケーションコントロールは、CATOの場合、FWのルールで記載する。制御可能なアプリケーションは、アプリケーションカタログに記載がある。
・より詳細なアプリケーション制御をここで行う。CATOの場合、アプリケーションコントロールというと、他社のアプリケーションコントロールではなく、CASBとDLPの制御を意味する。
・FWで制御できるアプリケーションと、ここのアプリケーションコントロールで制御できるアプリケーションはどちらも同じで、どちらも、アセット > アプリケーションカタログ から確認できる。

(1)概要

・Facebookなどを止められる
・デフォルトではSSLインスペクションは無効になっているので、有効にする必要がある。
・登録されているアプリケーションは、アセット > アプリケーションカタログ から確認できる。
11234個のアプリケーションが登録されている(2024.5月現在)

・facebookで検索すると、facebookとfacebook messengerが確認できる。

(2)設定

設定は、セキュリティ > インターネットファイアウォールから設定する。
アプリでApplicationを選び、Searchでfacebookなどと入れると、facebookを選定できる。

(3)ファイル制御

最近は多くのUTMでも機能が付与されてきたファイル制御です。たとえば、pdfやexeファイルなど、拡張子を指定して、そのUploadやDownloadを制御します。
設定はまず、セキュリティ > アプリケーション制御 を開く。「アプリ制御有効化」と「データコントロール有効化」をONにすると、機能が動作する。
デフォルトでいくつかのポリシーが入っているので、不要なのは「無効化」する

つづいて、新しいルールの作成について。
セキュリティ > アプリケーション制御 から「新規」で「ファイル制御ルール」
アクティビティでuploadやDownloadを選択したり、ファイル属性では、ファイルサイズやファイルタイプ(exeやpdfなど)を設定できる。

たとえば、BOXのUploadを拒否する場合
ApplicationでBOXを選び、ActivitiesでUpload、ActionsでBlockを選択する。

(4)ヘッダインジェクションとテナント制御

アプリケーション制御でヘッダインジェクションは、テナント制御ができる。

たとえばOffice365などで、会社のテナントは使わせたいけど、個人のテナントは使わせたくない場合に、ここで制御ができる。Office365やGoogleなどは、テナント制御のために企業の情報をヘッダに埋め込んでくれている。

3.7 DLP

・DLP(Data Loss Prevention)は、言葉の通り、情報漏えいを防ぐ仕組みである。機能は各社それぞれであり、ファイルを暗号化して、外部に持ち出されても開けないようにするようなIRM的な機能までのものもあれば、単純にクレジットカード情報らしきデータが入った通信をブロックするものもある。
・設定は、アプリケーション&データ制御> DLPの設定から行う。
・以下はデフォルトのDLPのルールである。

・単純なDLPとして、クレジットカード番号らしき情報があれば、ブロックするというルールを適用する。作ったルールは、アプリケーション制御で適用する。
いくつか事前に定義されていて、新規でルールを作ると、たとえば、日本のマイナバー情報に対応したプロファイルも選択できる。

・パスワードZIPを防止したい
パスワードZIPで送信されると、マイナンバーなどが含まれるかがわからない。
そこで、パスワードZIPのファイル送信をブロックすることもできます。
操作は、セキュリティ > アプリケーション制御 から、新規ルールで「データコントロールルール」、「ファイル属性」で「Content Encrypted」を選ぶ。

3.8 IPS

(1)概要

・CATOネットワークに接続している企業に対して、たとえばDoSであったりNetworkScanであったり、ブルートフォースなどの攻撃をブロックする。
・ソケットやPCに入れたエージェントでブロックするのではなく、ネットワーク型(CATOの網)でブロックする。

(2)設定

侵入防止 > IPS から設定する。
・まずは上部にある緑のボタンを押して、IPSを「有効」にする
・以下、IPSの設定画面であるが、トラフィックごとに設定が可能。

・設定できるのは、3つのトラフィックに対して アクションや、トラッキング(メールなどで送信)、ステータスを設定できる。たとえば、Mailing List でAll Adminを選ぶと、管理者登録されている全員にメールが飛ぶ。ログは自動で取得される。
・ONにすると、全てのトラフィックで有効になるので、「誤検知」などにより除外する場合は、「許可リスト」で個別に除外する。
・以下、細かいカテゴリがあるが、これを選べるわけではない。どのカテゴリが検知されたかを統計として確認できる。

