FireSIGHT システム ユーザ ガイド バージョン 5.3.1
トランスポート層およびネットワーク層プリプロセッサの使用
トランスポート層およびネットワーク層プリプロセッサの使用
発行日;2015/06/03 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 22MB) | フィードバック

目次

トランスポート層およびネットワーク層プリプロセッサの使用

チェックサムの検証

VLAN 見出しの無視

インライン トラフィックの正規化

プロトコルの正規化について

IPv4 の正規化

IPv6 の正規化

ICMPv4 と ICMPv6 の正規化

TCP 正規化

インライン正規化の設定

IP パケットのデフラグ

IP フラグメント化のエクスプロイトについて

ターゲットベースのデフラグ ポリシー

デフラグ オプションの選択

IP デフラグの設定

パケットのデコードについて

パケットのデコードの設定

TCP ストリームの前処理の使用

状態関連の TCP エクスプロイトについて

廃棄ルールでのアクティブ応答の開始

TCP グローバル オプションの選択

ターゲットベースの TCP ポリシーについて

TCP ポリシーのオプションの選択

TCP ストリームの再アセンブリ

ストリームベースの攻撃について

ストリームの再アセンブリのオプションの選択

TCP ストリームの前処理の設定

UDP ストリームの前処理の使用

UDP ストリームの前処理の設定

トランスポート層およびネットワーク層プリプロセッサの使用

シスコでは、ネットワーク層とトランスポート層でエクスプロイトを検出するプリプロセッサを提供しています。これらのプリプロセッサは、IP フラグメント、チェックサム検証、TCP および UDP セッションの前処理を悪用しようとする攻撃を検出します。パケットがプリプロセッサに送信される前に、パケット デコーダはパケットの見出しとペイロードを、プリプロセッサおよびルール エンジンで簡単に使用できるフォーマットに変換し、パケット 見出し内でさまざまな変則的動作を検出します。インライン正規化プリプロセッサは、パケットをデコードした後、他のプリプロセッサにパケットを送信する前に、インライン型展開を対象にトラフィックを正規化します。

詳細については、次の項を参照してください。

「チェックサムの検証」

「VLAN 見出しの無視」

「インライン トラフィックの正規化」

「IP パケットのデフラグ」

「パケットのデコードについて」

「TCP ストリームの前処理の使用」

「UDP ストリームの前処理の使用」

チェックサムの検証

ライセンス:Protection

システムは、あらゆるプロトコル レベルのチェックサムを検証することで、IP、TCP、UDP、および ICMP による送信データが完全に受信されていることを確認できます。さらに基本的なレベルで、パケットが転送中に改ざんされたり、誤って変更されたりしていないことも確認できます。チェックサムはアルゴリズムを使用して、パケットでのプロトコルの整合性を検証します。システムが終端のホストでパケットに書き込まれた値を計算し、それがチェックサムと同じであれば、そのパケットは変更されていないと見なされます。

チェックサムの検証を無効にすると、ネットワークがインジェクション攻撃にさらされる危険があります。システムは、チェックサム検証イベントを生成しないことに注意してください。インライン展開では、パケットのチェックサムが正しくない場合、そのパケットをドロップするようにシステムを設定できます。

チェックサム検証を設定するには、以下を行います。

アクセス:Admin/Intrusion Admin


ステップ 1 [Policies] > [Intrusion] > [Intrusion Policy] の順に選択します。

[Intrusion Policy] ページが表示されます。

ステップ 2 編集するポリシーの横にある編集アイコン( )をクリックします。

別のポリシーでまだ保存されていない変更がある場合、それらの変更を破棄して続行するには [OK] をクリックします。別のポリシーでの未保存の変更の保存方法については、「侵入ポリシー変更のコミット」を参照してください。

[Policy Information] ページが表示されます。

ステップ 3 左側のナビゲーション パネルの [Advanced Settings] をクリックします。

[Advanced Settings] ページが表示されます。

ステップ 4 [Transport/Network Layer Preprocessors] で [Checksum Verification] が有効にされているかどうかによって、以下の 2 つの選択肢があります。

この設定が有効にされている場合、[Edit] をクリックします。

この設定が無効にされている場合、[Enabled] をオンにしてから、[Edit] をクリックします。

[Checksum Verification] ページが表示されます。ページの下部に表示されるメッセージに、その設定が属する侵入ポリシー層が示されます。詳細については、「侵入ポリシーでのレイヤの使用」を参照してください。

ステップ 5 [Checksum Verification] セクションの以下のオプションはいずれも、パッシブまたはインライン展開では [Enable] または [Disable] に設定できます。インライン展開では、[Drop] に設定することもできます。

ICMP Checksums

IP Checksums

TCP Checksums

UDP Checksums

問題のあるパケットをドロップする場合は、ポリシーでオプションを [Drop] に設定するだけでなく、[Drop when Inline] も有効にする必要があります。詳細については、「インライン展開での破棄動作の設定」を参照してください。また、パッシブ展開で上記のオプションを [Drop] に設定すると、オプションを [Enable] に設定した場合と同じ効果があることに注意してください。

ステップ 6 ポリシーを保存する、編集を続行する、変更を破棄する、基本ポリシーのデフォルト設定に戻す、変更をシステム キャッシュに残して終了するのいずれかを行います。詳細については、 「一般的な侵入ポリシー編集操作」 の表を参照してください。


 

VLAN 見出しの無視

ライセンス:Protection

同じ接続で異なる方向に流れるトラフィックの VLAN タグが異なると、トラフィックの再アセンブリやルールの処理に影響を与える場合があります。たとえば、以下の図では、同じ接続のトラフィックを VLAN A で送信し、VLAN B で受信できます。

 

[Ignore VLAN Header] の検出設定を有効にすると、システムが VLAN 見出しを無視するため、展開に応じてパケットを正しく処理できます。

VLAN 見出しを無視するには、以下を行います。

アクセス:Admin/Intrusion Admin


ステップ 1 [Policies] > [Intrusion] > [Intrusion Policy] の順に選択します。

[Intrusion Policy] ページが表示されます。

ステップ 2 編集するポリシーの横にある編集アイコン( )をクリックします。

別のポリシーでまだ保存されていない変更がある場合、それらの変更を破棄して続行するには [OK] をクリックします。別のポリシーでの未保存の変更の保存方法については、「侵入ポリシー変更のコミット」を参照してください。

[Policy Information] ページが表示されます。

ステップ 3 左側のナビゲーション パネルの [Advanced Settings] をクリックします。

[Advanced Settings] ページが表示されます。

ステップ 4 次の 2 つの選択肢があります。

この設定が有効にされている場合、[Edit] をクリックします。

この設定が無効にされている場合、[Enabled] をオンにしてから、[Edit] をクリックします。

[Detection Settings] ページが表示されます。ページの下部に表示されるメッセージに、その設定が属する侵入ポリシー層が示されます。詳細については、「侵入ポリシーでのレイヤの使用」を参照してください。

ステップ 5 次の選択肢があります。

展開済みデバイスが、異なる方向に流れるトラフィックで同じ接続に対して異なる VLAN タグを検出する可能性がある場合は、[Ignore VLAN Header] チェック ボックスをオンにして、トラフィックを特定するときに VLAN 見出しを無視するようにします。

展開済みデバイスが、異なる方向に流れるトラフィックで同じ接続に対して異なる VLAN タグを検出する可能性がない場合は、[Ignore VLAN Header] チェック ボックスをオフにして、トラフィックを識別するときに VLAN 見出しを考慮するようにします。

ステップ 6 ポリシーを保存する、編集を続行する、変更を破棄する、基本ポリシーのデフォルト設定に戻す、変更をシステム キャッシュに残して終了するのいずれかを行います。詳細については、 「一般的な侵入ポリシー編集操作」 の表を参照してください。


 

インライン トラフィックの正規化

ライセンス:Protection

インライン正規化プリプロセッサは、インライン展開で攻撃者が検出を免れる可能性を最小限にするために、トラフィックを正規化します。アクセス コントロール ポリシーの一部として侵入ポリシーを適用する場合、インライン正規化プリプロセッサが有効にされていると、システムはインライン展開が使用されていることを確認するために、以下の 2 つの条件を検査します。

[Drop when Inline] が有効にされていること

ポリシーがインライン設定を使用するデバイスに適用されていること

上記の両方の条件に一致した場合のみ、プリプロセッサは指定されたトラフィックを正規化します。

IPv4、IPv6、ICMPv4、ICMPv6、TCP トラフィックを任意に組み合わせて正規化を指定できます。ほとんどの正規化は、パケット単位で行われ、インライン正規化プリプロセッサによって処理されます。ただし、TCP ペイロードの正規化を含め、状態関連のパケットおよびストリームの正規化は、TCP ストリーム プリプロセッサが処理します。したがって、TCP トラフィックの正規化を有効にする場合は、TCP ストリーム プリプロセッサが有効になっていなければなりませ。

インライン正規化は、パケット デコーダによるデコードの直後に行われます。その後で、別のプリプロセッサによる処理が行われます。正規化は、パケット層の内部から外部への方向で行われます。

インライン正規化プリプロセッサはイベントを生成しないことに注意してください。インライン正規化プリプロセッサの役割は、インライン展開の別のプリプロセッサおよびルール エンジンで使用できるようにパケットを準備することです。また、システムが処理するパケットが、ネットワーク上のホストで受信したパケットと同じであるようにする役割もあります。


ヒント インライン展開の場合、シスコでは、インライン正規化プリプロセッサの設定で [Normalize TCP] および [Normalize TCP Payload] オプションを有効にするように推奨しています。パッシブ展開の場合、シスコでは、適応型プロファイルを設定するように推奨しています。詳細については、「適応型プロファイルの使用」を参照してください。

詳細については、次の項を参照してください。

「プロトコルの正規化について」

「インライン正規化の設定」

プロトコルの正規化について

ライセンス:Protection

各プロトコルの正規化では、1 つ以上の 基本 正規化が行われます。これは、プロトコルの正規化を有効にすると、自動的に実行されます。一部のプロトコルでは、オプションの正規化も使用できます。

さまざまなプロトコルのトラフィックの正規化を設定する方法については「インライン正規化の設定」を参照してください。以下の項では、プロトコルのタイプごとの基本正規化およびオプション正規化がリストされています。

「IPv4 の正規化」

「IPv6 の正規化」

「ICMPv4 と ICMPv6 の正規化」

「TCP 正規化」

IPv4 の正規化

ライセンス:Protection

[Normalize IPv4] を有効にすると、システムは以下の基本正規化を実行します。

過剰なペイロードを持つパケットを、IP 見出しに指定されたデータグラム長まで切り捨てます。

[Differentiated Services (DS)] フィールド(旧称 [Type of Service (TOS)] フィールド)をクリアします。

すべてのオプション オクテットを 1(No Operation)に設定します。

さらに、IPV4 正規化を有効にしてオプションを選択すると、システムは、選択されたオプションに対応する正規化も実行します。

[Normalize Don't Fragment Bit] オプションを有効にすると、[IPv4 Flags] 見出し フィールドの単一ビットの [Don't Fragment] サブフィールドがクリアされます。

[Normalize Reserved Bit] オプションを有効にすると、[IPv4 Flags] 見出し フィールドの単一ビットの [Reserved] サブフィールドがクリアされます。

[Normalize TOS Bit] オプションを有効にすると、1 バイトの [Differentiated Services] 見出し フィールド(旧称 [Type of Service (ToS)])がクリアされます。

