回避技術対策の設定

回避技術対策の設定では、分析を回避しようとする異常なパケットに対するネットワークエンジンによる処理を管理します。回避技術対策の設定は、ポリシーまたは個々のコンピュータで設定されます。セキュリティモード設定は、侵入防御がパケットをどの程度厳密に分析するかを管理し、次のいずれかの値に設定できます。

  • 標準: 誤検出が発生しないように侵入防御ルールの回避を防ぎます。これが初期設定値です。
  • 厳格: 標準モードよりも厳密なチェックが行われますが、誤検出が発生する場合があります。
  • カスタム: [カスタム] を選択すると、追加設定が可能になり、問題のあるパケットのDeep Securityでの処理方法を指定できます。この設定では、許可 (Deep Securityはパケットをシステムに送信します)、ログ記録のみ ([許可] と同じ処理をしますが、イベントをログに記録します)、拒否 (Deep Securityはパケットを破棄し、イベントをログに記録します)、または拒否 (ログに記録しない) ([拒否] と同じ処理を行いますが、イベントをログに記録しません) を選ぶことができます (TCP PAWSウィンドウでは上記のオプションは選べません)。
  • Deep Security 10.1以前のバージョンでモードを「カスタム」に変更した場合は、回避技術対策設定のすべての初期設定値が「拒否」に設定されていました。これにより、ブロックイベントが大幅に増加しました。Deep Security 10.2では、初期設定のカスタム値が次の表のように変更されています。

設定 説明 標準値 厳格値 初期設定のカスタム値 (10.2より前) 初期設定のカスタム値 (10.2以降)
無効なTCPタイムスタンプ TCPタイムスタンプが古い場合の処理 [無視してログに記録] ([ログ記録のみ] と同じ機能) 拒否 (ログに記録) 拒否 (ログに記録) [無視してログに記録] ([ログ記録のみ] と同じ機能)
TCP PAWSウィンドウ パケットにはタイムスタンプが付加されている場合があります。パケットのタイムスタンプが、それ以前に受信したタイムスタンプよりも古い場合、不審なタイムスタンプが使用されている可能性があります。タイムスタンプの差異についての許容度は、OSによって異なります。Windowsシステムの場合、0を選択してください (パケットのタイムスタンプが、それ以前のパケットと同じ、もしくは新しい場合、システムがパケットを受容します)。Linuxシステムの場合は、1を選択してください (パケットのタイムスタンプの古さが、それ以前のパケットより最大で1秒未満の場合、システムがパケットを受容します)。 Linux Agentの場合は1、それ以外の場合は0 Linux Agentの場合は1、それ以外の場合は0 0 Linux Agentの場合は1、それ以外の場合は0
TCPタイムスタンプ (PAWS: Protection Against Wrapped Sequence) の値がゼロ TCPタイムスタンプがゼロの場合の処理 Linux AgentまたはNDIS5の場合は拒否、それ以外の場合は許可 Linux AgentまたはNDIS5の場合は拒否、それ以外の場合は許可 拒否 (ログに記録) Linux AgentまたはNDIS5の場合は拒否、それ以外の場合は許可
フラグメント化されたパケット パケットがフラグメント化されている場合の処理 許可 許可 拒否 (ログに記録) 許可
TCPゼロフラグ パケットにゼロフラグが設定されている場合の処理 拒否 (ログに記録) 拒否 (ログに記録) 拒否 (ログに記録) 拒否 (ログに記録)
TCP輻輳フラグ パケットに輻輳フラグが設定されている場合の処理 許可 許可 拒否 (ログに記録) 許可
TCP緊急フラグ パケットに緊急フラグが設定されている場合の処理 許可 拒否 (ログに記録) 拒否 (ログに記録) 許可
TCP SYN FINフラグ パケットにSYNおよびFINフラグが設定されている場合の処理 拒否 (ログに記録) 拒否 (ログに記録) 拒否 (ログに記録) 拒否 (ログに記録)
TCP SYN RSTフラグ パケットにSYNおよびRSTフラグが設定されている場合の処理 拒否 (ログに記録) 拒否 (ログに記録) 拒否 (ログに記録) 拒否 (ログに記録)
TCP RST FINフラグ パケットにRSTおよびFINフラグが設定されている場合の処理 拒否 (ログに記録) 拒否 (ログに記録) 拒否 (ログに記録) 拒否 (ログに記録)
TCP SYNパケット (データあり) パケットにSYNフラグが設定されていて、かつデータが含まれる場合の処理 拒否 (ログに記録) 拒否 (ログに記録) 拒否 (ログに記録) 拒否 (ログに記録)
TCP Split Handshake SYNへの応答としてSYNACKではなくSYNを受信した場合の処理 拒否 (ログに記録) 拒否 (ログに記録) 拒否 (ログに記録) 拒否 (ログに記録)
識別できないTCPセッション上のRSTパケット 識別できないTCPセッション上のRSTパケットに対する処理 許可 拒否 (ログに記録) 拒否 (ログに記録) 許可
識別できないTCPセッション上のFINパケット 識別できないTCPセッション上のFINパケットに対する処理 許可 拒否 (ログに記録) 拒否 (ログに記録) 許可
識別できないTCPセッション上の送信パケット 識別できないTCPセッション上の送信パケットに対する処理 許可 拒否 (ログに記録) 拒否 (ログに記録) 許可
回避再送 複製または重複したデータを含むパケットに対する処理 許可 拒否 (ログに記録) 拒否 (ログに記録) 許可
TCPチェックサム 無効なチェックサムを含むパケットに対する処理 許可 拒否 (ログに記録) 拒否 (ログに記録) 許可