DCERPC インスペクション
デフォルトのインスペクション ポリシーでは、DCERPC インスペクションがイネーブルにされていないため、この検査が必要な場合はイネーブルにします。デフォルトのグローバル インスペクション ポリシーを編集するだけで、DCERPC インスペクションを追加できます。または、たとえばインターフェイス固有のポリシーなど、必要に応じて新しいサービス ポリシーを作成することもできます。
次の項では、DCERPC インスペクション エンジンについて説明します。
DCERPC の概要
DCERPC に基づく Microsoft リモート プロシージャ コール(MSRPC)は、Microsoft 分散クライアントおよびサーバ アプリケーションで広く使用されているプロトコルであり、ソフトウェア クライアントがサーバ上のプログラムをリモートで実行できるようにします。
通常、このプロトコルの接続では、クライアントが予約済みポート番号で接続を受け入れるエンドポイント マッパーというサーバに、必要なサービスについてダイナミックに割り当てられるネットワーク情報を問い合わせます。次に、クライアントは、サービスを提供しているサーバのインスタンスへのセカンダリ接続をセットアップします。セキュリティ アプライアンスは、適切なポート番号とネットワーク アドレスへのセカンダリ接続を許可し、必要に応じて NAT を適用します。
DCERPC インスペクション エンジンは、EPM とウェルノウン TCP ポート 135 上のクライアントとの間のネイティブ TCP 通信を検査します。クライアント用に EPM のマッピングとルックアップがサポートされています。クライアントとサーバは、どのセキュリティ ゾーンにあってもかまいません。埋め込まれたサーバの IP アドレスとポート番号は、EPM からの応答メッセージで受け取ります。クライアントが EPM から返されたサーバのポートに対して複数の接続を試みる可能性があるので、ピンホールが複数使用でき、ユーザがそのタイムアウトを設定できるようになっています。
DCE インスペクションは、次の汎用一意識別子(UUID)とメッセージをサポートします。
-
エンド ポイント マッパー(EPM)UUID。すべての EPM メッセージがサポートされます。
-
ISystemMapper UUID(非 EPM)。サポートされるメッセージ タイプは次のとおりです。
-
RemoteCreateInstance opnum4
-
RemoteGetClassObject opnum3
-
-
OxidResolver UUID(非EPM)。サポートされるメッセージは次のとおりです。
-
ServerAlive2 opnum5
-
-
IP アドレスまたはポート情報を含まない任意のメッセージ(これらのメッセージでは検査の必要がないため)。
DCERPC インスペクション ポリシー マップの設定
DCERPC インスペクションの追加のパラメータを指定するには、DCERPC インスペクション ポリシー マップを作成します。作成したインスペクション ポリシー マップは、DCERPC インスペクションをイネーブルにすると適用できます。
トラフィックの一致基準を定義するときに、クラス マップを作成するか、またはポリシー マップに match ステートメントを直接含めることができます。クラス マップを作成することと、インスペクション ポリシー マップ内で直接トラフィック照合を定義することの違いは、クラス マップを再使用できる点です。次に、インスペクション ポリシー マップの手順について説明していますが、クラス マップで使用可能なトラフィックの一致基準についても説明します。クラス マップを作成するには、 の順に選択します。
ヒント |
以下で説明する手順に加えて、サービス ポリシーの作成中にインスペクション マップを設定できます。マップの内容は、作成方法に関係なく同じです。 |
手順
ステップ 1 |
を選択します。 |
||
ステップ 2 |
次のいずれかを実行します。
|
||
ステップ 3 |
新しいマップの場合、名前(最大 40 文字)と説明を入力します。マップを編集するときは、変更できるのは説明のみです。 |
||
ステップ 4 |
[DCERPC Inspect Map] ダイアログボックスの [Security Level] のビューで、希望する設定に一致するレベルを選択します。 プリセット レベルのいずれかが要件と一致する場合、以上で終了です。[OK] をクリックし、残りの手順をとばし、DCERPC インスペクションのサービス ポリシー ルールでマップを使用します。 設定をさらにカスタマイズする必要がある場合は、[Details] をクリックし、手順を続けます。
|
||
ステップ 5 |
必要なオプションを設定します。
|
||
ステップ 6 |
(任意)[Inspections] タブをクリックして、特定のタイプのメッセージに対して実行するアクションを定義します。 DCERPC クラス マップに基づいて、またはインスペクション マップで一致を直接設定することによって、またはその両方で、トラフィックの一致基準を定義できます。 |
||
ステップ 7 |
[OK] をクリックします。 これで、DCERPC インスペクションのサービス ポリシーで、インスペクション マップを使用できます。 |
次のタスク
マップを使用するためのインスペクション ポリシーを設定できるようになりました。「アプリケーション レイヤ プロトコル インスペクションの設定」を参照してください。