カテゴリ 説明
Anonymizer A proxy server or client that anonymizes Internet activity, and usually sits in between a client device and the server.
This anonymous Internet activity can be used to disguise a malicious actor's intent.
Brute Force An attacker attempting many login requests using different usernames and passwords, that systematically check all possible options until successfully logging in.
Crypto Mining Enables cryptocurrency miners to use some of the processing power of an infected computer to mine cryptocurrency.
DoS Flooding a client or a server with a large number of packets to block access to the Internet and disrupt functionality.
Malware Viruses, trojans, and other harmful computer programs that threat actors use to infect networks and gain access to sensitive information.
Network Scan Scanning a network to discover devices (such as PCs, servers, and peripherals) and then gather device data, such as IP addresses.
Network scanning can be a legitimate tool to monitor and manage the network, however malicious actors can use the data for potential cyberattacks.
Phishing Tricking or manipulating users to visit imposter sites to steal personal identification, credentials, or money. In addition, to lure users to click links and then deploy malware on the victim's device.
Policy Violation A violation of corporate security best practices.
Privilege Escalation An attacker that elevates privileges to gain unauthorized access to resources. For example, exploiting: software bugs, misconfigured access controls, malware infections, and social engineering vulnerabilities.
PuP Adware or spyware downloaded together with a legitimate program.
Ransomware Malware that encrypts and locks a device or important files, which are only made available when a ransom is paid.
Remote Code Execution An attacker remotely running malicious code on a compromised device.
Reputation IP addresses or domains with poor reputations due to potential malicious activities, such as phishing, botnets, domain abuse, and URL redirection.
Spoofing A malicious actor pretending to be a trusted source. Spoofing attacks include imposter emails, websites, phone numbers, and IP addresses, as well as fake DNS and GPS services.
Vulnerability Scan Malicious use of penetration testing tools to scan for vulnerabilities and compromised devices in a network.
Web Application Attack Exploiting vulnerabilities found in web applications.
Information Disclosure Accidentally exposing sensitive information to a potential attacker.
Exfiltration Unauthorized data transfer from a device or network.

また、地理的制限というタブがあるが、ここで、国別に許可や拒否の設定ができる。
これは、IPSの機能は関係なく、たとえば、特定の国の通信を無条件に止めたいときに使える(なぜ、IPSの設定項目にあるかって話ですが、外部からの攻撃を防ぐ観点だからです。FWの設定からもできますが、FWは送信元の国を指定する。FWはインバウンドのルールはかけなかったような気が)。

(3)ログの確認

モニタリング > イベント から検知したログを確認できる。
星マークの部分をIPSを選ぶと、フィルタリングされたログが表示される。

(4)シグネチャについて

アセット > 脅威カタログ にて、IPSのシグネチャを確認できる。
エンジンをIPSにしてフィルタをしたところ、2687個(2024.5.時点)のシグネチャがある。

3.9 アンチウイルス

(1)概要

・検知は、端末のエージェント側ではなく、クラウド側で検査をします。
・CATOのエンジンにて自動でやってくれます。

(2)設定

セキュリティ > アンチマルウェア にて、ONにすると有効になる。インターネットファイアウォールでFortiGateのようにONにする必要は無い。
NG Anti-MalwareでNext GenerationのAVも有効になるのでONにしておこう
HTTPSの通信が多いので、TLSインスペクションは必須だろう。
特別な設定は不要であろう。以下の設定画面では、誤検知を除外するためのルールを作るくらいかな。

3.10 RBI(Remote Browser Isolation)

(1)概要

・RBI(Remote Browser Isolation)は、「Web分離」などと言われる。
・インターネットアクセスを、RBIのサービスが代理で実施する。
・流れは以下である。PCからWebサイトに直接アクセスするのではなく、RBIが代理で通信し、PCには画面転送のみ。よって、マルウェアをダウンロードすることなどが無い。
 PC →(画面転送)→ RBIサービス(仮想ブラウザ) →(実際のアクセス)→ Webサイト 
・RBIが動作するのは、カテゴリが「未分類」に限定されているわけではなく、どのカテゴリでもできる。ただ、RBIは若干、操作性が悪くなるため、「未分類」などの怪しいサイトに限定するのはいいかもしれない。
・RBIのライセンスが必要
・TLS復号が必須