[Normalize Excess Payload] オプションを有効にすると、過剰なペイロードが、IP 見出しに指定されたデータグラム長にレイヤ 2 見出しを合計した長さにまで切り捨てられます。

[Reset TTL] オプションと [Minimize TTL] オプションを有効にすると、[Time to Live (TTL)] フィールドが必要に応じて指定された最小値に設定されます。

詳細については、「インライン正規化の設定」を参照してください。

IPv6 の正規化

ライセンス:Protection

[Normalize IPv6] を有効にすると、システムは [Hop-by-Hop Options] および [Destination Options] 拡張見出しに含まれるすべてのオプション タイプ フィールドを 00(スキップして処理を続行)に設定します。

必要に応じてオプションで、システムは [Hop Limit] フィールドを指定された最小値に設定します。詳細については、「インライン正規化の設定」の [Reset TTL] オプションおよび [Minimize TTL] オプションを参照してください。

ICMPv4 と ICMPv6 の正規化

ライセンス:Protection

[Normalize ICMPv4] 、[Normalize ICMPv6] 、またはこの両方を有効にすると、システムは対応する ICMP トラフィックのエコー(要求)およびエコー応答メッセージで 8 ビットのコード フィールドをクリアします。

TCP 正規化

ライセンス:Protection

以下の項では、基本 TCP 正規化についての説明(TCP 正規化を有効にするとドロップされるトラフィックを含む)を行います。また、特定の TPC 正規化オプションに関連付けられた正規化についても説明します。

基本 TCP 正規化

[Normalize TCP] を有効にすると、システムは以下の基本正規化を実行します。

TCP 見出しの 3 ビットの [Reserved] フィールドをクリアします。

緊急(URG)制御ビットが設定されていない場合、16 ビットの [Urgent Pointer] フィールドをクリアします。

ペイロードがない場合、[Urgent Pointer] フィールドおよび URG 制御ビットをクリアします。

緊急ポインタが設定されていない場合、緊急制御ビットをクリアします。

オプションの埋め込みバイトをクリアします。

元の SYN とシーケンス番号が異なる後続の SYN をブロックします。

ドロップされる TCP パケット

[Normalize TCP] を有効にすると、システムはイベントを生成することなく以下をドロップします。

再送信されているドロップ済みパケットのコピー

前にドロップされたセッションを続行しようとするトラフィック

ルールが有効にされているかどうかに関係なく、以下に示す TCP ストリーム プリプロセッサのいずれかのルールに一致するすべてのパケット

 

表 26-1

[Normalize TCP] が有効な場合にパケットをドロップするプリプロセッサ ルール

129:1、129:3、129:4、129:6、129:8、 129:11、129:14 ~ 129:19

「Blocked Packets」パフォーマンス グラフは、このオプションが有効にされた結果としてドロップされたパケットの数を追跡します。詳細については、「侵入イベントのパフォーマンス統計グラフの生成」を参照してください。

自動的に許可される TCP オプション

[Normalize TCP] を有効にして、[Allow These TCP Options] に any を指定していない場合、システムは以下の正規化を実行します。

MSS、ウィンドウ スケール、タイムスタンプ、およびその他の明示的に許可されたオプションを除き、すべてのオプションのバイトを [No Operation](TCP オプション 1)に設定します。

タイムスタンプは存在していても無効な場合、あるいは有効であってもネゴシエートされない場合、タイムスタンプ オクテットを [No Operation] に設定します。

タイムスタンプがネゴシエートされるものの、存在しない場合、パケットをドロップします。

確認応答(ACK)制御ビットが設定されていない場合、[Time Stamp Echo Reply (TSecr)] オプション フィールドをクリアします。

同期(SYN)制御ビットが設定されていない場合、MSS およびウィンドウ スケール オプションを [No Operation](TCP オプション 1)に設定します。

詳細については、「インライン正規化の設定」を参照してください。

特定の TCP オプションに関連付けられた正規化

[Normalize TCP] を有効にしてオプションを選択すると、システムは、選択されたオプションに対応する以下の正規化を実行します。

[Normalize TCP] オプションを有効にすると、ポインタがペイロード長より大きい場合、2 バイトの [Urgent Pointer] 見出し フィールドがペイロード長に設定されます。

[Urgent Pointer] オプションを有効にすると、再送信されるデータで一貫性が確保されるように TCP データ フィールドが正規化され、適切に再アセンブルできないセグメントがすべてドロップされます。

[Urgent Pointer] オプションを有効にすると、SYN および RST パケットのデータが削除され、データ フィールドが [Window] フィールドに指定されたサイズにまで切り捨てられます。ペイロードが最大セグメント サイズ(MSS)より長い場合は、データ フィールドが MSS まで切り捨てられます。

[Maximum Segment Size (MSS)] オプションを有効にすると、ECN フラグがネゴシエーションに関係なくパケット単位でクリアされるか、または使用法がネゴシエートされていない場合はストリーム単位でクリアされます。

詳細については、「インライン正規化の設定」を参照してください。

インライン正規化の設定

ライセンス:Protection

インライン正規化プリプロセッサを設定して、IPv4、IPv6、ICMPv4、ICMPv6、および TCP トラフィックを任意の組み合わせで正規化できます。各トラフィック タイプの正規化を有効にした場合に提供される基本正規化に加えて、ICMP を除くすべてのプロトコルで、特定のオプション正規化を使用できます。たとえば、[Reset TTL] オプションを使用すると、IPv4 正規化が有効にされている場合は TTL 正規化が有効になり、IPv6 正規化が有効にされている場合は IPv6 ホップ リミット正規化が有効になります。

インライン正規化プリプロセッサを有効にして設定するだけでなく、以下を確実に行う必要があります。そうしないと、プリプロセッサはトラフィックを正規化しません。

ポリシーが、インライン展開でトラフィックをドロップするように設定されていること。「インライン展開での破棄動作の設定」を参照してください。

ポリシーがインライン設定に適用されること。「アクセス コントロール ポリシーの適用」を参照してください。

また、TCP 正規化を有効にする場合は、TCP ストリーム プリプロセッサが有効にされていることを確認する必要があります。「詳細設定の変更」を参照してください。

Minimum TTL

[Reset TTL] がこのオプションに設定する値 1 ~ 255 以上の値に設定されている場合、このオプションは以下を指定します。

[Normalize IPv4] が有効にされている場合は、[IPv4 Time to Live (TTL)] フィールドの最小許容値。TTL のパケット値がこの値を下回る場合、[Reset TTL] に設定された値に正規化されます。

[Normalize IPv6] が有効にされている場合は、[IPv6 Hop Limit] フィールドの最小許容値。ホップ リミットの値がこの値を下回る場合、[Reset TTL] に設定された値に正規化されます。

このフィールドが空白の場合、システムは値が 1 であると想定します。

デコーダ ルール カテゴリで以下のルールを有効にすると、このオプションに対するイベントを生成できます。

指定の最小値を下回る TTL が設定された IPv4 パケットが検出された場合にイベントを生成するには、ルール 116:428 を有効にします。

指定の最小値を下回るホップ リミットが設定された IPv6 パケットが検出された場合にイベントを生成するには、ルール 116:270 を有効にします。

詳細については、「パケットのデコードの設定」のパケット デコーダの [Detect Protocol Header Anomalies] オプションを参照してください。

Reset TTL

このオプションに設定した値 1 ~ 255 が [Minimum TTL] 値を上回る場合、以下のフィールドが正規化されます。

[Normalize IPv4] が有効にされている場合は、[IPv4 TTL] フィールド

[Normalize IPv6] が有効にされている場合は、[IPv6 Hop Limit] フィールド

パケット値が [Minimum TTL] を下回る場合、システムはパケットの TTL またはホップ リミットの値をこのオプションに対して設定された値に変更して、パケットを正規化します。このオプションを値 0 または [Minimum TTL] を下回る値に設定すると、オプションは無効になります。このフィールドが空白の場合、システムは値が 0 であると想定します。

Normalize IPv4

IPv4 トラフィックの正規化を有効にします。特定の IPv4 正規化については、「IPv4 の正規化」を参照してください。このオプションが有効にされていて、[Reset TTL] に設定された値が TTL 正規化を有効にしている場合、システムは必要に応じて TTL フィールドも正規化します。このオプションを有効にする場合、[Normalize Don't Fragment Bits] および [Normalize Reserved Bits] オプションも有効にすることができます。

Normalize Don't Fragment Bit

[IPv4 Flags] 見出し フィールドの単一ビットの [Don't Fragment] サブフィールドをクリアします。このオプションを有効にすると、ダウンストリームのルータがパケットをドロップする代わりに、必要に応じてパケットをフラグメント化できます。また、このオプションを有効にすることで、ドロップされるパケットを巧妙に作成してポリシーを回避する試みを防ぐこともできます。このオプションを選択するには、[Normalize IPv4] を有効にする必要があります。

Normalize Reserved Bit

[IPv4 Flags] 見出し フィールドの単一ビットの [Reserved] サブフィールドをクリアします。通常は、このオプションを有効にします。このオプションを選択するには、[Normalize IPv4] を有効にする必要があります。

Normalize TOS Bit

1 バイトの [Differentiated Services](旧称 [Type of Service])フィールドをクリアします。このオプションを選択するには、[Normalize IPv4] を有効にする必要があります。

Normalize Excess Payload

過剰なペイロードを持つパケットを、IP 見出しに指定されたデータグラム長にレイヤ 2(たとえば、イーサネット)見出しを合計した長さにまで切り捨てます。ただし、最小フレーム長より小さく切り捨てることはしません。このオプションを選択するには、[Normalize IPv4] を有効にする必要があります。

Normalize IPv6

[Hop-by-Hop Options] および [Destination Options] 拡張見出しに含まれるすべてのオプション タイプ フィールドを 00(スキップして処理を続行)に設定します。このオプションが有効にされていて、[Reset TTL] に設定された値が ホップ リミット正規化を有効にしている場合、システムは必要に応じてホップ リミット フィールドも正規化します。

Normalize ICMPv4

ICMPv4 トラフィックのエコー(要求)およびエコー応答メッセージで 8 ビットのコード フィールドをクリアします。

Normalize ICMPv6

ICMPv6 トラフィックのエコー(要求)およびエコー応答メッセージで 8 ビットのコード フィールドをクリアします。

Normalize TCP

TCP トラフィックの正規化を有効にします。特定の TCP 正規化については、「TCP 正規化」を参照してください。このオプションを有効にする場合、[Normalize Urgent Pointer]、[Normalize TCP Payload]、[Normalize TCP Excess Payload]、[Exploit Congestion Payload] を有効にして、[Allow These TCP Options] を設定することもできます。このオプションを有効にする場合は、TCP ストリーム プリプロセッサが有効にされていることを確認する必要があります。「詳細設定の変更」を参照してください。

Normalize Urgent Pointer

ポインタがペイロード長を上回る場合、2 バイトの [Urgent Pointer] 見出し フィールドをペイロード長に設定します。このオプションを選択するには、[Normalize TCP] を有効にする必要があります。

Normalize TCP Payload

再送信されるデータの一貫性が確保されるように TCP データ フィールドの正規化を有効にします。正しく再アセンブルできないセグメントはすべてドロップされます。このオプションを選択するには、[Normalize TCP] を有効にする必要があります。

