Loading...

ナレッジセンター


Global Threat Intelligence とスプリットDNS
技術的な記事 ID:  KB53782
最終更新:  2014/03/18
評価:


環境

McAfee Firewall Enterprise
McAfee Global Threat Intelligence
McAfee SaaS Endpoint Protection 5.x
McAfee VirusScan Enterprise 8.x

概要

この記事は、内部向け Domain Name System (DNS) を運用している企業で、Global Threat Intelligence (GTI) 内部クエリを許可するための実現可能なメカニズムについて説明します。

解決策

DNS の使用目的

DNS は少ないデータ量で問い合わせることができる効率的且つ迅速なメカニズムを提供します。詳細については、KB53735 を参照ください。

接続テスト

nslookup コマンドを実行し、お使いの端末から GTI サーバが見つけられることを手動で確認してください。

  1. スタートから「ファイル名を指定して実行」を選択し、「cmd」と入力して実行してください。
  2. nslookup 4z9p5tjmcbnblehp4557z1d136.avqs.mcafee.com」を入力して Enter キーを押下してください。
    以下のような応答が出力されます:

Server: <mylocaldnsserver.org>
Address: 10.10.135.201
Name: 4z9p5tjmcbnblehp4557z1d136.avqs.mcafee.com
Address: 127.0.4.8

nslookup が失敗した場合やタイムアウトエラーが発生している場合は、KB53733 を参照してください。

VSCore 14.4.0.354.17 以降のバージョンを使用しているマカフィー製品は、GTI File Reputation クエリを代替ドメイン: avts.mcafee.com に送ります。

マカフィー製品には、以下が含まれています:

- VirusScan Enterprise (VSE)
- コンシューマ製品: Platinum と Emerald
- SaaS Endpoint Protection
- 将来のマカフィー GTI ファイルレピュテーションを実装する製品

GTI Proxy を含む他のすべてのマカフィー製品は、GTI ファイルレピュテーションクエリを avqs.mcafee.com に送信し続けます。

接続テストの結果について。

インターネット上の DNS インフラストラクチャから論理的に分離している内向け DNS を使用している場合、Microsoft ISA のようなプロキシを経由してインターネットアクセスができます。この DNS インフラストラクチャは、一般的にスプリット DNS や現在一般的ではないスプリットホライズンと呼ばれています。どちらも社内ユーザーがアクセスする別々の DNS インフラストラクチャを設定することを示しています。一例については、http://technet.microsoft.com/library/cc302590.aspx を参照ください。

ここでは、すべての端末に対して DNS トラフィックのルーティング設定せずに安全に GTI クエリへのアクセスを実現するための回避策のシナリオを説明します。

安全なフォワーディングを可能にする

GTI テクノロジの動作には、リアルタイムに DNS クエリを実行できなくてはなりません。そのためには、内向け DNS サーバは、プロキシサーバが使用する DMZ 上の DNS サーバのような GTI ドメインを解決できる DNS サーバを参照できなければなりません。

GTI 回避策

外部リゾルバへ直接 GTI テクノロジが使用するドメイン名のみフォワーディングすることで、他のドメインをルーティングすることなく安全にルックアップを実施できます。

二つのサンプルシナリオ:

 

この例を安全に構成するには、管理者が内向き DNS サーバに GTI テクノロジを使用するためのドメイン要求のみパブリックリゾルバ (これはインターネット上のクエリを解決できる DNS サーバです) に転送できることを確認する必要があります。次のセクションで、一般的な DNS サーバの転送設定例を参照ください。

DNS チェーンは次のとおりです。

内向け DNS は、avqs.mcafee.com のみフォワード => DMZ の中の DNS 若しくは Proxy サーバ => ISPのDNS サーバにリクエストを送信

これは、内向き DNS と ISA サーバ間でデフォルトルータを持たない分離されたネットワークで起こりえます。マカフィーでは、GTI クエリクラスタを直接ではなく最も近いインターネット DNS リソルバにクエリを転送することを強く推奨します。個々のクラスタがメンテナンスのためサービスが停止していても、他のクラスタにトラフィックを再ルーティングしてサービスを継続できるからです。

サンプル構成

以下、Windows DNS service*nix/Linux BIND 9 の構成例です。

Windows DNS マネージャ

  1. Windows DNS マネージャを起動
  2. 対象サーバを右クリックし、「プロパティ」を選択
  3. フォワーダ」タブを選択し、「新規作成」ボタンをクリック
  4. フォワードリクエストに新規 DNS ゾーンを追加
  5. 選択されたドメインのフォワーダ IP アドレスリスト」にて、ゾーンを解決できるサーバの IP アドレスを入力し「追加」ボタンをクリック
  6. すべての適用すべきサーバで実施ください
  7. OK」をクリックして終了

Windows / Linux BIND

  1. BIND を *nix/Linux 上で使用する場合、named.conf ファイルに以下の適切な IP アドレスを以下のように設定ください

// --- Zone forwarding for Global Threat Intelligence features NB: The servers below are open resolvers.
zone "avqs.mcafee.com" IN {
type forward;
forward first;
forwarders { 10.10.128.135; 10.10.128.136;};
};
// ---

  1. 関連製品ガイドの指示に従って、設定をリロードください

Firewall Enterprise を通じた GTI 転送

スプリットDNS が構成されている Firewall Enterprise は、同様に構成変更を必要とする可能性があります。通常、内向け DNS サーバは、外向け DNS にすべてのリクエストを転送するように設定されています。しかし、多くの企業では特定のリクエストだけを転送させています。この例では、特にこの DNS スタンスを備えたサイトと GTI リクエストが通過できるファイアウォール構成を変更する方法を示します。

次の例は、外向きスプリット DNS 環境、または、インターネットゾーン、ゾーン1(これはデフォルトのゾーン構成です)として設定されていることを前提とします。

お使いの環境で外向きゾーンの構成が異なる場合、127.1.0.1 をお使いのシステムのゾーン固有のループバックアドレスに置き換えてください。

  1. /etc/named.conf.u ファイルを編集し、以下のように設定ください

// --- Zone forwarding for Global Threat Intelligence features
zone "avqs.mcafee.com" IN {
type forward;
forward first;
forwarders { 127.1.0.1; 127.1.0.1; };
};
// ---

  1. 正しく変更を確定させるため以下のコマンドを実行ください
    /usr/sbin/named-checkconf /etc/named.conf.u
  2. named を再起動ください
    cf daemond restart agent=named-unbound

以前のドキュメント ID

616704, AR13110501

このドキュメントを評価する

この記事によって問題が解決されましたか?

ご意見がありましたら以下にご記入ください

言語:

この記事は以下の言語でご利用になれます。

English United States
Japanese
Japan - 日本 (Japanese)
© 2003-2013 McAfee, Inc.