侵入ポリシーとネットワーク分析ポリシーについて
ネットワーク分析ポリシーと侵入ポリシーは、共同で侵入の脅威を検出し、防ぎます。
-
ネットワーク分析ポリシー(NAP)では、トラフィックの復号化および前処理の方法について、特に侵入の試行を示す可能性がある異常なトラフィックをさらに評価できるよう、制御します。
-
侵入ポリシーでは、侵入ルールと呼ばれる侵入やプリプロセッサのルールを使用し、パターンに基づいて攻撃がないかデコードされたパケットを調べます。ルールでは、脅威となるトラフィックを防いで(ドロップして)イベントを生成したり、単に検出(警告)してイベントの生成のみを行うことができます。
システムがトラフィックを分析するとき、ネットワーク分析の復号化および前処理のフェーズは、侵入防御のフェーズより前に、個別に発生します。ネットワーク分析ポリシーと侵入ポリシーは、共同で広範かつ深いパケット検査を提供します。このポリシーは、ホストとそのデータの可用性、整合性、機密性を脅かす可能性のあるネットワーク トラフィックの検知、通知および防御に役立ちます。
システム定義のネットワーク分析および侵入ポリシー
システムには、相互に補完して動作する、同じ名前のネットワーク分析と侵入ポリシーのいくつかのペアが含まれています。たとえば 「バランスのとれたセキュリティと接続性」という名前の NAP と侵入ポリシーの両方があり、一緒に使用されることを意図しています。システムによって提供されるポリシーは Cisco Talos Intelligence Group(Talos) によって設定されます。これらのポリシーに対して Talos は侵入とプリプロセッサ ルールの状態を設定し、プリプロセッサの最初の設定とその他の高度な設定を行います。
新たな脆弱性が既知になった時点で、Talos は侵入ルールの更新をリリースします。これらのルール更新により、システム付属のネットワーク分析ポリシーや侵入ポリシーが変更され、侵入ルールやプリプロセッサ ルールの新規作成または更新、既存ルールのステータスの変更、デフォルトのポリシー設定の変更が実施されます。ルールの更新はまた、システム提供のポリシーからルールを削除、新しいルールのカテゴリを提供、デフォルトの変数セットを変更できます。
手動で、ルール データベースを更新したり、定期的な更新スケジュールを設定できます。有効にするには更新を展開する必要があります。システム データベースの更新についての詳細は、システム データベースの更新を参照してください。
次にシステム提供のポリシーについて示します。
- [バランスのとれたセキュリティと接続性(Balanced Security and Connectivity)] ネットワーク分析ポリシーおよび侵入ポリシー
-
これらのポリシーは、速度と検出の両方を目的として作成されています。これらを一緒に使用すると、ほとんどの種類のネットワークおよび展開に適した出発点として機能します。[バランスのとれたセキュリティと接続性(Balanced Security and Connectivity)] ネットワーク分析ポリシーがデフォルトとして使用されます。
- [セキュリティよりも接続性を優先(Connectivity Over Security)] ネットワーク分析ポリシーおよび侵入ポリシー
-
これらのポリシーは、接続性、すべてのリソースを取得する機能が、ネットワーク インフラストラクチャのセキュリティよりも優先されるネットワーク向けに作られています。この侵入ポリシーは、[接続性よりもセキュリティを優先(Security over Connectivity)] ポリシー内で有効になっているルールよりもはるかに少ないルールを有効にします。トラフィックをブロックする最も重要なルールだけが有効にされます。
- [接続性よりもセキュリティを優先(Security over Connectivity)] ネットワーク分析ポリシーおよび侵入ポリシー
-
これらのポリシーは、ネットワーク インフラストラクチャのセキュリティがユーザの利便性より優先されるネットワーク向けに作られています。この侵入ポリシーは、正式なトラフィックに対して警告またはドロップする可能性のある膨大な数のネットワーク異常侵入ルールを有効にします。
- [最大検出(Maximum Detection)] ネットワーク分析ポリシーおよび侵入ポリシー
-
これらのポリシーは、ネットワーク インフラストラクチャのセキュリティが、運用に対する影響が大きい、[接続性よりもセキュリティを優先(Security Over Connectivity)] ポリシーで考慮されるセキュリティよりもさらに重視されるネットワーク向けに作られています。たとえば、この侵入ポリシーでは、マルウェア、エクスプロイト キット、古い脆弱性や一般的な脆弱性、および既知の流行中のエクスプロイトを含め、多数の脅威カテゴリのルールを有効にします。