Normalize TCP Excess Payload

ルール 129:2 に対するイベントの生成を無効にして、以下の正規化を有効にします。

TCP オペレーティング システム ポリシーが Mac OS 以外 の場合、同期(SYN)パケットのデータを削除します。

リセット(RST)パケットからデータを削除します。

データ フィールドを [Window] フィールドに指定されたサイズにまで切り捨てます。

ペイロードが MSS より長い場合、データ フィールドを最大セグメント サイズ(MSS)にまで切り捨てます。

このオプションを選択するには、[Normalize TCP] を有効にする必要があります。

Explicit Congestion Notification

明示的輻輳通知(ECN)フラグのパケット単位またはストリーム単位の正規化を以下のように有効にします。

[Packet] を選択すると、ネゴシエーションに関係なく、ECN フラグがクリアされます。

[Stream] を選択すると、ECN の使用がネゴシエートされていない場合、ECN フラグがクリアされます。

このオプションを選択するには、[Normalize TCP] を有効にする必要があります。[Stream] を選択した場合、この正規化が実行されるようにするには、TCP ストリーム プリプロセッサの [Require TCP 3-Way Handshake] オプションが有効にされている必要があります。詳細については、「TCP ポリシーのオプションの選択」を参照してください。

Allow These TCP Options

トラフィックで許可する特定の TCP オプションの正規化を無効にします。このオプションを選択するには、[Normalize TCP] を有効にする必要があります。

明示的に許可されたオプションは、正規化されません。オプションを [No Operation](TCP オプション 1)に設定して明示的に許可していないオプションは、正規化されます。

最大セグメント サイズ(MSS)、ウィンドウ スケール、およびタイムスタンプ TCP のオプションは TCP パフォーマンスを最適化するために一般的に使用されるため、システムは、これらのオプションを常に許可します。システムは、[Allow These TCP Options] の設定に関係なく、これらの一般的に使用されるオプションを 「TCP 正規化」で説明しているように正規化します。他のそれほど一般的に使用されないオプションについては、システムは許可しません。

特定のオプションを許可するには、オプション キーワード、オプション番号、またはこの両方のカンマ区切りリストを設定します。以下に、一例を示します。

sack, echo, 19

オプション キーワードを指定するということは、そのキーワードと関連付けられた 1 つ以上の TCP オプションの番号を指定することと同じです。たとえば、 sack を指定することは、TCP オプション 4(Selective Acknowledgement Permitted)および TCP オプション 5(Selective Acknowledgement)を指定することと同じです。オプション キーワードでは、大文字と小文字が区別されません。

また、 any を指定すると、すべての TCP オプションが許可されるため、実質的にすべての TCP オプションの正規化が無効にされます。 any を指定しない場合に実行される追加の正規化については、「TCP 正規化」を参照してください。

次の表に、許可する TCP オプションを指定する方法を要約します。フィールドを空のままにすると、システムは MSS、ウィンドウ スケール、およびタイムスタンプのオプションのみを許可します。

 

指定するキーワード
許可されるオプション

sack

TCP オプション 4(Selective Acknowledgement Permitted)および 5(Selective Acknowledgement)

echo

TCP オプション 6(Echo Request)および 7(Echo Reply)

partial_order

TCP オプション 9(Partial Order Connection Permitted)および 10(Partial Order Service Profile)

conn_count

TCP 接続カウント オプション 11(CC)、12(CC.New)、および 13(CC.Echo)

alt_checksum

TCP オプション 14(Alternate Checksum Request)および 15(Alternate Checksum)

md5

TCP オプション 19(MD5 Signature)

オプション番号
2 ~ 255

キーワードのないオプションを含む、特定のオプション

any

すべての TCP オプション(この設定は、実質的に TCP オプションの正規化を無効にします。)

インライン正規化プリプロセッサを設定するには、以下を行います。

アクセス:Admin/Intrusion Admin


ステップ 1 [Policies] > [Intrusion] > [Intrusion Policy] の順に選択します。

[Intrusion Policy] ページが表示されます。

ステップ 2 編集するポリシーの横にある編集アイコン( )をクリックします。

別のポリシーでまだ保存されていない変更がある場合、それらの変更を破棄して続行するには [OK] をクリックします。別のポリシーでの未保存の変更の保存方法については、「侵入ポリシー変更のコミット」を参照してください。

[Policy Information] ページが表示されます。

ステップ 3 左側のナビゲーション パネルの [Advanced Settings] をクリックします。

[Advanced Settings] ページが表示されます。

ステップ 4 次の 2 つの選択肢があります。

この設定が有効にされている場合、[Edit] をクリックします。

この設定が無効にされている場合、[Enabled] をオンにしてから、[Edit] をクリックします。

[Inline Normalization] ページが表示されます。ページの下部に表示されるメッセージに、その設定が属する侵入ポリシー層が示されます。詳細については、「侵入ポリシーでのレイヤの使用」を参照してください。

ステップ 5 「インライン正規化の設定」で説明されている任意のオプションを設定できます。

ステップ 6 ポリシーを保存する、編集を続行する、変更を破棄する、基本ポリシーのデフォルト設定に戻す、変更をシステム キャッシュに残して終了するのいずれかを行います。詳細については、 「一般的な侵入ポリシー編集操作」 の表を参照してください。


 

IP パケットデフラグ

ライセンス:Protection

最大伝送単位(MTU)より大きいために IP データグラムが複数の小さい IP データグラムに分割されると、その IP データグラムは フラグメント化 されたことになります。単一の IP データグラム フラグメントには、隠れた攻撃を識別するのに十分な情報が含まれない場合があります。そのため、攻撃者はエクスプロイトの検出を免れるために、フラグメント化されるパケットで攻撃データを送信する可能性があります。IP デフラグ プリプロセッサは、ルール エンジンが IP データグラムに対してルールを実行する前に、パケットに仕込まれた攻撃をルールで識別しやすくするために、フラグメント化された IP データグラムを再アセンブリします。フラグメント化されたデータグラムを再アセンブルできない場合、それらのデータグラムに対しては、ルールが実行されません。

IP デフラグ プリプロセッサのルールにイベントを生成させるには、これらのルール(ジェネレータ ID(GID)が 123 のルール)を有効にする必要があります。設定ページに表示されるリンクをクリックすると、侵入ポリシーの [Rules] ページに IP デフラグ プリプロセッサのルールがフィルタリングされて表示されます。このページで、ルールを有効または無効にしたり、他のルール アクションを設定したりできます。詳細については、「ルール状態の設定」を参照してください。

詳細については、次の項を参照してください。

「IP フラグメント化のエクスプロイトについて」

「ターゲットベースのデフラグ ポリシー」

「デフラグ オプションの選択」

「IP デフラグの設定」

IP フラグメント化のエクスプロイトについて

ライセンス:Protection

IP デフラグを有効にすると、ネットワーク上のホストに対する攻撃(ディアドロップ攻撃など)や、システム自体に対するリソース消費攻撃(Jolt2 攻撃など)を検出するのに役立ちます。

ティアドロップ攻撃は、特定のオペレーティング システムのバグを悪用して、そのオペレーティング システムがオーバーラップした IP フラグメントを再アセンブルしようとするとクラッシュするように仕掛けます。IP デフラグ プリプロセッサを有効にして、オーバーラップしたフラグメントを識別するように設定すれば、該当するフラグメントを識別できます。IP デフラグ プリプロセッサは、ティアドロップ攻撃などのオーバーラップ フラグメント攻撃で、最初のパケットだけを検出するだけで、同じ攻撃での後続のパケットは検出しません。

Jolt2 攻撃では、IP デフラグ機能を酷使させるという方法でサービス拒絶攻撃を仕掛けるために、フラグメント化された同じ IP パケットのコピーを大量に送信します。IP デフラグ プリプロセッサでは、メモリ使用量の上限によって、このような攻撃を阻止し、包括的検査においてシステムを自己防衛状態にします。システムは攻撃によって過負荷にならず、運用可能な状態を維持し、ネットワーク トラフィックの検査を続行します。

フラグメント化されたパケットを再アセンブルする方法は、オペレーティング システムによって異なります。ホストがどのオペレーティング システムで実行されているのかを攻撃者が特定できれば、その攻撃者はターゲット ホストが特定の方法で再アセンブルするように不正なパケットをフラグメント化することも可能です。モニタ対象のネットワーク上でホストを実行しているオペレーティング システムは、システムには不明です。したがって、プリプロセッサがパケットを誤った方法で再アセンブリして検査し、それによってエクスプロイトが検出されないままパススルーする可能性があります。このような攻撃を軽減するために、ネットワーク上のホストごとに適切な方法でパケットをデフラグするよう、デフラグ プリプロセッサを設定できるようになっています。詳細については、「ターゲットベースのデフラグ ポリシー」を参照してください。

適応型プロファイルを使用することで、パケットのターゲット ホストのオペレーティング システム情報に応じて、IP デフラグ プリプロセッサに適用するターゲットベースのポリシーが動的に選択されるようにすることができます。詳細については、「適応型プロファイルの使用」を参照してください。

ターゲットベースのデフラグ ポリシー

ライセンス:Protection

ホストのオペレーティング システムは、パケットを再アセンブルする際に優先するパケット フラグメントを判断するために、3 つの基準を使用します。それは、オペレーティング システムがフラグメントを受信した順序、フラグメントのオフセット(パケットの先頭からのフラグメントの距離(バイト単位))、オーバーラップ フラグメントとの相対開始位置および終了位置です。これらの基準はすべてのオペレーティング システムで使用されているものの、フラグメント化されたパケットを再アセンブルするときに優先するフラグメントは、オペレーティング システムによって異なります。したがって、ネットワーク上で異なるオペレーティング システムを使用する 2 台のホストが、同じオーバーラップ フラグメントをまったく異なる方法で再アセンブルする場合も考えられます。

いずれかのホストのオペレーティング システムを認識している攻撃者が、オーバーラップしたパケット フラグメントに不正なコンテンツを忍ばせて送信することによって、エクスプロイトの検出を免れ、そのホストを悪用する可能性があります。このパケットが他のホストで再アセンブルされて検査されても、パケットに害はないように見えますが、ターゲット ホストで再アセンブルされる場合には不正なエクスプロイトが含まれています。ただし、モニタ対象のネットワーク セグメントで稼働するオペレーティング システムを認識するように IP デフラグ プリプロセッサを設定すれば、このプリプロセッサがターゲット ホストと同じ方法でフラグメントを再アセンブルすることによって、攻撃を識別できます。

ターゲット ホストのオペレーティング システムに応じて、7 つのデフラグ ポリシーのうちのいずれかを使用するように IP デフラグ プリプロセッサを設定できます。以下の表に、7 つのポリシーと、それぞれのポリシーを使用するオペレーティング システムを記載します。First と Last というポリシー名は、これらのポリシーが元のオーバーラップ パケットまたは後続のオーバーラップ パケットのどちらを優先するかを反映しています。

 

表 26-2 ターゲットベースのデフラグ ポリシー

ポリシー
オペレーティング システム

BSD

AIX

FreeBSD

IRIX

VAX/VMS

BSD-right

HP JetDirect

First

Mac OS

HP-UX

Linux

Linux

OpenBSD

Last

Cisco IOS

Solaris

SunOS

Windows

Windows

デフラグ オプションの選択

ライセンス:Protection

IP デフラグを有効または無効にすることだけを選択することもできますが、シスコでは、それよりも粒度の細かいレベルで、有効にする IP デフラグ プリプロセッサの動作を指定するよう推奨しています。

