전역 DCE/RPC 전처리기 옵션은 전처리기가 작용하는 방법을 제어합니다. Memory Cap Reached(메모리 용량 도달) 및 Auto‑Detect Policy on SMB Session(SMB 세션에서 자동 탐지 정책) 옵션을 제외한 경우, 이 옵션을 변경하면 성능 또는 탐지 기능에 부정적인 영향을 미칠 수 있다는 점에 유의하십시오. 전처리기 및 전처리기와 활성화된 DCE/RPC 규칙 간의 상호 작용을 완벽하게 파악하지 않은 경우 이들을 변경할 수 없습니다.

어떤 전처리기 규칙도 다음 설명에 언급되지 않은 경우, 이 옵션은 전처리기 규칙과 연결되지 않습니다.

최대 조각 크기

Enable Defragmentation(조각 모음 활성화)를 선택하면 허용된 최대 DCE/RPC 조각 길이를 지정합니다. 전처리기는 조각 모음 전에 처리를 위해 지정된 크기에 큰 조각을 자르지만 실제 패킷을 변경하지 않습니다. 빈 필드는 이 옵션을 비활성화합니다.

Maximum Fragment Size(최대 조각 크기) 옵션이 규칙이 탐지해야 하는 수준보다 크거나 동일한지 확인합니다.

리어셈블리 임계값

Enable Defragmentation(조각 모음 활성화)을 선택한 경우, 0은 이 옵션을 비활성화하고, 리어셈블된 패킷을 규칙 엔진으로 전송하기 전 프래그먼트된 DCE/RPC 바이트, 그리고 해당되는 경우 세그먼트된 SMB 바이트의 최소 수를 지정합니다. 낮은 값은 조기 검색 가능성을 증가시키지만 성능에 부정적인 영향을 미칠 수 있습니다. 이 옵션을 활성화하면 성능 영향을 테스트해야 합니다.

Reassembly Threshold(리어셈블리 임계값) 옵션이 규칙이 탐지해야 하는 수준보다 크거나 동일한지 확인합니다.

조각 모음 활성화

조각화된 DCE/RPC 트래픽을 조각 모음할지 여부를 지정합니다. 비활성화할 경우, 전처리기는 계속해서 이상 징후를 탐지하고 규칙 엔진에 DCE/RPC 데이터를 전송하지만, 조각화된 DCE/RPC 데이터에서 유실된 익스플로잇의 위험에 노출됩니다.

이 옵션을 사용하면 DCE/RPC 트래픽을 조각 모음하지 않는 유연성이 제공되지만, 대부분의 DCE/RPC 익스플로잇은 익스플로잇을 숨기기 위해 조각화를 이용하려고 시도합니다. 이 옵션을 비활성화하면 대부분의 알려진 익스플로잇을 우회하여 많은 수의 잘못된 부정이 야기됩니다.

메모리 용량 도달

전처리기에 할당된 최대 메모리 한도에 도달하거나 초과할 경우 이를 탐지합니다. 최대 메모리 용량에 도달하거나 초과할 경우, 전처리기는 메모리 용량 이벤트를 야기하고 해당 세션의 나머지 부분을 무시하는 세션과 관련된 보류 중인 모든 데이터를 비웁니다.

규칙 133:1을 활성화할 수 있습니다. 이벤트를 생성하고, 인라인 구축에서 이 옵션에 문제가 되는 패킷을 삭제합니다. 침입 규칙 상태 설정의 내용을 참조하십시오.

SMB 세션의 정책 자동 탐지

SMB Session Setup AndX 요청 및 응답에서 확인된 Windows 또는 Samba 버전을 탐지합니다. 탐지된 버전이 Policy(정책) 구성 옵션에 대해 구성된 Windows 또는 Samba 버전과 다른 경우, 탐지된 버전은 해당 세션만을 위해 구성된 버전을 대체합니다.

예를 들어 Policy를 Windows XP로 설정했는데 Windows Vista가 탐지된 경우, 프리프로세서는 해당 세션에 대해 Windows Vista 정책을 사용합니다. 다른 설정은 계속 적용됩니다.

