DCE TCP インスペクタの概要
タイプ |
インスペクタ(サービス) |
使用方法 |
検査 |
インスタンス タイプ |
マルチトン |
その他のインスペクタが必要 |
なし |
有効 |
|
DCE/RPC プロトコルにより、別々のネットワーク ホスト上のプロセスが、同一ホストに配置されている場合と同様に通信できます。通常、このようなプロセス間通信はホスト間で TCP を介して転送されます。TCP 転送では、DCE/RPC が Windows Server Message Block(SMB)プロトコルまたは Samba でさらにカプセル化されることがあります。Samba は、Windows や UNIX または Linux のオペレーティングシステムから構成される混合環境でプロセス間通信に使用されるオープンソースの SMB 実装です。
ほとんどの DCE/RPC エクスプロイトは、DCE/RPC サーバ(ネットワーク上の Windows または Samba が稼働している任意のホスト)を対象とした DCE/RPC クライアント要求で発生します。またエクスプロイトはサーバ応答でも発生することがあります。
IP によりすべての DCE/RPC トランスポートがカプセル化されます。TCP は、すべてのコネクション型 DCE/RPC を伝送します。DCE TCP インスペクタは、コネクション型の DCE/RPC を検出し、プロトコル固有の特性(ヘッダー長やデータ フラグメントの順序など)を使用して次のことを行います。
-
TCP トランスポートでカプセル化された DCE/RPC 要求を検出します。これには、RPC over HTTP バージョン 1 を使用して TCP で転送される DCE/RPC も含まれます。
-
DCE/RPC データストリームを分析し、DCE/RPC トラフィック内の異常な動作と回避技術を検出します。
-
DCE/RPC を最適化します。
-
ルールエンジンで処理できるように DCE/RPC トラフィックを正規化します。
次の図に、DCE TCP インスペクタが TCP トランスポートのトラフィックの処理を開始するポイントを示します。
ウェルノウン TCP ポート 135 は、TCP トランスポートの DCE/RPC トラフィックを特定します。この図には RPC over HTTP は含まれていません。RPC over HTTP の場合、コネクション型 DCE/RPC は、図に示すように、HTTP を介した初期設定シーケンスの後、TCP 経由で直接伝送されます。
ターゲットベースのポリシー
Windows および Samba の DCE/RPC の実装は大きく異なります。たとえば、Windows のすべてのバージョンは、DCE/RPC トラフィックの最適化時に最初のフラグメントの DCE/RPC コンテキスト ID を使用しますが、Samba のすべてのバージョンは、最後のフラグメントのコンテキスト ID を使用します。また、特定の関数呼び出しを識別するために、Windows Vista では最初のフラグメントの opnum(操作番号)ヘッダー フィールドを使用しますが、Samba とその他のすべてのバージョンの Windows では最後のフラグメントの opnum フィールドを使用します。
そのため、dce_tcp
インスペクタはターゲットベースのアプローチを使用します。dce_tcp
インスペクタインスタンスを設定すると、policy
パラメータは特定の DCE/RPC TCP プロトコルの実装を指定します。これをホスト情報と組み合わせることで、デフォルトのターゲットベースのサーバーポリシーが確立されます。必要に応じて、他のホストおよび DCE/RPC TCP の実装を対象とする追加のインスペクタを設定できます。デフォルトのターゲットベースのサーバーポリシーで指定されている
DCE/RPC TCP の実装は、別の dce_tcp
インスペクタインスタンスの対象になっていないすべてのホストに適用されます。
DCE TCP インスペクタが policy
パラメータを使用してターゲットにできる DCE/RPC 実装は次のとおりです。
-
WinXP(デフォルト)
-
Win2000
-
WinVista
-
Win2003
-
Win2008
-
Win7
-
Samba
-
Samba-3.0.37
-
Samba-3.0.22
-
Samba-3.0.20
最適化
DCE TCP インスペクタでは、フラグメント化されたデータパケットを検出エンジンに送信する前に再設定することができます。この機能は、インラインモードで、完全な最適化が実行される前の検査プロセスの早い段階でエクスプロイトをキャッチしたり、フラグメント化を利用してそれ自体を隠すエクスプロイトをキャッチしたりするのに役立ちます。最適化を無効にすると、多数の誤検知が発生する可能性があることに注意してください。