プリプロセッサ ルールが言及されていない場合、オプションにはプリプロセッサ ルールが関連付けられていません。

グローバル [Preallocated Fragments] オプションを設定できます。

Preallocated Fragments

プリプロセッサが一度に処理できる個々のフラグメントの最大数。事前割り当てするフラグメント ノードの数を指定すると、静的メモリ割り当てが有効になります。


注意 個々のフラグメントの処理には、約 1550 バイトのメモリが使用されます。プリプロセッサで個々のフラグメントを処理するために必要なメモリが、管理対象デバイスに事前定義された使用可能なメモリ量の制限を上回る場合は、管理対象デバイスのメモリ制限が優先されます。

IP デフラグ ポリシーごとに、以下のオプションを設定できます。

Network

デフラグ ポリシーを適用するホスト(複数可)の IP アドレス。

単一の IP アドレスまたはアドレス ブロック、あるいはこれらのいずれかまたは両方をコンマで区切ったリストを指定できます。デフォルト ポリシーを含め、合計で最大 255 個のプロファイルを指定できます。FireSIGHT システムで IPv4 および IPv6 アドレス ブロックを使用する方法については、「IP アドレスの表記法」を参照してください。

デフォルト ポリシーの デフォルト 設定では、別のターゲットベース ポリシーでカバーされていないモニタ対象ネットワーク セグメントのすべての IP アドレスが指定されることに注意してください。したがって、デフォルト ポリシーの IP アドレスまたは CIDR ブロック/プレフィクス長は指定できず、また指定する必要もありません。また、別のポリシーでこの設定を空白にしたり、 すべて を表すアドレス表記(0.0.0.0/0 または ::/0)を使用したりすることはできません。

Policy

モニタ対象ネットワーク セグメント上のホスト一式に使用するデフラグ ポリシー。7 つのポリシー(BSD、BSD-Right、First、Linux、Last、Solaris、Windows)の中から選択できます。これらのポリシーの詳細については、「ターゲットベースのデフラグ ポリシー」を参照してください。

Timeout

プリプロセッサ エンジンがフラグメント化されたパケットを再アセンブルする際に使用できる最大時間(秒数)。指定された時間内にパケットを再アセンブルできない場合、プリプロセッサ エンジンはパケットの再アセンブリ試行を停止し、受信したフラグメントを破棄します。

Minimum TTL

パケットに許容される最小 TTL 値を指定します。このオプションは、TTL ベースの挿入攻撃を検出します。

このオプションに対するイベントを生成するには、ルール 123:1 を有効にします。詳細については、「ルール状態の設定」を参照してください。

Detect Anomalies

オーバーラップ フラグメントのようなフラグメンテーション問題を識別します。

以下のルールを有効にすることで、このオプションに対するイベントを生成できます。

123:1 ~ 123:4

123:5(BSD ポリシー)

123:6 ~ 123:8

Overlap Limit

セッションでデフラグを停止する条件とする、セッションでのオーバーラップ セグメントの検出数を 0(無制限)~ 255 の範囲で指定します。このオプションを設定するには、[Detect Anomalies] を有効にする必要があります。値が空白の場合、このオプションを無効になります。

このオプションに対するイベントを生成するには、ルール 123:12 を有効にします。詳細については、「ルール状態の設定」を参照してください。

Minimum Fragment Size

パケットを不正と見なす条件とする、検出されたフラグメント(最後のフラグメントを除く)の最小サイズを 0(無制限)~ 255 バイトの間で指定します。このオプションを設定するには、[Detect Anomalies] を有効にする必要があります。値が空白の場合、このオプションを無効になります。

このオプションに対するイベントを生成するには、ルール 123:13 を有効にします。詳細については、「ルール状態の設定」を参照してください。

IP デフラグの設定

ライセンス:Protection

IP デフラグ プリプロセッサを設定するには、次の手順を実行します。IP デフラグ プリプロセッサの設定オプションの詳細については、「デフラグ オプションの選択」を参照してください。

IP デフラグを設定するには、以下を行います。

アクセス:Admin/Intrusion Admin


ステップ 1 [Policies] > [Intrusion] > [Intrusion Policy] の順に選択します。

[Intrusion Policy] ページが表示されます。

ステップ 2 編集するポリシーの横にある編集アイコン( )をクリックします。

別のポリシーでまだ保存されていない変更がある場合、それらの変更を破棄して続行するには [OK] をクリックします。別のポリシーでの未保存の変更の保存方法については、「侵入ポリシー変更のコミット」を参照してください。

[Policy Information] ページが表示されます。

ステップ 3 左側のナビゲーション パネルの [Advanced Settings] をクリックします。

[Advanced Settings] ページが表示されます。

ステップ 4 [Transport/Network Layer Preprocessors] で [IP Defragmentation] が有効にされているかどうかによって、以下の 2 つの選択肢があります。

この設定が有効にされている場合、[Edit] をクリックします。

この設定が無効にされている場合、[Enabled] をオンにしてから、[Edit] をクリックします。

[IP Defragmentation] ページが表示されます。ページの下部に表示されるメッセージに、その設定が属する侵入ポリシー層が示されます。詳細については、「侵入ポリシーでのレイヤの使用」を参照してください。

ステップ 5 必要に応じて、[Global Settings] にある [Preallocated Fragments] の設定を変更できます。

ステップ 6 以下の 2 つの選択肢があります。

新しいターゲットベースのポリシーを追加します。ページの左側の [Hosts] の横にある追加アイコン( )をクリックします。[Add Target] ポップアップ ウィンドウが表示されます。[Host Address] フィールドに 1 つまたは複数の IP アドレスを指定し、[OK] をクリックします。

単一の IP アドレスまたはアドレス ブロック、あるいはこれらのいずれかまたは両方をコンマで区切ったリストを指定できます。デフォルト ポリシーを含め、合計で最大 255 個のターゲットベースのポリシーを作成できます。FireSIGHT システムで IP アドレス ブロックを使用する方法については、「IP アドレスの表記法」を参照してください。

ページの左側にあるターゲットのリストに新しいエントリが表示されます。このエントリは、強調表示によって選択された状態であることが示されます。また、[Configuration] セクションが更新されて、追加したポリシーの現在の構成が反映されます。

既存のターゲットベースのポリシーの設定を変更します。ページの左側の [Hosts] に追加されているポリシーの設定済みアドレスをクリックするか、[default] をクリックします。

選択したエントリが強調表示され、[Configuration] セクションが更新されて、選択したポリシーの現在の設定が表示されます。既存のターゲットベースのポリシーを削除するには、削除するポリシーの横にある削除アイコン( )をクリックします。

ステップ 7 必要に応じて、[Configuration] セクションにある任意のオプションを変更できます。

ステップ 8 必要に応じて、ページ上部の [Configure Rules for IP Defragmentation] をクリックして、個々のオプションに関連付けられているルールを表示します。

[IP Defragmentation] ページに戻るには、[Back] をクリックします。

ステップ 9 ポリシーを保存する、編集を続行する、変更を破棄する、基本ポリシーのデフォルト設定に戻す、変更をシステム キャッシュに残して終了するのいずれかを行います。詳細については、 「一般的な侵入ポリシー編集操作」 の表を参照してください。


 

パケットデコードについて

ライセンス:Protection

キャプチャしたパケットをプリプロセッサに送信する前に、システムはパケットをパケット デコーダに送信します。パケット デコーダは、プリプロセッサやルール エンジンが容易に使用できる形式に、パケット 見出しおよびペイロードを変換します。データ リンク層から開始して、ネットワーク層、トランスポート層へと、各スタック層が順にデコードされます。パケットのデコードの詳細については、「パケットの検出と復号化」を参照してください。

注意すべき点として、パケット デコーダのルールにイベントを生成させるには、これらのルール(ジェネレータ ID(GID)が 116 のルール)を有効にする必要があります。設定ページに表示されるリンクをクリックすると、侵入ポリシーの [Rules] ページに パケット デコーダのルールがフィルタリングされて表示されます。このページで、ルールを有効または無効にしたり、他のルール アクションを設定したりできます。詳細については、「ルール状態の設定」を参照してください。

プリプロセッサ ルールが言及されていない場合、オプションにはプリプロセッサ ルールが関連付けられていません。

Decode GTP Data Channel

カプセル化された GTP(General Packet Radio Service(GPRS)トンネリング プロトコル)データ チャネルをデコードします。デフォルトでは、デコーダはポート 3386 ではバージョン 0 のデータをデコードし、ポート 2152 ではバージョン 1 のデータをデコードします。 GTP_PORTS デフォルト変数を使用して、カプセル化された GTP トラフィックを識別するポートを変更できます。詳細については、「定義済みのデフォルトの変数の最適化」を参照してください。

このオプションに対するイベントを生成するには、ルール 116:297 および 116:298 を有効にします。

Detect Teredo on Non-Standard Ports

ポート 3544 以外の UDP ポートで識別される IPv6 トラフィックの Teredo トンネリングを検査します。

IPv6 トラフィックが存在する場合、システムは常にこのトラフィックを検査します。デフォルトでは、IPv6 インスペクションには 4in6、6in4、6to4、および 6in6 トンネリング方式が含まれます。また、UDP 見出しがポート 3544 を指定している場合は、Teredo トンネリングも含まれます。

IPv4 ネットワークでは、IPv4 ホストが Teredo プロトコルを使用して、IPv4 Network Address Translation(NAT)デバイスを介して IPv6 トラフィックをトンネリングできます。Teredo は、IPv6 パケットを IPv4 UDP データグラムにカプセル化して、IPv4 NAT デバイスの背後で IPv6 接続を許可します。システムは通常、UDP ポート 3544 を使用して Teredo トラフィックを識別します。ただし、攻撃者が検出を免れるために標準以外のポートを使用する可能性も考えられます。[Detect Teredo on Non-Standard Ports] を有効にすることで、システムに Teredo トンネリングのすべての UDP ペイロードを検査させることができます。

Teredo のデコードは、外側のネットワーク層に IPv4 が使用されている場合に限り、最初の UDP 見出しに対してのみ行われます。UDP データが IPv6 データにカプセル化されるため、Teredo IPv6 層の後に 2 つめの UDP 層が存在する場合、ルール エンジンは UDP 侵入ルールを使用して、内側および外側の両方の UDP 層を分析します。

policy-other ルール カテゴリの侵入ルール 12065、12066、12067、および 12068 は Teredo トラフィックを検出しますが、デコードはしないことに注意してください。必要に応じて、これらのルールを使用してインライン展開で Teredo トラフィックをドロップすることができます。ただし、[Detect Teredo on Non-Standard Ports] を有効にする場合は、これらのルールが無効にされるか、トラフィックをドロップせずにイベントを生成するように設定される必要があります。詳細については、「侵入ポリシー内のルールのフィルタ処理」および「ルール状態の設定」を参照してください。

Detect Excessive Length Value

パケット 見出しが実際のパケット長を超えるパケット長を指定しているかどうかを検出します。

このオプションに対するイベントを生成するには、ルール 116:6、116:47、116:97、および 116:275 を有効にします。

Detect Invalid IP Options

無効な IP オプションを使用したエクスプロイトを識別するために、無効な IP 見出し オプションを検出します。たとえば、ファイアウォールに対するサービス拒絶攻撃は、システムをフリーズさせる原因になります。ファイアウォールが無効なタイムスタンプおよび IP セキュリティ オプションを解析しようとして、ゼロ長のチェックに失敗すると、回復不可能な無限ループが発生します。ルール エンジンはゼロ長のオプションを識別し、ファイアウォールでの攻撃を軽減するために使用できる情報を提供します。

