ネットワークエンジン

ネットワークエンジン

Agent/Applianceのネットワークエンジンは、インラインモードまたはタップモードで動作します。インラインモードで動作する場合、実際のパケットストリームはネットワークエンジンを通過します。ステートフルテーブルは維持され、ファイアウォールルールは適用され、侵入防御ルールがペイロードコンテンツに適用されるようトラフィックの正規化が実行されます。タップモードで動作する場合、実際のパケットストリームはクローン化され、メインストリームを迂回して流れます。タップモードでは、実際のパケットストリームは変更されません。すべての操作はクローン化されたストリーム上で行われます。

イベント

個々のログファイルの最大サイズ、および保持される最新ファイルの数を指定できます。イベントログファイルは、最大許容サイズに達するまで書き込まれ、最大サイズに達すると新しいファイルが作成され、そのファイルが最大サイズに達するまで書き込まれます。最大ファイル数に達すると、最も古いファイルが削除され、その後、新しいファイルが作成されます。通常、イベントログエントリのサイズは平均約200バイトであるため、4MBのログファイルには約20,000ログエントリが保持されます。ログファイルがどのぐらいの期間でいっぱいになるかは、実行されるルールの数によって異なります。

• イベントログファイルの最大サイズ (Agent/Appliance): ログファイルの最大サイズです。このサイズに達すると、新しいファイルが作成されます。
• 保管するイベントログファイル数 (Agent/Appliance): 保管するログファイルの最大数です。ログファイルの最大数に達すると、最も古いファイルが削除され、その後、新しいファイルが作成されます。
  イベントは、個々のイベントのレコードです。カウンタは、個々のイベントが発生した回数のレコードです。イベントは、[イベント] 画面の表示に使用されます。カウンタは、ダッシュボードのウィジェット (過去7日間のファイアウォールイベントの数など) およびレポートの作成に使用されます。たとえば、イベント収集にSyslogを使用している場合に、カウンタのデータのみを収集する場合があります。イベントには大量のディスク容量が必要となる可能性があるため、データを重複して格納することは避けることがあります。
• 次の送信元IPのイベントは記録しない: このオプションは、Vulnerability ProtectionDeep Securityで特定の信頼されたコンピュータからのトラフィックのイベントが記録されないようにする場合に役立ちます。
  集約されたイベントは、次の3つの設定で調整します。ディスク容量を節約するため、Vulnerability ProtectionDeep Security Agent/Applianceは複数発生する同一イベントを1つのエントリに集約し、「繰り返し回数」、「初出現」、「最終出現」のタイムスタンプを追加します。イベントエントリを集約するには、Vulnerability ProtectionDeep Security Agent/Applianceはディスクへ書き込む前、イベントが集約されている間にメモリ内へエントリをキャッシュする必要があります。
• キャッシュサイズ: 指定された時間にいくつのイベントの種類を追跡するか決定します。値を10に設定すると、繰り返し回数、初出現、最終出現のタイムスタンプを付けた、10種類のイベントを追跡することになります。新規のイベントの種類が発生すると、最も古い10のイベントは集約され、キャッシュから消去されてディスクに書き込まれます。
• キャッシュの寿命: ディスクへ書き込まれる前に、どれだけの期間キャッシュに保存するかを決定します。値が10分に設定され、記録をフラッシュする状況が発生しなければ、10分を経過した記録はディスクへ書き込まれます。
• キャッシュの有効期間: 最近更新されていない繰り返し回数のレコードをどのくらいの期間保持しておくかを決定します。キャッシュのライフタイムが10分で存続期間が2分の場合、更新されずに2分経過したイベントのレコードはディスクへ書き込まれ、キャッシュから消去されます。
  上記の設定にかかわらず、イベントがVulnerability ProtectionDeep Security Managerへ送信されるたびに、キャッシュは消去されます。

