シグニチャ エンジンについて
シグニチャ エンジンは、Cisco IPS のコンポーネントの 1 つで、特定のカテゴリに属する数多くのシグニチャをサポートするように設計されています。エンジンは、パーサーとインスペクタで構成されています。各エンジンには複数のパラメータがあり、許可される範囲や値が設定されます。
(注) Cisco IPS エンジンで、標準化された正規表現がサポートされています。
Cisco IPS には次のシグニチャ エンジンが含まれています。
•
AIC:Web トラフィックの包括的な分析を行います。AIC エンジンは、HTTP セッションに対してより細かな制御を実行して、HTTP プロトコルの悪用を防ぎます。インスタント メッセージングや GotoMyPC など、指定したポート上でトンネリングを行おうとするアプリケーションに対する管理制御も可能です。また、AIC を使用して FTP トラフィックを調査し、実行中のコマンドを制御することもできます。AIC エンジンには、AIC FTP と AIC HTTP の 2 つがあります。
•
Atomic:Atomic エンジンは、複数レベルの選択を使用して 4 つのエンジンに結合されます。1 つのシグニチャの中で、IP + TCP のように、レイヤ 3 とレイヤ 4 の属性を組み合わせることができます。Atomic エンジンでは、標準化された正規表現がサポートされています。Atomic エンジンは次の種類で構成されます。
–
Atomic ARP:レイヤ 2 ARP プロトコルを検査します。大半のエンジンはレイヤ 3 IP プロトコルに基づいているため、Atomic ARP エンジンはこの点で異なります。
–
Atomic IP Advanced:IPv6 レイヤ 3 および ICMPv6 レイヤ 4 トラフィックを検査します。
–
Atomic IP:IP プロトコル パケット、および関連付けられているレイヤ 4 トランスポート プロトコルを検査します。
このエンジンでは、IP ヘッダーおよびレイヤ 4 ヘッダーのフィールドに一致する値を指定でき、正規表現を使用してレイヤ 4 のペイロードを検査できます。
(注) すべての IP パケットは Atomic IP エンジンによって検査されます。このエンジンは、4.x Atomic ICMP、Atomic IP Options、Atomic L3 IP、Atomic TCP、および Atomic UDP エンジンに置き換わります。
–
Atomic IPv6:不正な形式の IPv6 トラフィックによって引き起こされる、IOS の 2 つの脆弱性を検出します。
•
Fixed:固定の深さまで並行して正規表現一致を実行し、1 つの正規表現テーブルを使用して検査を停止します。Fixed エンジンには、CMP、TCP、および UDP の 3 つの種類があります。
•
Flood:ホストおよびネットワークに向けられた ICMP および UDP フラッドを検出します。Flood エンジンには、Flood Host と Flood Net の 2 つの種類があります。
•
Meta:スライディング時間間隔内に、関連した方法で発生するイベントを定義します。このエンジンは、パケットではなくイベントを処理します。
•
Multi String:1 つのシグニチャに対して複数の文字列を照合することで、レイヤ 4 トランスポート プロトコルとペイロードを検査します。このエンジンは、ストリームベースの TCP と、単一の UDP および ICMP パケットを検査します。
•
Normalizer:IP および TCP Normalizer が機能する方法を設定し、IP および TCP Normalizer に関連するシグニチャ イベントに設定を提供します。RFC 準拠を強制できます。
•
Service:特定のプロトコルを扱います。Service エンジンは次のプロトコル タイプに分かれています。
–
DNS:DNS(TCP および UDP)トラフィックを検査します。
–
FTP:FTP トラフィックを検査します。
–
FTP V2:IOS IPS をサポートします。
このシグニチャ エンジンには、IOS IPS 用に調整されたプロトコル デコード エンジンが備わっています。このエンジンを使用しようとすると、エラー メッセージが表示されます。
–
Generic:カスタム サービスおよびペイロードをデコードし、ネットワーク プロトコルを汎用的に分析します。
–
H225:VoIP トラフィックを検査します。ネットワーク管理者が、VoIP ネットワーク宛の SETUP メッセージが有効であり、ポリシーで指定されている範囲内にあることを確認するために役立ちます。また、url-ids、email-ids、および表示情報などのアドレスおよび Q.931 文字列フィールドが特定の長さに準拠し、潜在的な攻撃パターンが含まれていないことを確認するためにも役立ちます。
–
HTTP:HTTP トラフィックを検査します。WEBPORTS 変数では、HTTP トラフィックの検査ポートを定義します。
–
HTTP V2:IOS IPS をサポートします。
このシグニチャ エンジンには、IOS IPS 用に調整されたプロトコル デコード エンジンが備わっています。このエンジンを使用しようとすると、エラー メッセージが表示されます。
–
IDENT:IDENT(クライアントおよびサーバ)トラフィックを検査します。
–
MSRPC:MSRPC トラフィックを検査します。
–
MSSQL:Microsoft SQL トラフィックを検査します。
–
NTP:NTP トラフィックを検査します。
–
P2P:P2P トラフィックを検査します。
–
RPC:RPC トラフィックを検査します。
–
SMB Advanced:Microsoft SMB パケットと Microsoft DCE/RPC(MSRPC)over SMB パケットを処理します。
(注) SMB エンジンは、SMB Advanced エンジンで置き換えられました。SMB エンジンが IDM、IME、CLI で表示される場合でも、そのシグニチャは廃止されています。つまり、新しいシグニチャには、対応する古いシグニチャの ID を使用して設定された古いパラメータがあります。SMB エンジンで使用していたカスタム シグニチャは、新しい SMB Advanced エンジンを使用して書き直してください。
–
SMPT V1:IOS IPS をサポートします。
このシグニチャ エンジンには、IOS IPS 用に調整されたプロトコル デコード エンジンが備わっています。このエンジンを使用しようとすると、エラー メッセージが表示されます。
–
SNMP:SNMP トラフィックを検査します。
–
SSH:SSH トラフィックを検査します。
–
TNS:TNS トラフィックを検査します。
•
State:SMTP などのプロトコル内の文字列のステートフル検索を実行します。State エンジンには、状態遷移を定義するために使用される隠れたコンフィギュレーション ファイルがあるため、シグニチャの更新で新しい状態定義を提供できます。
•
String:ICMP、TCP、または UDP プロトコルに基づいて、正規表現文字列を検索します。3 つの String エンジン、String ICMP、String TCP、および String UDP があります。
•
String XL:ICMP、TCP、または UDP プロトコルに基づいて、正規表現文字列を検索します。String XL エンジンでは、正規表現アクセラレータ カード向けの最適化された操作が可能です。String エンジンには、String ICMP XL、String TCP XL、String UDP XL の 3 つの種類があります。
(注) 現時点で String XL エンジンと正規表現アクセラレータ カードをサポートしているのは、Cisco ASA 5585-X のみです。
(注) 正規表現アクセラレータ カードは、標準の String エンジンと新しい String XL エンジンの両方で使用されます。ほとんどの標準の String エンジンのシグニチャは、変更することなく、正規表現アクセラレータ カードでコンパイルおよび解析できます。ただし、標準の String エンジンのシグニチャを正規表現アクセラレータ カード向けにコンパイルできない特殊な状況があります。そのような状況では、新しいシグニチャは、正規表現アクセラレータ カードでコンパイルできない String XL エンジンの特定のパラメータを使用して、String XL エンジンで記述されます。String XL エンジンの新しいシグニチャにより、標準の String エンジンの元のシグニチャが廃止されます。
•
Sweep:1 つのホスト(ICMP と TCP)、宛先ポート(TCP と UDP)、および 2 つのノード間で RPC 要求を送受信する複数のポートからのスイープを分析します。Sweep エンジンには Sweep と Sweep Other TCP の 2 つの種類があります。
•
Traffic Anomaly:TCP、UDP、およびその他のトラフィックのワームを検査します。
•
Traffic ICMP:TFN2K、LOKI、DDOS などの非標準プロトコルを分析します。パラメータを設定できるのは 2 つのシグニチャだけです。
•
Trojan:BO2K や TFN2K などの標準的でないプロトコルのトラフィックを分析します。Trojan エンジンには、Bo2k、Tfn2k、および UDP の 3 つの種類があります。これらのエンジンには、ユーザが設定できるパラメータはありません。
Master エンジン
Master エンジンは、他のエンジンに対して構造体とメソッドを提供し、設定からの入力とアラート出力を処理します。ここでは、Master エンジンについて説明します。内容は次のとおりです。
•
「一般的なパラメータ」
•
「アラート頻度」
•
「イベント アクション」
一般的なパラメータ
次のパラメータは、Master エンジンの一部であり、すべてのシグニチャに適用されます(そのシグニチャ エンジンで意味を持つ場合)。
表 B-1 に、Master エンジンの一般的なパラメータの一覧を示します。
表 B-1 Master エンジンのパラメータ
|
|
|
Signature ID |
このシグニチャの ID を指定します。 |
数値 |
Sub Signature ID |
このシグニチャのサブ ID を指定します。 |
数値 |
Alert Severity |
アラートの重大度を指定します。 • 危険なアラート • 中レベルのアラート • 低レベルのアラート • 情報アラート |
• High • Medium • Low • Informational(デフォルト) |
Sig Fidelity Rating |
このシグニチャの忠実度評価を指定します。 |
0 ~ 100 (デフォルト = 100) |
Promiscuous Delta |
アラートの重大度を決定するために使用されるデルタ値を指定します。 |
0 ~ 30 (デフォルト = 5) |
Signature Name |
シグニチャの名前を指定します。 |
sig-name |
Alert Notes |
アラート メッセージに含まれる、このシグニチャに関する追加情報を指定します。 |
アラートの注記 |
User Comments |
このシグニチャに関するコメントを指定します。 |
コメント |
Alert Traits |
このシグニチャについて文書化する特性を指定します。 |
0 ~ 65335 |
Release |
シグニチャが最後に更新されたリリースを指定します。 |
リリース |
Signature Creation Date |
シグニチャが作成された日付を指定します。 |
-- |
Signature Type |
シグニチャのカテゴリを指定します。 |
• Anomaly • Component • Exploit • Other |
Engine |
シグニチャが属するエンジンを指定します。 (注) エンジン固有のパラメータは、Engine カテゴリの下に表示されます。 |
-- |
Event Count |
アラートを生成するまでのイベントの発生回数を指定します。 |
1 ~ 65535 (デフォルト = 1) |
Event Count Key |
このシグニチャに関するイベントをカウントするストレージ タイプを指定します。 • 攻撃者のアドレス • 攻撃者と攻撃対象のアドレス • 攻撃者のアドレスと攻撃対象のポート • 攻撃対象のアドレス • 攻撃者と攻撃対象のアドレスおよびポート |
• Axxx • AxBx • Axxb • xxBx • AaBb |
Specify Alert Interval {Yes | No} |
アラート間隔をイネーブルにします。 • Alert Interval:イベント カウントをリセットするまでの時間(秒数)を指定します。 |
2 ~ 1000 |
Status |
シグニチャが、イネーブルとディセーブルのどちらであるか、アクティブと廃棄のどちらであるかを指定します。 |
Enabled | Retired {Yes | No} |
Obsoletes |
新しいシグニチャにより古いシグニチャがディセーブルになったことを示します。 |
-- |
Vulnerable OS List |
パッシブ OS フィンガープリントと組み合わせることにより、IPS は、指定された攻撃がターゲット システムに該当する可能性が高いかどうかを判定します。 |
AIX BSD General OS HP-UX IOS IRIX Linux Mac OS Netware Other Solaris UNIX Windows Windows NT Windows NT/2K/XP |
Mars Category {Yes | No} |
シグニチャを MARS 攻撃カテゴリにマッピングします。 |
-- |
Promiscuous Delta
無差別モードの特定のアラートのリスク レーティングは、無差別デルタによって引き下げられます。センサーはターゲット システムの属性を認識せず、無差別モードではパケットを拒否できないため、無差別アラートの優先順位を下げ(低いリスク レーティングに基づきます)、よりリスク レーティングが高いアラートに管理者が注目できるようにすることは有用です。インライン モードでは、センサーで攻撃パケットを拒否し、ターゲット ホストに攻撃パケットが到達しないようにできるため、ターゲットに脆弱性があるかどうかは問題になりません。攻撃はネットワーク上で許可されなかったため、IPS によりリスク レーティングから差し引かれません。サービス、OS、またはアプリケーション固有でないシグニチャの無差別デルタは 0 になります。シグニチャが OS、サービス、またはアプリケーション固有である場合、無差別デルタは、各カテゴリの 5 ポイントから計算された 5、10、または 15 になります。
注意 シグニチャの無差別デルタ設定は変更しないことをお勧めします。
Obsoletes
シスコのシグニチャ チームは、obsoletes フィールドを使用して、新しくより適切なシグニチャで置き換えられた、廃止された古いシグニチャを示したり、エンジンのより優れたインスタンスが利用可能になったときに、エンジン内のディセーブルになったシグニチャを示します。たとえば、一部の String XL ハードウェア アクセラレーション シグニチャにより、String エンジンで定義されていた相当するシグニチャが置き換えられています。
Vulnerable OS List
シグニチャの脆弱 OS 設定とパッシブ OS フィンガープリントを組み合わせることで、IPS により特定の攻撃がターゲット システムに該当するかどうかを判定できます。攻撃が該当することがわかった場合、得られたアラートのリスク レーティング値が引き上げられます。一般にパッシブ OS フィンガープリント リストにエントリがないことが原因で、該当するかどうかが不明な場合、リスク レーティングは変更されません。パッシブ OS フィンガープリント エントリがあり、シグニチャの脆弱 OS 設定に一致しない場合、リスク レーティング値は引き下げられます。リスク レーティングの引き上げまたは引き下げ幅のデフォルト値は、+/- 10 ポイントです。
詳細情報
•
無差別モードの詳細については、「無差別モード」を参照してください。
•
パッシブ OS フィンガープリントの詳細については、「OS ID の設定」を参照してください。
アラート頻度
アラート頻度パラメータの目的は、stick などの IDS DoS ツールに対抗するために、イベント ストアに書き込まれるアラートの量を削減することです。Fire All、Fire Once、Summarize、および Global Summarize という 4 つのモードがあります。サマリー モードは、現在のアラート量に応じて動的に変わります。たとえば、シグニチャを [Fire All] に設定できますが、一定のしきい値に達するとサマライズが開始されます。
表 B-2 にアラート頻度パラメータの一覧を示します。
表 B-2 Master エンジンのアラート頻度のパラメータ
|
|
|
Alert Frequency |
アラートをグループ化するためのサマリー オプション。 |
-- |
Summary Mode |
サマライズで使用するモード。 |
-- |
Fire All |
すべてのイベントについてアラートを起動します。 |
-- |
Fire Once |
1 回だけアラートを起動します。 |
-- |
Global Summarize |
攻撃者や攻撃対象の数に関係なく 1 回だけアラートが起動されるようにアラートをサマライズします。 |
-- |
Summarize |
アラートをサマライズします。 |
-- |
Summary Threshold |
アラート数のしきい値。この値を超えるとシグニチャはサマリー モードに送られます。 |
0 ~ 65535 |
Global Summary Threshold |
イベント数のしきい値。この値を超えるとアラートはグローバル サマリーにサマライズされます。 |
1 ~ 65535 |
Summary Interval |
各サマリー アラートで使用される時間(秒数)。 |
1 ~ 1000 |
Summary Key |
シグニチャをサマライズするストレージ タイプ: • 攻撃者のアドレス • 攻撃者と攻撃対象のアドレス • 攻撃者のアドレスと攻撃対象のポート • 攻撃対象のアドレス • 攻撃者と攻撃対象のアドレスおよびポート |
Axxx AxBx Axxb xxBx AaBb |
イベント アクション
(注) 以下のイベント アクションのほとんどは、特定のエンジンに適していない場合を除き、各シグニチャ エンジンに属します。
以下のイベント アクション パラメータは、各シグニチャ エンジンに属します(そのシグニチャ エンジンにとって意味がある場合)。
•
アラート アクションとログ アクション
–
Product Alert:アラートをイベント ストアに書き込みます。
–
Produce Verbose Alert:エンコード ダンプ(切り捨てられている可能性あり)を、アラートに含めます。
–
Log Attacker Packets:攻撃者のアドレスが格納されたパケットの IP ロギングを開始し、アラートを送信します。
–
Log Victim Packets:攻撃対象のアドレスが格納されたパケットの IP ロギングを開始し、アラートを送信します。
–
Log Attacker/Victim Pair Packets:(インライン モードのみ)攻撃者と攻撃対象のアドレス ペアが格納されたパケットの IP ロギングを開始します。
–
Request SNMP Trap:NotificationApp に、SNMP 通知を実行するための要求を送信します。
•
拒否アクション
–
Deny Packet Inline:(インライン モードのみ)このパケットを送信しません。
(注) Deny Packet Inline のイベント アクション オーバーライドは、保護されているため削除できません。そのオーバーライドを使用しない場合は、ディセーブルにします。
–
Deny Connection Inline:(インライン モードのみ)このパケットと将来のパケットを TCP フロー上で送信しません。
–
Deny Attacker Victim Pair Inline:(インライン モードのみ)指定された期間、この攻撃者と攻撃対象のアドレスのペアについては、現在のパケットおよび将来のパケットを送信しません。
–
Deny Attacker Service Pair Inline:(インライン モードのみ)指定された期間、この攻撃者のアドレスと攻撃対象のポートのペアについては、現在のパケットおよび将来のパケットを送信しません。
–
Deny Attacker Inline:(インライン モードのみ)指定された期間、この攻撃者のアドレスからの現在のパケットおよび将来のパケットを送信しません。
(注) これは最も厳しい拒否アクションです。単一の攻撃者アドレスからの現在および将来のパケットが拒否されます。各拒否アドレスは、拒否が開始される原因となった最初のイベントから X 秒間でタイムアウトします。X は管理者が設定した秒数です。すべての拒否攻撃者エントリをクリアするには、[Monitoring] > [Properties] > [Denied Attackers] > [Clear List] の順に選択します。これにより、そのアドレスがネットワーク上で元のとおり許可されます。
–
Modify Packet Inline:(インライン モードのみ)エンドポイントによるパケットの処理に関するあいまいさを取り除くために、パケット データを変更します。
(注) Modify Packet Inline は、Normalizer Engine の一部です。これは、パケットをスクラブし、不正チェックサム、範囲外の値、その他の RFC 違反など、不規則な問題を修正します。
•
その他のアクション
(注) IPv6 は、イベント アクション[Request Block Host]、[Request Block Connection]、[Request Rate Limit] をサポートしません。
–
[Request Block Connection]:ARC に対してこの接続をブロックするよう要求します。
–
[Request Block Host]:ARC に対してこの攻撃者ホストをブロックするよう要求します。
–
[Request Rate Limit]:ARC に対してレート制限を実行するよう要求します。
–
[Reset TCP Connection]:TCP リセットを送信し、TCP フローを乗っ取って終了させます。
Deny Packet Inline について
Deny Packet Inline がアクションとして設定されているシグニチャや、Deny Packet Inline をアクションとして追加するイベント アクション オーバーライドでは、次のアクションを実行できます。
•
droppedPacket
•
deniedFlow
•
tcpOneWayResetSent
Deny Packet Inline アクションは、アラート内のドロップされたパケット アクションとして表現されます。Deny Packet Inline が TCP 接続に対して発生した場合、Deny Connection Inline アクションに自動的にアップグレードされ、アラート内で拒否されたフローとして認識されます。IPS により 1 個のパケットのみが拒否された場合、TCP はその同じパケットを何度も送信しようとするため、IPS は接続全体を拒否して、再送により成功しないようにします。