このオプションに対するイベントを生成するには、ルール 116:4 および 116:5 を有効にします。詳細については、「ルール状態の設定」を参照してください。

Detect Experimental TCP Options

試験的 TCP オプションが設定された TCP 見出しを検出します。以下の表は、それらのオプションを示しています。

 

TCP オプション
説明

9

Partial Order Connection Permitted

10

Partial Order Service Profile

14

Alternate Checksum Request

15

Alternate Checksum Data

18

Trailer Checksum

20

Space Communications Protocol Standards(SCPS)

21

Selective Negative Acknowledgements(SCPS)

22

Record Boundaries(SCPS)

23

Corruption(SPCS)

24

SNAP

26

TCP Compression Filter

これらのオプションは試験的なものあるため、一部のシステムでは考慮されず、悪用される恐れがあります。


) 上記の表に記載されている試験的オプションに加えて、26 より大きいオプション番号を持つ TCP オプションは、試験的オプションと見なされます。


このオプションに対するイベントを生成するには、ルール 116:58 を有効にします。詳細については、「ルール状態の設定」を参照してください。

Detect Obsolete TCP Options

廃止された TCP オプションが設定された TCP 見出しを検出します。これらのオプションは廃止されたものであるため、一部のシステムでは考慮されず、悪用される恐れがあります。以下の表は、それらのオプションを示しています。

 

TCP オプション
説明

6

Echo

7

Echo Reply

16

Skeeter

17

Bubba

19

MD5 Signature

25

Unassigned

このオプションに対するイベントを生成するには、ルール 116:57 を有効にします。詳細については、「ルール状態の設定」を参照してください。

Detect T/TCP

CC.ECHO オプションが設定された TCP 見出しを検出します。CC.ECHO オプションは、TCP for Transactions (T/TCP) が使用されていることを確認します。T/TCP 見出し オプションは幅広く使用されてはいないため、一部のシステムでは考慮されず、悪用される恐れがあります。

このオプションに対するイベントを生成するには、ルール 116:56 を有効にします。詳細については、「ルール状態の設定」を参照してください。

Detect Other TCP Options

他の TCP デコード イベント オプションでは検出されない無効な TCP オプションが設定された TCP 見出しを検出します。たとえば、このオプションは、無効な長さ、またはオプション データが TCP 見出しに収まらない長さの TCP オプションを検出します。

このオプションに対するイベントを生成するには、ルール 116:54、116:55、および 116:59 を設定します。詳細については、「ルール状態の設定」を参照してください。

Detect Protocol Header Anomalies

より具体的な IP および TCP デコード オプションでは検出されない他のデコード エラーを検出します。たとえば、このデコーダは、不正な形式のデータ リンク プロトコル 見出しを検出する場合があります。

このオプションに対するイベントを生成するには、他のパケット デコーダ オプションに明示的に関連付けられていないパケット デコーダのルールを有効にします。詳細については、「ルール状態の設定」を参照してください。

異常な IPv6 トラフィックによってトリガーされるイベントを生成するルールは、116:270 ~ 116:274、116:275 ~ 116:283、116:291、116:292、116:295、116:296、116:406、116:458、116:460、116:461 です。

インライン正規化プリプロセッサの [Minimum TTL] オプションに関連する以下のルールについても注意してください。

指定の最小値を下回る TTL が設定された IPv4 パケットが検出された場合にイベントを生成するには、ルール 116:428 を有効にします。

指定の最小値を下回るホップ リミットが設定された IPv6 パケットが検出された場合にイベントを生成するには、ルール 116:270 を有効にします。

詳細については、「インライン正規化の設定」のインライン正規化の [Minimum TTL] オプションを参照してください。

パケットのデコードの設定

ライセンス:Protection

パケットのデコードは、[Packet Decoding] 設定ページで設定できます。パケットのデコード設定オプションの詳細については、「パケットのデコードについて」を参照してください。

パケットのデコードを設定するには、以下を行います。

アクセス:Admin/Intrusion Admin


ステップ 1 [Policies] > [Intrusion] > [Intrusion Policy] の順に選択します。

[Intrusion Policy] ページが表示されます。

ステップ 2 編集するポリシーの横にある編集アイコン( )をクリックします。

別のポリシーでまだ保存されていない変更がある場合、それらの変更を破棄して続行するには [OK] をクリックします。別のポリシーでの未保存の変更の保存方法については、「侵入ポリシー変更のコミット」を参照してください。

[Policy Information] ページが表示されます。

ステップ 3 左側のナビゲーション パネルの [Advanced Settings] をクリックします。

[Advanced Settings] ページが表示されます。

ステップ 4 [Transport/Network Layer Preprocessors] で [Packet Decoding] が有効にされているかどうかによって、以下の 2 つの選択肢があります。

この設定が有効にされている場合、[Edit] をクリックします。

この設定が無効にされている場合、[Enabled] をオンにしてから、[Edit] をクリックします。

[Packet Decoding] ページが表示されます。ページの下部に表示されるメッセージに、その設定が属する侵入ポリシー層が示されます。詳細については、「侵入ポリシーでのレイヤの使用」を参照してください。

ステップ 5 [Packet Decoding] ページの任意の検出オプションを有効または無効にできます。詳細については、「パケットのデコードについて」を参照してください。

ステップ 6 必要に応じて、ページ上部の [Configure Rules for Packet Decoding] をクリックして、個々のオプションに関連付けられているルールを表示します。

[Packet Decoding] ページに戻るには、[Back] をクリックします。

ステップ 7 ポリシーを保存する、編集を続行する、変更を破棄する、基本ポリシーのデフォルト設定に戻す、変更をシステム キャッシュに残して終了するのいずれかを行います。詳細については、 「一般的な侵入ポリシー編集操作」 の表を参照してください。


 

TCP ストリームの前処理の使用

ライセンス:Protection

TCP プロトコルは、接続で生じ得るさまざまな状態を定義します。各 TCP 接続は、送信元と宛先の IP アドレス、および送信元と宛先のポートによって識別されます。TCP では、接続パラメータ値が同じ接続は、一度に 1 つしか存在できません。

TCP ストリーム プリプロセッサのルールにイベントを生成させるには、それらのルール(ジェネレータ ID(GID)が 129 のルール)を有効にする必要があります。設定ページに表示されるリンクをクリックすると、侵入ポリシーの [Rules] ページに TCP ストリーム プリプロセッサのルールがフィルタリングされて表示されます。このページで、ルールを有効または無効にしたり、他のルール アクションを設定したりできます。詳細については、「ルール状態の設定」を参照してください。

また、このプリプロセッサを必要とするルールが侵入ポリシーで有効にされている場合、プリプロセッサを有効にするか、システムがプリプロセッサを自動的に有効にできるようにしてからでないと、ポリシーを保存できないことにも注意してください。詳細については、「詳細設定の自動有効化」を参照してください。

以下のいずれかを有効にする場合は、TCP ストリームの前処理を有効にする必要があります。

DCE/RPC プリプロセッサ(RPC over HTTP プロキシ、RPC over HTTP サーバ、TCP、または SMB トランスポート プロトコルが選択されている場合)

DNS プリプロセッサ

FTP/Telnet プリプロセッサ

HTTP インスペクト プリプロセッサ

IMAP プリプロセッサ

POP プリプロセッサ

SMTP プリプロセッサ

SSL プリプロセッサ

Modbus プリプロセッサ

DNP3 プリプロセッサ

ポートスキャン検出(TCP プロトコルが選択されている場合)

キーワード flow flowbits stream-size 、または stream-reassemble を使用する TCP 侵入ルール

詳細については、次の項を参照してください。

「状態関連の TCP エクスプロイトについて」

「廃棄ルールでのアクティブ応答の開始」

「TCP グローバル オプションの選択」

「ターゲットベースの TCP ポリシーについて」

「TCP ポリシーのオプションの選択」

「TCP ストリームの再アセンブリ」

「TCP ストリームの前処理の設定」

状態関連の TCP エクスプロイトについて

ライセンス:Protection

侵入ルールに established 引数と組み合わせた flow キーワードを追加すると、ルール エンジンはステートフル モードでルールとフロー ディレクティブに一致するパケットを検査します。ステートフル モードでは、クライアントとサーバの間で正当なスリーウェイ ハンドシェークによって確立された TCP セッションに含まれるトラフィックだけが評価されます。以下の図に、スリーウェイ ハンドシェイクを示します。

 

確立された TCP セッションの一部として識別できない TCP トラフィックをプリプロセッサが検出するように、システムを設定することは可能です。しかし、このようなイベントは、システムをすぐに過負荷状態に陥らせ、しかも意味のあるデータを提供しないため、通常の使用法では推奨されません。

Stick や Snot などの攻撃では、システムの自身に対する広範なルール セットとパケット インスペクションを悪用します。これらのツールは、Snort ベースの侵入ルールのパターンに基づいてパケットを生成してネットワークに送信します。ステートフル インスペクションに対して設定するルールに flow または flowbits キーワードを含めなければ、パケットのそれぞれがルールをトリガーするため、システムが過負荷状態になります。ステートフル インスペクションを使用することで、確立された TCP セッションに含まれず、意味のある情報を提供しないこれらのパケットを無視できます。ステートフル インスペクションを実行すると、ルール エンジンは確立された TCP セッションに含まれる攻撃のみを検出するため、アナリストが stick や snot によって大量に生成されるイベントに時間を取られることがなくなります。

廃棄ルールでのアクティブ応答の開始

ライセンス:Protection

インライン展開では、システムは TCP または UDP 廃棄ルールに応答するために、トリガーしたパケットをドロップし、そのパケットが開始されたセッションをブロックします。パッシブ展開の場合、システムがパケットをドロップすることはできません。また、セッションをブロックすることもありませんが、アクティブ応答を使用する場合はその限りではありません。


ヒント UDP データ ストリームは一般にセッションという観点では考慮されないため、ストリーム プリプロセッサがカプセル化 IP データグラム 見出しの送信元および宛先 IP アドレス フィールドと UDP 見出しのポート フィールドを使用してフローの方向を判別し、UDP セッションを識別する方法については、「UDP ストリームの前処理の使用」で詳しく説明しています。

[Maximum Active Responses] オプションを設定することで、問題のあるパケットによって TCP または UDP 廃棄ルールがトリガーされた時点で、1 つ以上の アクティブ応答 を開始して、より正確かつ明示的に TCP 接続または UDP セッションを閉じることができます。

インライン展開でアクティブ応答が有効にされている場合、システムは TCP 廃棄ルールへの応答として、トリガーしたパケットをドロップし、クライアントとサーバの両方のトラフィックに TCP リセット(RST)パケットを挿入します。パッシブ展開でアクティブ応答が有効にされている場合、システムがパケットをドロップすることはできませんが、TCP 接続のクライアント側とサーバー側の両方に TCP リセットを送信します。インライン展開またはパッシブ展開でアクティブ応答が有効にされていると、システムはセッションの両端に ICMP 到達不能パケットを送信することによって UDP セッションを閉じます。リセットは接続やセッションに影響を与えるのに間に合うまでに到着する可能性が高いため、アクティブ応答はインライン展開で最も効果を発揮します。