回避技術対策

回避技術対策では、分析を回避しようとする異常なパケットに対するネットワークエンジンによる処理を管理します。

モード: モードの設定には3種類のオプションがあります。これらの設定は親ポリシーから継承できます。

• 標準: 初期設定です。誤検出が発生しないように侵入防御ルールの回避を防ぎます。
• 厳格: 標準モードよりも厳密なチェックが行われますが、誤検出が発生する場合があります。
• カスタム: [カスタム] を選択すると、追加設定が可能になり、問題のあるパケットのDeep Securityでの処理方法を指定できます。この設定では、無視 (Deep Securityはパケットをシステムに送信します)、無視してログに記録 ([無視] と同じ処理を行いますが、イベントをログに記録します)、拒否 (Deep Securityはパケットを破棄し、イベントをログに記録します)、または拒否 (ログに記録しない) ([拒否] と同じ処理を行いますが、イベントをログに記録しません) を選ぶことができます (TCP PAWSウィンドウでは上記のオプションは選べません)。
  • 無効なTCP タイムスタンプ: タイムスタンプが古い場合の処理
  • TCP PAWSウィンドウ: パケットにはタイムスタンプが付加されている場合があります。パケットのタイムスタンプが、それ以前に受信したタイムスタンプよりも古い場合、不審なタイムスタンプが使用されている可能性があります。タイムスタンプの差異についての許容度は、OSによって異なります。Windowsシステムの場合、0を選択してください (パケットのタイムスタンプが、それ以前のパケットと同じ、もしくは新しい場合、システムがパケットを受容します)。Linuxシステムの場合は、1を選択してください (パケットのタイムスタンプの古さが、それ以前のパケットより最大で1秒未満の場合、システムがパケットを受容します)。
  • TCPタイムスタンプ (PAWS: Protection Against Wrapped Sequence) の値がゼロ: TCPタイムスタンプがゼロの場合の処理
  • フラグメント化されたパケット: パケットがフラグメント化されている場合の処理
  • TCPゼロフラグ: パケットにゼロフラグが設定されている場合の処理
  • TCP輻輳フラグ: パケットに輻輳フラグが設定されている場合の処理
  • TCP緊急フラグ: パケットに緊急フラグが設定されている場合の処理
  • TCP SYN FINフラグ: パケットにSYNおよびFINフラグが設定されている場合の処理
  • TCP SYN RSTフラグ: パケットにSYNおよびRSTフラグが設定されている場合の処理
  • TCP RST FINフラグ: パケットにRSTおよびFINフラグが設定されている場合の処理
  • TCP SYNパケット (データあり): パケットにSYNフラグが設定されていて、かつデータが含まれる場合の処理
  • TCP Split Handshake: SYNへの応答としてSYNACKではなくSYNを受信した場合の処理
  • 識別できないTCPセッション上のRSTパケット: 識別できないTCPセッション上のRSTパケットに対する処理
  • 識別できないTCPセッション上のFINパケット: 識別できないTCPセッション上のFINパケットに対する処理
  • 識別できないTCPセッション上の送信パケット: 識別できないTCPセッション上の送信パケットに対する処理
  • 回避再送: 複製または重複したデータを含むパケットに対する処理
  • TCPチェックサム: 無効なチェックサムを含むパケットに対する処理