また、Deny Connection Inline が発生した場合、IPS は自動的に TCP の一方向リセットを送信します。これは、アラート内に TCP 一方向リセットが送信されたものとして現れます。IPS が接続を拒否するとき、クライアント(一般に攻撃者)とサーバ(一般に攻撃対象)の両方で接続が開かれたままになります。開かれた状態の接続が多すぎると、攻撃対象でリソースの問題が発生します。そのため、IPS は TCP リセットを攻撃対象に送信し、攻撃対象の側(通常はサーバ)で接続を閉じ、攻撃対象のリソースを保護します。また、フェールオーバーを防ぎ、他のネットワーク パスに接続がフェールオーバーして攻撃対象に到達するのを許してしまわないようにします。攻撃者の側は開かれたままになり、そこからのすべてのトラフィックが拒否されます。
正規表現の構文
正規表現(Regex)は、テキストを記述する手段として、強力で柔軟性のある表記言語です。パターン マッチングでは、正規表現によりあらゆる任意のパターンを簡潔に表記できます。
表 B-3 に、IPS シグニチャの正規表現構文の一覧を示します。
表 B-3 シグニチャの正規表現構文
|
|
|
? |
疑問符 |
0 回または 1 回の繰り返し。 |
* |
星印(アスタリスク) |
0 回以上の繰り返し。 |
+ |
プラス |
1 回以上の繰り返し。 |
{x} |
量指定子 |
ちょうど X 回の繰り返し。 |
{x,} |
最小量指定子 |
少なくとも X 回の繰り返し。 |
. |
ドット |
改行(0x0A)以外の任意の 1 文字。 |
[abc] |
文字クラス |
リスト内の任意の 1 文字。 |
[^abc] |
否定文字クラス |
リストにない任意の 1 文字。 |
[a-z] |
文字範囲クラス |
範囲内(両端も含む)の任意の 1 文字。 |
( ) |
カッコ |
他のメタ文字の適用範囲を制限する際に使用する。 |
| |
論理和(OR) |
このメタ文字によって区切られている複数の表現のいずれかと一致します。 |
^ |
キャレット |
行の先頭。 |
¥ char |
エスケープ文字。 |
char がメタ文字である場合も含めて、 char そのものと一致する。 |
char |
文字 |
char がメタ文字でない場合は、char そのものと一致する。 |
¥r |
復帰 |
復帰文字(0x0D)と一致する。 |
¥n |
改行 |
改行文字(0x0A)と一致する。 |
¥t |
Tab |
タブ文字(0x09)と一致する。 |
¥f |
フォーム フィード |
フォーム フィード文字(0x0C)と一致する。 |
¥xNN |
エスケープされた 16 進数文字 |
16 進コード 0xNN(0<=N<=F)を持つ文字と一致する。 |
¥NNN |
エスケープされた 8 進数文字 |
8 進コード NNN(0<=N<=8)を持つ文字と一致する。 |
繰り返し演算子ではいずれの場合も、該当する文字列のうち最も短いものが一致対象となります。一方、それ以外の演算子では、その適用範囲に最大限多くの文字が取り込まれるため、該当する文字列のうち最も長いものが一致対象となります。
表 B-4 は、正規表現のパターンの例を示したものです。
表 B-4 正規表現のパターン
|
|
Hacker |
Hacker |
Hacker または hacker |
[Hh]acker |
bananas、banananas、banananananas など、一定の規則で構成されたすべての文字列 |
ba(na)+s |
同じ行の中にある foo と bar の間に改行以外の文字が 0 個以上ある文字列 |
foo.*bar |
foo または bar |
foo|bar |
moon または soon |
(m|s)oon |
特殊文字
表 B-5 に、正規表現アクセラレータ カードの特殊文字とその 16 進表現の一覧を示します。リテラル文字は正規表現のメタ文字です。これらの文字を検査対象のトラフィックと照合するためには、文字の 16 進表現を使用します。
表 B-5 特殊文字
|
|
. |
¥x2e |
[ |
¥x5b |
] |
¥x5d |
- |
¥x2d |
^ |
¥x5e |
¥ |
¥x5c |
/ |
¥x2f |
* |
¥x2a |
+ |
¥x2b |
? |
¥x3f |
{ |
¥x7b |
} |
¥x7d |
“ |
¥x22 |
( |
¥x28 |
) |
¥x29 |
詳細情報
これらの特殊文字を使用する String XL エンジンの詳細については、「String XL エンジン」を参照してください。
AIC エンジン
Application Inspection and Control(AIC)エンジンは、HTTP Web トラフィックを検査し、FTP コマンドを強制します。ここでは、AIC エンジンとそのパラメータについて説明します。内容は次のとおりです。
•
「AIC エンジンについて」
•
「AIC エンジンのセンサーのパフォーマンス」
•
「AIC エンジンのパラメータ」
AIC エンジンについて
AIC は、Web トラフィックの包括的な分析を行います。HTTP セッションに対してより細かな制御を実行して、HTTP プロトコルの悪用を防ぎます。インスタント メッセージングや GotoMyPC など、指定したポート上でトンネリングを行おうとするアプリケーションに対する管理制御も可能です。P2P やインスタント メッセージの検査とポリシー チェックは、これらのアプリケーションが HTTP 上で動作している場合に可能です。また、AIC は、FTP トラフィックを調査し、実行中のコマンドを制御するための手段も備えています。定義済みのシグニチャをイネーブルまたはディセーブルにしたり、カスタム シグニチャを通じてポリシーを作成できます。
(注) AIC エンジンは、AIC Web ポートで HTTP トラフィックを受信したときに実行されます。トラフィックが Web トラフィックであるものの、AIC Web ポートで受信されなかった場合は、Service HTTP エンジンが実行されます。AIC の検査は、ポートが AIC Web ポートとして設定されており、検査対象のトラフィックが HTTP トラフィックであれば、任意のポートで実行できます。
AIC エンジンのセンサーのパフォーマンス
アプリケーション ポリシー強制は、センサー固有の機能です。悪用、脆弱性、および異常を検査する従来の IPS テクノロジーを基にするのではなく、AIC ポリシー強制は、HTTP および FTP サービス ポリシーを強制するように設計されています。このポリシー強制に必要な検査作業は、従来の IPS 検査作業と比べると非常に負荷が高いものになります。この機能を使用すると、大幅なパフォーマンス低下を招きます。AIC をイネーブルにした場合、センサーの全体的な帯域幅キャパシティが下がります。
AIC ポリシー強制は、IPS のデフォルト設定ではディセーブルになっています。AIC ポリシー強制をアクティブにする場合、関心がある正確なポリシーを慎重に選び、不要なポリシーをディセーブルにすることを強くお勧めします。また、センサーが最大検査容量に達している場合は、センサーがオーバーサブスクライブされるおそれがあるため、この機能を使用しないことをお勧めします。この種のポリシー強制を扱うには、適応型セキュリティ アプライアンス ファイアウォールを使用することをお勧めします。
AIC エンジンのパラメータ
AIC エンジンでは、Web トラフィックを詳細に検査するためのシグニチャが定義されています。また、FTP コマンドを認証および強制するためのシグニチャも定義されています。AIC エンジンには、AIC HTTP と AIC FTP の 2 つがあります。
AIC エンジンには、次の機能が搭載されています。
•
Web トラフィック
–
RFC 準拠強制
–
HTTP 要求方法の認証と強制
–
応答メッセージの検証
–
MIME タイプの適用
–
転送符号化タイプの検証
–
メッセージ コンテンツと転送データの種類に基づくコンテンツ制御
–
URI 長さ強制
–
設定されたポリシーとヘッダーに従ったメッセージ サイズ強制
–
トンネリング、P2P、およびインスタント メッセージ強制。
この強制は、正規表現を通じて実行されます。定義済みのシグニチャがありますが、ユーザがリストを拡張できます。
•
FTP トラフィック
–
FTP コマンドの承認と強制
表 B-6 に、AIC HTTP エンジンに固有のパラメータを示します。
表 B-6 AIC HTTP エンジンのパラメータ
|
|
Signature Type |
AIC デバイスの種類。 |
Content Types |
MIME タイプを扱う AIC シグニチャ。 • [Define Content Type]:特定の MIME タイプ(image/gif)の拒否、メッセージサイズ違反の定義、ヘッダーと本文で宣言されている MIME タイプの不一致の判定などのアクションを関連付けます。 • [Define Recognized Content Types]:センサーによって認識されたコンテンツ タイプを一覧表示します。 |
Define Web Traffic Policy |
非準拠の HTTP トラフィックを認識した場合に実行するアクションを指定します。[Alert on Non-HTTP Traffic Yes | No] はシグニチャをイネーブルにします。このシグニチャは、デフォルトではディセーブルになっています。 |
Max Outstanding Requests Overrun |
接続あたりに許可される最大 HTTP 要求(1 ~ 16)。 |
Msg Body Pattern |
メッセージ本文の中の特定のパターンを探すシグニチャを定義するには、正規表現を使用します。 |
Request Methods |
HTTP 要求方法にアクションを関連付けることができる AIC シグニチャ。 • [Define Request Method]:get、put など。 • [Recognized Request Methods]:センサーによって認識される方法の一覧を表示します。 |
Transfer Encoding |
AIC 転送符号化を扱うシグニチャ。 • [Define Transfer Encoding]:compress、chunked などのアクションを各方法に関連付けます。 • [Recognized Transfer Encodings]:センサーによって認識される方法の一覧を表示します。 • [Chunked Transfer Encoding]:エラーは、チャンク エンコーディング エラーが認識された場合に実行するアクションを指定します。 |
表 B-7 に、AIC FTP エンジンに固有のパラメータを示します。
表 B-7 AIC FTP エンジンのパラメータ
|
|
Signature Type |
AIC シグニチャのタイプを指定します。 |
FTP Commands |
アクションを FTP コマンドに関連付けます。 • [FTP Command]:検査する FTP コマンドを選択できます。 |
Unrecognized FTP Command |
認識されない FTP コマンドを検査します。 |
詳細情報
•
AIC エンジンのシグニチャの設定手順については、「Application Policy シグニチャの設定」を参照してください。
•
カスタム AIC シグニチャの例については、「AIC シグニチャの調整」を参照してください。
•
すべてのシグニチャ エンジンに共通のパラメータの詳細については、「Master エンジン」を参照してください。
•
シグニチャの正規表現構文の一覧については、「正規表現の構文」を参照してください。
Atomic エンジン
Atomic エンジンには、アラートを発生する、単純な単一 パケット条件のシグニチャが含まれています。ここでは、Atomic エンジンについて説明します。内容は次のとおりです。
•
「Atomic ARP エンジン」
•
「Atomic IP Advanced エンジン」
•
「Atomic IP エンジン」
•
「Atomic IPv6 エンジン」
Atomic ARP エンジン
Atomic ARP エンジンは、レイヤ 2 の基本的な ARP シグニチャを定義し、ARP スプーフィング ツールである dsniff と ettercap に対して高度な検出を実行します。
表 B-8 に、Atomic ARP エンジンに固有のパラメータを示します。
表 B-8 Atomic ARP エンジンのパラメータ
|
|
|
Specify ARP Operation |
(任意)ARP 動作をイネーブルにします。 • [ARP Operation]:検査する ARP 動作の種類。 |
0 ~ 65535 |
Specify Mac Flip Times |
(任意)MAC アドレス フリップ回数をイネーブルにします。 • [Mac Flip Times]:アラート中で何度 MAC アドレスを反転させるかを指定します。 |
0 ~ 65535 |
Specify Request Inbalance |
(任意)要求のアンバランスをイネーブルにします。 • [Request Inbalance]:特定の IP アドレスに対して、応答よりも要求の方が指定した数より多い場合に、アラートを起動します。 |
0 ~ 65535 |
Specify Type of ARP Sig |
(任意)ARP シグニチャのタイプをイネーブルにします。 • [Type of ARP Sig]:発行する ARP シグニチャのタイプを指定します。 – [Destination Broadcast]:255.255.255.255 の ARP 宛先アドレスを検出した場合に、このシグニチャのアラートを起動します。 – [Same Source and Destination]:送信元と宛先の MAC アドレスが同じである ARP 宛先アドレスを検出した場合に、このシグニチャのアラートを起動します。 – [Source Broadcast](デフォルト):255.255.255.255 の ARP 送信元アドレスを検出した場合に、このシグニチャのアラートを起動します。 – [Source Multicast]:ARP 送信元 MAC アドレス 01:00:5e:(00-7f)を検出した場合に、このシグニチャのアラートを起動します。 |
Dst Broadcast Same Src and Dst Src Broadcast Src Multicast |
Storage Key |
固定データを保存するために使用するアドレス キーのタイプ。 • 攻撃者のアドレス • 攻撃者と攻撃対象のアドレス • 攻撃対象のアドレス • グローバル |
Axxx AxBx xxBx xxxx |
詳細情報
すべてのシグニチャ エンジンに共通のパラメータの詳細については、「Master エンジン」を参照してください。
Atomic IP Advanced エンジンについて
Atomic IP Advanced エンジンは、IPv6 ヘッダーとその拡張、IPv4 ヘッダーとそのオプション、ICMP、ICMPv6、TCP、および UDP を解析および解釈し、通常でないアクティビティを示す異常を探します。
Atomic IP Advanced エンジンのシグニチャは次のことを実行します。
•
偽造された IP アドレスなど、IP アドレスの異常を検査します
•
パケットの長さフィールドの不正な情報の検査
•
パケットに関する情報アラートの起動
•
限定的な既知の脆弱性についての重大度が高いアラートの起動
•
Engine Atomic IP における、IPv6 にも適用可能な IPv6 固有のシグニチャの複製
•
IP アドレス、ポート、プロトコル、パケット データからの限定的なデータに基づく、トンネリングされたトラフィックを識別するためのデフォルト シグニチャの提供
最も外側の IP トンネルのみが認識されます。IPv4 トンネルの内部に IPv6 トンネルまたは IPv6 トラフィックが検出された場合、シグニチャによりアラートが起動されます。埋め込みトンネルの中の他のすべての IPv6 トラフィックは検査されません。次のトンネリング方法がサポートされていますが、個別には検出されません。たとえば、ISATAP、6to4、および手動 IPv6 RFC 4213 トンネルは、すべて IPv4 の中の IPv6 として認識され、シグニチャ 1007 によって検出されます。
•
ISATAP
•
6to4(RFC 3056)
•
手動で設定されたトンネル(RFC 4213)
•
IPv6 over GRE
•
UDP の中の Teredo(IPv6)
•
MPLS(暗号化なし)
•
IPv6 over IPv6
IPv6 は次の機能をサポートしています。
•
送信元 IP アドレス、宛先 IP アドレス、または IP アドレスのペアによる拒否
•
アラート
•
TCP 接続のリセット
•
ロギング
詳細情報
•
カスタム Atomic IP Advanced シグニチャの例については、「Atomic IP Advanced エンジンのシグニチャの例」を参照してください。
•
Atomic IP Advanced エンジンの制限事項の一覧については、「Atomic IP Advanced エンジンの制限事項」を参照してください。
•
Atomic IP Advanced エンジンのパラメータの一覧については、「Atomic IP Advanced エンジンのパラメータ」を参照してください。
•
すべてのシグニチャ エンジンに共通のパラメータの詳細については、「Master エンジン」を参照してください。
Atomic IP Advanced エンジンの制限事項
Atomic IP Advanced エンジンには次の制限があります。
•
パケットがフラグメント化されており、レイヤ 4 ID が最初のパケットに現れない場合、パケットのレイヤ 4 フィールドを検出できません。
•
フラグメントの組み立てがないため、IPv6 によってフラグメント化されたパケットを使用したフロー中のレイヤ 4 攻撃を検出できません。
•
トンネリングされたフローを使用した攻撃を検出できません。
•
フラグメンテーション ヘッダーについては限定的なチェックが行われます。
•
AIM IPS および NME IPS では、IPv6 の機能がサポートされていません。これは、それらがインストールされているルータにより IPv6 データが送信されないためです。IPv6 検査は、IDSM2 上で動作する可能性がありますが、正式にはサポートされていません。管理(コマンドおよび制御)インターフェイス上では IPv6 がサポートされていません。ASA 8.2(1) では、AIP SSM および AIP SSC-5 で IPv6 の機能がサポートされています。ASA 8.2(4) では、IPS SSP により IPv6 の機能がサポートされています。
•
不正な重複ヘッダーがある場合、シグニチャが起動されますが、個々のヘッダーは個別に検査されません。
•
異常検出では IPv6 トラフィックがサポートされておらず、IPv4 トラフィックのみが異常検出プロセッサに渡されます。
•
レート制限およびブロッキングは、IPv6 トラフィックではサポートされていません。ブロック アクションまたはレート制限アクションが設定されているシグニチャが IPv6 トラフィックによってトリガーされると、アラートが生成されますが、アクションは実行されません。
詳細情報
•
カスタム Atomic IP Advanced シグニチャの例については、「Atomic IP Advanced エンジンのシグニチャの例」を参照してください。
•
Atomic IP Advanced エンジンのパラメータの一覧については、「Atomic IP Advanced エンジンのパラメータ」を参照してください。
•
すべてのシグニチャ エンジンに共通のパラメータの詳細については、「Master エンジン」を参照してください。
Atomic IP Advanced エンジンのパラメータ
(注) 各範囲の 2 番目の数は、最初の数と同じかそれより大きいことが必要です。
表 B-9 に、Atomic IP Advanced エンジン固有のパラメータを示します。
表 B-9 Atomic IP Advanced エンジンのパラメータ
|
|
|
|
|
|
Fragment Status |
フラグメントが必要かどうかを指定します。 |
Any | No Fragments | Want Fragments |
Specify Encapsulation |
(任意)パケットの L3 の開始前にカプセル化を指定します。 • [Encapsulation]:検査するカプセル化の種類。 |
None | MPLS | GRE | Ipv4 in IPv6 | IP IP | Any |
Specify IP Version |
(任意)IP プロトコル バージョンを指定します。 • [IP Version]:IPv4 または IPv6。 |
IPv4| IPv6 |
Swap Attacker Victim |
攻撃者と攻撃対象のアドレスとポート(送信元および宛先)を、アラート メッセージとアクションで入れ替える場合は [Yes]。入れ替えない場合は [No](デフォルト)。 |
[Yes] | [No] |
|
|
|
Specify Regex Inspection |
(任意)正規表現検査をイネーブルにします。 |
[Yes] | [No] |
Regex Scope |
検索の開始および終了場所を指定します。 |
• ipv6-doh-only • ipv6-doh-plus • ipv6-hoh-only • ipv6-hoh-plus • ipv6-rh-only • ipv6-rh-plus • layer3-only • layer3-plus • layer4 |
Regex String |
単一の TCP パケット内で検索する正規表現を指定します。 |
string |
Specify Exact Match Offset |
完全一致オフセットをイネーブルにします。 • [Exact Match Offset]:一致が有効であるために、[Regex String] が報告する必要がある正確なストリーム オフセット。 |
0 ~ 65535 |
Specify Minimum Match Length |
最小一致長をイネーブルにします。 • [Minimum Match Length]:[Regex String] が一致する必要がある最小バイト数を指定します。 |
0 ~ 65535 |
Specify Minimum Match Offset |
最小一致オフセットをイネーブルにします。 • [Minimum Match Offset]:一致が有効であるために [Regex String] が報告する必要がある、最小ストリーム オフセットを指定します。 |
0 ~ 65535 |
Specify Maximum Match Offset |
最大一致オフセットをイネーブルにします。 • [Maximum Match Offset]:一致が有効であるために [Regex String] が報告する必要がある、最大ストリーム オフセットを指定します。 |
0 ~ 65535 |
|
|
|
Specify Authentication Header |
(任意)認証ヘッダーの検査をイネーブルにします。 • [AH Present]:認証ヘッダーが存在することを指定します。 – [AH Length]:認証ヘッダーの長さを指定します。 – [AH Next Header]:認証ヘッダーの値を指定します。 |
Have AH | No AH 0 ~ 1028 0 ~ 255 |
