ソケット フィルタ エージェントのサポート

ソケット フィルタ エージェント(SFA)は、サーバベースのデバイスに対するアクセスを制限するために展開できるコンポーネントです。SFA は、リモート ターゲット デバイスにインストールされます。Socket Filter Agent ソフトウェアのダウンロードおよびインストールについては、「」を参照してください。
capam32
HID_SocketFilterAgentStatusPanel
ソケット フィルタ エージェント(SFA)は、サーバベースのデバイスに対するアクセスを制限するために展開できるコンポーネントです。SFA は、リモート ターゲット デバイスにインストールされます。ソケット フィルタ エージェント ソフトウェアのダウンロードおよびインストールについては、「ソケット フィルタ エージェントのインストールおよび設定」を参照してください。
ソケット フィルタは、アクセス ポリシーで使用されるルールを適用します。これらのルールは、
Symantec PAM
UI からソケット フィルタ リストを設定することにより指定されます。
Windows システムに SFA がインストールされる場合、SFA フィルタは VNC 接続に適用されません。
SFA リストおよびポリシーを設定するには以下の手順に従います。
2
ソケット フィルタ リストの作成
ソケット フィルタ リスト(SFL)では、ソケット フィルタ エージェントがアクセスを許可または拒否するソケットが定義されます。1 つの SFL はホワイトリストとブラックリストのいずれかです。
  • ブラックリスト:
    ブラックリスト
    では、リストに記載されているサービスおよびポートへのアクセスのみが拒否されます。ユーザは、このブラックリストを持つポリシーが指定されたデバイスへのアクセスを要求できます。このリストのソケットを要求するユーザは、アクセスが拒否されます
    ユーザは、ブラックリストに含まれて
    いない
    ソケットへのアクセスが許可されます。
  • ホワイトリスト:
     ホワイトリスト
    では、指定されたサーバおよびポートへのアクセスのみが許可されます。ユーザは、このホワイトリストを持つポリシーが指定されたデバイスへのアクセスを要求できます。このリストのソケットを要求するユーザは、アクセスが許可されます
    ユーザは、ホワイトリストに含まれて
    いない
    ソケットへのアクセスが拒否されます。
以下のいずれかの方法で SFL を作成します。
  • UI で SFL テンプレートを使用します。このトピックでの手順に従います。
  • CSV ファイルをインポートします。CSV ファイルをインポートして SFL を作成する手順については、「ソケット フィルタ リストのインポートまたはエクスポート」を参照してください。
    適正なパフォーマンスを確保するために、各 SFL で定義するソケットの数は 8000 個以下にします。
フィルタのリストを作成するには以下の手順に従います。
  1. Symantec PAM
    UI から
    [ポリシー]
    -
    [ポリシー フィルタ管理]
    を選択します。
    ポリシー
    ]ページが表示されます。
  2. ソケット フィルタ
    ]タブを選択します。
  3. 追加
    ]ボタンを選択します。
    ソケット フィルタの追加
    ]ウィンドウが表示されます。
  4. 作成するソケット フィルタ リストの名前を[
    名前
    ]に入力します。
  5. タイプ
    ]フィールドで、タイプ([ブラックリスト]または[ホワイトリスト])を指定します。
    • LDAP ユーザを対象に使用するソケット フィルタ ホワイトリストには、関連ドメイン コントローラの IP アドレスも含まれている必要があります。IP アドレスはお使いの環境で変更fされることがあるため、ホワイトリストにはアクティブな管理が必要です。フィルタの更新が必要になることがあります。 
    • PKI スマートカードユーザの場合には、ソケット フィルタを活発に管理する必要があります。
  6. [+](プラス記号)を選択して、新規ホストを追加します。
  7. フィルタする IP アドレスとポートを入力します。[
    ポート
    ]フィールドの入力は 512 文字に制限されています。
  8. [OK]
    を選択して設定を保存します。
リストが有効になり、[
ソケット フィルタ
]リスト ページで検査または編集できるようになりました。
ソケット フィルタ ポリシーの設定
SFA と共にインストールされる Windows システムへのログインに、VNC アクセスを使用しないでください。このアクセス方法は Windows SFA では使用できません。
以下の手順に従います。
  1. Symantec PAM
    UI から
    [ポリシー]
    -