DCE/RPC 전송이 SMB(즉, 전송이 TCP 또는 UDP인 경우)가 아닐 때는 버전을 탐지하고 정책을 자동으로 구성할 수 없습니다.

이 옵션을 활성화하려면 다음 드롭다운 목록 중 하나를 선택해야 합니다.

• Client(클라이언트)를 선택하여 정책 유형에 대한 서버-클라이언트 트래픽을 검사합니다.

• Server(서버)를 선택하여 정책 유형에 대한 클라이언트-서버 트래픽을 검사합니다.

• Both(모두)를 선택하여 정책 유형에 대한 서버-클라이언트 트래픽 및 클라이언트-서버 트래픽을 검사합니다.

레거시 SMB 검사 모드

레거시 SMB 검사 모드가활성화된 경우, 시스템은 SMB 버전 1 트래픽에만 SMB 침입 규칙을 적용하고, SMB 버전 1을 전송으로 사용하여 DCE/RPC 침입 규칙을 DCE/RPC 트래픽에 적용합니다. 이 옵션이 비활성화된 경우, 시스템은 SMB 버전 1, 2 및 3을 사용하는 트래픽에 SMB 침입 규칙을 적용하지만 SMB 버전 1에 대해서만 전송으로 SMB를 사용하는 DCE/RPC 트래픽에 DCE/RPC 침입 규칙을 적용합니다.

각 대상 기반 정책에서 TCP, UDP, SMB 및 RPC over HTTP 전송 중 하나 이상을 활성화할 수 있습니다. 전송을 활성화할 때, 하나 이상의 탐지 포트, 즉, DCE/RPC 트래픽을 전달하는 것으로 알려진 포트를 지정해야 합니다.

Cisco는 기본 탐지 포트 사용을 권장합니다. 이는 잘 알려진 포트이거나 각 프로토콜에 일반적으로 사용하는 포트입니다. 기본이 아닌 포트에서 DCE/RPC 트래픽을 탐지한 경우에만 탐지 포트를 추가합니다.

Windows 대상 기반 정책에서는 네트워크 트래픽에 맞게 어떤 조합에서나 하나 이상의 전송에 대해 포트를 지정할 수 있지만, Samba 대상 기반 정책에서는 SMB 전송에만 포트를 지정할 수 있습니다.

참고	하나 이상의 전송이 활성화된 DCE/RPC 대상 기반 정책을 추가한 경우를 제외하고, 기본 대상 기반 정책에서는 하나 이상의 DCE/RPC 전송을 활성화해야 합니다. 예를 들어 모든 DCE/RPC 구현에 대해 호스트를 지정하고, 지정되지 않은 호스트에는 기본 대상 기반 정책을 구축하지 않을 수 있습니다. 이 경우 기본 대상 기반 정책에 대해 전송을 활성화하지 않을 수 있습니다.

또는 자동 탐지 포트, 즉 전처리기가 DCE/RPC 트래픽을 탐지하는 경우에만 포트가 DCE/RPC 트래픽을 전송하고 처리를 계속할지 결정하기 위해 전처리기가 처음 테스트하는 포트를 활성화하고 지정할 수도 있습니다.

자동 탐지 포트를 활성화할 때, 자동 탐지 포트가 전체 사용 후 삭제 포트 범위를 포함하기 위해 1024에서 65535까지의 포트 범위에 설정되어 있는지 확인합니다.

자동 탐지는 전송 탐지 포트에서 아직 식별되지 않은 포트에만 발생한다는 점에 유의하십시오.

RPC over HTTP Proxy Auto‑Detect Ports(프록시 자동 탐지 포트) 옵션 또는 SMB Auto‑Detect Ports(자동 탐지 포트) 옵션에 대한 자동 탐지 포트를 활성화하거나 지정할 가능성이 낮습니다. 이는 지정된 기본 탐지 포트를 제외하고는 이 둘을 위한 트래픽이 발생하거나 잠재력이 있을 가능성이 거의 없기 때문입니다.