侵入ルールおよびプリプロセッサ ルール
侵入ルールとは、ネットワーク内の脆弱性を不正利用する試みを検出するためにシステムが使用する、指定されたキーワードと引数のセットのことです。システムはネットワーク トラフィックを分析する際に、パケットを各ルールに指定された条件に照らし合わせ、データ パケットがルールに指定されたすべての条件を満たす場合、そのルールをトリガーします。
システムには、Cisco Talos Intelligence Group(Talos) によって作成された次のタイプのルールが含まれています。
-
侵入ルール。共有オブジェクト ルールおよび標準のテキスト ルールに細分されます。
-
プリプロセッサ ルール。プリプロセッサと、ネットワーク分析ポリシーのパケット デコーダ検出オプションが関連付けられたルールです。デフォルトではほとんどのプリプロセッサ ルールは無効です。
ここでは、侵入ルールについてより詳細に説明します。
侵入ルール属性
を選択するときに、脅威を特定するために利用できるすべての侵入ルールのリストを参照してください。上記の表で、侵入ポリシーの名前をクリックすると、各ポリシーのルールを表示できます。
各ポリシーのルールのリストには、アラートまたはドロップに設定されているルールと、明示的に無効にしたルールだけが示されます。デフォルトで無効になっているルールは表示されません。30,000 以上のルールがありますが、すべての可能なルールのサブセットのみが表示されます。しかし、最小の有効なルール セットですら、リスト全体をスクロールするには時間がかかります。ルールは、スクロールしていくと明らかになります。
次に、各ルールを定義する属性を示します。
- > (シグニチャの説明)
-
左の列の [>] ボタンをクリックして、署名の説明を開きます。説明は、トラフィックとルールを照合するために、Snort インスペクション エンジンによって使用されます。コードの説明はこのドキュメントの範囲外ですが、『Firepower Management Center Configuration Guide』で詳しく説明しています。http://www.cisco.com/c/en/us/support/security/defense-center/products-installation-and-configuration-guides-list.html からご使用のソフトウェアのバージョン用のブックを選択してください。侵入ルールの編集についての情報を探します。
署名には、特定の項目の変数が含まれています。詳細については、デフォルトの侵入変数セットを参照してください。
- GID
-
ジェネレータ識別子(ID)。この数は、ルールを評価し、イベントを生成する、システム コンポーネントを示します。1 は標準テキスト侵入ルール、3 は共有オブジェクト侵入ルールを示します(これらのルール タイプの違いは Firepower Device Manager ユーザにとって意味はありません)。これらは、侵入ポリシーを設定するときに対象となる主なルールです。その他の GID の詳細については、ジェネレータ識別子を参照してください。
- SID
-
Snort 識別子(ID)。署名 ID とも呼ばれます。1000000 より小さい Snort ID は Cisco Talos Intelligence Group(Talos) によって作成されたものです。
- アクション
-
選択した侵入ポリシーでのこのルールの状態。各ルールに対し、このポリシー内のルールのデフォルト アクションに「(デフォルト)」が追加されます。ルールをデフォルトの設定に戻すには、このアクションを選択します。指定できるアクションは、次のとおりです。
-
[アラート(Alert)]:このルールがトラフィックと一致するとイベントを作成しますが、接続はドロップしません。
-
[ドロップ(Drop)]:このルールがトラフィックと一致するとイベントを作成し、接続をドロップします。
-
[無効(Disabled)]:このルールではトラフィックは一致しません。イベントは生成されません。
-
- ステータス
-
ルールに対するデフォルトのアクションを変更すると、この列に「上書き済み」と表示されます。それ以外の場合は、この列は空です。
- メッセージ
-
これはルールの名前で、ルールによってトリガーされたイベントにも表示されます。メッセージは通常、署名が一致した脅威を識別します。それぞれの脅威の詳細についてインターネットで検索できます。