    [ポリシー フィルタ管理]
    を選択します。
  2. ソケット フィルタ
    ]タブを選択します。
  3. 設定
    ]ボタンを選択します。
    ソケット フィルタの設定
    ]ペインが表示され、デフォルト値が事前入力されています。
  4. [基本情報]
    タブで、以下の設定を調べます。
    • エージェント ポート
      [エージェント ポート]は、エージェントがリスニングしているポートに一致している必要があります。デフォルトは 8550 です。
    • SFA モニタリング
      このボックスをオンにすると、ソケット フィルタ エージェントのモニタリングが有効になります。は、エージェントのステータスが[デバイス]-[ソケット フィルタ エージェント]ページに表示されます。エージェントが実行中でないときにユーザによるデバイスへのログオンを許可しないポリシーが適用されている場合は、このオプションを有効にします。
    • アプライアンス ID
      物理アプライアンスごとに(特に、クラスタ内で)一意の番号(1 ~ 254)を設定します。この ID は、Windows で SFA を使用する場合には必須です。
    • ログインのすべてのアクセス
      デバイスがホワイトリストに記載されているか、またはブラックリストに記載されていないかにかかわらず、すべてのアクセス アクティビティをログ記録するには、このチェックボックスをオンにします。第二世代のソケット フィルタ エージェントのインストールが必要です。
  5. メッセージ
    ]タブで、これらの設定を検査します。
    • 違反メッセージ
      ポリシーに違反したときユーザに表示されるメッセージ(「アクセスが拒否されました」)をカスタマイズします。以下の文字列(角かっこを含む)が、指定のとおりに置き換えられます。
      [host]
       – ブロックされたホストの IP アドレスに置き換えられます。
      [port]
       – ブロックされた接続のポートに置き換えられます。
    • 違反の追加電子メール メッセージ
      違反が発生した場合に「super」宛に送信される情報にテキスト領域を追加します。
      前提条件:
      管理者の電子メールが設定されている必要があります。
    電子メール メッセージではダブルバイト文字は許可されていません。ダブルバイト文字は画面メッセージのみで許可されています。
  6. アクション
    ]タブで、以下の設定を検査します。
    • アクション前の違反数
      発生が許容されている違反の数を設定します。違反数がしきい値に達すると、[制限超過後のアクション]に指定されたアクションが実行されます。しきい値を適用しない場合は、この値をゼロ(0)に設定します。違反回数は、ユーザの接続回数に関係なく、「ユーザとデバイスの組み合わせ」ごとに通算されます。したがって、ユーザが再接続によって違反数をリセットすることはできません。
    • 制限超過後のアクション
      ユーザが違反数を超えたときのポリシーに準拠した適切なアクションを選択します。
  7. [OK]
    を選択して設定を保存します。
ソケット フィルタ エージェントの監視を有効にする
SFA エージェントの監視を有効にするには、以下の手順に従います。
  1. [ポリシー]-[ポリシー フィルタ管理]-[ソケット フィルタ]
    に移動します。
  2. 設定
    ]を選択します。
  3. [SFA モニタリング]
    を選択します。
  4. OK
    ]を選択して設定を保存します。
ソケット フィルタ エージェント ステータスの表示
アプライアンスは、すべての SFA のステータスを判断するために定期的にスキャンを実行します。SFA の監視を有効にした後、SFA のステータスを表示できます。 
SFA のリストを表示するには以下の手順に従います。
  1. [デバイス]-[ソケット フィルタ エージェント]
    に移動します。[Socket Filter List Status (ソケット フィルタ リスト ステータス)]ページが表示されます。 
    モニタリングを有効にした場合、このページにエントリのみ表示されます。
  2. [ステータス]
    カラムを確認します。カラムは、以下の値のいずれかを示します。
    • アクティブ:
      SFA は稼働中です。アプライアンスは、リモート ホストのポート 8550 のエージェントに接続できます。 
    • 非アクティブ:
      SFA はアクティブでしたが、この数分間はアクティブではありません。 
    • 不明:
      SFA はアクティブでしたが、長期間アクティブではありません。SFA が到達不可になる理由として、エージェントがオフになっている、無効、またはアンインストールされていることがあります。