각 대상 기반 정책을 통해 아래의 다양한 옵션을 지정할 수 있습니다. 어떤 전처리기 규칙도 다음 설명에 언급되지 않은 경우, 이 옵션은 전처리기 규칙과 연결되지 않습니다.

네트워크

DCE/RPC 대상 기반 서버 정책을 구축할 호스트 IP 주소입니다. 또한 대상 기반 정책을 추가할 때는 대상 추가(Add Target) 팝업 윈도우의 Server Address(서버 주소) 필드에 이름이 지정됩니다.

단일 IP 주소 또는 주소 블록을 지정하거나, 쉼표로 구분된 하나 또는 둘 다의 목록을 지정할 수 있습니다. 기본 정책을 비롯한 255개의 총 프로파일을 설정할 수 있습니다.

참고	시스템은 각 리프 도메인에 대해 별도의 네트워크 맵을 작성합니다. 다중 도메인 구축에서 리터럴 IP 주소를 사용하여 이 컨피그레이션을 제한하면 예기치 않은 결과가 발생할 수 있습니다. 하위 도메인 관리자는 재정의가 활성화된 개체를 사용하여 로컬 환경에 맞게 글로벌 컨피그레이션을 조정할 수 있습니다.

기본 정책의 default 설정은 다른 대상 기반 정책으로는 처리되지 않는 모니터링된 네트워크 세그먼트에 모든 IP 주소를 지정한다는 점에 유의하십시오. 따라서, 기본 정책에 대한 IP 주소 또는 CIDR 차단/접두사 길이를 지정할 수가 없으며, 지정할 필요도 없습니다. 그리고 다른 정책에서 이 설정을 공백으로 비워둘 수 없으며 any(예를 들어, 0.0.0.0/0 또는 ::/0)를 나타내는 주소 표기법을 사용할 수도 없습니다.

정책

모니터링된 네트워크 세그먼트에서 대상 호스트가 사용하는 Windows 또는 Samba DCE/RPC 구현

Auto‑Detect Policy on SMB Session(SMB 세션에서 정책 자동 탐지) 전역 옵션을 활성화하여 SMB가 DCE/RPC 전송일 때 세션별로 이 옵션의 설정을 자동으로 대체할 수 있다는 점에 유의하십시오.

SMB 유효하지 않은 공유

하나 이상의 SMB 공유 리소스를 식별하는 전처리기는 사용자가 지정하는 공유 리소스에 연결하려는 시도가 있는 경우 이를 탐지합니다. 사용자는 쉼표로 구분된 목록에서 여러 공유를 지정할 수 있으며, 선택적으로 공유를 따옴표로 감쌀 수 있습니다. 이는 이전 소프트웨어 버전에서 필요했지만 더 이상 그럴 필요가 없습니다. 예를 들면 다음과 같습니다.

"C$", D$, "admin", private

전처리기는 SMB Ports(SMB 포트)를 활성화할 때 SMB 트래픽에서 유효하지 않은 공유를 탐지합니다.

대부분의 경우 Windows에서 명명되었고, 유효하지 않은 공유로 식별된 드라이브에 달러 표시를 추가해야 한다는 점에 유의하십시오. 예를 들어, C$ 또는 “C$”로 드라이브 C를 식별합니다.

또한 SMB 유효하지 않은 공유를 탐지하려면 SMB Ports(SMB 포트) 또는 SMB Auto-Detect Ports(SMB 자동 탐지 포트)를 활성화해야 합니다.

규칙 133:26을 활성화할 수 있습니다. 이벤트를 생성하고, 인라인 구축에서 이 옵션에 문제가 되는 패킷을 삭제합니다. 침입 규칙 상태 설정의 내용을 참조하십시오.

SMB 최대 AndX 체인

연속된 SMB AndX 명령에서 허용할 최대값입니다. 일반적으로, 연속된 여러 AndX 명령이 이상 작업을 나타내며 회피 시도를 나타낼 수 있습니다. 1을 지정하여 연속된 명령을 허용하지 않거나 0을 지정하여 연속된 명령의 수 탐지를 비활성화합니다.