Specify Destination Options Header |
(任意)宛先オプション ヘッダーの検査をイネーブルにします。 • [DOH Present]:宛先オプション ヘッダーが存在することを指定します。 – [DOH Count]:検査する宛先オプション ヘッダーの数を指定します。 – [DOH Length]:検査する宛先オプション ヘッダーの長さを指定します。 – [DOH Next Header]:検査する次の宛先オプション ヘッダーの数を指定します。 – [DOH Option Type]:検査する宛先オプション ヘッダーのタイプを指定します。 – [DOH Option Length]:検査する宛先オプション ヘッダーの長さを指定します。 |
Have DOH | No DOH 0 ~ 2 8 ~ 2048 0 ~ 255 0 ~ 255 0 ~ 255 |
Specify ESP Header |
(任意)ESP ヘッダーの検査をイネーブルにします。 • [ESP Present]:ESP ヘッダーが存在することを指定します。 |
Have ESP | No ESP |
Specify First Next Header |
(任意)最初の次ヘッダーの検査をイネーブルにします。 • [First Next Header]:検査する最初の次ヘッダーの値を指定します。 |
0 ~ 255 |
Specify Flow Label |
(任意)フロー ラベルの検査をイネーブルにします。 • [Flow Label]:検査するフロー ラベルの値を指定します。 |
0 ~ 1048575 |
Specify Headers Out of Order |
(任意)順序が不正なヘッダーの検査をイネーブルにします。 • [Headers Out of Order]:検査するヘッダーの順序を指定します。 |
[Yes] | [No] |
Specify Headers Repeated |
(任意)繰り返しヘッダーの検査をイネーブルにします。 • [Headers Repeated]:検査するヘッダーの繰り返しを指定します。 |
[Yes] | [No] |
Specify Hop Limit |
(任意)ホップ制限をイネーブルにします。 • [Hop Limit]:検査するホップ制限の値を指定します。 |
0 ~ 255 |
Specify Hop Options Header |
(任意)ホップバイホップ オプション ヘッダーの検査をイネーブルにします。 • [HOH Present]:ホップバイホップ オプション ヘッダーが存在することを指定します。 |
Have HOH | No HOH |
Specify IPv6 Address Options |
(任意)IPv6 アドレス オプションをイネーブルにします。 • [IPv6 Address Options]:IPv6 アドレス オプションを指定します。 – [Address With Localhost]:::1 の IP アドレス。 – [Documentation Address]:プレフィクスが 2001:db8::/32 の IP アドレス。 – [IPv6 Address]:IP アドレス。 – [Link Local Address]:IPv6 リンク ローカル アドレスを検査します。 – [Multicast Destination]:宛先マルチキャスト アドレスを検査します。 – [Multicast Source]:送信元マルチキャスト アドレスを検査します。 – [Not Link Local Address]:リンクローカルでないアドレスを検査します。 – [Not Valid Address]:リンクローカル、グローバル、またはマルチキャスト用に予約されていないアドレスを検査します。 – [Source IP Equals Destination IP]:送信元アドレスと宛先アドレスは同じです。 |
|
Specify IPv6 Data Length |
(任意)IPv6 データ長の検査をイネーブルにします。 • [IPv6 Data Length]:検査する IPv6 データ長を指定します。 |
0 ~ 65535 |
Specify IPv6 Header Length |
(任意)IPv6 ヘッダー長の検査をイネーブルにします。 • [Pv6 Header Length]:検査する IPv6 ヘッダーの長さを指定します。 |
0 ~ 65535 |
Specify IPv6 Total Length |
(任意)IPv6 合計長の検査をイネーブルにします。 • [IPv6 Total Length]:検査する IPv6 合計長を指定します。 |
0 ~ 65535 |
Specify IPv6 Payload Length |
(任意)IPv6 ペイロード長の検査をイネーブルにします。 • [IPv6 Payload Length]:検査する IPv6 ペイロード長を指定します。 |
0 ~ 65535 |
Specify Routing Header |
(任意)ルーティング ヘッダーの検査をイネーブルにします。 • [RH Present]:ルーティング ヘッダーが存在することを指定します。 |
Have RH | No RH |
Specify Traffic Class |
(任意)トラフィック クラスの検査をイネーブルにします。 • [Traffic Class]:検査するトラフィック クラスの値を指定します。 |
0 ~ 255 |
|
|
|
Specify IP Addr Options |
(任意)IP アドレス オプションをイネーブルにします。 • [IP Addr Options]:IP アドレス オプションを指定します。 |
Address With Localhost IP Address RFC 1918 Address Src IP Eq Dst IP |
Specify IP Header Length |
(任意)IP ヘッダー長の検査をイネーブルにします。 • [IP Header Length]:検査する IP ヘッダーの長さを指定します。 |
0 ~ 16 |
Specify IP Identifier |
(任意)IP ID の検査をイネーブルにします。 • [IP Identifier]:検査する IP ID を指定します。 |
0 ~ 255 |
Specify IP Option Inspection |
(任意)IP オプションの検査をイネーブルにします。 • [IP Option Inspection]:IP オプションの値を指定します。 – [IP Option]:照合する IP オプション コード。 – [IP Option Abnormal Options]:不正なオプションのリスト。 |
0 ~ 65535 [Yes] | [No] |
Specify IP Payload Length |
(任意)IP ペイロード長の検査をイネーブルにします。 • [IP Payload Length]:検査する IP ペイロードの長さを指定します。 |
0 ~ 65535 |
Specify IP Type of Service |
(任意)IP タイプ オブ サービスを指定します。 • [IP Type of Service]:検査する IP タイプ オブ サービスを指定します。 |
0 ~ 255 |
Specify IP Total Length |
(任意)IP 合計長の検査をイネーブルにします。 • [IP Total Length]:検査する IP パケットの合計長を指定します。 |
0 ~ 65535 |
Specify IP Time-to-Live |
(任意)IP 存続可能時間の検査をイネーブルにします。 • [IP Time-to-Live]:IP TTL の検査を指定します。 |
0 ~ 255 |
Specify IP Version |
(任意)IP バージョンの検査をイネーブルにします。 • [IP Version]:検査する IP バージョンを指定します。 |
0 ~ 16 |
|
|
|
Specify L4 Protocol |
(任意)L4 プロトコルの検査をイネーブルにします。 • [L4 Protocol]:検査する L4 プロトコルを指定します。 |
ICMP Protocol ICMPv6 Protocol TCP Protocol UDP Protocol Other IP Protocols |
|
|
|
Other IP Protocol ID |
(任意)他の L4 プロトコルの検査をイネーブルにします。 • [Other IP Protocol ID]:アラートを送信する単一の IP プロトコル番号を指定します。 |
0 ~ 256 |
|
|
|
Specify ICMP Code |
(任意)L4 ICMP コードの検査をイネーブルにします。 • [ICMP Code]:ICMP ヘッダーの CODE 値を指定します。 |
0 ~ 65535 |
Specify ICMP ID |
(任意)L4 ICMP ID の検査をイネーブルにします。 • [ICMP ID]:ICMP ヘッダーの IDENTIFIER 値を指定します。 |
0 ~ 65535 |
Specify ICMP Sequence |
(任意)L4 ICMP シーケンスの検査をイネーブルにします。 • [ICMP Sequence]:検査する ICMP シーケンスを指定します。 |
0 ~ 65535 |
Specify ICMP Type |
(任意)ICMP ヘッダー タイプの検査をイネーブルにします。 • [ICMP Type]:ICMP ヘッダーの TYPE 値を指定します。 |
0 ~ 65535 |
|
|
|
Specify ICMPv6 Code |
(任意)L4 ICMPv6 コードの検査をイネーブルにします。 • [ICMPv6 Code]:ICMPv6 ヘッダーの CODE 値を指定します。 |
0 ~ 255 |
Specify ICMPv6 ID |
(任意)L4 ICMPv6 ID の検査をイネーブルにします。 • [ICMPv6 ID]:ICMPv6 ヘッダーの IDENTIFIER 値を指定します。 |
0 ~ 65535 |
Specify ICMPv6 Length |
(任意)L4 ICMPv6 の長さの検査をイネーブルにします。 • [ICMPv6 Length]:ICMPv6 ヘッダーの LENGTH 値。 |
0 ~ 65535 |
Specify ICMPv6 MTU Field |
(任意)L4 ICMPv6 の MTU フィールドの検査をイネーブルにします。 • [ICMPv6 MTU Field]:ICMPv6 ヘッダーの MTU フィールドの値。 |
4,294,967,295 |
Specify ICMPv6 Option Type |
(任意)L4 ICMPv6 タイプの検査をイネーブルにします。 • [ICMPv6 Option Type]:検査する ICMPv6 オプション タイプを指定します。 |
0 ~ 255 |
Specify ICMPv6 Option Length |
(任意)L4 ICMPv6 オプション タイプの検査をイネーブルにします。 • [ICMPv6 Option Length]:検査する ICMPv6 オプション タイプを指定します。 |
0 ~ 255 |
Specify ICMPv6 Sequence |
(任意)L4 ICMPv6 シーケンスの検査をイネーブルにします。 • [ICMPv6 Sequence]:ICMPv6 ヘッダーの SEQUENCE 値。 |
0 ~ 65535 |
Specify ICMPv6 Type |
(任意)L4 ICMPv6 タイプの検査をイネーブルにします。 • [ICMPv6 Type]:ICMPv6 ヘッダーの TYPE 値。 |
0 ~ 255 |
|
|
|
Specify Destination Port |
(任意)宛先ポートの使用を指定します。 • [Destination Port]:このシグニチャが対象にする宛先ポート。 |
0 ~ 65535 |
Specify Source Port |
(任意)送信元ポートの使用を指定します。 • [Source Port]:このシグニチャが対象にする送信元ポート。 |
0 ~ 65535 |
Specify TCP Mask |
(任意)TCP マスクの使用を指定します。 • [TCP Mask]:TCP フラグの比較で使用するマスク。 – URG ビット – ACK ビット – PSH ビット – RST ビット – SYN ビット – FIN ビット |
• URG • ACK • PSH • RST • SYN • FIN |
Specify TCP Flags |
(任意)TCP フラグの使用をイネーブルにします。 • [TCP Flags]:マスクによってマスクされた場合に照合する TCP フラグ。 – URG ビット – ACK ビット – PSH ビット – RST ビット – SYN ビット – FIN ビット |
• URG • ACK • PSH • RST • SYN • FIN |
Specify TCP Reserved |
(任意)TCP 予約の使用をイネーブルにします。 • [TCP Reserved]:TCP 予約。 |
0 ~ 63 |
Specify TCP Header Length |
(任意)L4 TCP ヘッダー長の検査をイネーブルにします。 • [TCP Header Length]:検査で使用する TCP ヘッダーの長さを指定します。 |
0 ~ 60 |
Specify TCP Payload Length |
(任意)L4 TCP ペイロード長の検査をイネーブルにします。 • [TCP Payload Length]:TCP ペイロードの長さを指定します。 |
0 ~ 65535 |
Specify TCP URG Pointer |
(任意)L4 TCP の URG ポインタの検査をイネーブルにします。 • [TCP URG Pointer]:TCP URG フラグの検査を指定します。 |
0 ~ 65535 |
Specify TCP Window Size |
(任意)L4 TCP ウィンドウ サイズの検査をイネーブルにします。 • [TCP Window Size]:TCP パケットのウィンドウ サイズを指定します。 |
0 ~ 65535 |
Specify UDP Valid Length |
(任意)L4 UDP の有効長の検査をイネーブルにします。 • [UDP Valid Length]:有効であると見なし検査しない UDP パケット長を指定します。 |
0 ~ 65535 |
Specify UDP Length Mismatch |
(任意)L4 UDP の長さの不一致の検査をイネーブルにします。 • [UDP Length Mismatch]:IP データ長が UDP ヘッダー長よりも小さい場合にアラートを起動します。 |
[Yes] | [No] |
詳細情報
•
カスタム Atomic IP Advanced シグニチャの例については、「Atomic IP Advanced エンジンのシグニチャの例」を参照してください。
•
Atomic IP Advanced エンジンの制限事項の一覧については、「Atomic IP Advanced エンジンの制限事項」を参照してください。
•
すべてのシグニチャ エンジンに共通のパラメータの詳細については、「Master エンジン」を参照してください。
•
シグニチャの正規表現構文の一覧については、「正規表現の構文」を参照してください。
Atomic IP エンジン
Atomic IP エンジンでは、IP プロトコル ヘッダーおよび関連付けられたレイヤ 4 トランスポート プロトコル(TCP、UDP、および ICMP)とペイロードを検査するシグニチャを定義します。Atomic エンジンでは、複数のパケットにまたがる固定データは保存されません。その代わりに、1 つのパケットの解析を基にしてアラートを起動できます。
表 B-10 に、Atomic IP エンジンに固有のパラメータを示します。
表 B-10 Atomic IP エンジンのパラメータ
|
|
|
Specify IP Addr Options |
(任意)IP アドレス オプションをイネーブルにします。 • [IP Addr Options]:IP アドレス オプションを指定します。 |
Address With Localhost IP Address RFC 1918 Address Src IP Eq Dst IP |
Specify IP Header Length |
(任意)IP ヘッダー長の検査をイネーブルにします。 • [IP Header Length]:検査する IP ヘッダーの長さを指定します。 |
0 ~ 16 |
Specify IP Identifier |
(任意)IP ID の検査をイネーブルにします。 • [IP Identifier]:検査する IP ID を指定します。 |
0 ~ 255 |
Specify IP Option Inspection |
(任意)IP オプションの検査をイネーブルにします。 • [IP Option Inspection]:IP オプションの値を指定します。 – [IP Option]:照合する IP オプション コード。 – [IP Option Abnormal Options]:不正なオプションのリスト。 |
0 ~ 65535 [Yes] | [No] |
Specify IP Payload Length |
(任意)IP ペイロード長の検査をイネーブルにします。 • [IP Payload Length]:検査する IP ペイロードの長さを指定します。 |
0 ~ 65535 |
Specify IP Type of Service |
(任意)IP タイプ オブ サービスを指定します。 • [IP Type of Service]:検査する IP タイプ オブ サービスを指定します。 |
0 ~ 6255 |
Specify IP Total Length |
(任意)IP 合計長の検査をイネーブルにします。 • [IP Total Length]:検査する IP パケットの合計長を指定します。 |
0 ~ 65535 |
Specify IP Time-to-Live |
(任意)IP 存続可能時間の検査をイネーブルにします。 • [IP Time-to-Live]:IP TTL の検査を指定します。 |
0 ~ 255 |
Specify IP Version |
(任意)IP バージョンの検査をイネーブルにします。 • [IP Version]:検査する IP バージョンを指定します。 |
0 ~ 16 |
Specify L4 Protocol |
(任意)L4 プロトコルの検査をイネーブルにします。 • [L4 Protocol]:検査する L4 プロトコルを指定します。 |
ICMP Protocol TCP Protocol UDP Protocol Other IP Protocols |
Specify ICMP Code |
(任意)L4 ICMP コードの検査をイネーブルにします。 • [ICMP Code]:ICMP ヘッダーの CODE 値を指定します。 |
0 ~ 65535 |
Specify ICMP ID |
(任意)L4 ICMP ID の検査をイネーブルにします。 • [ICMP ID]:ICMP ヘッダーの IDENTIFIER 値を指定します。 |
0 ~ 65535 |
Specify ICMP Sequence |
(任意)L4 ICMP シーケンスの検査をイネーブルにします。 • [ICMP Sequence]:検査する ICMP シーケンスを指定します。 |
0 ~ 65535 |
Specify ICMP Type |
(任意)ICMP ヘッダー タイプの検査をイネーブルにします。 • [ICMP Type]:ICMP ヘッダーの TYPE 値を指定します。 |
0 ~ 65535 |
Specify ICMP Total Length |
(任意)L4 ICMP 合計ヘッダー長の検査をイネーブルにします。 • [ICMP Total Length]:検査する ICMP 合計長の値を指定します。 |
0 ~ 65535 |
Other IP Protocol ID |
(任意)他の L4 プロトコルの検査をイネーブルにします。 • [Other IP Protocol ID]:アラートを送信する単一の IP プロトコル番号を指定します。 |
0 ~ 256 |
Specify Destination Port |
(任意)宛先ポートの使用を指定します。 • [Destination Port]:このシグニチャが対象にする宛先ポート。 |
0 ~ 65535 |
Specify Source Port |
(任意)送信元ポートの使用を指定します。 • [Source Port]:このシグニチャが対象にする送信元ポート。 |
0 ~ 65535 |
Specify TCP Mask |
(任意)TCP マスクの使用を指定します。 • [TCP Mask]:TCP フラグの比較で使用するマスク。 – URG ビット – ACK ビット – PSH ビット – RST ビット – SYN ビット – FIN ビット |
• URG • ACK • PSH • RST • SYN • FIN |
Specify TCP Flags |
(任意)TCP フラグの使用をイネーブルにします。 • [TCP Flags]:マスクによってマスクされた場合に照合する TCP フラグ。 – URG ビット – ACK ビット – PSH ビット – RST ビット – SYN ビット – FIN ビット |
• URG • ACK • PSH • RST • SYN • FIN |
Specify TCP Reserved |
(任意)TCP 予約の使用をイネーブルにします。 • [TCP Reserved]:TCP 予約。 |
0 ~ 63 |
Specify TCP Header Length |
(任意)L4 TCP ヘッダー長の検査をイネーブルにします。 • [TCP Header Length]:検査で使用する TCP ヘッダーの長さを指定します。 |
0 ~ 60 |
Specify TCP Payload Length |
(任意)L4 TCP ペイロード長の検査をイネーブルにします。 • [TCP Payload Length]:TCP ペイロードの長さを指定します。 |
0 ~ 65535 |
Specify TCP URG Pointer |
(任意)L4 TCP の URG ポインタの検査をイネーブルにします。 • [TCP URG Pointer]:TCP URG フラグの検査を指定します。 |
0 ~ 65535 |
Specify TCP Window Size |
(任意)L4 TCP ウィンドウ サイズの検査をイネーブルにします。 • [TCP Window Size]:TCP パケットのウィンドウ サイズを指定します。 |
0 ~ 65535 |
Specify UDP Length |
(任意)L4 UDP の長さの検査をイネーブルにします。 • [UDP Length]:IP データ長が UDP ヘッダー長よりも小さい場合にアラートを起動します。 |
0 ~ 65535 |
Specify UDP Valid Length |
(任意)L4 UDP の有効長の検査をイネーブルにします。 • [UDP Valid Length]:有効であると見なし検査しない UDP パケット長を指定します。 |
0 ~ 65535 |
Specify UDP Length Mismatch |