デフォルトの侵入変数セット
侵入ルールの署名には、特定の項目の変数が含まれます。変数のデフォルト値を次に示します。$HOME_NET と $EXTERNAL_NET が最もよく使用される変数です。プロトコルはポート番号とは別々に指定されるため、ポート変数は数字のみです。
-
$AIM_SERVERS = ネットワークまたはホストのアドレス 20 個:64.12.24.0/23、64.12.28.0/23、64.12.31.136、64.12.46.140、64.12.161.0/24、64.12.163.0/24、64.12.186.85、64.12.200.0/24、205.188.1.132、205.188.3.0/24、205.188.5.0/24、205.188.7.0/24、205.188.9.0/24、205.188.11.228、205.188.11.253、205.188.11.254、205.188.153.0/24、205.188.179.0/24、205.188.210.203、205.188.248.0/24。
-
$DNS_SERVERS = $HOME_NET(任意の IP アドレスを示します)。
-
$EXTERNAL_NET = 任意の IP アドレス。
-
$FILE_DATA_PORTS = $HTTP_PORTS、143、110。
-
$FTP_PORTS = 21、2100、3535。
-
$GTP_PORTS = 3386、2123、2152。
-
$HOME_NET = 任意の IP アドレス。
-
$HTTP_PORTS = 次の番号の 144 個のポート:36、80 ~ 90、311、383、443、555、591、593、631、666、801、808、818、901、972、1158、1212、1220、1414、1422、1533、1741、1830、1942、2231、2301、2381、2578、2809、2980、3029、3037、3057、3128、3443、3507、3702、4000、4343、4848、5000、5117、5222、5250、5450、5600、5814、6080、6173、6767、6988、7000、7001、7005、7071、7080、7144、7145、7510、7770、7777 ~ 7779、8000、8001、8008、8014、8015、8020、8028、8040、8060、8080 ~ 8082、8085、8088、8118、8123、8161、8180 ~ 8182、8222、8243、8280、8300、8333、8344、8400、8443、8500、8509、8787、8800、8888、8899、8983、9000、9002、9060、9080、9090、9091、9111、9290、9443、9447、9710、9788、9999、10000、11371、12601、13014、15489、19980、23472、29991、33300、34412、34443、34444、40007、41080、44449、50000、50002、51423、53331、55252、55555、56712。
-
$HTTP_SERVERS = $HOME_NET(任意の IP アドレスを示します)。
-
$ORACLE_PORTS = 任意。
-
$SHELLCODE_PORTS = 180。
-
$SIP_PORTS = 5060、5061、5600。
-
$SIP_SERVERS = $HOME_NET(任意の IP アドレスを示します)。
-
$SMTP_SERVERS = $HOME_NET(任意の IP アドレスを示します)。
-
$SNMP_SERVERS = $HOME_NET(任意の IP アドレスを示します)。
-
$SQL_SERVERS = $HOME_NET(任意の IP アドレスを示します)。
-
$SSH_PORTS = 22。
-
$SSH_SERVERS = $HOME_NET(任意の IP アドレスを示します)。
-
$TELNET_SERVERS = $HOME_NET(任意の IP アドレスを示します)。
ジェネレータ識別子
ジェネレータ識別子(GID)は、侵入ルールを評価し、イベントを生成するサブシステムを識別します。標準のテキスト侵入ルールのジェネレータ ID は 1、共有オブジェクト侵入ルールのジェネレータ ID は 3 です。また、各種プリプロセッサに対して複数のルール セットがあります。次の表で、GID について説明します。
ID |
コンポーネント |