동반되는 SMB 전처리기 규칙이 활성화되고 연속된 명령의 수가 구성한 값과 동일하거나 초과할 경우 전처리기는 먼저 연속된 명령의 수를 세고 이벤트를 생성한다는 점에 유의하십시오. 그런 다음 처리를 계속 진행합니다.

경고	SMB 프로토콜의 전문가만이 SMB Maximum AndX Chains(SMB 최대 AndX 체인) 옵션의 기본 설정을 변경해야 합니다.

규칙 133:20을 활성화할 수 있습니다. 이벤트를 생성하고, 인라인 구축에서 이 옵션에 문제가 되는 패킷을 삭제합니다. 침입 규칙 상태 설정의 내용을 참조하십시오.

RPC 프록시 트래픽 전용

RPC over HTTP Proxy Ports(RPC over HTTP 프록시 포트)를 활성화하면, 탐지된 클라이언트 측 RPC over HTTP가 프록시 트래픽 전용인지 또는 다른 웹 서버 트래픽을 포함하는지가 표시됩니다. 예를 들어, 포트 80은 프록시와 다른 웹 서버 트래픽을 모두 전달할 수 있습니다.

이 옵션을 비활성화하면, 프록시 및 다른 웹 서버 트래픽 모두 예상됩니다. 예를 들어, 서버가 전용 프록시 서버인 경우, 이 옵션을 활성화합니다. 활성화되었을 때, 전처리기는 트래픽이 DCE/RPC를 전달하고 있는지 확인하기 위해 트래픽을 테스트하고, 전달하고 있는 경우 처리를 계속 진행하고 그렇지 않은 경우 트래픽을 무시합니다. 이 옵션과 함께 RPC over HTTP Proxy Ports(RPC over HTTP 프록시 포트) 체크 박스도 활성화한 경우에만 기능이 추가됩니다.

RPC over HTTP 프록시 포트

관리되는 디바이스가 DCE/RPC 클라이언트와 Microsoft IIS RPC 프록시 서버 사이에 있는 경우 각 지정된 포트의 RPC over HTTP에서 터널링된 DCE/RPC 트래픽의 탐지를 활성화합니다.

활성화하면, 웹 서버에서 일반적으로 DCE/RPC와 기타 트래픽 모두에 기본 포트를 사용하기 때문에 트래픽이 필요한 가능성이 낮더라도, DCE/RPC 트래픽을 볼 수 있는 모든 포트를 추가할 수 있습니다. 이 탐지가 활성화되면 RPC over HTTP Proxy Auto‑Detect Ports(RPC over HTTP 프록시 자동 탐지 포트)는 활성화되지 않지만, 탐지된 클라이언트 측 RPC over HTTP 트래픽이 프록시 트래픽뿐이고 다른 웹 서버 트래픽은 포함되지 않는 경우 RPC Proxy Traffic Only(RPC 프록시 트래픽 전용)는 활성화됩니다.

참고	이 옵션은 선택하는 일이 거의 없을 것입니다.

RPC over HTTP 서버 포트

Microsoft IIS RPC 프록시 서버 및 DCE/RPC 서버가 다른 호스트에 있고 디바이스가 두 서버 간 트래픽을 모니터링할 때 각 지정된 포트에서 RPC over HTTP에 의해 터널링된 DCE/RPC 트래픽의 탐지를 활성화합니다.

일반적으로 이 옵션을 활성화하는 경우 네트워크에서 프록시 웹 서버가 인식되지 않더라도 포트 범위를 1025~65535로 설정하여 RPC over HTTP Server Auto‑Detect Ports(RPC over HTTP 서버 자동 탐지 포트)도 활성화해야 합니다. HTTP 서버 포트 기반의 RPC가 경우에 따라 재구성되는데, 이 경우 사용자는 이 옵션의 포트 목록에 재설정된 서버 포트를 추가해야 합니다.

TCP 포트

각 지정된 포트의 TCP에서 DCE/RPC 트래픽의 탐지를 활성화합니다.