(任意)L4 UDP の長さの不一致の検査をイネーブルにします。 • [UDP Length Mismatch]:IP データ長が UDP ヘッダー長よりも小さい場合にアラートを起動します。 |
[Yes] | [No] |
詳細情報
すべてのシグニチャ エンジンに共通のパラメータの詳細については、「Master エンジン」を参照してください。
Atomic IPv6 エンジン
Atomic IPv6 エンジンは、不正な形式の IPv6 トラフィックによって引き起こされる IOS の 2 つの脆弱性を検出します。これらの脆弱性は、ルータのクラッシュやその他のセキュリティ上の問題につながることがあります。IOS の脆弱性の 1 つは、複数の先頭フラグメントを処理し、バッファ オーバーフローを引き起こします。もう 1 つの脆弱性は、不正な ICMPv6 ネイバー探索オプションを処理し、これもバッファ オーバーフローを引き起こします。
(注) IPv6 では、IP アドレスのサイズが 32 ビットから 128 ビットに拡大されました。これにより、サポートされるアドレッシング階層が増大し、より多くのノードにアドレスを割り当てることができ、アドレスの自動設定が可能になりました。
8 個の Atomic IPv6 シグニチャがあります。Atomic IPv6 は、次の種類の ネイバー探索プロトコルを検査します。
•
タイプ 133:ルータ送信要求
•
タイプ 134:ルータ アドバタイズメント
•
タイプ 135:ネイバー送信要求
•
タイプ 136:ネイバー アドバタイズメント
•
タイプ 137:リダイレクト
(注) ホストとルータは、ネイバー探索を使用して、アタッチされたリンクに常駐することがわかっているネイバーのリンク層アドレスを判断し、無効になったキャッシュ値をすばやくパージします。また、ホストはネイバー探索を使用して、ホストに代わってパケットを転送する隣接ルータを検出します。
各ネイバー探索タイプには、1 つ以上の Neighborhood Discovery オプションを設定できます。Atomic IPv6 エンジンは、各オプションの長さが、RFC 2461 で規定されている正規の値に準拠しているかどうかを検査します。オプション結果の長さの違反がある場合、異常な長さが見つかったオプション タイプに対応するアラートが発生します(シグニチャ 1601 ~ 1605)。
(注) Atomic IPv6 シグニチャには、設定すべき固有のパラメータがありません。
表 B-11 に Atomic IPv6 のシグニチャの一覧を示します。
表 B-11 Atomic IPv6 のシグニチャ
|
|
|
|
1600 |
0 |
ICMPv6 長さゼロ オプション |
長さが ZERO と指定されたすべてのオプション タイプ |
1601 |
0 |
ICMPv6 オプション タイプ 1 違反 |
有効な長さである 8 または 16 バイトの違反。 |
1602 |
0 |
ICMPv6 オプション タイプ 2 違反 |
有効な長さである 8 または 16 バイトの違反。 |
1603 |
0 |
ICMPv6 オプション タイプ 3 違反 |
有効な長さである 32 バイトの違反。 |
1604 |
0 |
ICMPv6 オプション タイプ 4 違反 |
有効な長さである 80 バイトの違反。 |
1605 |
0 |
ICMPv6 オプション タイプ 5 違反 |
有効な長さである 8 バイトの違反。 |
1606 |
0 |
ICMPv6 の短いオプション データ |
不十分なデータのシグニチャ(実際のパケットにあるよりも多くのオプションのデータがあるとパケットに指定されている場合) |
1607 |
0 |
IPv6 の複数の巧妙に細工されたフラグメント パケット |
30 秒間の間に複数の先頭フラグメントが検出された場合にアラートを生成します。 |
詳細情報
すべてのシグニチャ エンジンに共通のパラメータの詳細については、「Master エンジン」を参照してください。
Fixed エンジン
Fixed エンジンでは、複数の正規表現パターンを 1 つのパターン マッチング テーブルに組み合わせ、データ全体で単一の検索が可能です。ICMP、TCP、および UDP プロトコルがサポートされています。最低検査深度に達した場合(1 ~ 100 バイト)、検査が停止します。Fixed エンジンには、Fixed ICMP、Fixed TCP、および Fixed UDP の 3 つの種類があります。
(注) Fixed TCP と Fixed UDP では、Service Ports パラメータが除外ポートとして使用されます。Fixed ICMP では Service Ports パラメータが除外 ICMP タイプとして使用されます。
表 B-12 に、Fixed ICMP エンジンに固有のパラメータを示します。
表 B-12 Fixed ICMP エンジンのパラメータ
|
|
|
Direction |
トラフィックの方向。 • サービス ポートからクライアント ポート宛のトラフィック。 • クライアント ポートからサービス ポート宛のトラフィック。 |
From Service To Service |
Max Payload Inspect Length |
シグニチャの最大検査深度を指定します。 |
1 ~ 250 |
Regex String |
単一のパケット内で検索する正規表現を指定します。 |
string |
Specify Exact Match Offset |
(任意)完全一致オフセットをイネーブルにします。 • [Exact Match Offset]:一致が有効であるために、[Regex String] が報告する必要がある正確なストリーム オフセット。 |
0 ~ 65535 |
Specify Minimum Match Length |
(任意)最小一致長をイネーブルにします。 • [Minimum Match Length]:[Regex String] が一致する必要がある最小バイト数を指定します。 |
0 ~ 65535 |
Specify ICMP Type |
(任意)ICMP ヘッダー タイプの検査をイネーブルにします。 • [ICMP Type]:ICMP ヘッダーの TYPE 値を指定します。 |
0 ~ 65535 |
Swap Attacker Victim |
攻撃者と攻撃対象のアドレスとポート(送信元および宛先)を、アラート メッセージとアクションで入れ替える場合は [Yes]。入れ替えない場合は [No](デフォルト)。 |
[Yes] | [No] |
表 B-13 に、Fixed TCP エンジンに固有のパラメータを示します。
表 B-13 Fixed TCP エンジンのパラメータ
|
|
|
Direction |
トラフィックの方向。 • サービス ポートからクライアント ポート宛のトラフィック。 • クライアント ポートからサービス ポート宛のトラフィック。 |
From Service To Service |
Max Payload Inspect Length |
シグニチャの最大検査深度を指定します。 |
1 ~ 250 |
Regex String |
単一のパケット内で検索する正規表現を指定します。 |
string |
Specify Exact Match Offset |
(任意)完全一致オフセットをイネーブルにします。 • [Exact Match Offset]:一致が有効であるために、[Regex String] が報告する必要がある正確なストリーム オフセット。 |
0 ~ 65535 |
Specify Minimum Match Length |
(任意)最小一致長をイネーブルにします。 • [Minimum Match Length]:[Regex String] が一致する必要がある最小バイト数を指定します。 |
0 ~ 65535 |
Specify Service Ports |
サービス ポートの使用をイネーブルにします。 • [Service Ports]:ターゲット サービスが常駐する、カンマ区切りのポートのリストまたはポート範囲。 |
0 ~ 65535 a-b[,c-d] |
Swap Attacker Victim |
攻撃者と攻撃対象のアドレスとポート(送信元および宛先)を、アラート メッセージとアクションで入れ替える場合は [Yes]。入れ替えない場合は [No](デフォルト)。 |
[Yes] | [No] |
表 B-14 に、Fixed UDP エンジンに固有のパラメータを示します。
表 B-14 Fixed UDP エンジンのパラメータ
|
|
|
Direction |
トラフィックの方向。 • サービス ポートからクライアント ポート宛のトラフィック。 • クライアント ポートからサービス ポート宛のトラフィック。 |
From Service To Service |
Max Payload Inspect Length |
シグニチャの最大検査深度を指定します。 |
1 ~ 250 |
Regex String |
単一のパケット内で検索する正規表現を指定します。 |
string |
Specify Exact Match Offset |
(任意)完全一致オフセットをイネーブルにします。 • [Exact Match Offset]:一致が有効であるために、[Regex String] が報告する必要がある正確なストリーム オフセット。 |
0 ~ 65535 |
Specify Minimum Match Length |
(任意)最小一致長をイネーブルにします。 • [Minimum Match Length]:[Regex String] が一致する必要がある最小バイト数を指定します。 |
0 ~ 65535 |
Specify Service Ports |
サービス ポートの使用をイネーブルにします。 • [Service Ports]:ターゲット サービスが常駐する、カンマ区切りのポートのリストまたはポート範囲。 |
0 ~ 65535 a-b[,c-d] |
Swap Attacker Victim |
攻撃者と攻撃対象のアドレスとポート(送信元および宛先)を、アラート メッセージとアクションで入れ替える場合は [Yes]。入れ替えない場合は [No](デフォルト)。 |
[Yes] | [No] |
詳細情報
•
シグニチャの正規表現構文の一覧については、「正規表現の構文」を参照してください。
•
すべてのシグニチャ エンジンに共通のパラメータの詳細については、「Master エンジン」を参照してください。
Flood エンジン
Flood エンジンは、複数のパケットを単一のホストまたはネットワークに送信しているホストまたはネットワークをモニタするシグニチャを定義します。たとえば、攻撃対象ホスト宛に、秒あたり 150 個以上のパケット(特定の種類)が検出された場合にアラートを起動するシグニチャを作成できます。Flood エンジンには、Flood Host と Flood Net の 2 つの種類があります。
表 B-15 に、Flood Host エンジンに固有のパラメータを示します。
表 B-15 Flood Host エンジンのパラメータ
|
|
|
Protocol |
検査するトラフィックの種類。 |
ICMP UDP |
Rate |
1 秒あたりのパケットのしきい値。 |
0 ~ 65535 |
ICMP Type |
ICMP ヘッダー タイプの値を指定します。 |
0 ~ 65535 |
Dst Ports |
UDP プロトコルを選択した場合の宛先ポートを指定します。 |
0 ~ 65535 a-b[,c-d] |
Src Ports |
UDP プロトコルを選択した場合の送信元ポートを指定します。 |
0 ~ 65535 a-b[,c-d] |
表 B-16 に、Flood Net エンジンに固有のパラメータを示します。
表 B-16 Flood Net エンジンのパラメータ
|
|
|
Gap |
フラッディング シグニチャに許容される時間の間隔(秒単位)。 |
0 ~ 65535 |
Peaks |
フラッディング トラフィックの許容されるピークの数。 |
0 ~ 65535 |
Protocol |
検査するトラフィックの種類。 |
ICMP TCP UDP |
Rate |
1 秒あたりのパケットのしきい値。 |
0 ~ 65535 |
Sampling Interval |
トラフィックをサンプリングする間隔。 |
1 ~ 3600 |
ICMP Type |
ICMP ヘッダー タイプの値を指定します。 |
0 ~ 65535 |
詳細情報
すべてのシグニチャ エンジンに共通のパラメータの詳細については、「Master エンジン」を参照してください。
Meta エンジン
注意 Meta エンジンのシグニチャの数が多いと、センサー全体のパフォーマンスに悪影響が出るおそれがあります。
Meta エンジンでは、スライディング時間間隔内に、関連した方法で発生するイベントを定義します。このエンジンは、パケットではなくイベントを処理します。シグニチャ イベントが生成されると、Meta エンジンはシグニチャ イベントを検査して、1 つ以上の Meta 定義に一致するかどうかを判定します。Meta エンジンは、すべてのイベント要件が満たされるとシグニチャ イベントを生成します。
すべてのシグニチャ イベントは、シグニチャ イベント アクション プロセッサによって Meta エンジンに渡されます。シグニチャ イベント アクション プロセッサは、最小ヒット数オプションを処理してからイベントを渡します。Meta エンジンがコンポーネント イベントを処理してから、サマライズおよびイベント アクションは処理されます。
表 B-17 に、Meta エンジンに固有のパラメータを示します。
表 B-17 Meta エンジンのパラメータ
|
|
|
Swap Attacker Victim |
攻撃者と攻撃対象のアドレスとポート(送信元および宛先)を、アラート メッセージとアクションで入れ替える場合は [Yes]。入れ替えない場合は [No](デフォルト)。 |
[Yes] | [No] |
Meta Reset Interval |
Meta シグニチャをリセットする時間(秒単位)。 |
0 ~ 3600 |
Component List |
Meta コンポーネントのリスト。 • [edit]:既存のエントリを編集します。 • [insert]:新しいエントリをリストに挿入します。 – [begin]:エントリをアクティブなリストの先頭に配置します。 – [end]:エントリをアクティブなリストの末尾に配置します。 – [inactive]:エントリを非アクティブなリストに配置します。 – [before]:エントリを指定したエントリの前に配置します。 – [after]:エントリを指定したエントリの後に配置します。 • [move]:リスト内のエントリを移動します。 |
name1 |
Meta Key |
Meta シグニチャのストレージ タイプ。 • 攻撃者のアドレス • 攻撃者と攻撃対象のアドレス • 攻撃者と攻撃対象のアドレスおよびポート • 攻撃対象のアドレス |
AaBb AxBx Axxx xxBx |
Unique Victims |
Meta シグニチャごとに一意の必須攻撃対象ポートの番号。 |
1 ~ 256 |
Component List In Order |
コンポーネント リストを順番に起動するかどうか。 |
[Yes] | [No] |
詳細情報
•
カスタム Meta エンジンのシグニチャの例については、「Meta エンジンのシグニチャの例」を参照してください。
•
すべてのシグニチャ エンジンに共通のパラメータの詳細については、「Master エンジン」を参照してください。
Multi String エンジン
注意 Multi String エンジンは、メモリの使用状況に大きく影響することがあります。
Multi String エンジンでは、レイヤ 4 トランスポート プロトコル(ICMP、TCP、および UDP)のペイロードを検査するシグニチャを定義します。この検査は、1 つのシグニチャに対して複数の文字列を照合して行います。シグニチャを起動するために一致する必要がある一連の正規表現パターンを指定できます。たとえば、UDP サービスで regex 1 とそれに続く regex 2 を検索するシグニチャを定義できます。UDP および TCP の場合は、ポート番号と方向を指定できます。1 つの送信元ポート、1 つの宛先ポート、または両方のポートを指定できます。文字列の照合は両方向で実行されます。
Multi String エンジンは、複数の正規表現パターンを指定する必要がある場合に使用します。それ以外の場合は、String ICMP、String TCP、または String UDP エンジンを使用して、これらのプロトコルのいずれかに対応した単一の正規表現パターンを指定できます。
表 B-18 に、Multi String エンジンに固有のパラメータを示します。
表 B-18 Multi String エンジンのパラメータ
|
|
|
Inspect Length |
起動するシグニチャに対して違反するすべての文字列を含める必要があるストリームまたはパケットの長さ。 |
0 ~ 4294967295 |
Protocol |
Layer 4 プロトコル選択。 |
ICMP TCP UDP |
Regex Component |
正規表現コンポーネントのリスト。 • [Regex String]:検索する文字列。 • [Spacing Type]:直前の一致から、またはストリームやパケットの先頭から(リスト内の最初のエントリである場合)の、必要なスペースのタイプ。 |
list(1 ~ 16 項目) exact minimum |
Port Selection |
検査する TCP または UDP ポートのタイプ。 • [Both Ports]:送信元ポートと宛先ポートの両方を指定します。 • [Destination]:宛先ポートの範囲を指定します。 • [Source]:送信元ポートの範囲を指定します。 |
0 ~ 65535 |
Extra Spacing |
この正規表現文字列と直前の正規表現文字列との間、またはストリームやパケットの先頭から(リスト内の最初のエントリである場合)、空ける必要のあるバイト数。 |
0 ~ 4294967296 |
Minimum Spacing |
この正規表現文字列と直前の正規表現文字列との間、またはストリームやパケットの先頭から(リスト内の最初のエントリである場合)、空ける必要のある最小バイト数。 |
0 ~ 4294967296 |
Swap Attacker Victim |
攻撃者と攻撃対象のアドレスとポート(送信元および宛先)を、アラート メッセージとアクションで入れ替える場合は [Yes]。入れ替えない場合は [No](デフォルト)。 |
[Yes] | [No] |
詳細情報
•
シグニチャの正規表現構文の一覧については、「正規表現の構文」を参照してください。
•
すべてのシグニチャ エンジンに共通のパラメータの詳細については、「Master エンジン」を参照してください。
Normalizer エンジン
Normalizer エンジンは、IP フラグメンテーションと TCP 正規化を扱います。ここでは、Normalizer エンジンについて説明します。内容は次のとおりです。
•
「Normalizer エンジンについて」
•
「Normalizer エンジンのパラメータ」
Normalizer エンジンについて
(注) IPS SSP を搭載した Cisco ASA 5585-X では、正規化がサポートされていません。
(注) Normalizer エンジンには、カスタム シグニチャを追加できません。既存のシグニチャを調整することはできます。
Normalizer エンジンは IP フラグメントの再構築と TCP ストリームの再構築を扱います。Normalizer エンジンを使用すると、センサーが同時に追跡を試みるフラグメントの最大数など、システム リソースの使用量について制限を設定できます。無差別モードのセンサーは、違反時にアラートを報告します。インライン モードのセンサーは、Produce Alert、Deny Packet Inline、および Modify Packet Inline など、イベント アクション パラメータで指定されたアクションを実行します。
注意 シグニチャ 3050 Half Open SYN Attack では、アクションとして Modify Packet Inline を選択した場合、保護がアクティブな間パフォーマンスが 20 ~ 30% 低下する場合があります。保護は、実際の SYN フラッドの間のみアクティブになります。
IP フラグメンテーションの正規化
IP データグラムの意図的または意図しないフラグメンテーションにより、悪用が隠れてしまい、検出が困難になったり不可能になったりすることがあります。フラグメンテーションは、ファイアウォールやルータで実行されるアクセス コントロール ポリシーを回避するために使用されることもあります。オペレーティング システムごとに、異なる方法を使用してフラグメント化されたデータグラムをキューに格納してディスパッチします。エンド ホストがデータグラムを再構築できる、考えられるすべての方法をセンサーで確認する必要がある場合、センサーは DoS 攻撃に脆弱になります。フラグメント化されたすべてのデータグラムをインラインで再構築し、完成したパケットのみを転送し、必要に応じてデータグラムを再度フラグメント化することで、これを避けることができます。IP Fragmentation Normalization ユニットはこの機能を実行します。
TCP 正規化
意図的または自然の TCP セッションのセグメント化を通じて、一部の攻撃クラスが隠れることがあります。ポリシーの強制が、偽陽性または偽陰性なく行われるようにするため、2 つの TCP エンドポイントの状態を追跡し、実際のホスト エンドポイントで実際に処理されるデータのみを通過させる必要があります。TCP ストリームの重なりが起きる可能性がありますが、TCP セグメントの再送以外では非常にまれです。TCP セッションの上書きが起こらないことが必要です。上書きが起きる場合、誰かが意図的にセキュリティ ポリシーを回避しようとしているか、TCP スタックの実装が壊れています。両方のエンドポイントの状態に関する完全な情報を維持することは、センサーが TCP プロキシとして動作しない限り不可能です。センサーが TCP プロキシとして動作する代わりに、セグメントが適切に順序付けされ、Normalizer エンジンは回避や攻撃に関連する異常なパケットを探します。
IPv6 フラグメント
Normalizer エンジンは、IPv6 フラグメントを再構築し、他のエンジンやプロセッサでの検査やアクション用に、再構築したバッファを転送することができます。IPv4 と IPv6 では次の違いがあります。
•
Normalizer エンジンのシグニチャの Modify Packet Inline は、IPv6 データグラムに対しては適用されません。
•
シグニチャ 1206(IP Fragment Too Small)は、IPv6 データグラムに対しては起動されません。Atomic IP Advanced エンジンのシグニチャ 1741 は、小さすぎる IPv6 フラグメントに対して起動されます。
•
シグニチャ 1202 は、IPv6 で、Maximum Datagram Size を超えた追加の 48 バイトを許可します。これは、IPv6 ヘッダー フィールドが長いためです。
詳細情報
Normalizer エンジンのシグニチャの設定手順については、「IP フラグメント再構成のシグニチャの設定」および「TCP ストリーム再構成シグニチャの設定」を参照してください。
Normalizer エンジンのパラメータ