(2)設定方法

脅威防止 > リモートブラウザ分離 からまずは「RBI Enabled」を押してRBIを有効にする。

ここでチェックを入れた項目が機能する。

項目 説明
Block Upload ユーザによるファイルのアップロードの禁止
Block Printing ユーザによるWebコンテンツの印刷の禁止
Block Copy/Paste クレジットカードやsensitiveな情報のコピペができないようにする
Block Download マルウェアの可能性があるファイルのダウンロード
Block Typing (Read only) Prevents user from typing and possibly giving away credentials.

フォールバック動作は、RBIに何かあったときのフォールバック(縮退)運転としてのアクション。

フォールバック動作 説明
ブロック RBIが正常に動かない場合に、トラフィックをブロック
確認 ユーザに通信を継続するかを確認して判断をしてもらう

では、実際のRBIの設定例を紹介します。
セキュリティ > インターネットファイアウォールの新規作成画面で、AppCategoryで「Uncategorized」と「Undefined」を選択し、アクションでRBIを選択する

(3)テスト

RBI Checkサイト(https://rbicheck.com/)で動作確認をするといいだろう。
まずは、RBIを使わずに普通にアクセスしてみよう。すると、rbicheck-sync.txtというファイルがダウンロードされてくる。
次はRBIを有効にしてから接続してみよう。今度は、ファイルがダウンロードされないはずである。

3.11 スプリットトンネル

・モバイルやVPNエージェントを入れたPCであれば、自動でCATOに接続される。なので、社員がこっそりCATOを通らずに通信することはできない。
・スプリットトンネルは、アクセス > スプリットトンネルポリシーからできる。ここで設定を有効化すると、VPNエージェントソフトなどに反映される。
ただ、基本的には以下の画面を見てもらうとわかるように、IPアドレスでの制御なので、ドメインなどの制御はできない。使っている事例も少ないだろう。→今後はFQDNベースでできるようになるかも。ソケットの場合は、帯域を減らしてコスト削減したいので、ローカルブレークアウトのニーズもありそう。

3.12 端末の制御

(1)クライアントアクセス

アクセス>Client Accessの画面から設定する。
モバイルから接続する際、この設定は必ず必要で、モバイルから接続するときの認証方式だったりとか、基本的な接続について設定する。
「デバイス認証」で証明書による認証ができる。つまり、デバイスにクライアント証明書がインストールされていない場合に接続を拒否する。そのクライアント証明書の検証のために、CAのルート証明書をこの管理画面からインストールする。
また、Windows、MACといったOSの種類(だけ)でアクセス制限が可能(OSの種類の制限だけなので、OSのバージョンが最新であるかのデバイスポスチャーではない。デバイスポスチャーの画面から実施)

(2)クライアント接続ポリシー

OSのバージョン制御はできないが、たとえば、ウイルス対策ソフトが入っているかなどでポスチャー管理ができる。
そのプロファイルは、「デバイスポスチャー」で作成する。
「デバイスポスチャー」の「デバイスチェック」から以下の設定画面がある。

(3)常時オンポリシー

PCやスマホでは、毎回アプリを起動して、ログインする必要がある。ということは、CATOのセキュリティ機能を使わずに、自由に通信をされていしまう可能性がある。
そこで、強制的にCATOに接続させるための設定を施す。(デフォルトはONにはなっていない。)
強制するには、アクセス > アクセス制御 > 常時オンポリシーで、対象ユーザを決めて、常時オンにできる。勝手にCATOのVPNに接続させられて、OFFにもできない。

4.アセット

・グループを作ることができる。たとえば、ファイアウォールで送信元や宛先に設定するユーザやサブネットなど
・まずはグループを作り、たとえばメンバーに人を追加する。

5.モニタリング(ログ管理含む)

接続構成や、イベント(ログ)、ユーザ一覧などが確認できる

5.1 メニュー画面

調査の項目 内容
接続構成 ソケットやユーザの接続構成が自動で可視化される
イベント トラフィックログやセキュリティのイベントのログ
サイト一覧 拠点の接続状況、統計一覧
SDPユーザ一覧 エージェントがインストールされているユーザ一覧
アプリケーション分析 CASBの機能(後述)
ルートテーブル ルーティングテーブルかな 