ネットワークエンジンの詳細設定

Agentの設定パッケージが最大サイズを超えた場合にアラートを生成する: [はい] または [いいえ]。初期設定は [はい] です。

初期設定のチェックを外すと、以下の設定をカスタマイズできます。

• CLOSEDタイムアウト: ゲートウェイで使用します。ゲートウェイが「ハードクローズ」(RST) を伝えると、RSTを受信したゲートウェイ側は、接続を終了するまで、設定された時間の間、接続をアライブにします。
• SYN_SENTタイムアウト: 接続を終了するまでSYN_SENT状態になっている時間。
• SYN_RCVDタイムアウト: 接続を終了するまでSYN_RCVD状態になっている時間。
• FIN_WAIT1タイムアウト: 接続を終了するまでFIN_WAIT1状態になっている時間。
• ESTABLISHEDタイムアウト: 接続を終了するまでESTABLISHED状態になっている時間。
• ERRORタイムアウト: エラー状態で接続を保持する時間(UDP接続の場合、エラーはさまざまなUDPの問題が原因で発生する可能性があります。TCP接続の場合、エラーはファイアウォールによって破棄されているパケットが原因で発生する可能性があります)。
• DISCONNECTタイムアウト: 切断するまで接続がアイドル状態になっている時間。
• CLOSE_WAITタイムアウト: 接続を終了するまでCLOSE_WAIT状態になっている時間。
• CLOSINGタイムアウト: 接続を終了するまでCLOSING状態になっている時間。
• LAST_ACKタイムアウト: 接続を終了するまでLAST_ACK状態になっている時間。
• ACKストームタイムアウト: ACKストーム内で再送されるACK間の最長期間。つまり、ACKが再送される頻度が低く、このタイムアウトが発生した場合、ACKはACKストームの一部とはみなされません。
• ブートスタートタイムアウト: ゲートウェイで使用します。ゲートウェイが再起動されるとき、ゲートウェイを通過している既存の接続が確立している場合があります。このタイムアウトでは、ゲートウェイが再起動される前に、確立された接続の一部である非SYNパケットを許可する時間が定義されます。
• コールドスタートタイムアウト: ステートフル機能が開始される前に、確立された接続に属している非SYNパケットを許可する時間。
• UDPタイムアウト: UDP接続の最大時間。
• ICMPタイムアウト: ICMP接続の最大時間。
• Null IPを許可: 送信元または送信先IPアドレスがないパケットを許可またはブロックします。
• バージョン8以前のAgentとApplianceでIPv6をブロック: バージョン8.0以前のAgentおよびApplianceでIPv6パケットをブロックまたは許可します。
  バージョン8.0以前のDeep Security AgentおよびApplianceはファイアウォールルールまたは侵入防御ルールをIPv6ネットワークトラフィックに適用できないため、こうした古いバージョンの初期設定ではIPv6トラフィックがブロックされています。
• バージョン9以降のAgentとApplianceでIPv6をブロック: バージョン9.0以降のAgentおよびApplianceでIPv6パケットをブロックまたは許可します。
• 接続クリーンナップタイムアウト: 切断された接続のクリーンナップ時間 (次を参照)。
• 最大接続数 (クリーンナップ単位): 定期的な接続クリーンナップごとに実施するクリーンナップで切断される接続の最大数 (前を参照)。
• 送信元と送信先が同じIPアドレスをブロック: 送信元および送信先IPアドレスが同じパケットをブロックまたは許可します(ループバックインタフェースには適用されません)。
• 最大TCP接続数: 最大TCP同時接続数。
• 最大UDP接続数: 最大UDP同時接続数。
• 最大ICMP接続数: 最大ICMP同時接続数。
• 最大イベント数 (秒単位): 毎秒書き込み可能なイベントの最大数。
• TCP MSSの制限: MSSは最大セグメントサイズ (またはデータの最大量) のことで、フラグメント化せずにTCPパケットへ送信できるサイズを指します。通常、2台のコンピュータ間で通信が確立されたときに指定されます。ただし、状況によっては、トラフィックが小さいMSSの設定されたルータまたはスイッチを通過することがあります。この場合、MSSを変更できます。その際はパケットが再送され、Agent/Applianceはパケットを「再送の破棄」として記録します。再送の破棄イベントエントリが多数ある場合、上限を低くして容量が削減されるか確認してください。
• イベントノードの数: いつでもログ/イベントを折りたためるよう、ドライバがそれらを格納するのに使用するカーネルメモリの最大容量。
  イベントの折りたたみは、同じ種類のイベントが連続して多く発生したときに実行されます。このとき、Agent/Applianceはすべてのイベントを1つに折りたたみます。
• ステータスコードの無視: このオプションは、特定の種類のイベントを無視します。たとえば、たくさんの「不正なフラグ」が表示される場合は、そのイベントの全インスタンスを無視してかまいません。
• 詳細なログ記録ポリシー:
  • バイパス: イベントをフィルタしません。上記の [ステータスコードの無視] 設定およびその他の詳細設定をオーバーライドします。ただし、Vulnerability ProtectionDeep Security Managerで定義された他のログ設定はオーバーライドしません。たとえば、Vulnerability ProtectionDeep Security Managerのファイアウォールステートフル設定の [プロパティ] 画面で設定されたファイアウォールステートフル設定ログオプションはオーバーライドしません。
  • 初期設定: エンジンがタップモードの場合は、下の [タップモード] に切り替わり、インラインモードの場合は、[標準] に切り替わります。
  • 標準: 再送の破棄イベント以外はすべてログに記録されます。
  • 下位互換性モード: サポートでのみ使用します。
  • 詳細モード: 「標準モード」で記録されるログに加え、再送の破棄イベントも記録します。
  • ステートフルおよび正規化の抑制: 「再送の破棄」、「セッション情報なし」、「不正なフラグ」、「不正なシーケンス」、「不正なACK」、「許可されていないUDP応答」、「許可されていないICMP応答」、および「ポリシーで未許可」を無視します。
  • ステートフル、正規化、およびフラグメントの抑制: フラグメンテーション関連のイベントに加え、[ステートフルおよび正規化の抑制] が無視するものすべても無視します。
  • ステートフル、フラグメント、および検証機能の抑制: [ステートフル、正規化、およびフラグメントの抑制] が無視するものすべてに加えて、確認に関するイベントも無視します。
  • タップモード: 「再送の破棄」、「セッション情報なし」、「不正なフラグ」、「不正なシーケンス」、「不正なACK」、「ACK再送の上限」、「切断された接続上のパケット」を無視します。
  [ステートフルおよび正規化の抑制]、[ステートフル、正規化、およびフラグメントの抑制]、[ステートフル、フラグメント、および検証機能の抑制]、[タップモード] の各モードで無視されるイベントの包括的なリストについては、「詳細なログ記録ポリシー」を参照してください。
• サイレントTCP接続拒否: サイレントTCP接続の破棄がオンの場合、RSTパケットはローカルスタックへのみ送信され、送信元にRSTパケットは送信されません。これにより、潜在的な攻撃者に返す情報量は削減されます。
  [サイレントTCP接続拒否] を有効化する場合、DISCONNECTタイムアウトも調整する必要があります。DISCONNECTタイムアウトの値の範囲は、0秒から10分までの間で設定します。この値は、Vulnerability ProtectionDeep Security Agent/Applianceが接続を切断する前にアプリケーション側で切断できるよう、十分に高く設定する必要があります。DISCONNECTタイムアウト値に影響を与える要因としては、OS、接続を確立するアプリケーション、およびネットワークトポロジーが挙げられます。
• デバッグモードを有効にする: デバッグモードの場合、Agent/Applianceは特定のパケット数を取り込みます (下記の [デバッグモードで保持するパケットの数] 内の設定を参照)。ルールがトリガされてデバッグモードがオンになると、Agent/Applianceはルールがトリガされる前に通過した最後のパケット数Xを記録として保持します。パケットは、デバッグイベントとしてManagerに返されます。
  デバッグモードは簡単にログの過剰生成を引き起こすので、クライアントサービスの管理下でのみ使用してください。
• デバッグモードで保持するパケットの数: デバッグモードがオンのとき、維持してログするパケット数。
• すべてのパケットデータをログに記録する: 特定のファイアウォールルールまたは侵入防御ルールと関連しないイベントのパケットデータを記録します。つまり、「再送の破棄」や「不正なACK」などのイベントのパケットデータを記録します。
  イベントの折りたたみによって集約されたイベントのパケットデータは保存できません。
• 期間内で1つのパケットデータのみをログに記録する: このオプションを有効にして [すべてのパケットデータをログに記録する] を有効にしない場合、ほとんどのログにはヘッダデータのみが含まれます。パケット全体は、[1つのパケットデータのみをログに記録する期間] の指定に従って定期的に記録されます。
• 1つのパケットデータのみをログに記録する期間: [1つのパケットデータのみをログに記録する期間] を有効にした場合、この設定にログにパケット全体のデータ含める頻度を指定できます。
• パケットデータがキャプチャされたときに格納する最大データサイズ: ログに追加されるヘッダデータまたはパケットデータの最大サイズ。
• TCPの接続イベントを生成する: TCP接続が確立されるたびにファイアウォールイベントが生成されます。
• ICMPの接続イベントを生成する: ICMP接続が確立されるたびにファイアウォールイベントが生成されます。
• UDPの接続イベントを生成する: UDP接続が確立されるたびにファイアウォールイベントが生成されます。
• Cisco WAAS接続のバイパス: このモードでは、専用のCISCO WAAS TCPオプションを選択して開始された接続に対して、TCPシーケンス番号のステートフル分析をバイパスします。このプロトコルには無効なTCPシーケンスおよびACK番号に関する詳細情報が含まれていて、ステートフルなファイアウォールによるチェックと干渉します。CISCO WAASを使用していてファイアウォールログに不正なSEQや不正なACKを持つ接続が表示されている場合にのみ、このオプションを有効にします。このオプションを選択すると、WAASが有効化されていない接続に対してもTCPステートフルシーケンス番号の確認が実行されます。