[Maximum Active Responses] オプションの設定方法によっては、接続またはセッションのいずれかの側からさらにトラフィックが発生しているようであれば、システムが追加のアクティブ応答を開始することもできます。システムは、指定された間隔(秒数)で、指定された最大回数まで追加のアクティブ応答を開始します。注意すべき点として、追加の TCP リセットを開始するには、[TCP Stream Configuration] が有効にされていなければならず、追加の ICMP 到達不能パケットを開始するには、[UDP Stream Configuration] が有効にされていなければなりません。詳細については、「詳細設定の変更」を参照してください。

アクティブ応答の最大数を設定する方法については、「TCP グローバル オプションの選択」を参照してください。

[Maximum Active Responses] の設定とは関係なく、resp または react ルールがトリガーされた場合にも、アクティブ応答が開始されることに注意してください。ただし、[Maximum Active Responses] は、廃棄ルールに対するアクティブ応答の最大数を制御するのと同じ方法で、resp および react ルールに対して追加のアクティブ応答をシステムが開始するかどうかを制御します。詳細については、「ルール キーワードを使用したアクティブ応答の開始」を参照してください。

config response コマンドを使用して、使用するアクティブ応答インターフェイス、およびパッシブ展開で試行する TCP リセットの回数を設定することもできます。詳細については、「アクティブ応答のリセット試行とインターフェイスの設定」を参照してください。

TCP グローバル オプションの選択

ライセンス:Protection

この項では、TCP ストリーム プリプロセッサの動作を制御するオプションについて説明します。プリプロセッサ ルールが言及されていない場合、オプションにはプリプロセッサ ルールが関連付けられていません。

Packet Type Performance Boost

送信元および宛先ポートの両方を any に設定した TCP ルールで、 flow または flowbits オプションが使用されている場合を除き、有効化されたルールに指定されていないポートおよびアプリケーション プロトコルのすべてについて、TCP トラフィックを無視するように設定します。このオプションはパフォーマンスを向上させますが、攻撃を見逃す可能性があります。

Maximum Active Responses

TCP 接続あたりのアクティブ応答の最大数を 1 ~ 25 の範囲で指定します。アクティブ応答が開始された接続でさらにトラフィックが発生し、前のアクティブ応答を送信してから [Minimum Response Seconds] を超えるトラフィックが発生した場合、システムは指定された最大数に達するまで、別のアクティブ応答を送信します。0 を設定すると、廃棄ルールによってトリガーされるアクティブ応答が無効になり、resp または react ルールによってトリガーされる追加のアクティブ応答も無効になります。詳細については、「廃棄ルールでのアクティブ応答の開始」および「ルール キーワードを使用したアクティブ応答の開始」を参照してください。

Minimum Response Seconds

[Maximum Active Responses] に達するまで、システムがアクティブ応答を開始した接続で発生した追加のトラフィックに対して次のアクティブ応答を送信するまで待機する時間を 1 ~ 300 秒の範囲で指定します。

ターゲットベースの TCP ポリシーについて

ライセンス:Protection

オペレーティング システムによって、TCP の実装方法は異なります。たとえば、セッションをリセットするために、Windows やその他のオペレーティング システムの一部では TCP リセット セグメントに正確な TCP シーケンス番号を割り当てる必要があるのに対し、Linux や他のオペレーティング システムではシーケンス番号の範囲を使用できます。この例の場合、ストリーム プリプロセッサは、シーケンス番号に基づき、宛先ホストがリセットにどのように応答するかを正確に把握しなければなりません。ストリーム プリプロセッサがセッションの追跡を停止するのは、宛先ホストがリセットが有効であると見なした場合のみです。したがって、プリプロセッサがストリームの検査を停止した後は、パケットを送信することによって攻撃が検出を免れることはできません。TCP の実装方法の違いには、オペレーティング システムで TCP タイムスタンプ オプションを採用しているかどうか、採用している場合にはどのようにタイムスタンプを処理するか、そしてオペレーティング システムで SYN パケットのデータを受け入れるか、無視するかどうかも含まれます。

また、オーバーラップ TCP セグメントを再アセンブルする方法も、オペレーティング システムによって異なります。オーバーラップ TCP セグメントは、確認応答済み TCP トラフィックの通常の再送信を反映する場合があります。あるいは、ホストのオペレーティング システムを認識している攻撃者が、エクスプロイトの検出を免れるためにオーバーラップ セグメントに不正なコンテンツを忍ばせて送信し、そのホストを悪用しようとしている場合もあります。ただし、モニタ対象のネットワーク上で稼働するオペレーティング システムを認識するようにストリーム プリプロセッサを設定すれば、そのプリプロセッサがターゲット ホストと同じ方法でセグメントを再アセンブルすることによって、攻撃を識別できます。

モニタ対象のネットワーク セグメント上のさまざまなオペレーティング システムに合わせて TCP ストリーム インスペクションおよび再アセンブリを調整するために、1 つ以上の TCP ポリシーを作成することができます。ポリシーごとに、13 のオペレーティング システム ポリシーのうちの 1 つを特定します。異なるオペレーティング システムを使用するホストのいずれか、あるいはすべてを識別するために必要な数だけ TCP ポリシーを使用し、各 TCP ポリシーを特定の IP アドレスまたはアドレス ブロックにバインドします。デフォルトの TCP ポリシーは、他の TCP ポリシーで指定されていないモニタ対象ネットワーク上のすべてのホストに適用されます。したがって、デフォルトの TCP ポリシーに IP アドレス、CIDR ブロック、またはプレフィクス長を指定する必要はありません。

注意すべき点として、パケットのターゲット ホストのオペレーティング システム情報に応じて TCP ストリーム プリプロセッサに適用するターゲットベースのポリシーが動的に選択されるように、適応型プロファイルを使用することもできます。詳細については、「適応型プロファイルの使用」を参照してください。

以下の表に、オペレーティング システム ポリシーとそれを使用するホスト オペレーティング システムをリストします。


ヒント First オペレーティング システム ポリシーは、ホストのオペレーティング システムが不明な場合にはある程度の保護対策になります。ただし、攻撃を見逃す可能性もあります。オペレーティング システムが既知であれば、ポリシーを編集して、その正しいオペレーティング システムを指定してください。

 

表 26-3 TCP オペレーティング システム ポリシー

ポリシー
オペレーティング システム

First

不明な OS

Last

Cisco IOS

BSD

AIX

FreeBSD

OpenBSD

Linux

Linux 2.4 カーネル

Linux 2.6 カーネル

古い Linux

Linux 2.2 以前のカーネル

Windows

Windows 98

Windows NT

Windows 2000

Windows XP

Windows 2003

Windows 2003

Windows Vista

Windows Vista

Solaris

Solaris OS

SunOS

IRIX

SGI Irix

HPUX

HP-UX 11.0 以降

HPUX 10

HP-UX 10.2 以前

Mac OS

Mac OS 10(Mac OS X)

TCP ポリシーのオプションの選択

ライセンス:Protection

以下に、ストリーム プリプロセッサの検査対象とする TCP トラフィックを識別して制御するために設定できるオプションをリストし、説明します。

プリプロセッサ ルールが言及されていない場合、オプションにはプリプロセッサ ルールが関連付けられていません。

Network

TCP ストリーム再アセンブリ ポリシーを適用するホストの IP アドレスを指定します。

単一の IP アドレスまたはアドレス ブロックを指定できます。デフォルト ポリシーを含め、合計で最大 255 個のプロファイルを指定できます。FireSIGHT システムで IPv4 および IPv6 アドレス ブロックを使用する方法については、「IP アドレスの表記法」を参照してください。

デフォルト ポリシーの デフォルト 設定では、別のターゲットベース ポリシーでカバーされていないモニタ対象ネットワーク セグメントのすべての IP アドレスが指定されることに注意してください。したがって、デフォルト ポリシーの IP アドレスまたは CIDR ブロック/プレフィクス長は指定できず、また指定する必要もありません。また、別のポリシーでこの設定を空白にしたり、 すべて を表すアドレス表記(0.0.0.0/0 または ::/0)を使用したりすることはできません。

Policy

TCP ポリシーを適用するターゲット ホスト(複数可)のオペレーティング システムを識別します。[Mac OS] 以外のポリシーを選択すると、システムは同期(SYN)パケットからデータを削除し、ルール 129:2 に対するイベントの生成を無効にします。

詳細については、「ターゲットベースの TCP ポリシーについて」を参照してください。

Timeout

ルール エンジンが非アクティブなストリームを状態テーブルで保持する秒数(1 ~ 86400 秒)。指定された期間内にストリームが再アセンブルされない場合、ルール エンジンはそのストリームを状態テーブルから削除します。


) ネットワーク トラフィックがデバイスの帯域幅制限に到達しやすいセグメントに、管理対象デバイスが展開されている場合は、処理のオーバーヘッド量を削減するために、この値を大きい値(たとえば、600 秒)に設定することを検討する必要があります。


Maximum TCP Window

受信側ホストで指定されている TCP ウィンドウの最大許容サイズを 1 ~ 1073725440 バイトの範囲で指定します。値を 0 に設定すると、TCP ウィンドウ サイズのチェックが無効になります。


注意 上限は RFC で許可される最大ウィンドウ サイズです。これは、攻撃者が検出を回避できないようにすることを目的としていますが、あまりにも大きな最大ウィンドウ サイズを設定すると、システム自体がサービス拒絶を招く可能性があります。

このオプションに対するイベントを生成するには、ルール 129:6 を有効にします。詳細については、「ルール状態の設定」を参照してください。

Overlap Limit

セッションで許容するオーバーラップ セグメントの数を 0(無制限)~ 255 の範囲で指定します。セッションで、この指定された値に達すると、セグメントの再アセンブリが停止します。[Stateful Inspection Anomalies] が有効にされていて、それに付随するプリプロセッサ ルールが有効にされている場合、イベントも生成されます。

このオプションに対するイベントを生成するには、ルール 129:7 を有効にします。詳細については、「ルール状態の設定」を参照してください。

Flush Factor

インライン展開では、ここで設定するサイズ減少なしのセグメントの数(1 ~ 2048)の後にサイズが減少したセグメントが検出されると、システムは検出用に累積されたセグメント データをフラッシュします。値を 0 に設定すると、要求または応答の終わりを示す可能性のあるこのセグメント パターンの検出が無効になります。このオプションを有効にするには、インライン正規化の [Normalize TCP] オプションを有効にする必要があることに注意してください。詳細については、「インライン トラフィックの正規化」を参照してください。

Stateful Inspection Anomalies

TCP スタックの異常な動作を検出します。付随するプリプロセッサ ルールが有効にされている場合、TCP/IP スタックが不完全に作成されていると、多数のイベントが生成される可能性があります。

以下のルールを有効にすることで、このオプションに対するイベントを生成できます。

129:1 ~ 129:5

129:6(Mac OS のみ)

129:8 ~ 129:11

129:13 ~129:19

詳細については、「ルール状態の設定」を参照してください。

TCP Session Hijacking

スリーウェイ ハンドシェイク中に TCP 接続の両端から検出されたハードウェア(MAC)アドレスの有効性を、セッションで受信した後続のパケットに照合して検査することにより、TCP セッション ハイジャックを検出します。[Stateful Inspection Anomalies] が有効にされていて、2 つの対応するプリプロセッサ ルールのいずれかが有効にされている場合、接続のどちらかの側の MAC アドレスが一致しないと、システムがイベントを生成します。