実際の画面はこんな感じ。

5.2 ログの管理

Monitoritng > Eventsでログが見える
ログで+を押すと詳細な中身が見える

5.3 CASB (cloud access security broker)

・CASBとしては、McAfeeのMVISION Cloudが有名であるが、マイクロソフトの「Microsoft Cloud App Security」や、ZscalerでもCASB機能がある(ただし、Zscalerのはオマケ的な機能な感じである)
・CatoでCASBは以下で実施する
1)クラウドの制御
操作は以下
アプリケーション&データ制御 > アプリケーション制御
2)シャドーITによる可視化
モニタリング > クラウドアプリダッシュボード を開く。以下のように、リスクごとに、利用しているアプリケーションを可視化できる。

Q.アプリケーションの「未認可」「許可済」などはどこで設定できる?
A.アセット > カテゴリ 許可されたアセットのカテゴリから追加削除ができる。

6.端末やソケットの設定

6.1ソケットの概要

・拠点に設置し、PoCとIPsecで安全な通信路を確保してくれる。「ゼロタッチ」という言葉があるが、置くだけで自動設定してくれるというのは非常に楽である。
・他社の場合、ルータを自分で用意してIPsecを張るのであるが、IPsecの設定が結構面倒。ITに詳しい人でないと、構築は難しいと思う。ソケットを置くだけでいいというのは、構築コストが非常に安くなる気がする。
・ソケットではPPPoEの設定が可能。なので、ソケットからインターネット接続する構成を取れる。または上位ルータを置く構成も多いだろう。上位ルータにDHCPの設定を入れておけば、CATOソケットを置くだけで、SASEのネットワークが構成できる。1000拠点があったとしても、宅配でソケットを送り、拠点で接続だけしてもらえばいいという展開の容易さの利点がある。
・ソケットは冗長化可能。回線も含めて両方を冗長化した構成も組むことができる。

6.2 ソケットの外観とポート

(1)ソケットの表

リンクランプが表示される。
・緑色:リンクアップ状態
(2)ソケットの背面
X1500の場合、LANポートが4つあり、そのうち、3(WAN)は、WANに利用する。
USBポートは完全に初期化するときなどに使う
CONSOLEポートは、他のネットワーク機器と同様に、コンソールから設定をする。

・最新のソケットの場合は、SIMを差すことができるので、バックアップ回線として低コストに運用するのもいいと思う。

6.3 ソケットへのログイン

・ソケットには直接ログインすることはあまりない。
・WANのIPアドレスを設定したり、PPPoEの設定などを行う。※端末側のDHCPのレンジの設定はクラウド側で実施。
・ログイン方法であるが、DHCPで払い出されるので、PCでは、ゲートウェイのIPアドレスを調べて、そこに接続すればいいだろう。
初期状態は、以下でログイン可能

項目 パラメータ
ID admin
パスワード admin

ここで、パスワード変更が求められるので、Admin#123 みたいな感じで、大文字小文字や8文字以上などの複雑なパスワードに変更する

6.4 接続の流れ

❶ポート3(WAN)にインターネット回線を接続
ソケットがCATOのクラウドにシリアル番号を含めて通知し、CATOの管理画面で、シリアル番号に基づくコンテナにひもづけられる。
インターネットに接続すると、自動で通知される。

裏では、管理系 > ソケットインベントリ にて、ソケットとテナントが関連づけられている。CATO社側で、出荷時に設定されている。
以下、受諾して括り付けの画面

❷クラウドの管理画面に接続し、「Network」から「New」でサイトを登録する。(ここは自動ではなく、自分でくくりつける)

CATOは帯域契約で25Mbps、75Mbps・・・MAX 2Gbpsなので、契約している回線を選択。
拠点のLAN側のセグメントを設定する。今回は172.16.1.0/24とした。

❸管理画面の通知にて、追加された拠点を許可する

❹しばらくすると、管理画面のNetworkやMonitoringにて、接続された様子が確認できる。
設定を見てみよう。Networkで、作成した拠点(今回はKyoten1)を選択すると、Network Analyticsの画面が表示される。

