fw sam

説明

Suspicious Activity Monitoring (SAM) ルール通信セッションに対して指定されたアクションが実行されるようにする、ルールベース内のトラフィックパラメータおよびその他の条件のセット。を管理します。SAMルールを使用すれば、セキュリティポリシーを変更したり再インストールしたりすることなく、IPアドレスへの接続やIPアドレスからの接続をブロックすることができます。詳細については、sk111158を参照してください。

Suspicious Activity Rulesは、2つの方法で作成することができます。

SmartConsole Check Point 環境の管理に使用される Check Point GUI アプリケーション-セキュリティポリシーの構成、デバイスの構成、製品とイベントの監視、アップデートのインストールなど。の「モニタリング結果」から
CLIでfw sam コマンドを使用した場合

注:

VSXゲートウェイ物理ネットワークデバイスの機能を提供するすべての仮想デバイスを含む、VSX仮想ネットワークをホストする物理サーバ。VS0と呼ばれる少なくとも1つの仮想システムを保持します。とVSX 仮想システム拡張。Check Point Security Gatewayおよびその他のネットワークデバイスの仮想抽象化を備えたコンピュータまたはクラスタでホストされるCheckPoint仮想ネットワークソリューション。これらの仮想デバイスは、物理的な対応デバイスと同じ機能を提供します。クラスタメンバは、SAM（Suspicious Activity Monitoring）ルールをサポートしません。sk79700をご覧ください。
fw sam_policyおよびsam_alertコマンドを参照してください。

SAMルールは、Security GatewayのCPUリソースを消費します。

ベストプラクティス - SAMポリシーのルールは、Security GatewayのCPUリソースを消費します。ルールの有効期限は、調査するための時間を確保しつつ、パフォーマンスに影響を与えないように設定します。必要なSAM Policyルールだけを残しておく。リスクがある活動を確認した場合、セキュリティポリシーの編集、ユーザへの教育など、リスクへの対応を行う。

強制された SAM ルール (fw sam コマンドで設定) のログは、$FWDIR/log/sam.dat ファイルに保存されます。

設計上、保存されているエントリーが10万件に達すると、ファイルは消去されます。

このデータログ・ファイルには、これらのいずれかの形式で記録されています。

<type>,<actions>,<expire>,<ipaddr>

<type>,<actions>,<expire>,<src>,<dst>,<dport>,<ip_p>

SAM Requests は Security Gateway のカーネルテーブルsam_requests に格納される。
SAMルールでブロックされたIPアドレスは、セキュリティゲートウェイ Check Point ソフトウェアを実行してトラフィックを検査し、接続されたネットワークリソースにセキュリティポリシーを適用する専用Check Pointサーバ。のカーネルテーブルsam_blocked_ips に格納されます。

注- セキュリティゲートウェイまたはクラスタ冗長構成で連携する2つ以上のセキュリティゲートウェイ（ハイアベイラビリティまたは負荷分散）をクラスタ化します。の SAM サーバ設定を構成するには、以下の手順に従います。

SmartConsoleで該当するSecurity Management Server Check Pointソフトウェアを実行して、単一の管理ドメイン内のCheck Point環境のオブジェクトとポリシーを管理する専用Check Pointサーバ。同義語:単一ドメインセキュリティ管理サーバ。またはDomain Management Server Check Point シングルドメインセキュリティ管理サーバまたはマルチドメインセキュリティ管理サーバ。に接続します。
左側のナビゲーションパネルからGateways & Serversをクリックします。
Security Gatewayまたはクラスタのオブジェクトを開きます。
左側のツリーから、Other > SAM をクリックします。
設定を行います。
OKをクリックします。。
Security Gatewayまたはクラスタオブジェクトにアクセスコントロールポリシーをインストールします。

構文

基準に従ってSAMルールを追加またはキャンセルする場合。

fw [-d] sam [-v] [-s <SAM Server>] [-S <SIC Name of SAM Server>] [-f <Security Gateway>] [-t <Timeout>] [-l <Log Type>] [-C] [-e <key=val>]+ [-r] -{n|i|I|j|J} <Criteria>

すべての SAM ルールを削除するには

fw [-d] sam [-v] [-s <SAM Server>] [-S <SIC Name of SAM Server>] [-f <Security Gateway>] -D

すべての SAM ルールを監視するには

fw [-d] sam [-v] [-s <SAM Server>] [-S <SIC Name of SAM Server>] [-f <Security Gateway>] [-r] -M -{i|j|n|b|q} all

SAMルールを基準に従って監視すること。

fw [-d] sam [-v] [-s <SAM Server>] [-S <SIC Name of SAM Server>] [-f <Security Gateway>] [-r] -M -{i|j|n|b|q} <Criteria>