---|---|
1 |
標準テキスト ルール。 |
2 |
タグ付きパケット。 (タグ付きセッションからパケットを生成するタグ ジェネレータのルール。) |
3 |
共有オブジェクト ルール。 |
102 |
HTTP デコーダ。 |
105 |
バック オリフィス探知機。 |
106 |
RPC デコーダ。 |
116 |
パケット デコーダ。 |
119、120 |
HTTP インスペクト プリプロセッサ (GID 120 ルールは、サーバ固有の HTTP トラフィックに関連しています)。 |
122 |
ポートスキャン ディテクタ。 |
123 |
IP 最適化。 |
124 |
SMTP デコーダ。 (SMTP 動詞に対するエクスプロイト。) |
125 |
FTP デコーダ。 |
126 |
Telnet デコーダ。 |
128 |
SSH プリプロセッサ。 |
129 |
ストリーム プリプロセッサ。 |
131 |
DNS プリプロセッサ。 |
133 |
DCE/RPC プリプロセッサ。 |
134 |
ルール遅延、パケット遅延。 (これらのルールのイベントは、ルール遅延中断(SID 1)または侵入ルールのグループの再有効化(SID 2)のとき、またはパケット遅延のしきい値を超えた(SID 3)ためにシステムがパケットの検査を中止したときに生成されます)。 |
135 |
レートベースの攻撃ディテクタ。 (ネットワーク上のホストへの過剰な接続。) |
137 |
SSL プリプロセッサ。 |
138、139 |
機密データ プリプロセッサ。 |
140 |
SIP プリプロセッサ。 |
141 |
IMAP プリプロセッサ。 |
142 |
POP プリプロセッサ。 |
143 |
GTP プリプロセッサ。 |
144 |
Modbus プリプロセッサ。 |
145 |
DNP3 プリプロセッサ。 |
ネットワーク分析ポリシー
ネットワーク分析ポリシーはトラフィック前処理を制御します。プリプロセッサは、トラフィックを正規化し、プロトコル異常を識別することにより、トラフィックがさらに検査されるように準備します。ネットワーク分析関連の前処理は、セキュリティ インテリジェンスのブラックリストの登録と SSL 復号後、アクセス制御と侵入やファイル検査の前に発生します。
デフォルトでは、システムは [バランスのとれたセキュリティと接続性(Balanced Security and Connectivity)] ネットワーク分析ポリシーを使用して、アクセス制御ポリシーによって処理されるすべてのトラフィックを前処理します。ただし、システムはアクセス制御ルールで選択した侵入ポリシーに基づいて、異なるネットワーク分析ポリシーを適用します。
システムは、最適な処理が行われるように、侵入やネットワーク分析ポリシーに一致するように試みます。ただし、ネットワーク分析ポリシー(NAP)ルールはアクセス制御ルールで使用されるのと同じトラフィック一致基準を持っていないので、推奨されるガイドラインに従わないと、一致しないポリシーが取得される可能性があります。
システムによる NAP ルールを使用したネットワーク分析ポリシーの選択方法
ネットワーク分析ポリシーを直接割り当てることはできません。代わりに、システムは、アクセス制御ルールで割り当てた侵入ポリシーに基づいて NAP ルールを自動的に生成します。
NAP ルールは、セキュリティ ゾーンとネットワーク仕様にのみ基づいています。したがって、侵入ポリシーを含むアクセス制御ルールごとに、同じ送信元/送信先のセキュリティ ゾーンとネットワークに、同じ名前のネットワーク分析ポリシーを適用する NAP ルールが作成されます。ポート、URL、ユーザ、およびアプリケーションの基準は無視されます。
これは重要な違いです。ポート、アプリケーション、URL などのレイヤ 4 または 7 基準に基づいて異なる侵入ポリシーを適用できますが、それより高い層の基準はネットワーク分析ポリシーの選択に影響を与えません。
システムは、アクセス制御ルールと同じ順序で NAP ルールを順序付けします。システムでは、最初に一致した NAP ルールを使用して、適用するネットワーク分析ポリシーを決定します。
したがって、同じ送信元/送信先ゾーンとネットワーク オブジェクトの組み合わせのトラフィックを許可する制御ルールが複数あるが、別のトラフィック一致基準では異なる場合、システムは重複する複数の NAP ルールを生成し、2 番目とその後の重複するルールは、トラフィックに一致しなくなります。これらの「重複する」ルールに別の侵入ポリシーを適用する場合、少なくともトラフィックの一部は、侵入およびネットワーク分析ポリシーに一致しなくなります。