表 B-19 に、Normalizer エンジンに固有のパラメータを示します。
表 B-19 Normalizer エンジンのパラメータ
|
|
Edit Defaults |
編集可能なシグニチャ。 |
Specify Fragment Reassembly Timeout |
(任意)フラグメント再構築タイムアウトをイネーブルにします。 |
Specify Hijack Max Old Ack |
(任意)hijack-max-old-ack をイネーブルにします。 |
Specify Max Datagram Size |
(任意)最大データグラム サイズをイネーブルにします。 |
Specify Max Fragments |
(任意)最大フラグメントをイネーブルにします。 |
Specify Max Fragments per Datagram |
(任意)データグラムあたりの最大フラグメントをイネーブルにします。 |
Specify Max Last Fragments |
(任意)直前の最大フラグメントをイネーブルにします。 |
Specify Max Partial Datagrams |
(任意)最大部分データグラムをイネーブルにします。 |
Specify Max Small Frags |
(任意)最大スモール フラグメントをイネーブルにします。 |
Specify Min Fragment Size |
(任意)最小フラグメント サイズをイネーブルにします。 |
Specify Service Ports |
(任意)サービス ポートをイネーブルにします。 |
Specify SYN Flood Max Embryonic |
(任意)SYN フラッドの最大初期接続をイネーブルにします。 |
Specify TCP Closed Timeout |
(任意)TCP クローズド タイムアウトをイネーブルにします。 |
Specify TCP Embryonic Timeout |
(任意)TCP 初期接続タイムアウトをイネーブルにします。 |
Specify TCP Idle Timeout |
(任意)TCP アイドル タイムアウトをイネーブルにします。 |
Specify TCP Max MSS |
(任意)TCP 最大 mss(最大セグメント サイズ)をイネーブルにします。 |
Specify TCP Max Queue |
(任意)TCP 最大キューをイネーブルにします。 |
Specify TCP Min MSS |
(任意)TCP 最小 mss をイネーブルにします。 |
Specify TCP Option Number |
(任意)TCP オプション番号をイネーブルにします。 |
詳細情報
すべてのシグニチャ エンジンに共通のパラメータの詳細については、「Master エンジン」を参照してください。
Service エンジン
ここでは、Service エンジンについて説明します。内容は次のとおりです。
•
「Service エンジンについて」
•
「Service DNS エンジン」
•
「Service FTP エンジン」
•
「Service Generic エンジン」
•
「Service H225 エンジン」
•
「Service HTTP エンジン」
•
「Service IDENT エンジン」
•
「Service MSRPC エンジン」
•
「Service MSSQL エンジン」
•
「Service NTP エンジン」
•
「Service P2P」
•
「Service RPC エンジン」
•
「Service SMB Advanced エンジン」
•
「Service SNMP エンジン」
•
「Service SSH エンジン」
•
「Service TNS エンジン」
Service エンジンについて
Service エンジンでは、2 つのホスト間のレイヤ 5+ トラフィックの解析が行われます。永続的データを追跡する 1 対 1 のシグニチャがあります。エンジンは、ライブ サービスと類似の方法でレイヤ 5+ ペイロードを解析します。
各 Service エンジンには共通した特性がある一方、個々のエンジンには検査対象のサービスに関する固有の情報が保持されます。String エンジンの使用が不適切であるか望ましくない場合には、Service エンジンによって、アルゴリズムに特化した汎用文字列エンジンの機能が補完されます。
Service DNS エンジン
Service DNS エンジンは、高度な DNS デコードを行います。これには、反回避技術(複数のジャンプの追跡など)が含まれます。長さ、命令コード、文字列などの多数のパラメータがあります。Service DNS エンジンは、2 つのプロトコルに対応するインスペクタであり、TCP ポート 53 と UDP ポート 53 の両方で稼動します。TCP の場合はストリームを使用し、UDP の場合はクワッドを使用します。
表 B-20 に、Service DNS エンジンに固有のパラメータを示します。
表 B-20 Service DNS エンジンのパラメータ
|
|
|
Protocol |
このインスペクタの該当プロトコル。 |
TCP UDP |
Specify Query Chaos String |
(任意)DNS クエリー クラスのカオス文字列をイネーブルにします。 |
query-chaos-string |
Specify Query Class |
(任意)クエリー クラスをイネーブルにします。 • [Query Class]:DNS クエリー クラス 2 バイト値 |
0 ~ 65535 |
Specify Query Invalid Domain Name |
(任意)無効なドメイン名のクエリーをイネーブルにします。 • [Query Invalid Domain Name]:255 を超える DNS クエリー長 |
[Yes] | [No] |
Specify Query Jump Count Exceeded |
(任意)クエリー ジャンプ カウント超過をイネーブルにします。 • [Query Jump Count Exceeded]:DNS 圧縮カウンタ |
[Yes] | [No] |
Specify Query Opcode |
(任意)クエリー命令コードをイネーブルにします。 • [Query Opcode]:DNS クエリー命令コードの 1 バイト値 |
0 ~ 65535 |
Specify Query Record Data Invalid |
(任意)無効なレコード データのクエリーをイネーブルにします。 • [Query Record Data Invalid]:不完全な DNS レコード データ |
[Yes] | [No] |
Specify Query Record Data Length |
(任意)クエリー レコード データ長をイネーブルにします。 • [Query Record Data Length]:DNS 応答レコード データ長 |
0 ~ 65535 |
Specify Query Src Port 53 |
(任意)クエリー送信元ポート 53 をイネーブルにします。 • [Query Src Port 53]:DNS パケットの送信元ポート 53 |
[Yes] | [No] |
Specify Query Stream Length |
(任意)クエリー ストリーム長をイネーブルにします。 • [Query Record Data Length]:DNS パケット長 |
0 ~ 65535 |
Specify Query Type |
(任意)クエリー タイプをイネーブルにします。 • [Query Type]:DNS クエリー タイプの 2 バイト値 |
0 ~ 65535 |
Specify Query Value |
(任意)クエリー値をイネーブルにします。 • [Query Value]:クエリー 0、応答 1 |
[Yes] | [No] |
詳細情報
すべてのシグニチャ エンジンに共通のパラメータの詳細については、「Master エンジン」を参照してください。
Service FTP エンジン
Service FTP エンジンは、FTP の port コマンドのデコードに特化しており、無効な port コマンドと PASV ポートのスプーフィングを捕捉します。このエンジンは、String エンジンが検出に適していない場合のギャップを埋めます。パラメータはいずれも Boolean 型で、 port コマンドのデコードおけるさまざまなエラー トラップ条件へのマッピングに使用します。Service FTP エンジンは、TCP ポート 20 および 21 で稼動します。ポート 20 はデータ用であり、Service FTP エンジンはこのポートに対して検査を行いません。Service FTP エンジンは、ポート 21 の制御トランザクションを検査します。
表 B-21 に、Service FTP エンジンに固有のパラメータを示します。
表 B-21 Service FTP エンジンのパラメータ
|
|
|
Direction |
トラフィックの方向。 • サービス ポートからクライアント ポート宛のトラフィック。 • クライアント ポートからサービス ポート宛のトラフィック。 |
From Service To Service |
FTP Inspection Type |
実行する検査のタイプ: • FTP port コマンド内の無効なアドレスを検索します。 • FTP port コマンド内の無効なポートを検索します。 • PASV ポート スプーフィングを検索します。 |
Invalid Address in PORT Command Invalid Port in PORT Command PASV Port Spoof |
Service Ports |
ターゲット サービスが常駐する、カンマ区切りのポートのリストまたはポート範囲。 |
0 ~ 65535 a-b[,c-d] |
Swap Attacker Victim |
攻撃者と攻撃対象のアドレスとポート(送信元および宛先)を、アラート メッセージとアクションで入れ替える場合は [Yes]。入れ替えない場合は [No](デフォルト)。 |
[Yes] | [No] |
詳細情報
すべてのシグニチャ エンジンに共通のパラメータの詳細については、「Master エンジン」を参照してください。
Service Generic エンジン
Service Generic エンジンを使用すると、設定ファイルでシグニチャを更新するだけで、プログラム シグニチャを発行できます。このエンジンには、設定ファイルで定義されている簡易マシンおよびアセンブリ言語が含まれています。このエンジンは、仮想マシンを介して(アセンブリ言語から導出された)マシン コードを実行します。仮想マシンは、命令を処理し、パケットから重要な情報を引き出して、マシン コードに指定されている比較および演算を実行します。このエンジンは、String エンジンと State エンジンを補足する迅速なシグニチャ応答エンジンとして設計されています。
新機能により、Service Generic エンジンと拡張命令に正規表現パラメータが追加されます。Service Generic エンジンでは、パケットを解析するために作成されたミニプログラムに基づいてトラフィックを解析できます。これらのミニプログラムは、パケットを分析し特定の条件を探すコマンドで構成されます。
(注) Service Generic エンジンを使用してカスタム シグニチャを作成することはできません。
注意 複雑な言語特有の性質上、重大度とイベント アクション以外の Service Generic エンジンのシグニチャ パラメータを編集することはお勧めしません。
表 B-22 に、Service Generic エンジンに固有のパラメータを示します。
表 B-22 Service Generic エンジンのパラメータ
|
|
|
Specify Dst Port |
(任意)宛先ポートをイネーブルにします。 • [Dst Port]:シグニチャの該当宛先ポート。 |
0 ~ 65535 |
Specify IP Protocol |
(任意)IP プロトコルをイネーブルにします。 • [IP Protocol]:インスペクタが検査する IP プロトコル。 |
0 ~ 255 |
Specify Payload Source |
(任意)ペイロード送信元の検査をイネーブルにします。 • [Payload Source]:次のタイプのペイロード送信元検査 – ICMP データの検査 – レイヤ 2 ヘッダーの検査 – レイヤ 3 ヘッダーの検査 – レイヤ 4 ヘッダーの検査 – TCP データの検査 – UDP データの検査 |
ICMP Data 12 Header 13 Header 14 Header TCP Data UDP Data |
Specify Src Port |
(任意)送信元ポートをイネーブルにします。 • [Src Port]:シグニチャの該当送信元ポート。 |
0 ~ 65535 |
Specify Regex String |
ポリシー タイプが [regex] の場合に検索する正規表現。 • 単独の TCP パケット内での検索に使用する正規表現。 • (任意)使用する最小一致長をイネーブルにします。 一致と見なされるために必要な正規表現の最小一致長です。 |
Regex String Specify Min Match Length |
Swap Attacker Victim |
攻撃者と攻撃対象のアドレスとポート(送信元および宛先)を、アラート メッセージとアクションで入れ替える場合は [Yes]。入れ替えない場合は [No](デフォルト)。 |
[Yes] | [No] |
詳細情報
•
シグニチャの正規表現構文の一覧については、「正規表現の構文」を参照してください。
•
すべてのシグニチャ エンジンに共通のパラメータの詳細については、「Master エンジン」を参照してください。
Service H225 エンジン
Service H225 エンジンは、多数のサブプロトコルで構成され H.323 スイートに含まれている H225.0 プロトコルを分析します。H.323 はプロトコルと他の標準を集めたものであり、パケットベース ネットワーク上での会議が可能になります。
H.225.0 コール シグナリングおよびステータス メッセージは H.323 コール セットアップの一部です。ゲートキーパーやエンドポイント ターミナルなど、ネットワーク内のさまざまな H.323 エンティティが H.225.0 プロトコル スタックの実装を実行します。Service H225 エンジンは H225.0 プロトコルを分析し、複数の H.323 ゲートキーパー、VoIP ゲートウェイ、およびエンドポイント ターミナルに対する攻撃を検査します。また、TCP PDU 上で交換されるコール シグナリング メッセージのディープ パケット インスペクション機能が提供されます。Service H225 エンジンは、H.225.0 プロトコルを分析し、無効な H.255.0 メッセージや、これらのメッセージ内のさまざまなプロトコルフ ィールド上の悪用およびオーバーフロー攻撃を検査します。
H.225.0 コール シグナリング メッセージは Q.931 プロトコルを基にしています。コール元エンドポイントは、コール先のエンドポイントに Q.931 セットアップ メッセージを送信します。そのアドレスは、アドミッション手順や何らかの検索手段で取得されます。コール先エンドポイントは、Q.931 接続メッセージを送信して接続を受け付けるか、接続を拒否します。H.225.0 の接続が確立されると、コール元またはコール先のエンドポイントが H.245 アドレスを渡します。このアドレスは、制御プロトコル(H.245)チャネルを確立するために使用されます。
特に重要なのは、SETUP コール シグナリング メッセージです。これは、このメッセージがコール セットアップの中で H.323 エンティティ間で交換される最初のメッセージであるためです。SETUP メッセージは、コール シグナリング メッセージの一般的なフィールドの多くを使用しており、確度の高い攻撃にさらされた実装は、ほとんど SETUP メッセージのセキュリティ チェックに失敗します。そのため、H.225.0 SETUP メッセージの正当性をチェックし、ネットワークの境界でチェックを強制することはきわめて重要です。
Service H225 エンジンには、H225 SETUP セットアップ メッセージの TPKT の検証、Q.931 プロトコルの検証、および ASN.1PER 検証のための組み込みシグニチャがあります。ASN.1 はデータ構造を記述するための表記法です。PER では異なるスタイルの符号化が使用されます。PER は、データ タイプに基づく符号化に特化して、はるかにコンパクトな表現を生成します。
Q.931 および TPKT の長さシグニチャの調整、H.225 プロトコル フィールドに対するより詳細なシグニチャの追加と適用、Q.931 または H.225 プロトコルの単一のフィールドの複数パターン検索シグニチャの適用を行うことができます。
Service H225 エンジンでは次の機能がサポートされています。
•
TPKT 検証と長さチェック
•
Q.931 情報要素検証
•
Q.931 情報要素におけるテキスト フィールドの正規表現シグニチャ
•
Q.931 情報要素に対する長さチェック
•
SETUP メッセージの検証
•
ASN.1 PER 符号化エラー チェック
•
正規表現と長さの両方について、ULR-ID、E-mail-ID、h323-id などの設定シグニチャ。
TPKT シグニチャと ASN.1 シグニチャの数は固定です。これらのタイプについてはカスタム シグニチャを作成できません。TPKT シグニチャでは、長さシグニチャの値の範囲のみを変更します。ASN.1 のパラメータは変更できません。Q.931 シグニチャでは、テキスト フィールドに対する新しい正規表現を追加できます。SETUP シグニチャでは、SETUP メッセージのさまざまなフィールドに対する長さおよび正規表現チェックのシグニチャを追加できます。
表 B-23 に、Service H225 エンジンに固有のパラメータを示します。
表 B-23 Service H.225 エンジンのパラメータ
|
|
|
Message Type |
シグニチャを適用する H225 メッセージのタイプ。 • SETUP • ASN.1-PER • Q.931 • TPKT |
asn.1-per q.931 setup tpkt |
Policy Type |
シグニチャを適用する H225 ポリシーのタイプ: • フィールド長を検査する。 • 存在を検査する。 特定のフィールドがメッセージ内に存在する場合は、アラートが送信されます。 • 正規表現を検査する。 • フィールドの妥当性を検査する。 • 値を検査する。 TPKT シグニチャの場合、[regex] と [presence] は有効な値ではありません。 |
length presence regex validate value |
Specify Field Name |
(任意)フィールド名の使用をイネーブルにします。SETUP および Q.931 メッセージ タイプのみで有効です。このシグニチャを適用するフィールド名のドット付き表記を指定します。 • [Field Name]:検査するフィールドの名前。 |
1 ~ 512 |
Specify Invalid Packet Index |
(任意)ASN と TPKT 固有のエラー、および固定マッピングを持つその他のエラーで使用する無効なパケット インデックスをイネーブルにします。 • [Invalid Packet Index]:無効なパケット インデックスを検査します。 |
0 ~ 255 |
Value Range Regex String |
ポリシー タイプが [regex] の場合に検索する正規表現。TPKT シグニチャには設定しないでください。 • 単独の TCP パケット内での検索に使用する正規表現。 • (任意)使用する最小一致長をイネーブルにします。 一致と見なされるために必要な正規表現の最小一致長です。TPKT シグニチャには設定しないでください。 |
Regex String Specify Min Match Length |
Specify Value Range |
長さまたは値ポリシー タイプ(0x00 ~ 6535)で有効です。その他のポリシー タイプの場合は無効です。 • [Value Range]:値の範囲。 |
0 ~ 65535 a-b |
Swap Attacker Victim |
攻撃者と攻撃対象のアドレスとポート(送信元および宛先)を、アラート メッセージとアクションで入れ替える場合は [Yes]。入れ替えない場合は [No](デフォルト)。 |
[Yes] | [No] |
詳細情報
•
シグニチャの正規表現構文の一覧については、「正規表現の構文」を参照してください。
•
すべてのシグニチャ エンジンに共通のパラメータの詳細については、「Master エンジン」を参照してください。
Service HTTP エンジン
Service HTTP エンジンは、サービス固有文字列に基づくパターン照合インスペクション エンジンです。HTTP プロトコルは、今日のネットワークで最もよく使用されているプロトコルの 1 つです。また、最も長い前処理時間を必要とし、システムの全体的なパフォーマンスにとって必須の検査を必要とするシグニチャの数も最も多くあります。
Service HTTP エンジンでは、複数のパターンを 1 つのパターン マッチング テーブルにまとめることでデータ内の検索を一度に実行できる正規表現ライブラリが使用されます。このエンジンは、Web サービスのみに向けられたトラフィック、つまり HTTP 要求を検索します。このエンジンでリターン トラフィックを検査することはできません。このエンジンでは、各シグニチャが対象とする個別の Web ポートを指定できます。
HTTP 解読とは、符号化された文字を ASCII 対応文字に正規化することによって、HTTP メッセージをデコードするプロセスです。このプロセスは、ASCII 正規化と呼ばれることもあります。
HTTP パケットを検査するには、あらかじめそのデータを、ターゲット システムでのデータ処理時に表示されるものと同じデータ表現として解読または正規化しておく必要があります。また、ホスト ターゲット タイプごとにカスタマイズされたデコード方式を用意することが推奨されます。そのためには、ターゲット上で動作しているオペレーティング システムおよび Web サーバのバージョンを確認する必要があります。Service HTTP エンジンには、Microsoft IIS Web サーバ用のデフォルトの解読動作が用意されています。
表 B-24 に、Service HTTP エンジンに固有のパラメータを示します。
表 B-24 Service HTTP エンジンのパラメータ
|
|
|
De Obfuscate |
検索の前に反回避解読を適用します。 |
[Yes] | [No] |
Max Field Sizes |
最大フィールド サイズ グループ。 |
-- |
Specify Max Arg Field Length |
(任意)引数フィールドの最大長をイネーブルにします。 • [Max Arg Field Length]:引数フィールドの最大長。 |
0 ~ 65535 |
Specify Max Header Field Length |
(任意)ヘッダー フィールドの最大長をイネーブルにします。 • [Max Header Field Length]:ヘッダー フィールドの最大長。 |
0 ~ 65535 |
Specify Max Request Field Length |
