概要
Trend Micro Deep Security の侵入防御(DPI)イベントに「リージョンサイズの超過 / リージョンが大きすぎます / Region Too Big」が発生します。このイベントが発生した場合の対応方法を教えてください。
詳細
発生理由
侵入防御機能によって検査しているパケットデータ内の特定の領域のサイズが、最大サイズ(7570バイト)を超えた場合に発生します。これは通常次のいずれかの場合に発生します。
- HTTPリクエストのURI部分が非常に長い場合
- HTTPではない別プロトコルの通信を、HTTPとして検査しようとしている場合
- SSL設定を行っていない状態で、HTTPSの通信を検査しようとしている場合
Deep Securityはこのような場合に正常にパケットデータの検査を継続できず、攻撃パケットを検出できない可能性があるため、このイベントが記録されてパケットがブロックされます。
なお、本イベントが発生した場合、単一のパケットに対して「ログ」と「リセット」の二つのイベントが発生します。「リセット」のイベントには実際のパケットデータが記録され、「ログ」のイベントにはデバッグ情報が記録されます。このデバッグ情報は、このイベントが製品の想定外のデータを受信した際に起こるものであるために記録されます。
回避方法
通信が正常なものであることが確認でき、この検出を回避したい場合は、以下の設定を行ってください。
A) 上記1.または2.の場合
イベントが発生した通信ポートを、アプリケーションの種類から削除して該当の通信をHTTPとして検査しないように設定してください。
- 設定を行いたいコンピュータの詳細から[侵入防御]メニューを開き、対象のポートに割り当てられているHTTP検査のためのルール(通常は「1000128 - HTTP Protocol Decoding」)を右クリックし、[アプリケーションの種類プロパティ]を開きます。
- 「ポート」の設定で、HTTPとしての検査を回避したいポートを削除します。
なお、「ポート」の設定が「Web Server Common」のようなポートリストで設定されている場合は、該当のポートリストからポートを削除します。
この設定を行うと、削除したポートには本イベントだけでなく対応するアプリケーションの種類(Web Server Commonなど)に紐づく全てのルールでの検査が行われなくなります。
B) 上記3.の場合
対象コンピュータの詳細から[侵入防御]→[詳細]→[SSL設定の表示]を開き、[新規]をクリックしてSSL設定を追加してください。
なお、SSL通信を復号化して検査を行わない場合は、上記A)の方法でSSLで使用されているポートを削除してください。
