ビュー:

Deep Security 9.0 以降より、”Deep Packet Inspection”および”DPI” が"侵入防御" に名称変更されました。

侵入防御(Deep Packet Inspection)またはWebレピュテーションを使用している場合、パケットデータを検査するためにDeep Security Agentではパケットの再構成を行う必要があります。この際、ファイアウォールを使用していない場合でもステートフルインスペクションと同等のパケット整合性チェックが行われ、整合性に違反するパケットが検出された場合はファイアウォールイベントとしてイベントが記録されます。パケットによっては、通信が拒否されることがあります。

Deep Packet Inspectionの動作を「検出 / Detect」モードにしている場合でも、整合性違反のパケットが拒否されることがあります。

この動作は侵入防御およびWebレピュテーションの機能を正常に動作させる為に必要なものです。この仕様の動作を回避する必要がある場合、ファイアウォールのバイパスルールを作成して、該当の特定の通信で侵入防御機能とファイアウォールによる検査をバイパスしてください。手順については、こちらをご参照ください。

いくつかのパケットは、バイパス設定を行っても、その検出を止める事はできません。
例:

  • 不正なIPデータグラム長
  • フラグメント化
  • 最初のフラグメントが最小サイズ未満
  • 不正なTCPヘッダ長

検出を止める事ができないパケットにつきましては、その検出をイベントに出力しない設定を行う事が可能です。(3種類まで)

下記タブ画面で"ネットワークエンジンの詳細設定"の「継承」をオフにして[ステータスコードの無視] で対象の検出を選択してください。

  • ポリシー単位で設定する場合:
    [ポリシー] "設定対象ポリシー"の詳細画面[設定]>[ネットワークエンジン] タブ
  • 各コンピュータ単位で設定する場合:
    [コンピュータ] "設定対象コンピュータ"の詳細画面 [設定]>[ネットワークエンジン] タブ

以下のファイアウォールイベントが整合性違反の場合に記録されます。
 
  • 切断中 (9.0 未満) / セッション情報なし (9.0 以降) / Out Of Connection
  • フラグが不正です (9.0 未満) / 不正なフラグ (9.0 以降) / Invalid Flags
  • シーケンスが不正です (9.0 未満) / 不正なシーケンス (9.0 以降) / Invalid Sequence
  • ACKが不正です (9.0 未満) / 不正なACK (9.0 以降) / Invalid ACK
  • CEフラグ / CE Flags
  • IPが不正です (9.0 未満) / 不正なIP (9.0 以降) / Invalid IP
  • IPデータグラム長が不正です (9.0 未満) / 不正なIPデータグラム長 (9.0 以降) / Invalid IP Datagram Length
  • 断片化されています (9.0 未満) / フラグメント化 (9.0 以降) / Fragmented
  • 最初のフラグメントが小さすぎます (9.0 未満) / 最初のフラグメントが最小サイズ未満 (9.0 以降) / First Fragment Too Small (※1)
  • フラグメントが範囲外です (9.0 未満) / 範囲外のフラグメント (9.0 以降) / Fragment Out Of Bounds
  • フラグメントオフセットが小さすぎます (9.0 未満) / 最小オフセット値以下のフラグメント (9.0 以降) / Fragment Offset Too Small (※1)
  • IPv6パケット / IPv6 Packet
  • IPバージョンが不明です (9.0 未満) / 不明なIPバージョン (9.0 以降) / IP Version Unknown
  • 内部エンジンエラー / Internal Engine Error
  • 許可外のポリシーです (9.0 未満) / ポリシーで未許可 (9.0 以降) / Out Of Allowed Policy
  • IPヘッダなし / No IP Header
  • 読み取り不能なイーサネットヘッダ / Unreadable Ethernet Header
  • 送信元および送信先IPが同一です (9.0 未満) / 送信元および送信先IPが同一 (9.0 以降) / Same Source and Destination IP
  • TCPヘッダ長が不正です (9.0 未満) / 不正なTCPヘッダ長 (9.0 以降) / Invalid TCP Header Length
  • アダプタ設定が不正です (9.0 未満) / 不正なアダプタ設定 (9.0 以降) / Invalid Adapter Configuration
  • 切断された接続上のパケット / Packet on Closed Connection
  • 再送の破棄 / Dropped Retransmit
  • 許可外のポリシー (オープンポート) (9.0 未満) / ポリシーで未許可 (オープンポート) (9.0 以降) / Out of Allowed Policy (Open Port)
  • チェックサムが無効です (9.0 未満) / 無効なチェックサム (9.0 以降) / Invalid Checksum, TCP checksum is incorrect
  • 無効なフック / Invalid Hook Used, IPv6 filter received a non-IPv6 packet
  • IPペイロードがゼロ / IP Zero Payload, IP payload is zero length
  • IPv6ソースがマルチキャスト / IPv6 Source Is Multicast, Source IPv6 multicast is not allowed
  • IPv6アドレスが無効です (9.0 未満) / 無効なIPv6アドレス (9.0 以降) / Invalid IPv6 Address
  • IPv6のフラグメントが小さすぎます (9.0 未満) / 最小サイズ以下のIPv6のフラグメント (9.0 以降) /IPv6 Fragment Too Small
  • 無効なトランスポートヘッダ長 / Invalid Transport Header Length
  • メモリ不足 / Out of Memory, Memory allocation is failed
  • 最大TCP接続数 / Max TCP Connections
  • 最大UDP接続数 / Max UDP Connections
  • 内部エラー / Internal Error (※2)
  • データオフセットが不正です / Invalid Data Offset (※2)
  • ポートコマンドが不正です / Invalid Port Command (※2)
  • 重複しているフラグメント / Overlapping Fragment (※2)
  • SYN Cookieエラー / SYN Cookie Error (※2)
  • IPバージョンが不明です (9.0 未満) / 不明なIPバージョン (9.0 以降) / Unknown IP Version (※2)
  • IPv4ヘッダが読み取り不能です / Unreadable IPv4 Header (※2)
  • プロトコルヘッダが読み取り不能です / Unreadable Protocol Header (※2)
  • ACK再送の上限 / Maximum ACK Retransmit (※2)
  • 無効なTCPタイムスタンプ (Invalid Timestamp)

※1 :
非常に小さいTCPフラグメントを悪用してサーバ処理に負荷を与える攻撃を防ぐための設定です。
ネットワークの通信品質が悪い環境などでは、初期設定値よりも小さなフラグメントが正常な通信でも発生する場合があり、その場合、正常な通信をブロックしてしまう可能性があります。
値を編集する事によってセキュリティリスクが発生し得る点を考慮した上、必要に応じて設定値を編集してください。

  • 9.0 以降の場合:
    管理コンソールで対象ポリシーあるいは、コンピュータの詳細を開き、[設定]>[ネットワークエンジン]の[ネットワークエンジンの詳細設定]で[最小フラグメントサイズ]と[最小フラグメントオフセット] について、値の編集が可能です。
  • 9.0 未満の場合:
    管理コンソール[システム]>[システム設定]>[ネットワークエンジン]タブ の[詳細]セクションで、[最小フラグメントサイズ]と[最小フラグメントオフセット] について、値の編集が可能です。
 
※2 :
これらのイベントは、Deep Security 9.0 以降では使用されていません。

関連リンク

キーワード: Deep Security,DS_Index‐ファイアウォールイベント