このオプションに対するイベントを生成するには、ルール 129:9 および 129:10 を有効にします。詳細については、「ルール状態の設定」を参照してください。

Consecutive Small Segments

[Stateful Inspection Anomalies] が有効にされている場合、連続する小さな TCP セグメントの許容数を 1 ~ 2048 の範囲で指定します。値を 0 に設定すると、連続する小さな TCP セグメントのチェックが無効になります。

このオプションは、[Small Segment Size] オプションと同時に設定し、両方とも無効にするか、両方にゼロ以外の値を設定する必要があります。通常は、それぞれのセグメントの長さが 1 バイトであったとしても、ACK が介在することなく 2000 個もの連続するセグメントを受信することはないので注意してください。

このオプションに対するイベントを生成するには、ルール 129:12 を有効にします。詳細については、「ルール状態の設定」を参照してください。

Small Segment Size

[Stateful Inspection Anomalies] が有効にされている場合、小さいと見なされる TCP セグメントのサイズを 1 ~ 2048 バイトの範囲で指定します。値を 0 に設定すると、小さいセグメントのサイズの指定が無効になります。

このオプションは、[Consecutive Small Segments] オプションと同時に設定し、両方とも無効にするか、両方にゼロ以外の値を設定する必要があります。2048 バイトの TCP セグメントは、標準的な 1500 バイトのイーサネット フレームより大きいことに注意してください。

Ports Ignoring Small Segments

[Stateful Inspection Anomalies]、[Consecutive Small Segments]、および [Small Segment Size] が有効にされている場合、必要に応じて、小さい TCP セグメントの検出を無視する 1 つ以上のポートのカンマ区切りリストを指定します。このオプションを空白のままにすると、ポートはすべて無視されないように指定されます。

リストには任意のポートを追加できますが、このリストが適用されるのは、TCP ポリシーの [Perform Stream Reassembly on] ポート リストに指定されているポートのみです。

Require TCP 3-Way Handshake

TCP スリーウェイ ハンドシェイクの完了時に確立されたセッションだけを処理することを指定します。パフォーマンスを向上させ、SYN フラッド攻撃から保護し、部分的に非同期の環境での運用を可能にするには、このオプションを無効にします。確立された TCP セッションには含まれていない情報を送信して誤検出を発生させようとする攻撃を回避するには、このオプションを有効にします。

このオプションに対するイベントを生成するには、ルール 129:20 を有効にします。詳細については、「ルール状態の設定」を参照してください。

3-Way Handshake Timeout

[Require TCP 3-Way Handshake] が有効にされている場合、ハンドシェークを完了するまでの時間制限を 0(無制限)~ 86400 秒(24 時間)の範囲で指定します。このオプションの値を変更するには、[Require TCP 3-Way Handshake] を有効にする必要があります。

Packet Size Performance Boost

再アセンブリ バッファで大きいパケットをキューに入れないようにプリプロセッサを設定します。このオプションはパフォーマンスを向上させますが、攻撃を見逃す可能性があります。1 ~ 20 バイトの小さなパケットを使用した検出回避の試行から保護するには、このオプションを無効にします。すべてのトラフィックが非常に大きなパケットからなるため、そのような攻撃は起こらないと確信できる場合は、このオプションを有効にします。

Legacy Reassembly

パケットを再アセンブルする際に、廃止されたストリーム 4 プリプロセッサをエミュレートするようにストリーム プリプロセッサを設定します。これにより、ストリーム プリプロセッサで再アセンブルされたイベントを、ストリーム 4 プリプロセッサで再アセンブルされた、同じデータ ストリームに基づくイベントと比較できます。

Asynchronous Network

モニタ対象ネットワークが非同期ネットワーク(システムにトラフィックの半分だけが見えるネットワーク)であるかどうかを指定します。このオプションを有効にすると、システムは TCP ストリームを再アセンブリしないため、パフォーマンスが向上します。

Perform Stream Reassembly on Client Ports, Server Ports, Both Ports

ストリーム プリプロセッサの再アセンブリ対象とするトラフィックを識別するクライアント ポート、サーバ ポート、またはその両方のカンマ区切りリストを指定します。「ストリームの再アセンブリのオプションの選択」を参照してください。

Perform Stream Reassembly on Client Services, Server Services, Both Services

ストリーム プリプロセッサの再アセンブリ対象とするトラフィックで識別するクライアント サービス、サーバ サービス、またはその両方のサービスを指定します。「ストリームの再アセンブリのオプションの選択」を参照してください。

TCP ストリームの再アセンブリ

ライセンス:Protection

ストリーム プリプロセッサは、TCP セッションでのサーバからクライアントへの通信ストリーム、クライアントからサーバへの通信ストリーム、またはその両方の通信ストリームに含まれるすべてのパケットを収集して再アセンブルします。これにより、ルール エンジンは、特定のストリームに含まれる個々のパケットだけを検査するのではなく、ストリームを再アセンブルされた単一のエンティティとして検査できます。


サーバ レベルの FTP ポート リスト、または DCE/RPC、HTTP、SMTP、Session Initiation Protocol、POP、IMAP、あるいは SSL ポート リストに追加するポートは、各 TCP ポリシーで、モニタ対象がクライアント トラフィックまたはサーバ トラフィックであるのか、あるいはその両方であるのかに応じて、該当する TCP 再アセンブリ ポートのリストにも追加する必要があります。ただし、追加のトラフィック タイプ(クライアント、サーバ、両方)を再構成すると、リソースの需要が増大します。詳細については、「DCE/RPC プリプロセッサの設定」「サーバレベルの FTP オプションについて」「サーバレベル HTTP 正規化オプションの選択」「Session Initiation Protocol のデコード」「IMAP トラフィックのデコード」「POP トラフィックのデコード」「SMTP トラフィックのデコード」「SSL プリプロセッサの使用」、および「ターゲットベースの TCP ポリシーについて」を参照してください。


詳細については、次の項を参照してください。

「ストリームベースの攻撃について」

「ストリームの再アセンブリのオプションの選択」

ストリームベースの攻撃について

ライセンス:Protection

ストリームの再アセンブリにより、ルール エンジンは、個々のパケットを検査する場合には検出できない可能性のあるストリームベースの攻撃を識別できます。ルール エンジンの再アセンブリ対象とする通信ストリームは、ネットワークのニーズに応じて指定できます。たとえば、Web サーバ上のトラフィックをモニタする際に、独自の Web サーバから不正なトラフィックを受信する可能性がほとんどないため、クライアント トラフィックだけを検査するという場合もあります。

ストリームの再アセンブリのオプションの選択

ライセンス:Protection

各 TCP ポリシーに、ストリーム プリプロセッサが再アセンブルするトラフィックを識別するポートのカンマ区切りのリストを指定できます。適応型プロファイルが有効にされている場合、再アセンブルするトラフィックを識別するサービスを、ポートの代わりとして、あるいはポートと組み合わせてリストすることもできます。適応型プロファイルを有効にして使用する方法については、「適応型プロファイルの使用」を参照してください。

ポート、サービス、またはその両方を指定できます。クライアント ポート、サーバー ポート、またはその両方を任意に組み合わせた個別のポート リストを指定できます。また、クライアント サービス、サーバ サービス、またはその両方を任意に組み合わせた個別のサービス リストを指定することもできます。たとえば、以下を再アセンブルする必要があるとします。

クライアントからの SMTP(ポート 25)トラフィック

FTP サーバ応答(ポート 21)

両方向の Telnet(ポート 23)トラフィック

この場合、以下のように設定できます。

クライアント ポートとして、 23, 25 を指定

サーバ ポートとして、 21, 23 を指定

あるいは、以下のように設定することもできます。

クライアント ポートとして、 25 を指定

サーバ ポートとして、 21 を指定

両方のポートとして、 23 を指定

さらに、ポートとサービスを組み合わせた以下の設定例は、適応型プロファイルが有効にされている場合、有効になります。

クライアント ポートとして、 23 を指定

クライアント サービスとして、 smtp を指定

サーバ ポートとして、 21 を指定

サーバ サービスとして、 telnet を指定

all を引数として指定して、すべてのポートに対して再アセンブリを指定することもできますが、シスコではポートを all 設定しない よう推奨しています。この設定では、このプリプロセッサで検査するトラフィックの量が増え、不必要にパフォーマンスが低下するためです。

プリプロセッサ ルールが言及されていない場合、オプションにはプリプロセッサ ルールが関連付けられていません。

Perform Stream Reassembly on Client Ports

接続のクライアント側のポートに基づくストリームの再アセンブリを有効にします。つまり、Web サーバ、メール サーバ、または一般に $HOME_NET で指定された IP アドレスによって定義されたその他の IP アドレスを宛先とするストリームが再アセンブルされます。不正なトラフィックがクライアントから発生する可能性がある場合は、このオプションを使用します。

Perform Stream Reassembly on Client Services

接続のクライアント側のサービスに基づくストリームの再アセンブリを有効にします。不正なトラフィックがクライアントから発生する可能性がある場合は、このオプションを使用します。

選択するクライアント サービスごとに、少なくとも 1 つのクライアント ディテクタを有効にする必要があります(「ディテクタのアクティブ化と非アクティブ化」を参照)。デフォルトでは、シスコ提供のすべてのディテクタがアクティブになります。関連するクライアント アプリケーションに有効にされているディレクタがない場合、システムは自動的にシスコ提供のすべてのディテクタをアプリケーションに対して有効にします。そのようなディテクタが提供されていない場合は、最後に変更されたユーザ定義のディテクタをアプリケーションに対して有効にします。

この機能には、Protection および Control ライセンスが必要です。

Perform Stream Reassembly on Server Ports

接続のサーバ側のポートに基づくストリームの再アセンブリのみを有効にします。つまり、Web サーバ、メール サーバ、または一般に $EXTERNAL_NET で指定された IP アドレスによって定義されたその他の IP アドレスから発信されたストリームが再アセンブリされます。サーバ側の攻撃を監視する必要がある場合は、このオプションを使用します。ポートを指定しないことによって、このオプションを無効にできます。

Perform Stream Reassembly on Server Services

接続のサーバ側のサービスに基づくストリームの再アセンブリのみを有効にします。サーバ側の攻撃を監視する必要がある場合は、このオプションを使用します。サービスを指定しないことによって、このオプションを無効にできます。

選択するサービスごとに、少なくとも 1 つのディテクタを有効にする必要があります サービス(「ディテクタのアクティブ化と非アクティブ化」を参照。デフォルトでは、シスコ提供のすべてのディテクタがアクティブになります。サービスに有効にされているディレクタがない場合、システムは自動的にシスコ提供のすべてのディテクタを関連するアプリケーション プロトコルに対して有効にします。そのようなディテクタが提供されていない場合は、最後に変更されたユーザ定義のディテクタをアプリケーション プロトコルに対して有効にします。

この機能には、Protection および Control ライセンスが必要です。

Perform Stream Reassembly on Both Ports

接続のクライアント側とサーバ側の両方のポートに基づくストリームの再アセンブリを有効にします。同じポートで、不正なトラフィックがクライアントとサーバー間のいずれの方向でも移動する可能性がある場合は、このオプションを使用します。ポートを指定しないことによって、このオプションを無効にできます。

Perform Stream Reassembly on Both Services

接続のクライアント側とサーバ側の両方のサービスに基づくストリームの再アセンブリを有効にします。同じサービスで、不正なトラフィックがクライアントとサーバー間のいずれの方向でも移動する可能性がある場合は、このオプションを使用します。サービスを指定しないことによって、このオプションを無効にできます。

