Loading...


ナレッジセンター


Global Threat Intelligence とスプリット DNS
技術的な記事 ID:  KB53782
最終更新:  2014/10/23
評価:


環境

McAfee Firewall Enterprise 8.x, 7.0.1.03, 7.0.1.02
McAfee Global Threat Intelligence
McAfee SaaS Endpoint Protection 6.0、5.x
McAfee VirusScan Enterprise 8.x

製品でサポートされている環境については、KB60533 を参照してください。

概要

この記事は、社内でドメイン ネーム システム(DNS)を使用してGlobal Threat Intelligence (GTI) の内部クエリーを可能にしている企業における、可能なメカニズムを説明します。

解決策

DNS を使用する理由は何ですか?
DNS は少量のデータをクエリーする、すばやく効率的なメカニズムを提供します。詳細については、KB53735 を参照してください。
 
接続性のテスト
nslookup を使用して手動で検索を実行して、お使いのコンピューターから GTI サーバーが見えていることを確認します。
  1. スタートファイル名を指定して実行をクリックして、cmd と入力し、ENTER キーを押します。
  2. nslookup 4z9p5tjmcbnblehp4557z1d136.avqs.mcafee.com と入力して ENTER を押します。

    以下のような応答が表示されます。

    Server: <mylocaldnsserver.org>
    Address: 10.10.135.201
    Name: 4z9p5tjmcbnblehp4557z1d136.avqs.mcafee.com
    Address: 127.0.4.8

    nslookup が失敗するか、タイムアウトする場合は、KB53733 を参照してください。

VSCore 14.4.0.354.17 以降のバージョンを使用するマカフィー製品は、GTI ファイル レピュテーション クエリーを代替のドメイン avts.mcafee.com に送信します。

以下のファイルが含まれています。

  • VirusScan Enterprise: VSE8.8 Patch 1 および VSE8.7 Patch 5
  • コンシューマー製品: Platinum および Emerald (14.5 および 15.0)
  • SaaS Endpoint Protection?5.2.3
  • 今後の McAfee GTI ファイル レピュテーション ベースの製品

GTI プロキシを含むその他のすべてのマカフィー製品は、GTI ファイル レピュテーション クエリーを avqs.mcafee.com に送信し続けます。

注: このアップデートは 2012 年 第 3 四半期の DAT アップデートの一部として計画されています。McAfee Labs が正確な DAT バージョンを可能な限り早く通知します。

これが意味するもの
DNS を内部的に使用して、インターネット上の論理的に DNS インフラから分離し、Microsoft ISA などのプロキシ経由で内部のインターネット アクセスを提供します。この DNS インフラは、一般的にはスプリット DNS または スプリットホライズンと呼ばれます。どちらも、組織の内部ユーザーが別の DNS インフラにアクセスする構成を参照します。たとえば、http://technet.microsoft.com/library/cc302590.aspx を参照してください。

このシナリオには、すべてのホストへ完全にルーティング可能な DNS トラフィックを実現せずに、GTI クエリへのアクセスを安全に提供する対応策が含まれています。
 

安全なフォワーティングの有効化
GTI 技術が機能するためには、リアルタイムの DNS クエリーを実行できることが必要です。 このためには、内部 DNS サーバーから、 GTI ドメインを解決できる DNS サーバーが見える必要があります。たとえば、プロキシ サーバーが使用する DMZ 内の DNS サーバーです。
 
 
GTI ソリューション
GTI 技術が使用するドメイン名のみを直接パブリック レゾルバにフォワーディングすることにより、他のドメインにルーティングせずに安全な検索ができます。
2 つのサンプル シナリオ


この例を安全に設定するには、管理者は、内部 DNS サーバーが GTI 技術が使用するドメインに対するリクエストのみをパブリック レゾルバ(インターネット上のクエリーを解決できる DNS サーバー)にフォワーディングするようにする必要があります。一般的な DNS サーバー フォワーディングの設定の例は、次のセクションを参照してください。

DNS チェーンは次のようになります。
Internal DNS forwards only avqs.mcafee.com => DNS in DMZ or on proxy server => forwards requests to ISPs DNS server
これは、インターネット DNS と ISA セーバーの間にデフォルト ルーターがない、分離されたネットワークでも発生します。マカフィーは、クエリーは直近のインターネット DNS にフォワーディングするようにし、GTI クエリー クラスターに直接フォワーディングしないようにすることを強く推奨します。これは、各クラスターが、メンテナンスのためにサービスから外し、トラフィックを他のクラスターに再ルーティングすることによりこのサービスを維持することがあるためです。
 

設定例

以下の設定例は、Windows DNS サービスおよび*nix/Linux BIND 9 の場合です。

Windows DNS マネージャー
  1. Windows DNS マネージャーを起動します。
  2. 適切なサーバーを右クリックしてプロパティを選択します。
  3. フォワーダー タブを選択して、新規をクリックします。
  4. 新しい DNS ゾーンをフォワード リクエストに追加します。
  5. 選択したドメインのフォワーダー IP アドレス リストの下で、ゾーンを解決できるサーバーの IP アドレスを入力して、追加をクリックします。
  6. この手順をすべての該当するサーバーに繰り返します。
  7. 完了したらOKをクリックします。
Windows/Linux BIND
  1. BIND が *nix / Linux で使用中の場合は、named.conf に適切な IP アドレスを使用して以下を挿入します。

    // --- Zone forwarding for Global Threat Intelligence features NB: The servers below are open resolvers.

    zone "avqs.mcafee.com" IN {
    type forward;
    forward first;
    forwarders { 10.10.128.135; 10.10.128.136;};
    };
    // ---

     
  2. 関連する製品ガイドに説明に従って構成を再ロードします。 
Firewall Enterprise 経由の GTI のフォワーディング
スプリット DNS で構成した Firewall Enterprise は、同様の構成の変更を必要とする場合があります。通常、内部 DNS サーバーは、すべてのリクエストを外部の DNS サーバーにフォワードするように設定されています。ただし、多くの組織では特定のリクエストのみをフォワードします。この例は、この特別な DNS の考え方と、ファイアウォールの設定を GTI リクエストを通過するように変更する方法を示しています。

以下の例では、外部または内部のゾーンを、ゾーン 1(デフォルトのゾーン設定)に設定したスプリット DNS 環境を想定しています。外部ゾーンの設定が異なる場合は、127.0.0.1 を、お使いのシステムのゾーン固有のループバック アドレスに置き換えます。
  1. /etc/named.conf.u ファイルを編集して、以下を挿入します。

    // --- Zone forwarding for Global Threat Intelligence features

    zone "avqs.mcafee.com" IN {
    type forward;
    forward first;
    forwarders { 127.1.0.1; 127.1.0.1; };
    };
    // ---

     
  2. 以下のコマンドを実行して、変更を正しく入力したことを確認します。

    /usr/sbin/named-checkconf /etc/named.conf.u
     
  3. Restart named:

    cf daemond restart agent=named-unbound

以前のドキュメント ID

616704

このドキュメントを評価する

この記事によって問題が解決されましたか?

ご意見がありましたら以下にご記入ください

Beta Translate with

Select a desired language below to translate this page.