(任意)要求フィールドの最大長をイネーブルにします。 • [Max Request Field Length]:要求フィールドの最大長。 |
0 ~ 65535 |
Specify Max URI Field Length |
(任意)[URI] フィールドの最大長をイネーブルにします。 • [Max URI Field Length]:[URI] フィールドの最大長。 |
0 ~ 65535 |
Regex |
正規表現グループ。 |
-- |
Specify Arg Name Regex |
(任意)特定の正規表現の [Arguments] フィールドの検索をイネーブルにします。 • [Arg Name Regex]:[HTTP Arguments] フィールドで検索する正規表現(? の後およびコンテンツ長で定義されているエンティティ本体の中)。 |
-- |
Specify Header Regex |
(任意)特定の正規表現の [Header] フィールドの検索をイネーブルにします。 • [Header Regex]:[HTTP Header] フィールドで検索する正規表現。 ヘッダーは、最初の CRLF の後ろから定義され、CRLFCRLF まで続きます。 |
-- |
Specify Request Regex |
(任意)特定の正規表現の [Request] フィールドの検索をイネーブルにします。 • [Request Regex]:[HTTP URI] フィールドと [HTTP Argument] フィールドの両方で検索する正規表現。 • [Specify Min Request Match Length]:要求の最小一致長の設定をイネーブルにします。 |
0 ~ 65535 |
Specify URI Regex |
(任意)[HTTP URI] フィールドで検索する正規表現。[URI] フィールドは、HTTP メソッド(たとえば、GET)の後ろで、最初の CRLF の前まで定義されます。正規表現は保護されています。つまり、値は変更できません。 |
[/¥¥][a-zA-Z][a-zA-Z][a-zA-Z][a-zA-Z][a-zA-Z][a-zA-Z][a-zA-Z][.]jpeg |
Service Ports |
ターゲット サービスが常駐する、カンマ区切りのポートのリストまたはポート範囲。 |
0 ~ 65535 a-b[,c-d] |
Swap Attacker Victim |
攻撃者と攻撃対象のアドレスとポート(送信元および宛先)を、アラート メッセージとアクションで入れ替える場合は [Yes]。入れ替えない場合は [No](デフォルト)。 |
[Yes] | [No] |
詳細情報
•
Service HTTP のカスタム シグニチャの例については、「Service HTTP エンジンのシグニチャの例」を参照してください。
•
すべてのシグニチャ エンジンに共通のパラメータの詳細については、「Master エンジン」を参照してください。
•
シグニチャの正規表現構文の一覧については、「正規表現の構文」を参照してください。
Service IDENT エンジン
Service IDENT エンジンでは、TCP ポート 113 のトラフィックの検査が行われます。このエンジンは、基本的なデコードを実行できるほか、データ長のオーバーフローを指定するためのパラメータを備えています。たとえば、コンピュータ A のユーザまたはプログラムがコンピュータ B のアイデンティティ要求を実行する場合、A と B の間の接続のユーザのアイデンティティのみを問い合わせることができます。B 上の ident サーバは、TCP ポート 113 上で接続をリッスンします。A 上のクライアントは接続を確立し、接続で使用されている A および B 上のポート番号を送信することで、識別情報が必要な接続を指定します。B 上のサーバはその接続を使用しているユーザを特定し、そのユーザの名前を示す文字列を A に応答します。Service IDENT エンジンでは、TCP ポート 113 で ident の悪用が検査されます。
表 B-25 に、Service IDENT エンジンに固有のパラメータを示します。
表 B-25 Service IDENT エンジンのパラメータ
|
|
|
Inspection Type |
実行する検査のタイプ: • [Has Newline]:ペイロードの終端しない改行を検査します。 • [Has Bad Port]:ペイロードの不正なポートを検査します。 • [Payload Size]:このサイズよりも長いペイロード長を検査します。 |
-- |
Service Ports |
ターゲット サービスが常駐する、カンマ区切りのポートのリストまたはポート範囲。 |
0 ~ 65535 a-b[,c-d] |
Direction |
トラフィックの方向: • サービス ポートからクライアント ポート宛のトラフィック。 • クライアント ポートからサービス ポート宛のトラフィック。 |
From Service To Service |
詳細情報
すべてのシグニチャ エンジンに共通のパラメータの詳細については、「Master エンジン」を参照してください。
Service MSRPC エンジン
Service MSRPC エンジンは、MSRPC パケットを処理します。MSRPC は、ネットワーク環境での複数のコンピュータ間の連携処理と、使用されるアプリケーション ソフトウェアに対応しています。MSRPC はトランザクションベースのプロトコルです。チャネルを確立し、処理要求および応答を受け渡す一連の通信が発生します。
MSRPC は、ISO レイヤ 5 および 6 のプロトコルで、UDP、TCP、SMB などの他のトランスポート プロトコルの上の階層となります。MSRPC エンジンには、MSRPC PDU のフラグメンテーションと再構成を処理する機能も含まれます。
この通信チャネルは、最近の Windows NT、Windows 2000、および Window XP のセキュリティ脆弱性の原因となっています。Service MSRPC エンジンは、最も一般的なトランザクション タイプについて DCE および RPC プロトコルをデコードするだけです。
表 B-26 に、Service MSRPC エンジンに固有のパラメータを示します。
表 B-26 Service MSRPC エンジンのパラメータ
|
|
|
Protocol |
このインスペクタの該当プロトコル。 • [Type]:UDP または TCP |
TCP UDP |
Specify Flags |
設定するフラグ • MSRPC TCP フラグ • MSRPC TCP フラグ マスク |
Concurrent Execution Did Not Execute First Fragment Last Fragment Maybe Semantics Object UUID Pending Cancel Reserved |
Specify Operation |
(任意)MSRPC 動作の使用をイネーブルにします。 • [Operation]:要求する MSRPC 動作。 SMB_COM_TRANSACTION コマンドに必要です。完全一致。 |
0 ~ 65535 |
Swap Attacker Victim |
攻撃者と攻撃対象のアドレスとポート(送信元および宛先)を、アラート メッセージとアクションで入れ替える場合は [Yes]。入れ替えない場合は [No](デフォルト)。 |
[Yes] | [No] |
Specify Regex String |
(任意)正規表現文字列の使用をイネーブルにします。 • [Specify Exact Match Offset]:完全一致オフセットをイネーブルにします。 – [Exact Match Offset]:一致を有効にするために正規表現文字列がレポートする必要がある正確なストリーム オフセット。 • [Specify Min Match Length]:最小一致長をイネーブルにします。 – [Min Match Length]:正規表現文字列が一致する必要があるバイトの最小数。 |
0 ~ 65535 |
Specify UUID |
(任意)UUID をイネーブルにします。 • [UUID]:[MSRPC UUID] フィールド |
000001a000000000c000000000000046 |
詳細情報
•
シグニチャの正規表現構文の一覧については、「正規表現の構文」を参照してください。
•
すべてのシグニチャ エンジンに共通のパラメータの詳細については、「Master エンジン」を参照してください。
Service MSSQL エンジン
Service MSSQL エンジンは、Microsoft SQL サーバによって使用されるプロトコルを検査します。このエンジンには 1 つの MSSQL シグニチャが含まれています。MSSQL サーバへのデフォルトの sa アカウントでのログインの試みを検出した場合にアラートを起動します。ログイン ユーザ名や、パスワードが使用されたかどうかなど、MSSQL プロトコル値に基づいてカスタム シグニチャを追加できます。
表 B-27 に、Service MSSQL エンジンに固有のパラメータを示します。
表 B-27 Service MSSQL エンジンのパラメータ
|
|
|
Password Present |
MS SQL ログインでパスワードが使用されたかどうか。 |
[Yes] | [No] |
Specify SQL Username |
(任意)SQL ユーザ名の使用をイネーブルにします。 • [SQL Username]:MS SQL サービスにログインするユーザのユーザ名(完全一致)。 |
sa |
詳細情報
すべてのシグニチャ エンジンに共通のパラメータの詳細については、「Master エンジン」を参照してください。
Service NTP エンジン
Service NTP エンジンは、NTP プロトコルを検査します。このエンジンには、1 つの NTP シグニチャ(NTP readvar オーバーフロー シグニチャ)が含まれます。このシグニチャは、サイズが大きいため NTP サービスでキャプチャできない NTP データが、readvar コマンドに指定されていることを検出した場合に、アラートを起動します。NTP プロトコルの値(モードや制御パケットのサイズなど)に基づいて、シグニチャを調整したり、カスタム シグニチャを作成したりできます。
表 B-28 に、Service NTP エンジンに固有のパラメータを示します。
表 B-28 Service NTP エンジンのパラメータ
|
|
|
Inspection Type |
実行する検査のタイプ。 |
|
Inspect NTP Packets |
NTP パケットを検査します。 • [Control Opcode]:RFC1305 の付録 B に基づく NTP 制御パケットの命令コード番号。 • [Max Control Data Size]:制御パケットで送信されるデータの最大許容量。 • [Operation Mode]:RFC 1305 に基づく NTP パケットの動作モード。 |
0 ~ 65535 |
IS Invalid Data Packet |
無効な NTP データ パケットを検索します。NTP データ パケットの構造を調べ、サイズが正しいことを確認します。 |
[Yes] | [No] |
Is Non NTP Traffic |
NTP ポートの非 NTP パケットをチェックします。 |
[Yes] | [No] |
詳細情報
すべてのシグニチャ エンジンに共通のパラメータの詳細については、「Master エンジン」を参照してください。
Service P2P
P2P ネットワークでは、ファイル共有の目的で、同時にクライアントとサーバの両方の機能を果たすノードが使用されます。P2P ネットワークには、著作権が設定された資料が含まれることが多く、企業で使用することは企業ポリシーに違反する場合があります。Service P2P エンジンはそのようなネットワークをモニタし、最適化された TCP および UDP P2P プロトコル識別機能を提供します。Service P2P エンジンには次の特性があります。
•
すべての TCP および UDP ポートでリッスンする
•
正規表現ではなくハードコーディングされたシグニチャを通じた高いパフォーマンス
•
P2P プロトコルが認識されるか、P2P プロトコルが認識されずに 10 個のパケットが検出された後はトラフィックを無視
P2P シグニチャはハードコーディングされているため、編集可能な唯一のパラメータは Master エンジン パラメータです。
詳細情報
すべてのシグニチャ エンジンに共通のパラメータの詳細については、「Master エンジン」を参照してください。
Service RPC エンジン
Service RPC エンジンは、RPC プロトコル専用で、反回避戦略としてフル デコードを行います。これにより、フラグメント化されたメッセージ(複数パケット内の 1 つのメッセージ)およびバッチ メッセージ(1 つのパケット内の複数メッセージ)を処理できます。
RPC ポート マッパーは、ポート 111 上で動作します。通常の RPC メッセージは、550 より上位であれば任意のポートで送受信できます。RPC スイープは、TCP ポート スイープと似ていますが、有効な RPC メッセージが送信された場合に一意のポートだけをカウントするという点が異なります。RPC は UDP でも動作します。
表 B-29 に、Service RPC エンジンに固有のパラメータを示します。
表 B-29 Service RPC エンジンのパラメータ
|
|
|
Direction |
トラフィックの方向。 • サービス ポートからクライアント ポート宛のトラフィック。 • クライアント ポートからサービス ポート宛のトラフィック。 |
From Service To Service |
Protocol |
該当プロトコル。 |
TCP UDP |
Service Ports |
ターゲット サービスが常駐する、カンマ区切りのポートのリストまたはポート範囲。 |
0 ~ 65535 a-b[,c-d] |
Specify Regex String |
(任意)正規表現文字列の使用をイネーブルにします。 • [Specify Exact Match Offset]:完全一致オフセットをイネーブルにします。 – [Exact Match Offset]:一致を有効にするために正規表現文字列がレポートする必要がある正確なストリーム オフセット。 • [Specify Min Match Length]:最小一致長をイネーブルにします。 – [Min Match Length]:正規表現文字列が一致する必要があるバイトの最小数。 |
0 ~ 65535 |
Specify Spoof Src |
(任意)スプーフィングの送信元アドレスをイネーブルにします。 • [Is Spoof Src]:送信元アドレスが 127.0.0.1 の場合にアラートを起動します。 |
[Yes] | [No] |
Specify Port Map Program |
(任意)ポートマッパー プログラムをイネーブルにします。 • [Port Map Program]:シグニチャのポートマッパーに送信されたプログラム番号。 |
0 ~ 9999999999 |
Specify RPC Max Length |
(任意)RPC 最大長をイネーブルにします。 • [RPC Max Length]:RPC メッセージ全体の最大許容長。長さが指定した値より長いとアラートを起動します。 |
0 ~ 65535 |
Specify RPC Procedure |
(任意)RPC プロシージャをイネーブルにします。 • [RPC Procedure]:シグニチャの RPC プロシージャ番号。 |
0 ~ 1000000 |
Specify RPC Program |
(任意)RPC プログラムをイネーブルにします。 • [RPC Program]:シグニチャの RPC プログラム番号。 |
0 ~ 1000000 |
Swap Attacker Victim |
攻撃者と攻撃対象のアドレスとポート(送信元および宛先)を、アラート メッセージとアクションで入れ替える場合は [Yes]。入れ替えない場合は [No](デフォルト)。 |
[Yes] | [No] |
詳細情報
•
シグニチャの正規表現構文の一覧については、「正規表現の構文」を参照してください。
•
すべてのシグニチャ エンジンに共通のパラメータの詳細については、「Master エンジン」を参照してください。
Service SMB Advanced エンジン
(注) SMB エンジンは、SMB Advanced エンジンで置き換えられました。SMB エンジンが IDM、IME、CLI で表示される場合でも、そのシグニチャは廃止されています。つまり、新しいシグニチャには、対応する古いシグニチャの ID を使用して設定された古いパラメータがあります。SMB エンジンで使用していたカスタム シグニチャは、新しい SMB Advanced エンジンを使用して書き直してください。
Service SMB Advanced エンジンは、Microsoft SMB パケットと Microsoft RPC over SMB パケットを処理します。Service SMB Advanced エンジンは、コネクション型の MSRPC に対し、MSRPC エンジンと同じデコード方法を使用します。ただし、MSRPC パケットは SMB プロトコル上でやりとりされる必要があります。Service SMB Advanced エンジンは、TCP ポート 139 および 445 上での MSRPC over SMB をサポートしています。MSRPC エンジンの、コネクション型 DCS/RPC コードのコピーを使用しています。
表 B-30 に、Service SMB Advanced エンジンに固有のパラメータを示します。
表 B-30 Service SMB Advanced エンジンのパラメータ
|
|
|
Service Ports |
ターゲット サービスが常駐する、カンマ区切りのポートのリストまたはポート範囲。 |
0 ~ 65535 a-b[,c-d] |
Specify Command |
(任意)SMB コマンドをイネーブルにします。 • [Command]:SMB コマンドの値。完全に一致する必要があります。SMB パケットのタイプを定義します。 |
0 ~ 255 |
Specify Direction |
(任意)トラフィック方向をイネーブルにします。 • [Direction]:トラフィックの方向を指定できます。 – [from-service]:サービス ポートからクライアント ポート宛のトラフィック。 – [to-service]:クライアント ポートからサービス ポート宛のトラフィック。 |
from service to service |
Specify Operation |
(任意)MSRPC over SMB をイネーブルにします。 • [MSRPC Over SMB Operation]:SMB_COM_TRANSACTION コマンドに使用します。完全に一致する必要があります。 |
0 ~ 65535 |
Specify Regex String |
(任意)正規表現文字列の検索をイネーブルにします。 • [Regex String]:単一の TCP パケット内で検索する正規表現。 |
|
Specify Exact Match Offset |
(任意)完全一致オフセットをイネーブルにします。 • [Exact Match Offset]:一致を有効にするために正規表現文字列が報告する必要がある正確なストリーム オフセット。 |
|
Specify Min Match Length |
(任意)最小一致長をイネーブルにします。 • [Min Match Length]:正規表現文字列が一致する必要がある最小バイト数。 |
|
Specify Payload Source |
(任意)ペイロード送信元をイネーブルにします。 • [Payload Source]:ペイロード送信元の検査。 |
|
Specify Scan Interval |
(任意)スキャン間隔をイネーブルにします。 • [Scan Interval]:アラート率の計算に使用される間隔(秒数)。 |
1 ~ 131071 |
Specify TCP Flags |
(任意)TCP フラグをイネーブルにします。 • MSRPC TCP フラグ • MSRPC TCP フラグ マスク |
• concurrent execution • did not execute • first fragment • last fragment • maybe • object UUID • pending cancel • reserved |
Specify Type |
(任意)MSRPC over SMB パケットのタイプをイネーブルにします。 • [Type]:MSRPC over SMB パケットの [Type] フィールド。 |
• [0] = 要求 • [2] = 応答 • [11] = バインド • [12] = バインド応答 |
Specify UUID |
(任意)UUID を経由した MSRPC をイネーブルにします。 • [UUID]:[MSRPC UUID] フィールド。 |
16 進数の 0 ~ 9、a ~ f、A ~ F で構成される 32 文字の文字列。 |
Specify Hit Count |
(任意)ヒット カウントをイネーブルにします。 • [Hit Count]:scan-interval 内の発生回数のしきい値。この値を超えるとアラートが起動されます。 |
1 ~ 65535 |
Swap Attacker Victim |
攻撃者と攻撃対象のアドレスとポート(送信元および宛先)を、アラート メッセージとアクションで入れ替える場合は [Yes]。入れ替えない場合は [No](デフォルト)。 |
[Yes] | [No] |
詳細情報
•
シグニチャの正規表現構文の一覧については、「正規表現の構文」を参照してください。
•
すべてのシグニチャ エンジンに共通のパラメータの詳細については、「Master エンジン」を参照してください。
Service SNMP エンジン
Service SNMP エンジンは、ポート 161 宛のすべての SNMP パケットを検査します。特定のコミュニティ名とオブジェクト ID に基づいて、SNMP シグニチャを調整したり、カスタム SNMP シグニチャを作成したりできます。
コミュニティ名とオブジェクト ID を照合するために、文字列比較や正規表現演算を使用する代わりに、整数を使用してすべての比較を実行し、プロトコル デコードを高速化しストレージ要件を削減します。
表 B-31 に、Service SNMP エンジンに固有のパラメータを示します。
表 B-31 Service SNMP エンジンのパラメータ
|
|
|
Inspection Type |
実行する検査のタイプ。 |
-- |
Brute Force Inspection |
総当たり攻撃の試行を検査します。 • [Bruce Force Count]:総当たり攻撃と見なされる一意の SNMP コミュニティ名の数。 |
0 ~ 65535 |
Invalid Packet Inspection |
SNMP プロトコル違反を検査します。 |
-- |
Non SNMP Traffic Inspection |
UDP ポート 161 宛の非 SNMP トラフィックを検査します。 |
-- |
SNMP Inspection |
