Meraki MX IDS/IPSとAMP機能を検証

Meraki MX

今回はMeraki MXのIDS/IPSとAMPの機能について検証をしたいと思います。
IDS/IPSはSnort3を使ったシグネチャーベースの不正な通信を検出する機能となります。
Cisco AMPはMXにおいてはHTTPでGETされるファイルのハッシュ値を確認しCiscoのTalosにてマルウェアと判断されているファイルに関してその通信をBlockしてクライアントへのマルウェアファイルの侵入を阻止するものです。

Eicarについて

Eicarに関しては最早説明が不要だとは思いますが、これは擬似的なウィルス・マルウェアファイルとなり、各社セキュリティ製品の動作確認用に使用されます。
本物のウィルスが混入しているファイルを使っての確認は危険なのでこのEicarファイルは何ら危険では無いものの、これをウィルスファイルとみなすと各社で決められているものです。
2023年2月現在では本家EicarサイトではファイルをHTTPではGETできず、HTTPSでのみ取得できるようになっています。
今回はTrandmicroのHP上にあるEicarファイルのHTTP GETを利用しました。

http://files.trendmicro.com/products/eicar-file/eicar.com

試験1 : IDS/IPS、AMPを停止した状態で確認

まずはIDS/IPS、AMPが停止した状態での確認です。
「セキュリティ&SD-WAN > 設定 > 脅威からの保護」からAMP、侵入の検出と防止ともに「無効」になっている事を確認します。

この状態でEicarファイルをダウンロードしてみます。
IDS/IPS、AMP共に停止状態となっていますのでMXを通過してダウンロードが成功します。

その代わりに端末(Mac)にインストールされているCisco AMP EndppointにてダウンロードされたEicarファイルを検出し隔離としていることが確認されました。

またMeraki Dashboard上のセキュリティセンターでは何も検出されていません。

 

試験2 : IDSを有効にして確認

次にIDSを有効にして確認を行います。
IDSは検知するのみで実際の通信はBlockしないので、試験1と同様にEicarファイルはMXを通過するものの、MXでは検知される結果を期待します。

ダウンロードを行ってみると、期待通りMXを通過し、端末のAMP Endpointにて隔離されました。

セキュリティセンターで"IDS Alert"としてMXでEicarのダウンロードが検知されていました。
IDSとなるため検知はしたものの"Allowed"として通信が許可されていることが分かります。

試験3 : IPSを有効にして確認

今度はIPSに設定変更して確認を行います。
MX自身でEicarのダウンロードの阻止がおこなる事を期待します。

ダウンロードを行うと、ブラウザ上で通信が完了とならず、待機状態となります。

セキュリティセンターではIDSではAllowedとなっていたものが"Blocked"になっていることがわかります。

試験4 : AMPを有効にして確認

次にIDS/IPSを向こうにしてAMPを有効にします。
この試験も試験3と同様にMXにてファイルのダウンロードが止められる事を期待します。

ダウンロードを試みると、試験3同様ダウンロードは失敗となりました。
ただ3との違いは通信が即セッションが切断された状態となりました。
セキュリティセンターでは、AMPによる"File Scanned"で"Mallcious"と判断され、"Blocked"となったことがわかります。

IPSでは強制的に通信を止めるだけで、AMPではセッションのクローズまで行っていることが想像できます。

試験5 : IPSとAMPを共に有効にして確認

では、IPSとAMPを共に有効にした場合、どちらのLogが残るのでしょうか?

結果としてはAMPの機能にてBlockとなりました。

これによりMXの内部ではIPSよりもAMPが先に機能するのであろうと推測できます。

試験6 : (おまけ)HTTPSでダウンロードして確認

今回の1 - 5の試験は暗号化されていないHTTPによるファイルのダウンロードで試験を行いました。
これには重要な意味があり、HTTPSによって暗号化された通信では一般的なUTMやFirewall製品ではマルウェアの侵入の検知は行えないのです。
そのためBOXの中で一度暗号化を解除しその通信の中身をチェックするHTTPS Inspectionと呼ばれる機能が一時期はフォーカスされていたのですがこれを実現するためには十分なHardwareスペックが必要となることが大きな壁となり一般的になることはありませんでした。
Meraki MXにおいてもClosed Betaとして一時期は実装を検討していたものの、2023年はSASEと呼ばれるCloudセキュリティサービスが主となってきたためその機能をクラウドサービスに委ねる事として実装化の検討は中止となっているようです。

今度はHTTPSを使ってダウンロードを行います。

https://files.trendmicro.com/products/eicar-file/eicar.com

結果は試験1と同様に検知はされず、Cisco AMP Endpointにて検知が行われました。

 

まとめ

今回の検証によりHTTPによるマルウェアファイルのダウンロード検知が正しく機能していることが確認できました。
しかし上記でも触れていますがHTTPSによる検知を行うことは難しくMXにおいては残念ながら対応することは難しいと思います。
しかし、IPSに関してはマルウェアファイルの検知が主の機能では無く不正な通信の検出を行うことは今後も十分に対応できるセキュリティ機能だと思われます。
MXはInternetとの境界線上に設置されることが多いと思いますのでその機能の特性を理解してデザインを行うことが必要なのかもしれません。