本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。
本ヘルプセンターの一部の記事には外部リンクが含まれています。リンク切れなどお気づきの点がございましたら、トレンドマイクロサポート窓口までご連絡ください。
ファイアウォールポリシーのステートフル設定の定義
Deep Securityのファイアウォールステートフル設定メカニズムでは、トラフィック履歴との関連における各パケット、TCPおよびIPヘッダ値の正当性、およびTCP接続状態の推移が分析されます。UDPやICMPなどのステートレスプロトコルの場合、履歴トラフィック分析に基づいた擬似ステートフルメカニズムが実装されます。パケットは、ステートフルメカニズムによって次のように処理されます。
- 静的ファイアウォールルール条件によってパケットの通過が許可された場合、パケットはステートフルルーチンに渡されます。
- パケットを調べて、既存の接続に属しているかどうかが判断されます。
- TCPヘッダの正当性 (シーケンス番号、フラグの組み合わせなど) が調査されます。
ICMPステートフルフィルタは、Deep Security Agent 8.0以前で使用できます。
[ファイアウォールステートフル設定] 画面を使用して、後でポリシーに含めることができるステートフルインスペクション設定を複数定義します。
この画面を開くには、[ポリシー]→[共通オブジェクト]→[その他]→[ファイアウォールステートフル設定] に移動します。
使用可能なコマンド
次のコマンドは、ツールバーまたはショートカットメニューから使用できます。
- [新規]→[新規ファイアウォールステートフル設定] (
): ファイアウォールステートフル設定を作成します。 - [新規]→[インポート] (
): XMLファイルからファイアウォール設定をインポートします。 - [プロパティ] (
): 既存のファイアウォールステートフル設定のプロパティを確認または変更します。
- [複製] (
): 新しい設定のベースとして使用する、ファイアウォールステートフル設定のコピーを作成します。 - [削除] (
): ファイアウォールステートフル設定を削除します。 - [エクスポート]
: 1つ以上のファイアウォールステートフル設定をXMLファイルまたはCSVファイルにエクスポートします。すべての設定をエクスポートすることも、選択した設定をエクスポートすることもできます。 - [列] (
): 列を追加または削除します。列をドラッグして並べ替えることができます。列の項目は並べ替えと検索が可能です。
ファイアウォールステートフル設定のプロパティ
[新規ファイアウォールステートフル設定] と [プロパティ] コマンドで開いたウィンドウでは、次の設定のプロパティを確認または変更できます。
一般情報
- 名前: ファイアウォールステートフル設定の名前。
- 説明: ファイアウォールステートフル設定の説明を入力します。この説明は、ここでのみ表示されます。
IPパケットインスペクション
- フラグメント化されたすべての受信パケットを拒否する: このオプションを有効にすると、「IP fragmented packet」というログが記録され、フラグメント化されたすべてのパケットが破棄されます。このルールの唯一の例外は、合計の長さがIPヘッダより短いパケットがある場合です。そのようなパケットは、ログに記録されずに破棄されます。
攻撃者は、ファイアウォールルールをバイパスするために、フラグメント化されたパケットを作成して送信する場合があります。初期設定では、ファイアウォールエンジンは、フラグメント化されたパケットに対して一連のチェックを実行します。これは初期設定の動作で、変更することはできません。次のような特徴を持つパケットは、破棄されます。
- フラグメントのフラグ/オフセットが無効: IPヘッダ内のDFフラグまたはMFフラグのいずれかが1に設定されている、またはヘッダ内に含まれるDFフラグが1に設定されており、オフセット値が0以外に設定されているとき、パケットは破棄されます。
- 最初のフラグメントが最小サイズ未満: MFフラグが1に設定されていて、オフセット値が0、合計の長さが (最大組み合わせヘッダ長である) 120バイトよりも短い場合、パケットは破棄されます。
- IPフラグメントが範囲を超えている: 合計パケット長と組み合わされたオフセットフラグの値が最大データグラム長である65,535バイトを超えた場合、パケットは破棄されます。
- IPフラグメントのオフセットが小さすぎる: 60バイトよりも小さい値を持つ0以外のオフセットフラグがある場合、パケットは破棄されます。
TCPパケットインスペクション
- CWR、ECEフラグを含むTCPパケットを拒否する: これらのフラグは、ネットワーク輻輳時に設定されます。
RFC 3168では、ECN (Explicit Congestion Notification) に使用する予約済みフィールドの6ビットのうち2ビットを、次のように定義しています。
- ビット8から15: CWR-ECE-URG-ACK-PSH-RST-SYN-FIN
- TCPヘッダフラグのビット名参照:
- ビット8: CWR (Congestion Window Reduced) [RFC3168]