選択するサービスごとに、少なくとも 1 つのディテクタを有効にする必要があります サービス(「ディテクタのアクティブ化と非アクティブ化」を参照。デフォルトでは、シスコ提供のすべてのディテクタがアクティブになります。関連するクライアント アプリケーションまたはアプリケーション プロトコルに有効にされているディレクタがない場合、システムは自動的にシスコ提供のすべてのディテクタをアプリケーションまたはアプリケーション プロトコルに対して有効にします。そのようなディテクタが提供されていない場合は、最後に変更されたユーザ定義のディテクタをアプリケーションまたはアプリケーション プロトコルに対して有効にします。

この機能には、Protection および Control ライセンスが必要です。

TCP ストリームの前処理の設定

ライセンス:Protection

TCP ポリシーを含め、TCP ストリームの前処理を設定できます。TCP ストリーム プリプロセッサの設定オプションの詳細については、「TCP ポリシーのオプションの選択」を参照してください。

TCP セッションを追跡するストリーム プリプロセッサを設定するには、以下を行います。

アクセス:Admin/Intrusion Admin


ステップ 1 [Policies] > [Intrusion] > [Intrusion Policy] の順に選択します。

[Intrusion Policy] ページが表示されます。

ステップ 2 編集するポリシーの横にある編集アイコン( )をクリックします。

別のポリシーでまだ保存されていない変更がある場合、それらの変更を破棄して続行するには [OK] をクリックします。別のポリシーでの未保存の変更の保存方法については、「侵入ポリシー変更のコミット」を参照してください。

[Policy Information] ページが表示されます。

ステップ 3 左側のナビゲーション パネルの [Advanced Settings] をクリックします。

[Advanced Settings] ページが表示されます。

ステップ 4 [Transport/Network Layer Preprocessors] で [TCP Stream Configuration] が有効にされているかどうかによって、以下の 2 つの選択肢があります。

この設定が有効にされている場合、[Edit] をクリックします。

この設定が無効にされている場合、[Enabled] をオンにしてから、[Edit] をクリックします。


DNS、FTP/Telnet、HTTP インスペション、SMTP、または SSL プリプロセッサが有効にされている場合、RPC over HTTP プロキシ、RPC over HTTP サーバ、TCP、または SMB トランスポート プロトコルが選択された DCE/RPC プリプロセッサが有効にされている場合、あるいは TCP プロトコルが選択されたポートスキャン検出が有効にされている場合は、TCP ストリームの前処理を無効にすることはできません。また、flow あるいは flowbits キーワードを使用して TCP ルールが有効にされている場合、これらのルールは TCP ストリームの前処理が有効でない限り、トリガーされないため、TCP ストリームの前処理を無効にすることはできません。


[TCP Stream Configuration] ページが表示されます。ページの下部に表示されるメッセージに、その設定が属する侵入ポリシー層が示されます。詳細については、「侵入ポリシーでのレイヤの使用」を参照してください。

ステップ 5 必要に応じて、[Global Settings] にある任意のオプションを変更します。詳細については、「TCP グローバル オプションの選択」を参照してください。

ステップ 6 以下の 2 つの選択肢があります。

新しいターゲットベースのポリシーを追加します。ページの左側の [Hosts] の横にある追加アイコン( )をクリックします。[Add Target] ポップアップ ウィンドウが表示されます。[Host Address] フィールドに 1 つまたは複数の IP アドレスを指定し、[OK] をクリックします。

単一の IP アドレスまたはアドレス ブロックを指定できます。デフォルト ポリシーを含め、合計で最大 255 個のターゲットベースのポリシーを作成できます。FireSIGHT システムで IP アドレス ブロックを使用する方法については、「IP アドレスの表記法」を参照してください。

ページの左側にあるターゲットのリストに新しいエントリが表示されます。このエントリは、強調表示によって選択された状態であることが示されます。また、[Configuration] セクションが更新されて、追加したポリシーの現在の構成が反映されます。

既存のターゲットベースのポリシーの設定を変更します。ページの左側の [Hosts] に追加されているポリシーの設定済みアドレスをクリックするか、[default] をクリックします。

選択したエントリが強調表示され、[Configuration] セクションが更新されて、選択したポリシーの現在の設定が表示されます。既存のターゲットベースのポリシーを削除するには、削除するポリシーの横にある削除アイコン( )をクリックします。

ステップ 7 必要に応じて、[Configuratio] にある任意の TCP オプションを変更します。

クライアント サービス、サーバ サービス、またはその両方に基づくストリームの再アセンブリの設定を変更するには、ステップ 8 に進みます。そうでない場合は、ステップ 11 に進みます。

詳細については、「TCP ポリシーのオプションの選択」および「ストリームの再アセンブリのオプションの選択」を参照してください。

ステップ 8 クライアント サービス、サーバ サービス、またはその両方に基づくストリームの再アセンブリの設定を変更するには、変更するフィールドの内側をクリックするか、そのフィールドの横にある [Edit] をクリックします。

選択したフィールドのポップアップ ウィンドウが表示されます。

適応型プロファイルを有効にすることで、ネットワークで検出されたサービスに基づいてストリーム プリプロセッサが再アセンブルするトラフィックをモニタできます。詳細については、「サーバの使用」および「適応型プロファイルの使用」を参照してください。

ステップ 9 次の 2 つの選択肢があります。

モニタにサービスを追加するには、左側の [Available] リストで 1 つまたは複数のサービスを選択してから、右矢印(>)ボタンをクリックします。

サービスを削除するには、右側の [Enabled] リストで削除するサービスを選択してから、左矢印(<)ボタンをクリックします。

複数のサービス ディテクタを選択するには、Ctrl キーまたは Shift キーを押しながらクリックします。また、クリック アンド ドラッグ操作で、複数の隣接するサービス ディテクタを選択することもできます。

ステップ 10 [OK] をクリックして、選択した項目を追加します。

[TCP Stream Configuration] ページが表示され、サービスが更新されます。

ステップ 11 必要に応じて、ページ上部の [Configure Rules for TCP Stream Configuration] をクリックして、TCP ポリシーの個々のオプションに関連付けられているルールを表示します。

[TCP Stream Configuration] ページに戻るには、[Back] をクリックします。

ステップ 12 必要に応じて、サポートから TCP ストリームの前処理のグローバルまたはポリシー トラブルシューティング オプションのいずれかを変更するように求められた場合にのみ、[Troubleshooting options] オプションの横にある + 記号をクリックして、トラブルシューティング オプションのセクションを展開します。詳細については、「トラブルシューティング オプションについて」を参照してください。

ステップ 13 ポリシーを保存する、編集を続行する、変更を破棄する、基本ポリシーのデフォルト設定に戻す、変更をシステム キャッシュに残して終了するのいずれかを行います。詳細については、 「一般的な侵入ポリシー編集操作」 の表を参照してください。


 

UDP ストリームの前処理の使用

ライセンス:Protection

UDP ストリームの前処理が行われるのは、ルール エンジンがパケットを処理するために使用する UDP ルールに、以下の引数のいずれかを使用した flow キーワード(「TCP または UDP クライアントまたはサーバ フローへのルールの適用」を参照)が含まれる場合です。

Established

To Client

From Client

To Server

From Server

UDP はコネクションレス型プロトコルであり、2 つのエンドポイントが通信チャネルを確立してデータを交換し、チャネルを終了する手段は提供していません。UDP データ ストリームは一般に、 セッション という観点で考慮されません。ただし、ストリーム プリプロセッサは、カプセル化 IP データグラム 見出しの送信元および宛先 IP アドレス フィールドと、UDP 見出しのポート フィールドを使用して、フローの方向を判断し、セッションを識別します。セッションが終了するのは、設定可能タイマを超過した時点か、または、いずれかのエンドポイントがもう一方のエンドポイントが到達不能であるか要求されたサービスが到達不能であることを通知する ICMP メッセージを受信した時点です。

システムは UDP ストリームの前処理に関連するイベントを生成しないことに注意してください。ただし、関連するパケット デコーダ ルールを有効にすることで、UDP プロトコル 見出しの異常を検出することができます。パケット デコーダによって生成されるイベントについては、「パケットのデコードについて」を参照してください。

また、UDP ストリームの前処理を必要とするルールが有効にされている場合、UDP ストリームの前処理が自動的に有効にされる可能性があるので注意してください。詳細については、「詳細設定の自動有効化」を参照してください。

以下の設定では、UDP ストリームの前処理を有効にする必要があります。

DNS プリプロセッサ

SIP プリプロセッサ

UDP トランスポート プロトコルが選択された DCE/RPC プリプロセッサ

flow flowbits 、または stream-size キーワードを使用した UDP 侵入ルール

UDP ストリームの前処理の設定

ライセンス:Protection

UDP ストリームの前処理を設定できます。

UDP セッションを追跡するストリーム プリプロセッサを設定するには、以下を行います。

アクセス:Admin/Intrusion Admin


ステップ 1 [Policies] > [Intrusion] > [Intrusion Policy] の順に選択します。

[Intrusion Policy] ページが表示されます。

ステップ 2 編集するポリシーの横にある編集アイコン( )をクリックします。

別のポリシーでまだ保存されていない変更がある場合、それらの変更を破棄して続行するには [OK] をクリックします。別のポリシーでの未保存の変更の保存方法については、「侵入ポリシー変更のコミット」を参照してください。

[Policy Information] ページが表示されます。

ステップ 3 左側のナビゲーション パネルの [Advanced Settings] をクリックします。

[Advanced Settings] ページが表示されます。

ステップ 4 [Transport/Network Layer Preprocessors] で [UDP Stream Configuration] が有効にされているかどうかによって、以下の 2 つの選択肢があります。

この設定が有効にされている場合、[Edit] をクリックします。

この設定が無効にされている場合、[Enabled] をオンにしてから、[Edit] をクリックします。


UDP トランスポート プロトコルが選択された DCE/RPC ポリシー プリプロセッサが有効にされている場合、または UDP プロトコルが選択されたポートスキャン検出が有効にされている場合、UDP ストリームの前処理を無効にすることはできません。また、flow あるいは flowbits キーワードを使用して UDP 侵入ルールが有効にされている場合、これらのルールは UDP ストリームの前処理が有効でない限り、トリガーされないため、UDP ストリームの前処理を無効にすることはできません。


[UDP Stream Configuration] ページが表示されます。ページの下部に表示されるメッセージに、その設定が属する侵入ポリシー層が示されます。詳細については、「侵入ポリシーでのレイヤの使用」を参照してください。

ステップ 5 必要に応じて、[Timeout] 値を設定し、プリプロセッサが非アクティブなストリームを状態テーブルに保持する期間を 1 ~ 86400 秒の範囲で指定します。指定した時間内に追加のデータグラムが現れなかった場合、プリプロセッサはそのストリームを状態テーブルから削除します。

ステップ 6 必要に応じて、[Packet Type Performance Boost] を選択し、送信元および宛先ポートの両方を any に設定した UDP ルールで flow または flowbits オプションが使用されている場合を除き、有効化されたルールに指定されていないポートおよびアプリケーション プロトコルのすべてについて、UDP トラフィックを無視するように設定します。このオプションはパフォーマンスを向上させますが、攻撃を見逃す可能性があります。

ステップ 7 ポリシーを保存する、編集を続行する、変更を破棄する、基本ポリシーのデフォルト設定に戻す、変更をシステム キャッシュに残して終了するのいずれかを行います。詳細については、 「一般的な侵入ポリシー編集操作」 の表を参照してください。