Deep SecurityのWebレピュテーションで不正なWebサイトへアクセスをブロックしてみた

2018.01.23

Trend Micro Deep SecurityのWebレピュテーションをAmazon Linuxで試してみました。
テストサイトにcurlでアクセスすると、遮断される事を確認しました。

セキュリティ製品のWeb関連のフィルタには、大きく2種類あります。
1つめがソーシャルネットワーキングサービスや賭博などサイトの種類に応じて行うフィルタリングです。
主にPCなどのクライアント向けの機能です。
2つめが不正なURLへの接続を遮断するフィルタリングです。
クライアント、サーバーどちらに対しても意味のある機能です。
不正プログラムが不正なWebサイトへアクセスするのを止めることにより、感染拡大や情報漏えいなどを阻止できるからです。
Deep SecurityのWebレピュテーションは、後者の出口対策としての意味をもつ機能です。

Webレピュテーションの設定

EC2にDeep Security Agent(DSA)をインストールします。
インストール手順はこちらをご覧ください。

有効化

コンピュータエディタまたは、ポリシーエディタを開きます。
Webレピュテーション > 一般タブ > Webレピュテーションのステータス をONにします。
ONにすることで不正なWebアドレスへの接続がブロックされます。
通知のみの設定はできません。

セキュリティレベル

不正なWebアドレスにはリスクレベル(不審/非常に不審/危険)が割り当てられます。
ブロック対象に応じてセキュリティレベルを設定します。
今回は危険/非常に不審をブロックする"中"を設定しました。

除外

明示的に許可またはブロックするドメインやURLを指定できます。
誤遮断があった場合などに利用できます。

Smart Protection

Webレピュテーションはトレンドマイクロが管理するデータベースを利用します。
ローカルのSmart Protection ServerまたはGlobal Smart Protectionサービスへの直接接続を選択します。
今回は直接接続を選択しました。

詳細

ブロックページ
ブロック対象のURLに接続しようとすると、指定したブロックページに転送されます。
デフォルトはhttp://sitesafety.trendmicro.com/です。
デフォルトのままにします。

アラート
Webレピュテーションのイベントが作成された時にアラートを作成するかを設定します。
"はい"を選択し、アラートを作成します。

ポート
Webレピュテーションで監視するポートを選択します。
デフォルトの80,8080としました。
なお、WebレピュテーションではHTTPSトラフィックを監視できません。

テストURLへのアクセス

ブロックページへの誘導

セキュリティレベル"中"では、スコアが50-79の時にブロックされます。
評価スコア51のテストサイトhttp://wrs51.winshipway.com/にcurlコマンドで接続すると、ブロックページに接続されました。

[ec2-user@ip-172-31-18-156 ~]$ curl http://wrs51.winshipway.com/
<html>
<head>
<title>Page Blocked</title>
<style>
body {font-family:Verdana,sans-serif;font-size:12px;padding:8px;}
h1 {font-size:18px;font-weight:bold;}
h2 {font-size:16px;color:#F00;}
h3 {font-size:16px;font-weight:normal;}
.l {border-bottom:1px solid #999;padding-bottom:10px;}
</style>
</head>
<body>
<h1 class="l">Trend Micro Deep Security</h1>
<h2>This page is unsafe.</h2>
<h3>URL: wrs51.winshipway.com/</h3>
<h3>Risk Level: Highly Suspicious</h3>
<br/>
<h3>Your administrator has blocked this page for safety.</h3>
<br/>
<fieldset>
<legend>What you can do</legend>
<ul>
<li><a href="javascript:history.go(-1)">Go back to the previous page</a></li>
<li><a href="http://sitesafety.trendmicro.com/">Contest this rating</a></li>
</ul>
</fieldset>
<br/>
<div class="l" align="right">Blocked by Web Reputation, Trend Micro Deep Security Agent</div>
<br/>
Copyright &copy; 2017 Trend Micro Inc. All rights reserved.
</body>
</html>

[ec2-user@ip-172-31-18-156 ~]$

HTMLビューワーで確認すると、以下のように表示されます。

Deep Security Managerを確認します。
Webレピュテーションイベントが作成されました。

誤検知だった場合、許可リストに追加できます。

エージェントを停止するとテストサイトに接続される

Deep Security エージェントを停止し、同じURLに接続するとテストサイトに接続されました。

[ec2-user@ip-172-31-18-156 ~]$ sudo service ds_agent stop
Stopping ds_agent:                                         [  OK  ]
Unloading dsa_filter module...                             [  OK  ]
[ec2-user@ip-172-31-18-156 ~]$ curl http://wrs51.winshipway.com/
<body>
wrs51.winshipway.com/<p>
Category: 58(Shopping)<br>
WTP Score: 51(Highly Suspicious)<br>
Credibility: 2(Suspicious) [Obsoleted]<br>
<p><p><font size=2>By CoreTech WRS team (AllofTWWRSOPSTeam@dl.trendmicro.com)</font><br>
</body>
[ec2-user@ip-172-31-18-156 ~]$

HTMLビューワーで確認すると、以下のように表示されます。
評価スコア51のテストサイトである事がわかります。

おわりに

Trend Micro Deep SecurityのWebレピュテーションをAmazon Linuxで試してみました。
テストサイトにcurlコマンドで接続したところ、ブロックページに誘導されました。
Deep SecurityのWebレピュテーションは出口対策として有効な機能である事を確認しました。

検証環境

  • Trend Micro Deep Security as a Service
  • Deep Security Agent 10.2.0.340

参考