SNMP トラフィックを検査します。 • [Specify Community Name] [yes | no]: – [Community Name]:SNMP コミュニティ名(SNMP パスワード)を検索します。 • [Specify Object ID] [yes | no]: – [Object ID]:SNMP オブジェクト ID を検索します。 |
community-name object-id |
詳細情報
すべてのシグニチャ エンジンに共通のパラメータの詳細については、「Master エンジン」を参照してください。
Service SSH エンジン
Service SSH エンジンは、ポート 22 の SSH トラフィックに対して使用します。SSH セッションのセットアップを除いてすべてが暗号化されるため、Service SSH エンジンではセットアップのフィールドだけがモニタされます。SSH には 2 つのデフォルト シグニチャがあります。これらのシグニチャを調整することはできますが、カスタム シグニチャは作成できません。
表 B-32 に、Service SSH エンジンに固有のパラメータを示します。
表 B-32 Service SSH エンジンのパラメータ
|
|
|
Length Type |
次の SSH 長さタイプのいずれかを検査します。 • [Key Length]:検査対象の SSH キーの長さ。 – [Length]:キーがこれより長い場合は、RSAREF オーバーフローが発生します。 • [User Length]:ユーザ長の SSH 検査。 – [Length]:キーがこれより長い場合は、RSAREF オーバーフローが発生します。 |
0 ~ 65535 |
Service Ports |
ターゲット サービスが常駐する、カンマ区切りのポートのリストまたはポート範囲。 |
0 ~ 65535 a-b[,c-d] |
Specify Packet Depth |
(任意)パケット数をイネーブルにします。 • [Packet Depth]:セッション キーが失われたと判断するまでにモニタするパケット数。 |
0 ~ 65535 |
詳細情報
すべてのシグニチャ エンジンに共通のパラメータの詳細については、「Master エンジン」を参照してください。
Service TNS エンジン
Service TNS エンジンでは、TNS プロトコルが検査されます。TNS では、データベース アプリケーションに対し、すべての業界標準ネットワーク プロトコルに対する単一かつ共通のインターフェイスが提供されます。TNS により、アプリケーションは、異なるプロトコルを使用して他のデータベース アプリケーションにネットワークから接続できます。デフォルトの TNS リスナー ポートは TCP 1521 です。TNS では、クライアントを別のホストまたは別の TCP ポートにリダイレクトするための REDIRECT フレームもサポートされています。REDIRECT パケットをサポートするため、TNS エンジンはすべての TCP ポート上でリッスンを行い、高速な TNS フレーム ヘッダー検証ルーチンを使用して非 TNS ストリームを無視します。
表 B-33 に、Service TNS エンジンに固有のパラメータを示します。
表 B-33 Service TNS エンジンのパラメータ
|
|
|
Direction |
トラフィックの方向。 • サービス ポートからクライアント ポート宛のトラフィック。 • クライアント ポートからサービス ポート宛のトラフィック。 |
From Service To Service |
Type Frame Type |
TNS フレーム値のタイプを指定します。 • [1]:接続 • [2]:受け入れ • [4]:拒否 • [5]:リダイレクト • [6]:データ • [11]:再送信 • [12]:マーカー |
1 2 4 5 6 11 12 |
Specify Regex String |
(任意)正規表現文字列の使用をイネーブルにします。 • [Specify Exact Match Offset]:完全一致オフセットをイネーブルにします。 – [Exact Match Offset]:一致を有効にするために正規表現文字列がレポートする必要がある正確なストリーム オフセット。 • [Specify Min Match Length]:最小一致長をイネーブルにします。 – [Min Match Length]:正規表現文字列が一致する必要があるバイトの最小数。 |
0 ~ 65535 |
Specify Regex Payload Source |
検査するプロトコルを指定します。 • [Payload Source] – [TCP Data]:TCP パケットのデータ部分に対して正規表現を実行します。 – [TNS Data]:すべての空白が削除されている TNS データに対してのみ正規表現を実行します。 |
TCP TNS |
詳細情報
•
シグニチャの正規表現構文の一覧については、「正規表現の構文」を参照してください。
•
すべてのシグニチャ エンジンに共通のパラメータの詳細については、「Master エンジン」を参照してください。
State エンジン
State エンジンは、TCP ストリームのステートベースおよび正規表現ベースのパターン検査を行います。State エンジンは何かの状態を保存するデバイスで、入力があるたびに、その内容に基づいてある状態から別の状態に移行したり、処理や出力を行ったりできます。ステート マシンは、出力やアラートを発生させる特定のイベントを記述するために使用されます。State エンジンには、SMTP、シスコ ログイン、および LPR フォーマット ストリングの 3 つのステート マシンがあります。
表 B-34 に、State エンジンに固有のパラメータを示します。
表 B-34 State エンジンのパラメータ
|
|
|
State Machine |
ステート マシン グループ。 |
• SMPT • LPR Format String • Cisco Login |
Cisco Login |
Cisco ログインのステート マシンを指定します。 • [State Name]:状態の名前。この状態になると、シグニチャによりアラートが起動されます。 – シスコ デバイスの状態 – Control-C 状態 – パスワード プロンプト状態 – 開始状態 |
• Cisco Device • Control C • Pass Prompt • Start Cisco |
LPR Format String |
LPR フォーマット ストリングの脆弱性を検査するステート マシンを指定します。 • [State Name]:状態の名前。この状態になると、シグニチャによりアラートが起動されます。 – LPR フォーマット ストリング検査を終了する中断状態 – フォーマット文字の状態 – 開始状態 |
• Abort • Format Char • Start |
State Name |
SMTP プロトコルのステート マシンを指定します。 • [State Name]:状態の名前。この状態になると、シグニチャによりアラートが起動されます。 – LPR フォーマット ストリング検査を終了する中断状態 – メール本文の状態 – メール ヘッダーの状態 – SMTP コマンドの状態 – 開始状態 |
• Abort • Mail Body • Mail Header • SMPT Commands • Start Abort |
Direction |
トラフィックの方向: • サービス ポートからクライアント ポート宛のトラフィック。 • クライアント ポートからサービス ポート宛のトラフィック。 |
From Service To Service |
Service Ports |
ターゲット サービスが常駐する、カンマ区切りのポートのリストまたはポート範囲。 |
0 ~ 65535 a-b[,c-d] |
Specify Exact Match Offset |
(任意)完全一致オフセットをイネーブルにします。 • [Exact Match Offset]:一致を有効にするために正規表現文字列がレポートする必要がある正確なストリーム オフセット。 |
0 ~ 65535 |
Specify Max Match Offset |
(任意)最大一致オフセットをイネーブルにします。 • [Max Match Offset]:一致を有効にするために正規表現文字列がレポートする必要がある最大ストリーム オフセット。 |
0 ~ 65535 |
Specify Min Match Offset |
(任意)最小一致オフセットをイネーブルにします。 • Min Match Offset:一致を有効にするために正規表現文字列がレポートする必要がある最小ストリーム オフセット。 |
0 ~ 65535 |
Specify Min Match Length |
(任意)最小一致長をイネーブルにします。 • [Min Match Length]:正規表現文字列が一致する必要があるバイトの最小数。 |
0 ~ 65535 |
Swap Attacker Victim |
攻撃者と攻撃対象のアドレスとポート(送信元および宛先)を、アラート メッセージとアクションで入れ替える場合は [Yes]。入れ替えない場合は [No](デフォルト)。 |
[Yes] | [No] |
詳細情報
すべてのシグニチャ エンジンに共通のパラメータの詳細については、「Master エンジン」を参照してください。
String エンジン
String エンジンは、ICMP、TCP、および UDP の各プロトコルを対象とした、汎用ベースのパターン マッチング インスペクション エンジンです。String エンジンでは、複数のパターンを 1 つのパターン マッチング テーブルにまとめることでデータ内の検索を一度に実行できる正規表現エンジンが使用されます。3 つの String エンジン、String ICMP、String TCP、および String UDP があります。
表 B-35 に、String ICMP エンジンに固有のパラメータを示します。
表 B-35 String ICMP エンジンのパラメータ
|
|
|
Direction |
トラフィックの方向: • サービス ポートからクライアント ポート宛のトラフィック。 • クライアント ポートからサービス ポート宛のトラフィック。 |
From Service To Service |
ICMP Type |
ICMP ヘッダーの TYPE 値。 |
0 ~ 18 a-b[,c-d] |
Specify Exact Match Offset |
(任意)完全一致オフセットをイネーブルにします。 • [Exact Match Offset]:一致を有効にするために正規表現文字列がレポートする必要がある正確なストリーム オフセット。 |
0 ~ 65535 |
Specify Min Match Length |
(任意)最小一致長をイネーブルにします。 • [Min Match Length]:正規表現文字列が一致する必要があるバイトの最小数。 |
0 ~ 65535 |
Swap Attacker Victim |
攻撃者と攻撃対象のアドレスとポート(送信元および宛先)を、アラート メッセージとアクションで入れ替える場合は [Yes]。入れ替えない場合は [No](デフォルト)。 |
[Yes] | [No] |
表 B-36 に、String TCP エンジンに固有のパラメータを示します。
表 B-36 String TCP エンジン
|
|
|
Direction |
トラフィックの方向: • サービス ポートからクライアント ポート宛のトラフィック。 • クライアント ポートからサービス ポート宛のトラフィック。 |
From Service To Service |
Service Ports |
ターゲット サービスが常駐する、カンマ区切りのポートのリストまたはポート範囲。 |
0 ~ 65535 a-b[,c-d] |
Specify Exact Match Offset |
(任意)完全一致オフセットをイネーブルにします。 • [Exact Match Offset]:一致を有効にするために正規表現文字列がレポートする必要がある正確なストリーム オフセット。 |
0 ~ 65535 |
Specify Min Match Length |
(任意)最小一致長をイネーブルにします。 • [Min Match Length]:正規表現文字列が一致する必要があるバイトの最小数。 |
0 ~ 65535 |
Strip Telnet Options |
パターンを検索する前に、データから Telnet オプション文字を削除します。 |
[Yes] | [No] |
Swap Attacker Victim |
攻撃者と攻撃対象のアドレスとポート(送信元および宛先)を、アラート メッセージとアクションで入れ替える場合は [Yes]。入れ替えない場合は [No](デフォルト)。 |
[Yes] | [No] |
表 B-37 に、String UDP エンジンに固有のパラメータを示します。
表 B-37 String UDP エンジン
|
|
|
Direction |
トラフィックの方向: • サービス ポートからクライアント ポート宛のトラフィック。 • クライアント ポートからサービス ポート宛のトラフィック。 |
From Service To Service |
Service Ports |
ターゲット サービスが常駐する、カンマ区切りのポートのリストまたはポート範囲。 |
0 ~ 65535 a-b[,c-d] |
Specify Exact Match Offset |
(任意)完全一致オフセットをイネーブルにします。 • [Exact Match Offset]:一致を有効にするために正規表現文字列がレポートする必要がある正確なストリーム オフセット。 |
0 ~ 65535 |
Specify Min Match Length |
(任意)最小一致長をイネーブルにします。 • [Min Match Length]:正規表現文字列が一致する必要があるバイトの最小数。 |
0 ~ 65535 |
Swap Attacker Victim |
攻撃者と攻撃対象のアドレスとポート(送信元および宛先)を、アラート メッセージとアクションで入れ替える場合は [Yes]。入れ替えない場合は [No](デフォルト)。 |
[Yes] | [No] |
詳細情報
•
カスタム String エンジン シグニチャの例については、「String TCP エンジンのシグニチャの例」を参照してください。
•
すべてのシグニチャ エンジンに共通のパラメータの詳細については、「Master エンジン」を参照してください。
String XL エンジン
String XL エンジンは、他の String エンジンと同様に、シグニチャあたり 1 つの文字列のマッチング機能を備えていますが、異なる正規表現構文が使用されます。String TCP XL エンジンはストリームベースであり、クロスパケット インスペクション(XPI)が使用されます。パケットは適切な順番に並んでいる必要があります。UDP と ICMP はどちらもステートレスであるため、String UDP XL および String ICMP XL シグニチャ エンジンはセッション状態を割り当てる必要がなく、各パケットは個別に検索されます。
正規表現アクセラレータ カードは、標準の String エンジンと新しい String XL エンジンの両方で使用されます。ほとんどの標準の String エンジンのシグニチャは、変更することなく、正規表現アクセラレータ カードでコンパイルおよび解析できます。ただし、標準の String エンジンのシグニチャを正規表現アクセラレータ カード向けにコンパイルできない特殊な状況があります。そのような状況では、新しいシグニチャは、正規表現アクセラレータ カードでコンパイルできない String XL エンジンの特定のパラメータを使用して、String XL エンジンで記述されます。String XL エンジンの新しいシグニチャにより、標準の String エンジンの元のシグニチャが廃止されます。
正規表現構文または raw 表現構文を使用できますが、raw 表現構文はエキスパート ユーザ専用です。String XL シグニチャを設定するときは、raw 表現構文を使用するのでない限り、[Regex String] パラメータが必要です。
(注) Raw Regex は raw モードの処理で使用される正規表現構文です。これはエキスパート モード専用であり、Cisco IPS シグニチャ開発チームや、Cisco IPS シグニチャ開発チームの監督下にある人のみが使用することを目的としています。String XL シグニチャは通常の正規表現または raw 正規表現のどちらかで設定できます。
表 B-38 に、String XL エンジン(TCP、ICMP、および UDP)に固有のパラメータを示します。
表 B-38 String XL エンジンのパラメータ
|
|
|
Direction |
(必須)検査するトラフィックの方向。 • サービス ポートからクライアント ポート宛のトラフィック。 • クライアント ポートからサービス ポート宛のトラフィック。 |
From Service To Service |
Dot All |
[Yes] に設定すると、¥n を含む [¥x00-¥xFF] をマッチングされます。[No] に設定すると、¥n を除く範囲 [¥x00-¥xFF] のすべてにマッチングされます。 |
Yes | No(デフォルト) |
End Optional |
パケットの最後で他のすべての条件が満たされているものの、パケットの最後が見つからない場合、最小を超えた場合に一致が報告されます。 |
Yes | No(デフォルト) |
ICMP Type |
ICMP メッセージ タイプ。シグニチャ エンジンが String ICMP の場合に必要です。 |
0 ~ 18 a-b[,c-d] |
No Case |
式の中のすべてのアルファベット文字を、大文字と小文字を区別せずに扱います。 |
Yes | No(デフォルト) |
Raw Regex |
[Yes] に設定された場合、Min Match Length、Max Match Length、Min Whole Length、Max Whole Length、Dot All、UTF8、No Case、Stingy、およびEnd Optional は、正規表現文字列を再フォーマットするために使用されません。 (注) [Raw Regex] を使用すると、raw 構文で正規表現文字列を入力でき、変換されることはありません。 |
Yes | No(デフォルト) |
Regex String |
(必須)検索で使用する正規表現パターン。 (注) このパラメータは、[Max Stream Length] が設定されている場合は必須です。[Max Stream Length] が設定されている場合は、[Regex String] を設定しないでください。 |
string |
Service Ports |
(必須)ターゲット サービスが常駐する、カンマ区切りのポートのリストまたはポート範囲。 (注) このパラメータは、String XL TCP および String XL UDP シグニチャ エンジンでは必須です。String XL ICMP シグニチャ エンジンでは使用できません。 |
0 ~ 65535 a-b[,c-d] |
Specify Exact Match Offset |
完全一致オフセットをイネーブルにします。 • [Exact Match Offset]:一致を有効にするために正規表現文字列がレポートする必要がある正確なストリーム オフセット(バイト単位)。 |
[Yes] | [No] 0 ~ 65535 |
Specify Maximum Match Offset |
最大一致オフセットをイネーブルにします。 • [Maximum Match Offset]:一致を有効にするために正規表現文字列が報告する必要がある最大ストリーム オフセット(バイト単位)。 |
[Yes] | [No] 0 ~ 65535 |
Specify Min Match Offset |
最小一致オフセットをイネーブルにします。 • [Min Match Offset]:一致を有効にするために正規表現文字列が報告する必要がある最小ストリーム オフセット(バイト単位)。 |
[Yes] | [No] 0 ~ 65535 |
Specify Max Match Length |
最大一致長をイネーブルにします。 • [Max Match Length]:パターンが一致したと見なされるために正規表現文字列が一致する必要がある最大バイト数。 |
[Yes] | [No] 0 ~ 65535 |
Specify Min Match Length |
最小一致長をイネーブルにします。 • [Min Match Length]:パターンが一致したと見なされるために正規表現文字列が一致する必要がある最小バイト数。 |
[Yes] | [No] 0 ~ 65535 |
Specify Max Stream Length |
最大ストリーム長をイネーブルにします。 • [Max Stream Length]:設定された先頭数バイトに検索を制限します。ストリームの長さはこの値に対してチェックされます。ストリームにこの値よりも多くのバイトが含まれている場合、アラートが起動されます。 (注) このパラメータを指定した場合、[Raw Regex] と [Regex String] は設定できません。 |
[Yes] | [No] 0 ~ 65535 |
Specify Max Whole Length |
最大全体長をイネーブルにします。 • [Max Whole Length]:フラグメント化されないパターンの最大長。 |
[Yes] | [No] 0 ~ 65535 |
Specify Min Whole Length |
最小全体長をイネーブルにします。 • [Min Whole Length]:フラグメント化されないパターンの最小長。 |
[Yes] | [No] 0 ~ 65535 |
Stingy |
最初に完了した一致の後、より大きな一致の検索を行いません。 (注) [Stingy] は必ず [Min Match Length] と組み合わせて使用します。単独で使用した場合は無視されます。 |
Yes | No(デフォルト) |
Strip Telnet Options |
パターンを検索する前に、データから Telnet オプション文字を削除します。 |
Yes | No(デフォルト) |
Swap Attacker Victim |
攻撃者と攻撃対象のアドレスとポート(送信元および宛先)を、アラート メッセージとアクションで入れ替える場合は [Yes]。入れ替えない場合は [No](デフォルト)。 |
Yes | No(デフォルト) |
UTF8 |
式の中のすべての適正な UTF-8 バイト シーケンスを 1 個の文字として扱います。 |
Yes | No(デフォルト) |
サポートされないパラメータ
String XL エンジンには [End Optional] および [Specify Max Stream Length] パラメータがありますが、IPS 7.1(1)E4 ではディセーブルになっています。これらのパラメータを設定しようとするとエラー メッセージが表示されます。たとえば、[Specify Max Stream Length] を使用してシグニチャを作成し、保存しようとすると、次のエラー メッセージが表示されます。
Error: string-xl-tcp 60003.0 : Maximum Stream Length is currently not supported.