たとえば、次のルールについて考えてみます。
-
アクセス ルール 1
- アクション:許可
- [送信元ゾーン(Source zone)]:inside_zone
- [送信元ネットワーク(Source network)]:any
- [送信先ゾーン(Destination zone)]:outside_zone
- [送信先ネットワーク(Destination Network)]:any
- [URLカテゴリ(URL category)]:ソーシャル ネットワーク
- [侵入ポリシー(Intrusion policy)]:接続性よりもセキュリティを優先
-
アクセス ルール 2
- アクション:許可
- [送信元ゾーン(Source zone)]:inside_zone
- [送信元ネットワーク(Source network)]:any
- [送信先ゾーン(Destination zone)]:outside_zone
- [送信先ネットワーク(Destination Network)]:any
- [侵入ポリシー(Intrusion policy)]:バランスのとれたセキュリティと接続性
この場合、2 つの NAP ルールがあります。
-
NAP ルール 1
- [送信元ゾーン(Source zone)]:inside_zone
- [送信元ネットワーク(Source network)]:any
- [送信先ゾーン(Destination zone)]:outside_zone
- [送信先ネットワーク(Destination Network)]:any
- [ネットワーク分析ポリシー(Network analysis policy)]:接続性よりもセキュリティを優先
-
NAP ルール 2
- [送信元ゾーン(Source zone)]:inside_zone
- [送信元ネットワーク(Source network)]:any
- [送信先ゾーン(Destination zone)]:outside_zone
- [送信先ネットワーク(Destination Network)]:any
- [ネットワーク分析ポリシー(Network analysis policy)]:バランスのとれたセキュリティと接続性
両方の NAP ルールには同じ一致基準があるために、システムは [接続性よりもセキュリティを優先(Security over Connectivity)] ネットワーク分析ポリシーを、アクセス制御ルール 1 または 2 のいずれかに一致するトラフィックに適用します。ただし、アクセス制御ルール 2 に一致するほとんどのトラフィックは、バランスのとれた侵入ポリシーを使用します。したがって、アクセス制御ルール 2 に一致するトラフィックは、NAP および侵入ポリシーに一致しません。
(注) |
アクセス制御ポリシーで 1 つの侵入ポリシーを使用する場合、システムはデフォルトのポリシーと同じ名前のネットワーク分析ポリシーを設定するだけで、NAP ルールは生成しません。それ以外の場合は、デフォルトのネットワーク分析ポリシーとしてバランスのとれたポリシーを設定します。他の NAP ルールが適用されない場合はデフォルトのポリシーが適用されます。これは侵入ポリシーを割り当てていないゾーンとネットワークの組み合わせでは一般的です。 |
NAP の処理を最適化する侵入のポリシーを適用するためのベスト プラクティス
適したネットワーク分析ポリシーを得るために侵入ポリシーの割り当て方法を決定する際は、次の推奨事項を考慮してください。
-
同じ侵入ポリシーを常に使用する場合、同じ名前のネットワーク分析ポリシーをデフォルトとして設定し、常に適した侵入ポリシーおよびネットワーク分析ポリシーを取得します。
-
特定のトラフィックに対して異なる侵入ポリシーを使用する必要がある場合は、送信元/送信先のセキュリティ ゾーンとネットワーク オブジェクトの同じ組み合わせに対し常に同じ侵入ポリシーを使用します。これにより NAP ルールは、すべての関連付けられているアクセス制御ルールに対し同じ名前のネットワーク分析ポリシーを割り当てることが保証されます。
たとえば、network_one の inside_zone から outside_zone への一部のトラフィックに対し、[接続性よりもセキュリティを優先(Security over Connectivity)] ポリシーを使用する必要があると決定した場合、同じ送信元/送信先ゾーンとネットワーク仕様を持つアクセス制御ルールごとに 、[接続性よりもセキュリティを優先(Security over Connectivity)] ポリシーを割り当てます。