パラメータ

説明

-d

デバッグモードでコマンドを実行します。

コマンド自体のトラブルシューティングを行う場合のみ使用します。

ベストプラクティス- このパラメータを使用する場合、出力をファイルにリダイレクトするか、script コマンドを使用して CLI セッション全体を保存してください。

-v

冗長モードを有効にします。

このモードでは，コマンドを実行した Security Gateway 毎に，stderr に 1 メッセージを書き込む．これらのメッセージは、コマンドが成功したかどうかを示します。

-s <SAM Server>

コマンドを実行する Security Gateway の IP アドレス（X.X.X.X 形式）または解決可能な HostName を指定します。

デフォルトはlocalhostです。

-S <SIC Name of SAM Server>

連絡する SAM サーバの SIC Secure Internal Communication。安全な通信のために、CheckPointソフトウェアを実行するCheckPointコンピュータがSSLを介して相互に認証するCheckPoint独自のメカニズム。この認証は、ICAがCheck Point Management Serverで発行した証明書に基づいています。名を指定します。SAMサーバがこのSIC名を持っていることが期待され、そうでない場合は接続に失敗する。

注:

SIC名を明示的に指定しない場合、SIC名の比較を行わずに接続を継続します。
SICの有効化の詳細については、「OPSEC API仕様」を参照してください。
VSX Gateway上で、fw vsx showncs -vs <VSID> コマンドを実行し、該当する仮想システムのSIC名を表示します。

-f <Security Gateway>

アクションを実行するセキュリティゲートウェイを指定します。

<Security Gateway> はこれらのいずれかになります。

All - デフォルト。SAMサーバが動作する、管理されたすべてのSecurity Gatewayにアクションを強制するように指定します。

この構文は、Security Management ServerまたはDomain Management Serverでのみ使用することができます。
localhost - このローカルの Check Point コンピュータ（fw sam コマンドが実行されたコンピュータ）に対してアクションを強制することを指定します。

この構文は、Security GatewayまたはStandAloneでのみ使用できます。
Gateways - SAMサーバが動作する、セキュリティゲートウェイとして定義されたすべてのオブジェクトにアクションを強制することを指定します。

この構文は、Security Management ServerまたはDomain Management Serverでのみ使用することができます。
Name of Security Gateway object - この特定の Security Gateway オブジェクトにアクションを強制することを指定します。

この構文は、Security Management ServerまたはDomain Management Serverでのみ使用することができます。
Name of Group object - このグループオブジェクトのすべての特定のセキュリティゲートウェイにアクションを強制することを指定します。

注:

この構文は、Security Management ServerまたはDomain Management Serverでのみ使用することができます。
VSXゲートウェイとVSX クラスタメンバは、Suspicious Activity Monitoring (SAM) ルールをサポートしていません。sk79700をご覧ください。

-D

すべての禁止（"-i", "-j", "-I", "-J" ）と通知（"-n" ）パラメータをキャンセルします。

注:

禁止されている接続を「解除」するには、fw sam コマンドに "-C" または "-D" パラメータを付けて実行します。
アクティブな SAM リクエストにこのコマンドを使用することもできます。

-C

指定されたパラメータでの接続を禁止するfw sam コマンドをキャンセルします。

注:

これらの接続は、もはや阻害されない（拒否またはドロップされない）。
コマンドパラメータは、-t <Timeout> パラメータを除き、元のfw sam コマンドのパラメータと一致している必要があります。

-t <Timeout>

アクションを実行する時間帯（秒）を指定します。

デフォルトはforever、またはfw sam コマンドをキャンセルするまでです。

-l <Log Type>

強制動作のログの種類を指定します。

nolog - ログやアラートが全く発生しない
short_noalert - ログを生成する
short_alert - アラートを生成する
long_noalert - ログを生成する
long_alert - アラートを生成する（これはデフォルトです）

-e <key=val>+

キーと与えられた値に基づいて、ルール情報を指定する。

複数のキーは、プラス記号（+）で区切られます。

使用可能なキーは以下の通りです（それぞれ100文字以内）。

name - セキュリティルール名
comment - セキュリティルールに関するコメント
originator - セキュリティルール作成者のユーザ名

-r

IPアドレスを解決しないことを指定する。

-n

Notify」ロングフォーマットログエントリを生成するように指定します。

注:

このパラメータは、指定されたサービスまたはIPアドレスに一致する接続がSecurity Gatewayを通過するときにアラートを生成します。
この動作は、接続を禁止／終了するものではありません。

-i

指定されたパラメータによる新規接続を禁止（切断または拒否）する。

注:

禁止された各接続は、ログタイプに従ってログに記録されます。
一致する接続は拒否されます。

-I

指定されたパラメータを持つ新規接続を禁止（切断または拒否）し、指定されたパラメータを持つ既存の接続をすべて閉じます。

注:

一致する接続は拒否されます。
禁止された各接続は、ログタイプに従ってログに記録されます。

-j

指定されたパラメータによる新規接続を禁止（切断または拒否）する。

注:

一致する接続は切断されます。
禁止された各接続は、ログタイプに従ってログに記録されます。

-J

指定されたパラメータを持つ新規接続を禁止し、指定されたパラメータを持つ既存の接続をすべて閉じる。

注:

一致する接続は切断されます。
禁止された各接続は、ログタイプに従ってログに記録されます。

-b

指定されたパラメータによる新規接続をバイパスする。

-q

指定されたパラメータを持つ新しい接続を隔離します。

-M

指定されたアクションと基準で、アクティブなSAMリクエストを監視します。

all

アクティブな SAM リクエストをすべて取得します。モニタ用としてのみ使用します。

<Criteria>

基準は、接続のマッチングに使用されます。

基準とは、以下のパラメータの様々な組み合わせで構成される。

送信元IPアドレス
ソースネットマスク
宛先 IP アドレス。
宛先ネットマスク
ポート (IANA Service Name and Port Number Registry 参照)
プロトコル番号（IANA Protocol Numbersを参照）

可能な組み合わせは以下の通り（この表の下にある説明を参照）。

src <IP>
dst <IP>
any <IP>
subsrc <IP> <Netmask>
subdst <IP> <Netmask>
subany <IP> <Netmask>
srv <Src IP> <Dest IP> <Port> <Protocol>
subsrv <Src IP> <Src Netmask> <Dest IP> <Dest Netmask> <Port> <Protocol>
subsrvs <Src IP> <Src Netmask> <Dest IP> <Port> <Protocol>
subsrvd <Src IP> <Dest IP> <Dest Netmask> <Port> <Protocol>
dstsrv <Dest IP> <Port> <Protocol>
subdstsrv <Dest IP> <Dest Netmask> <Port> <Protocol>
srcpr <IP> <Protocol>
dstpr <IP> <Protocol>
subsrcpr <IP> <Netmask> <Protocol>
subdstpr <IP> <Netmask> <Protocol>
generic <key=val>

<Criteria> 構文に関する説明

パラメータ	説明
`src <IP>`	接続元IPアドレスに一致します。
`dst <IP>`	接続先のIPアドレスに一致します。
`any <IP>`	接続元IPアドレスまたは接続先IPアドレスのいずれかに一致します。
`subsrc <IP> <Netmask>`	ネットマスクに応じた接続元IPアドレスにマッチします。
`subdst <IP> <Netmask>`	ネットマスクに応じた接続先IPアドレスに一致します。
`subany <IP> <Netmask>`	ネットマスクに応じた接続元IPアドレスまたは接続先IPアドレスのいずれかに一致します。
`srv <Src IP> <Dest IP> <Port> <Protocol>`	特定の送信元IPアドレス、送信先IPアドレス、サービス（ポート番号）、プロトコルにマッチします。
`subsrv <Src IP> <Netmask> <Dest IP> <Netmask> <Port> <Protocol>`	特定の送信元IPアドレス、送信先IPアドレス、サービス（ポート番号）、プロトコルにマッチします。送信元と送信先のIPアドレスは、ネットマスクに従って割り当てられます。
`subsrvs <Src IP> <Src Netmask> <Dest IP> <Port> <Protocol>`	特定の送信元IPアドレス、送信元ネットマスク、送信先ネットマスク、サービス（ポート番号）、プロトコルにマッチします。
`subsrvd <Src IP> <Dest IP> <Dest Netmask> <Port> <Protocol>`	特定の送信元IPアドレス、宛先IP、宛先ネットマスク、サービス（ポート番号）、プロトコルに一致します。
`dstsrv <Dest IP> <Service> <Protocol>`	特定の宛先IPアドレス、サービス（ポート番号）、プロトコルにマッチします。
`subdstsrv <Dest IP> <Netmask> <Port> <Protocol>`	特定の宛先IPアドレス、サービス（ポート番号）、プロトコルにマッチします。宛先 IP アドレスはネットマスクに応じて割り当てられます。
`srcpr <IP> <Protocol>`	送信元IPアドレスとプロトコルに一致します。
`dstpr <IP> <Protocol>`	宛先IPアドレスとプロトコルに一致します。
`subsrcpr <IP> <Netmask> <Protocol>`	接続元のIPアドレスとプロトコルにマッチします。送信元IPアドレスは、ネットマスクに従って割り当てられます。
`subdstpr <IP> <Netmask> <Protocol>`	接続先のIPアドレスとプロトコルにマッチします。宛先 IP アドレスはネットマスクに応じて割り当てられます。
`generic <key=val>+`	指定されたキーと提供された値に基づいて、GTP 接続をマッチングします。複数のキーは、プラス記号（+）で区切られます。使用可能なキーは以下の通りです。 `service=gtp` `imsi` `msisdn` `apn` `tunl_dst` `tunl_dport` `tunl_proto`