Please don't use this option.
The configuration changes failed validation, no changes were applied.
Would you like to return to edit mode to correct the errors? [yes]:
詳細情報
•
シグニチャの正規表現構文の一覧については、「正規表現の構文」を参照してください。
•
すべてのシグニチャ エンジンに共通のパラメータの詳細については、「Master エンジン」を参照してください。
•
String XL エンジンの一致オフセット シグニチャの例については、「String XL エンジンの Match Offset シグニチャの例」を参照してください。
•
String XL エンジンの最小一致長シグニチャの例については、「String XL エンジンの最小一致長シグニチャの例」を参照してください。
Sweep エンジン
ここでは、Sweep エンジンについて説明します。内容は次のとおりです。
•
「Sweep エンジン」
•
「Sweep Other TCP エンジン」
Sweep エンジン
Sweep エンジンでは、2 つのホスト間または 1 つのホストから多数のホストへのトラフィックを分析します。既存のシグニチャを調整したり、カスタム シグニチャを作成したりすることができます。Sweep エンジンには、ICMP、UDP、および TCP のプロトコル固有パラメータがあります。
Sweep エンジンのアラート条件は、最終的に一意のパラメータのカウントに依存します。一意のパラメータは、スイープのタイプに応じた、個別ホストまたはポートの数のしきい値です。一意のパラメータは、期間内に一意のポート数またはホスト数がアドレス セット上に存在するとアラートをトリガーします。一意のポートおよびホストのトラッキング処理をカウンティングと言います。
注意 送信元および宛先 IP アドレスに基づくイベント アクション フィルタは Sweep エンジンでは機能しません。これは、これらのフィルタが、通常のシグニチャとしてフィルタしないためです。送信元および宛先 IP アドレスをスイープ アラートでフィルタするには、Sweep エンジン シグニチャの送信元および宛先 IP アドレス フィルタ パラメータを使用します。
Sweep エンジンのすべてのシグニチャに一意のパラメータを指定する必要があります。スイープでは、2 ~ 40(それぞれの値を含む)の制限値が強制されます。スイープの絶対最小値は 2 です。それ以外は(1 つのホストまたはポートの)スイープではありません。40 は、スイープによってメモリが過剰に消費されないように強制する必要がある場合の実際的な最大値です。一意の範囲の現実的な値は、5 ~ 15 です。
個別接続をカウントするスイープ インスペクタ スロットを判断するために、TCP スイープでは TCP フラグとマスクを指定する必要があります。さまざまなタイプの ICMP パケットを区別するために、ICMP スイープでは ICMP タイプを指定する必要があります。
DataNode
Sweep エンジン シグニチャに関連するアクティビティが検出されると、IPS は DataNode を使用して、そのホストのモニタリングをいつ停止するかを決定します。DataNode には、複数パケットにわたるストリームの再構成と、ストリーム単位、ソース単位、宛先単位で検査状態を追跡するためのさまざまな永続カウンタと変数が含まれています。スイープを含む DataNode は、スイープをいつ失効させるかを決定します。DataNode は、その DataNode で x 秒間(プロトコルに依存)トラフィックが発生しないと、スイープを停止します。
DataNode には、複数の適応型タイムアウトがあります。DataNode は、含まれているすべてのオブジェクトが取り除かれてから、アドレス セットでアイドル時間が 30 秒経過すると失効します。含まれている各オブジェクトには、さまざまなタイムアウトがあります。たとえば、TCP ストリームの場合、確立した接続には 1 時間のタイムアウトがあります。他のほとんどのオブジェクトの有効期限は非常に短く、5 秒や 60 秒などです。
表 B-39 に、Sweep エンジンに固有のパラメータを示します。
表 B-39 Sweep エンジンのパラメータ
|
|
|
Destination Address Filter |
スイープ カウント アルゴリズムから除外する宛先 IP アドレス。 |
<A.B.C.D>- <A.B.C.D> [,<A.B.C.D>- <A.B.C.D>] |
Source Address Filter |
スイープ カウント アルゴリズムから除外する送信元 IP アドレス。 |
<A.B.C.D>- <A.B.C.D> [,<A.B.C.D>- <A.B.C.D>] |
Protocol |
このインスペクタの該当プロトコル。 |
• ICMP • UDP • TCP |
Specify ICMP Type |
(任意)ICMP ヘッダー タイプの検査をイネーブルにします。 • [ICMP Type]:ICMP ヘッダーの TYPE 値を指定します。 |
0 ~ 255 |
Specify Port Range |
(任意)検査でのポート範囲の使用をイネーブルにします。 • [Port Range]:検査で使用する UDP ポート範囲。 |
0 ~ 65535 a-b[,c-d] |
Fragment Status |
フラグメントが必要かどうかを指定します。 • 任意のフラグメント ステータス • フラグメントを検査しない • フラグメントを検査する |
• Any • No Fragment • Want Fragment |
Inverted Sweep |
一意のカウントの対象として宛先ポートではなく送信元ポートを使用します。 |
[Yes] | [No] |
Mask |
TCP フラグの比較に使用するマスク: • URG ビット • ACK ビット • PSH ビット • RST ビット • SYN ビット • FIN ビット |
• URG • ACK • PSH • RST • SYN • FIN |
Storage Key |
固定データを保存するために使用するアドレス キーのタイプ。 • 攻撃者のアドレス • 攻撃者と攻撃対象のアドレス • 攻撃者のアドレスと攻撃対象のポート |
Axxx AxBx Axxb |
Suppress Reverse |
このアドレス セットで反対方向にスイープが実行されている場合、アラートを起動しません。 |
[Yes] | [No] |
Swap Attacker Victim |
攻撃者と攻撃対象のアドレスとポート(送信元および宛先)を、アラート メッセージとアクションで入れ替える場合は [Yes]。入れ替えない場合は [No](デフォルト)。 |
[Yes] | [No] |
TCP Flags |
マスクによってマスクされた場合に照合する TCP フラグ。 • URG ビット • ACK ビット • PSH ビット • RST ビット • SYN ビット • FIN ビット |
• URG • ACK • PSH • RST • SYN • FIN |
Unique |
2 つのホスト間の一意のポート接続数のしきい値。 |
0 ~ 65535 |
詳細情報
すべてのシグニチャ エンジンに共通のパラメータの詳細については、「Master エンジン」を参照してください。
Sweep Other TCP エンジン
Sweep Other TCP エンジンは、2 台のホスト間のトラフィックを分析し、一般に攻撃対象を特定するために使用する異常なパケットを探します。既存のシグニチャを調整したり、カスタム シグニチャを作成したりすることができます。
TCP スイープには、TCP フラグとマスクが指定されている必要があります。TCP フラグのセット中で、複数のエントリを指定できます。また、特定のパケットを除外するためのポート範囲を必要に応じて指定できます。
表 B-40 に、Sweep Other TCP エンジンに固有のパラメータを示します。
表 B-40 Sweep Other TCP エンジンのパラメータ
|
|
|
Specify Port Range |
(任意)検査でのポート範囲の使用をイネーブルにします。 • [Port Range]:検査で使用する UDP ポート範囲。 |
0 ~ 65535 a-b[,c-d] |
Set TCP Flags |
照合する TCP フラグを設定します。 • [TCP Flags]:検査で使用される TCP フラグ。 – URG ビット – ACK ビット – PSH ビット – RST ビット – SYN ビット – FIN ビット |
• URG • ACK • PSH • RST • SYN • FIN |
詳細情報
すべてのシグニチャ エンジンに共通のパラメータの詳細については、「Master エンジン」を参照してください。
Traffic Anomaly エンジン
(注) 異常検出シグニチャを編集または調整できますが、カスタム異常検出シグニチャは作成できません。
Traffic Anomaly エンジンには、3 つのプロトコル(TCP、UDP、およびその他)をカバーする 9 つの異常検出シグニチャが含まれます。各シグニチャには 2 つのサブシグニチャがあります。一方はスキャナ用で、もう一方はワームに感染したホスト(またはワーム攻撃されているスキャナ)用です。異常検出は、異常を検出すると、これらのシグニチャのアラートをトリガーします。すべての異常検出シグニチャは、デフォルトでイネーブルになり、各シグニチャのアラート重大度は高く設定されます。
スキャナが検出されても、ヒストグラム異常が発生しない場合、スキャナ シグニチャはその攻撃者(スキャナ)の IP アドレスをファイルに保存します。ヒストグラム シグニチャがトリガーされた場合は、スキャンを行っている攻撃者のアドレスによってそれぞれ(スキャナ シグニチャではなく)ワーム シグニチャがトリガーされます。ヒストグラムがトリガーされているので、アラートの詳細には、ワーム検出に使用されたしきい値が表示されます。その時点から、すべてのスキャナがワーム感染ホストとして検出されます。
次の異常検出イベント アクションが可能です。
•
[Product Alert]:イベント ストアにイベントを書き込みます。
•
[Deny Attacker Inline]:指定された期間、この攻撃者のアドレスから発生した現在のパケットおよび将来のパケットを送信しません。
•
[Log Attacker Packets]:攻撃者のアドレスが含まれているパケットに対する IP ロギングを開始します。
•
[Log Attacker/Victim Pair Packets]:攻撃者と攻撃対象のアドレス ペアが含まれているパケットに対する IP ロギングを開始します。
•
[Deny Attacker Service Pair Inline]:送信元 IP アドレスと宛先ポートをブロックします。
•
[Request SNMP Trap]:NotificationApp に、SNMP 通知を実行するための要求を送信します。
•
[Request Block Host]:このホスト(攻撃者)をブロックする要求を ARC に送信します。
表 41 に、異常検出ワーム シグニチャを示します。
表 41 異常検出ワーム シグニチャ
|
|
|
|
13000 |
0 |
Internal TCP Scanner |
内部ゾーンで TCP プロトコル上に単一スキャナを識別しました。 |
13000 |
1 |
Internal TCP Scanner |
内部ゾーンで TCP プロトコル上にワーム攻撃を識別しました。TCP ヒストグラムのしきい値を超え、TCP プロトコル上にスキャナが識別されました。 |
13001 |
0 |
Internal UDP Scanner |
内部ゾーンで UDP プロトコル上に単一スキャナを識別しました。 |
13001 |
1 |
Internal UDP Scanner |
内部ゾーンで UDP プロトコル上にワーム攻撃を識別しました。UDP ヒストグラムのしきい値を超え、UDP プロトコル上にスキャナが識別されました。 |
13002 |
0 |
Internal Other Scanner |
内部ゾーンでその他のプロトコル上に単一スキャナを識別しました。 |
13002 |
1 |
Internal Other Scanner |
内部ゾーンでその他のプロトコル上にワーム攻撃を識別しました。その他のヒストグラムのしきい値を超え、その他のプロトコル上にスキャナが識別されました。 |
13003 |
0 |
External TCP Scanner |
外部ゾーンで TCP プロトコル上に単一スキャナを識別しました。 |
13003 |
1 |
External TCP Scanner |
外部ゾーンで TCP プロトコル上にワーム攻撃を識別しました。TCP ヒストグラムのしきい値を超え、TCP プロトコル上にスキャナが識別されました。 |
13004 |
0 |
External UDP Scanner |
外部ゾーンで UDP プロトコル上に単一スキャナを識別しました。 |
13004 |
1 |
External UDP Scanner |
外部ゾーンで UDP プロトコル上にワーム攻撃を識別しました。UDP ヒストグラムのしきい値を超え、UDP プロトコル上にスキャナが識別されました。 |
13005 |
0 |
External Other Scanner |
外部ゾーンでその他のプロトコル上に単一スキャナを識別しました。 |
13005 |
1 |
External Other Scanner |
外部ゾーンでその他のプロトコル上にワーム攻撃を識別しました。その他のヒストグラムのしきい値を超え、その他のプロトコル上にスキャナが識別されました。 |
13006 |
0 |
Illegal TCP Scanner |
不正ゾーンで TCP プロトコル上に単一スキャナを識別しました。 |
13006 |
1 |
Illegal TCP Scanner |
不正ゾーンで TCP プロトコル上にワーム攻撃を識別しました。TCP ヒストグラムのしきい値を超え、TCP プロトコル上にスキャナが識別されました。 |
13007 |
0 |
Illegal UDP Scanner |
不正ゾーンで UDP プロトコル上に単一スキャナを識別しました。 |
13007 |
1 |
Illegal UDP Scanner |
不正ゾーンで UDP プロトコル上にワーム攻撃を識別しました。UDP ヒストグラムのしきい値を超え、UDP プロトコル上にスキャナが識別されました。 |
13008 |
0 |
Illegal Other Scanner |
不正ゾーンでその他のプロトコル上に単一スキャナを識別しました。 |
13008 |
1 |
Illegal Other Scanner |
不正ゾーンでその他のプロトコル上にワーム攻撃を識別しました。その他のヒストグラムのしきい値を超え、その他のプロトコル上にスキャナが識別されました。 |
詳細情報
すべてのシグニチャ エンジンに共通のパラメータの詳細については、「Master エンジン」を参照してください。
Traffic ICMP エンジン
Traffic ICMP エンジンは、TFN2K、LOKI、DDoS などの非標準プロトコルを分析します。このエンジンには、ユーザが設定可能なパラメータを持つ 2 つのシグニチャ(LOKI プロトコルに基づく)だけが含まれます。
TFN2K は、TFN の新しいバージョンです。TFN2K は DDoS エージェントの一種であり、感染した複数のコンピュータ(ゾンビ)による協調した攻撃(何百または何千もの未知の攻撃ホストから 1 つのコンピュータまたはドメインに向けて偽のトラフィック フラッドを送信する攻撃)を制御します。TFN2K はランダムに抽出されたパケット ヘッダー情報を送信しますが、それにはシグニチャの定義に使用できる 2 つの識別子が付いています。1 つは L3 チェックサムが不正かどうかを示し、もう 1 つはペイロードの末尾に文字 64「A」が検出されたかどうかを示します。TFN2K は、任意のポートで実行可能であり、ICMP、TCP、UDP、またはこれらのプロトコルの組み合わせを使用して通信できます。
LOKI は、バック ドア型トロイの木馬タイプです コンピュータが感染すると、悪意のあるコードにより ICMP トンネルが作成されます。この ICMP トンネルは、ICMP 応答内での小さなペイロードの送信に使用されるおそれがあります(ICMP をブロックするように設定していないと、ICMP 応答はファイアウォールを通過することがあります)。LOKI シグニチャは、ICMP エコーの要求と応答のアンバランス、簡易 ICMP コード、およびペイロード識別子をモニタします。
(TFN2K を除く)DDOS カテゴリは、ICMP ベースの DDOS エージェントを対象とします。ここで使用する主なツールは、TFN と Stacheldraht です。これらは TFN2K と同様に動作しますが、ICMP だけに依存し、固定コマンド(整数および文字列)を備えています。
表 B-42 に、Traffic ICMP エンジンに固有のパラメータを示します。
表 B-42 Traffic ICMP エンジンのパラメータ
|
|
|
Parameter Tunable Sig |
設定可能なパラメータがシグニチャに存在するかどうか。 |
[Yes] | [No] |
Inspection Type |
実行する検査のタイプ: • 最初の LOKI トラフィックを検査する • 変更された LOKI トラフィックを検査する |
Is Loki Is Mod Loki |
Reply Ratio |
要求と応答のアンバランス。要求と比べて、応答が指定した数より多い場合に、アラートを起動します。 |
0 ~ 65535 |
Want Request |
アラートを起動する前に、ECHO REQUEST の検出が必要となります。 |
[Yes] | [No] |
詳細情報
すべてのシグニチャ エンジンに共通のパラメータの詳細については、「Master エンジン」を参照してください。
Trojan エンジン
Trojan エンジンは、BO2K や TFN2K などの非標準プロトコルを分析します。Trojan エンジンには、Trojan BO2K、TrojanTFN2K、および Trojan UDP の 3 つの種類があります。
BO は、Windows を標的とした最初のバック ドア型トロイの木馬です。この BO は UDP 上でのみ実行されます。BO は、まもなく BO2K で置き換えられました。BO2K は、基本的な XOR 暗号を利用する UDP と TCP のどちらにも対応していました。特定のクロスパケット特性を持つプレーン BO ヘッダーが使用されています。
BO2K には、BO ヘッダーを暗号化し、クロスパケット パターンをほぼ認識不能にする、隠蔽用の TCP モジュールも含まれています。BO と BO2K の UDP モードは、Trojan UDP エンジンによって処理されます。TCP モードは Trojan BO2K エンジンによって処理されます。
(注) Trojan エンジンには、Trojan UDP エンジンの [Swap Attacker Victim] を除き、固有のパラメータはありません。
詳細情報
すべてのシグニチャ エンジンに共通のパラメータの詳細については、「Master エンジン」を参照してください。