• 回避再送の破棄: 処理済みのデータを含む受信パケットは、回避再送の攻撃を避けるため、破棄されます。
• TCPチェックサムの確認: セグメントのチェックサムフィールドのデータは、セグメントの整合性を評価するために使用されます。
• 最小フラグメントオフセット: 許容可能な最小のIPフラグメントオフセットを定義します。オフセットがこの値未満のパケットは、「最小オフセット値以下のIPフラグメント」という理由で破棄されます。0を設定すると制限がなくなります。初期設定は60です。
• 最小フラグメントサイズ: 許容可能な最小のIPフラグメントサイズを定義します。この値より小さいフラグメント化されたパケットは、「最初のフラグメントが最小サイズ未満」という不正の可能性により破棄されます。初期設定は120です。
• SSLセッションのサイズ: SSLセッションキーに保持されるSSLセッションエントリの最大数を設定します。
• SSLセッションの時間: SSLセッション更新キーの有効期間を設定します。
• IPv4トンネルのフィルタ: このバージョンのDeep Securityでは使用されません。
• IPv6トンネルのフィルタ: このバージョンのDeep Securityでは使用されません。
• 厳密なTeredoのポート確認: このバージョンのDeep Securityでは使用されません。
• Teredoの異常のドロップ: このバージョンのDeep Securityでは使用されません。
• 最大トンネル深度: このバージョンのDeep Securityでは使用されません。
• 最大トンネル深度超過時の処理: このバージョンのDeep Securityでは使用されません。
• IPv6拡張タイプ0のドロップ: このバージョンのDeep Securityでは使用されません。
• 最小MTU未満のIPv6フラグメントのドロップ: IETF RFC 2460によって規定された最小MTUサイズに満たないIPv6フラグメントがドロップされます。
• IPv6予約済みアドレスのドロップ: 次の予約済みアドレスをドロップします。
  • IETFによって予約済み 0000::/8
  • IETFによって予約済み 0100::/8
  • IETFによって予約済み 0200::/7
  • IETFによって予約済み 0400::/6
  • IETFによって予約済み 0800::/5
  • IETFによって予約済み 1000::/4
  • IETFによって予約済み 4000::/2
  • IETFによって予約済み 8000::/2
  • IETFによって予約済み C000::/3
  • IETFによって予約済み E000::/4
  • IETFによって予約済み F000::/5
  • IETFによって予約済み F800::/6
• IPv6サイトローカルアドレスのドロップ: サイトローカルアドレスFEC0::/1をドロップします。
• IPv6 Bogonアドレスのドロップ: 次のアドレスをドロップします。
  • ループバック ::1
  • IPv4互換アドレス ::/96
  • IPv4にマッピングされたアドレス ::FFFF:0.0.0.0/96
  • IPv4にマッピングされたアドレス ::/8
  • OSI NSAP用プレフィックス (RFC4048非推奨) 0200::/7
  • 6bone (非推奨) 3ffe::/16
  • 文書記述用アドレスプレフィックス 2001:db8::/32
• 6to4 Bogonアドレスのドロップ: 次のアドレスをドロップします。
  • 6to4 IPv4マルチキャスト 2002:e000:: /20
  • 6to4 IPv4ループバック 2002:7f00:: /24
  • 6to4 IPv4初期設定 2002:0000:: /24
  • 6to4 IPv4無効 2002:ff00:: /24
  • 6to4 IPv4 10.0.0.0/8 2002:0a00:: /24
  • 6to4 IPv4 172.16.0.0/12 2002:ac10:: /28
  • 6to4 IPv4 192.168.0.0/16 2002:c0a8:: /32
• ゼロペイロードのIPパケットのドロップ: ゼロ長ペイロードのIPパケットをドロップします。
• 不明なSSLプロトコルを破棄: クライアントが間違ったプロトコルでVulnerability ProtectionDeep Security Managerに接続しようとした場合に接続を破棄します。初期設定では、プロトコルが「http/1.1」以外であるとエラーになります。
• フラグメントタイムアウト: これを実行するように設定すると、パケットまたはパケットフラグメントのコンテンツが疑わしいとみなされる場合に、侵入防御ルールはそのコンテンツを検査します。この設定では、検査後、パケットを破棄するまで残りのパケットフラグメントを待機する時間が定義されます。
• 保持するフラグメント化されたIPパケットの最大数: Vulnerability ProtectionDeep Securityで保持されるフラグメント化されたIPパケットの最大数を指定します。
• フラグメント化されたパケットのタイムアウトを超過したことを示すためにICMPを送信する: この設定を有効にした場合、フラグメントのタイムアウトを過ぎるとICMPパケットがリモートコンピュータに送信されます。