POP:どこのPOPに接続されているか
Distance:7msとあるのは遅延時間。7msは非常に短い。

Last Mile Monitoring
インターネットの切り分けにも活用できる。

❺「サイト設定」でソケットがある拠点側の設定する
・「一般」が一般的な設定
たとえば、優先POP locationで、接続するPOPを指定したりできる。デフォルトはAutomatic(default)

・「ルーティング」>「ネットワーク」で拠点側のセグメント情報が登録されている。以下をみるとわかるように、ソケット(拠点側)のLAN側のIFのIPアドレスは、172.16.0.1/24である。

DHCPでの払い出しが便利なので、ダブルクリックして「DHCP Type]を「DHCP Rage」に変更し、
払い出すIP、たとえば、172.16.0.100-172.16.0.200などと指定する。

❻PCのネットワーク設定
DHCPでの払い出しがされるので、IPを取得してみる。以下のように、DNSサーバを含めてネットワーク情報が取得されているのを確認できる。

❼拠点のネットワークの設定
ソケットの配下のネットワークを書く必要がある。
Site ConfigurationのNetworksでNewで追加する。イメージはStaticルーティング書くイメージ

6.5 状態確認、その他設定

❶トラフィックの確認
拠点ののトラフィックの情報は、「Network」から該当拠点をダブルクリック
Network Analyticsでトラフィックを確認できる。

❸ソケットの初期化
電源の横にあるF/Dのボタンを30秒以上押す。(押した感触あり)。
30秒経過すると、WANのIF(ポート3)のランプがいったん消える。これで再起動がかかる。

7.ネットワーク

7.1 はじめに

・SD-WANによって、何ができるか。
・CatoのSD-WANは、そもそも、信頼された、かつ帯域が確保されたネットワークを提供してくれ、かつ冗長化や経路の制御(自分でルールを作れる)、経路の最適化などが行える(かなり抽象的な言い方ですが)。 
・加えて、優先制御と帯域制御ができる。
たとえば、ネットワーク > 帯域管理画面で、以下のように、優先制御と、帯域制御(正確には帯域制限)ができる。 

・また、IPの割り当てを使うと、固定IPアドレスを取得できる。SaaS側での送信元IPアドレス制限などに対応可能。

・リモートポートフォワーディングにて、外部からの通信をMIPなどもできる。しかし、FWルールは適用されないので、使う場合には注意が必要。
・参考までに、ネットワークのメニューは以下である

7.2 ネットワークルール

・これがSD-WANの肝になる部分
・ルーティング手法で、Route/NATでNATを選ぶと固定IPを選ぶことができる。
たとえば以下。ネットワークのルール。WANとInternetが選べる。

ソケットがある前提ではあるが、Office365はWAN2のベストエフォート回線から接続するなどの制御ができる。

・トラフィックの状況がよくわかる。

・グローバルなルーティングを設定できたりする。
 たとえば、ネットワーク > ネットワークルール 、新規を押す、ネットワークルールの追加 、一般で「ルールタイプ」をinternetにして、以下はnetflixをフランクフルト経由にするなどができる。すると、ドイツ語でNetflixが放送される。→たとえば、海外にいて、日本語でNetflixを見たいときに便利かも(テストは未実施です)


・Webサーバに接続する送信元IPがCATOになるので、国を選んで通信ができる。

7.3 WANの冗長化設定

(1)概要

2つめのWAN回線を構築し、冗長化や負荷分散などのSD-WANを実現したい
・これにより、ネットワークルールのところにて、たとえばOffice365の通信であれば、WAN2にするなどの設定ができそうである。以下はネットワークルールを新規に追加した画面

・WAN回線はActive-Activeができるので、これを有効にすると、ネットワークルールによって、インターネットブレークアウトなど、SD-WANの細かい制御ができる。
・Active-Standbyのときの切り替わり時間を計測した(後述)、pingは切断されなかった。素晴らしい!

