攻撃の予兆
攻撃の予兆検索
[攻撃の予兆] 画面では、コンピュータのトラフィック分析を有効にして設定することができます。この機能で攻撃の予兆を検出して実際の攻撃を防ぐことができます。
- 攻撃の予兆の検出の有効化: 攻撃の予兆の検出のオン/オフを切り替えできます。
- 検出を実行するコンピュータ/ネットワーク: 保護するIPをリストから選択します。既存のIPリストから選択します (このIPリストは、[ポリシー]→[共通オブジェクト]→[リスト]→[IPリスト] 画面を使用して作成できます)。
- 検出を実行しないIPリスト: 無視するコンピュータとネットワークをIPリストセットから選択します (上で述べたように、このIPリストは、[ポリシー]→[共通オブジェクト]→[リスト]→[IPリスト] 画面を使用して作成できます)。
攻撃の予兆の保護を有効にする場合は、ポリシー/コンピュータエディタの [ファイアウォール]→[一般] タブで、ファイアウォールおよびステートフルインスペクションも有効にする必要があります。また、ポリシー/コンピュータエディタの[ファイアウォール]→[詳細] タブで、[「ポリシーの許可外」のパケットのファイアウォールイベントを生成] 設定も有効にする必要があります。これにより、攻撃の予兆に必要なファイアウォールイベントが生成されるようになります。
攻撃の種類ごとに、アラートがトリガされるVulnerability ProtectionDeep Security Managerに情報を送信するようAgent/Applianceを設定できます。また、アラートのトリガ時にメール通知を送信するようにManagerを設定できます ([管理]→[システム設定]→[アラート] を参照してください。アラートは、「ネットワークまたはポートの検索」、「OSのフィンガープリント調査」、「TCP Null検索」、「TCP SYNFIN検索」、および「TCP Xmas検索」です)。このオプションには [DSMにただちに通知] を選択してください。
[DSMにただちに通知] オプションを動作させるには、Agent/Applianceの通信方法を [Agent/Applianceから開始] または [双方向] に設定する必要があります (ポリシー/コンピュータエディタの [設定]→[コンピュータ])。設定が有効になると、Agent/Applianceは、攻撃や調査を検出後ただちにVulnerability ProtectionDeep Security Managerに対してハートビートを開始します。
攻撃が検出されると、一時的に送信元IPからのトラフィックをAgent/Applianceでブロックするように設定できます。[トラフィックのブロック] リストを使用して分数を設定します。
- OSのフィンガープリント調査: Agent/Applianceは、有効なTCPスタックOSフィンガープリント試行を認識して処理します。
- ネットワークまたはポートの検索: Agent/Applianceは、ポートの検索を認識して処理します。
- TCP Null検索: Agent/Applianceはフラグが設定されていないパケットを拒否します。
- TCP SYNFIN検索: Agent/ApplianceはSYNフラグおよびFINフラグの付いたパケットのみ拒否します。
- TCP Xmas検索: Agent/Applianceは、FINフラグ、URGフラグ、およびPSHフラグの付いたパケット、または値0xFF (ありうるすべてのフラグ) を含むパケットを拒否します。
「ネットワークまたはポートの検索」は、他の攻撃の予兆と違って単一のパケットでは確認できず、Vulnerability ProtectionDeep Securityでトラフィックを一定期間監視する必要があります。
Agent/Applianceは、リモートIPがポートに対して異常な割合のIPでアクセスしていることを検出した場合、コンピュータまたはポート検索をレポートします。通常、Agent/Applianceのコンピュータは、コンピュータ自身宛てのトラフィックのみを監視するため、ポート検索が最も多く検出されます。ただし、コンピュータがルータまたはブリッジとして動作している場合は、多数の他のコンピュータ宛てのトラフィックを監視して、Agent/Applianceがコンピュータ検索 (サブネット全体でポート80が開いているコンピュータを検索するなど) を検出できます。
こうした検索を検出するには数分かかります。これは、Agent/Applianceが接続の失敗を追跡して、比較的短い期間に単一のコンピュータからの異常な数の接続の失敗があることを確認する必要があるためです。
コンピュータ/ポート検索の検出で使用される統計的な分析方法は、「TAPS」アルゴリズムから導出されたもので、Sprint/Nextelによって発行された「Connectionless Port Scan Detection on the Backbone」で提案され、2006年4月にアリゾナ州フェニックスでIPCCCと共同で開催された不正プログラムワークショップで発表されました。
Windowsコンピュータでブラウザアプリケーションを使用してVulnerability ProtectionDeep Security Agentを実行している場合、切断された接続からの残存トラフィックが原因で、攻撃予兆の誤検索 (偽陽性) が報告されることがあります。