- ビット9: ECE (ECN-Echo) [RFC3168]
パケットの自動転送 (特にDoS攻撃によって生成されたものなど) によって、これらのフラグが設定されたパケットが作成されることがよくあります。 - TCPステートフルインスペクションを有効にする: TCPレベルでのステートフルインスペクションを有効にします。ステートフルTCPインスペクションを有効にすると、次のオプションが利用可能です。
- TCPステートフルログを有効にする: TCPステートフルインスペクションイベントがログに記録されます。
- 単一コンピュータからの受信接続数の上限: 単一コンピュータからの接続数を制限すると、DoS攻撃の影響を低減できます。
- 単一コンピュータへの送信接続数の上限: 単一コンピュータへの送信接続数を制限すると、Nimdaなどのワームの影響を大幅に低減できます。
- 単一コンピュータからのハーフオープン接続数の上限: この制限を設定すると、SYNフラッドなどのDoS攻撃から保護できます。ほとんどのサーバでは、ハーフオープン接続を終了するためにタイムアウトが設定されています。この値を設定することにより、ハーフオープン接続が重大な問題にならないようにします。SYN-SENT (リモート) エントリが指定された制限に達した場合、その特定のコンピュータからの後続のTCPパケットは破棄されます。
単一コンピュータからのオープン接続を許可する数を決定する際に、使用している種類のプロトコルで妥当と考えられる単一コンピュータからのハーフオープン接続数と、輻輳を引き起こすことなくシステムが維持できる単一コンピュータからのハーフオープン接続数との間の数を選択します。
- すでに確認されたパケット数が次を超過したときにACKストーム防御を有効にする: このオプションを設定して、ACKストーム攻撃が発生した場合のイベントを記録します。
- ACKストームが検出されたときに接続を中断する: このオプションを設定して、攻撃が検出された場合に接続を切断するようにします。
ACKストーム保護オプションはDeep Security Agent 8.0以前でのみ使用可能です。
FTPオプション
以下のFTPオプションはDeep Security Agent 8.0以前で使用可能です。
- アクティブFTP
- 受信を許可する: このコンピュータがサーバとして動作しているときにアクティブFTPを許可します。
- 送信を許可する: このコンピュータがクライアントとして動作しているときにアクティブFTPを許可します。
- パッシブFTP
- 受信を許可する: このコンピュータがサーバとして動作しているときにパッシブFTPを許可します。
- 送信を許可する: このコンピュータがクライアントとして動作しているときにパッシブFTPを許可します。
UDP
- UDPステートフルインスペクションを有効にする: UDPトラフィックのステートフルインスペクションを有効にする場合はオンにします。
UDPステートフル機能は、未承諾の受信UDPパケットを破棄します。送信UDPパケットごとに、ルールがそのUDP「ステートフル」テーブルをアップデートし、要求に対して60秒以内にUDP応答が発生した場合のみ、UDP応答を許可します。特定の受信UDPトラフィックを許可する場合は、強制的に許可ルールを作成する必要があります。たとえば、DNS Serverを実行している場合、送信先のポート53に受信UDPパケットを許可するには、強制的に許可ルールを作成する必要があります。UDPトラフィックのステートフルインスペクションがない場合、攻撃者はDNS Serverになりすまして、未承諾のUDP「応答」を送信元のポート53からファイアウォールの内側にあるコンピュータに送信する可能性があります。
- UDPステートフルログを有効にする: このオプションを選択すると、ステートフルUDPインスペクションイベントのログを記録できるようになります。
ICMP
ICMPステートフルインスペクションは、Deep Security Agent 8.0以前で使用できます。
- ICMPステートフルインスペクションを有効にする: ICMPトラフィックのステートフルインスペクションを有効にする場合はオンにします。
ICMP (擬似) ステートフル機能は、未承諾の受信ICMPパケットを破棄します。送信ICMPパケットごとに、ルールがそのICMP「ステートフル」テーブルを作成またはアップデートし、要求に対して60秒以内にICMP応答が発生した場合のみ、ICMP応答を許可します (サポートするICMPペアの種類は、タイプ0と8、13と14、15と16、17と18です)。たとえば、ステートフルICMPインスペクションを有効にすると、エコー要求が送信された場合にICMPエコー応答を許可できます。要求されていないエコー応答は、Smurf増幅攻撃、マスターとデーモン間のトライブフラッドネットワーク通信、Loki2バックドアなど、さまざまな種類の攻撃の予兆である可能性があります。
- ICMPステートフルログを有効にする: このオプションを選択すると、ステートフルICMPインスペクションイベントのログを記録できるようになります。
割り当て対象
[割り当て対象] タブには、このステートフルインスペクション設定を使用するポリシーとコンピュータが一覧表示されています。