(2)設定

・「Network」から該当拠点をダブルクリック
・サイト設定 > ソケット で現在のポートの状態を確認できる。

・WAN2が「無効」になっているので、CATOに接続させる。以下がWAN2の設定であるが、優先度として3つが選べる

項番 優先度 内容
1 Active Active側
2 Passeive Passive側
3 Last-resort 従量課金されるような場合、最後の手段として


帯域幅も選べる。「ラストマイル帯域幅」とあるが、「ラストマイル」はバックボーンではなく、拠点側の帯域幅ということだと思う。
・今回はPassiveを設定した。
・3~4分くらいだろうか。しばらくすると、以下のように、WAN回線の冗長化設定ができる。

(3)冗長化試験

・Active-Active構成にした場合、どちらのケーブルを抜いても、通信断は起きなかった。
・Acitive-Standby構成において、Active側の回線を抜いて、どれくらいで切り替わるかをテストしてみた。テスト方法はping。以下のように、通信が切れることは無かった。

ただ、GUI上にダウンなどが反映されるには、30秒ほどはかかった・・・。まあ、実際に切り替わっていて、表示だけの問題であれば問題ない。

7.4 SD-WAN

(1)SASEにおけるSD-WANの機能

SD-WAN(Software Defined WAN)は、SASEの最も得意なところで、他社のSWGサービスより勝っていると考えられる。なぜならWANの機能も持っているからだろう。
設定は、networkのタブから。

(2)設定内容

ソケットにWANをいくつ接続するか、Active-StanbyかA-Aなどを設定する。あとは、自動で制御で冗長化ができ、広帯域な経路を自動で選ぶ。

(3)ネットワークのルール

「Network Rules」でネットワークのルールを書ける
IP Allocationでは、インターネットの出口のグローバルIPを固定できる。
Select locations (select up to 3 locations, from which you want to receive a unique IP)というところで、
Tokyoと打つと、IPを払い出してくれる。(3つまでは無料) ※大阪の場合はOsaka

8.その他

8.1 GUIの操作に関して

・設定したら即時反映ではなく、保存する必要がある
・また、世界中のPOPに設定を反映するので、反映されるまでに少し時間がかかる。数分かな
・GUI画面では、キャッシュが残っていることがあるので、「あれ、変更されないなー」と思ったら、Shiftを押しながらF5を押すや、シークレットモードで開くといいかも。

8.2 CATOのログをAWSのS3に保存する。

やりかたは以下を参照
https://support.catonetworks.com/hc/en-us/articles/9726441847965-Integrating-Cato-Events-with-AWS-S3

(1)AWS側の設定

❶S3にてバケットを作る。
a)「バケットを作成」を押す
b)以下、バケットの名前を入れ、「パブリックアクセスをすべて ブロック」のチェックボックスを外した。

❷S3のバケットにデータをアップロードできるIAMポリシーを作成
c)IAMを開く
d)アクセス管理 >ポリシー  から「ポリシーを作成」
e)S3を選び、上にあるJSONのタブに切り替え
ここで、をさきほど作成したcatosase-logに変更する。このとき、の<と>は外した。

f)名前を付けて「ポリシーの作成」ボタンを押して、完成。

❸Create a new IAM role with Cato's ARN, to allow Cato to upload events for your account to the S3 bucket.
つづいて、ロールの作成
a)アクセス管理 > ロール から「ロールを作成」
b)
カスタム信頼ポリシーを選択し、以下をそのまま貼り付ける

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::428465470022:role/cato-events-integration" }, "Action": "sts:AssumeRole" } ] }

c)「許可を追加」の画面で、先ほど作ったポリシーを割り当てる

d)任意の名前を付けて、ロールを作成

(2)CATO側の設定

a)管理系 > API管理の画面を開く
b)タブを「イベント統合」に切り替え、「CATOイベントとの統合を有効にする」のチェックをいれる

c)「新規」ボタンを押す
ロールARNを確認し(以下)、その値も入れる。このARNはバケットのARNではない。
arn:aws:iam::910571431138:role/cato-role

d)一通り入れて、適用を押す

(3)S3側でログの確認

・S3のバケットに、定期的にログが送られます。(うまくいっていれば)

・「S3 Select を使用したクエリ」を使うことで、ログの抽出も可能。手順としては、以下
a)該当するS3のバケットの中のログを選択し、「S3 Select を使用したクエリ」

b)JSON形式を選択(CSV形式はエラーが出た。調査が必要)

c)SQLクエリを記載して(今回はデフォルトのまま、SELECT * FROM s3object s LIMIT 5)、「SQLクエリの実行」。以下のように、JSON形式でログが出力される。