적정 DCE/RPC 트래픽 및 익스플로잇은 다양한 포트를 사용하고, 포트 1024 이상의 다른 포트는 일반적입니다. 일반적으로 이 옵션을 활성화하면 해당 옵션에 대해 1025에서 최대 65535 포트 범위의 TCP Auto‑Detect Ports(TCP 자동 탐지 포트)도 활성화해야 합니다.

UDP 포트

각 지정된 포트에서 UDP 내 DCE/RPC 트래픽의 탐지를 활성화합니다.

적정 DCE/RPC 트래픽 및 익스플로잇은 다양한 포트를 사용하고, 포트 1024 이상의 다른 포트는 일반적입니다. 일반적으로 이 옵션을 활성화하면 또한 해당 옵션에 대해 1025에서 최대 65535 포트 범위의 UDP Auto‑Detect Ports(UDP 자동 탐지 포트)도 활성화해야 합니다.

SMB 포트

각 지정된 포트에서 SMB 내 DCE/RPC 트래픽의 탐지를 활성화합니다.

기본 탐지 포트를 사용하면 SMB 트래픽이 발생할 수 있습니다. 다른 포트를 사용할 경우 발생 가능성은 매우 낮습니다. 일반적으로, 기본 설정을 사용합니다.

Auto‑Detect Policy on SMB Session(SMB 세션에서 정책 자동 탐지) 전역 옵션을 활성화하여 SMB가 DCE/RPC 전송일 때 세션별로 대상이 되는 정책에 대해 구성된 정책 유형을 자동으로 대체할 수 있다는 점에 유의하십시오.

RPC over HTTP 프록시 자동 탐지 포트

매니지드 디바이스가 DCE/RPC 클라이언트와 Microsoft IIS RPC 프록시 서버 사이에 있는 경우 지정된 포트에서 RPC over HTTP에서 터널링된 DCE/RPC 트래픽의 자동 탐지를 활성화합니다.

활성화하면, 일반적으로 1025에서 65535까지 포트 범위를 지정하여 사용 후 삭제 포트의 전체 범위를 지원할 수 있습니다.

RPC over HTTP 서버 자동 탐지 포트

Microsoft IIS RPC 프록시 서버 및 DCE/RPC 서버가 다른 호스트에 있고 디바이스가 두 서버 간 트래픽을 모니터링할 때 지정된 포트에서 RPC over HTTP에 의해 터널링된 DCE/RPC 트래픽의 자동 탐지를 활성화합니다.

TCP 자동 탐지 포트

지정된 포트의 TCP에서 DCE/RPC 트래픽의 자동 탐지를 활성화합니다.

UDP 자동 탐지 포트

각 지정된 포트에서 UDP 내 DCE/RPC 트래픽의 자동 탐지를 활성화합니다.

SMB 자동 탐지 포트

SMB 내 DCE/RPC 트래픽의 자동 탐지를 활성화합니다.

참고	이 옵션은 선택하는 일이 거의 없을 것입니다.

SMB 파일 검사

파일 검색을 위한 SMB 트래픽의 검사를 활성화합니다. 다음 옵션을 이용할 수 있습니다.

• 파일 선택을 비활성화하려면 Off(끄기)를 선택합니다.

• SMB의 DCE/RPC 트래픽 검사 없이 파일 데이터를 검사하려면 Only(전용)를 선택합니다. 이 옵션을 선택하면 파일 및 DCE/RPC 트래픽 모두의 검사 성능을 높일 수 있습니다.

• SMB에서 파일 및 DCE/RPC 트래픽을 모두 검사하려면 On(켜기)을 선택합니다. 이 옵션을 선택하면 성능에 영향을 줄 수 있습니다.

다음에 대한 SMB 트래픽의 검사는 지원되지 않습니다.

• 단일 TCP 또는 SMB 세션에서 동시에 전송된 파일

• 여러 TCP 또는 SMB 세션을 통해 전송된 파일

• 메시지 서명이 협상될 때와 같이 비인접 데이터로 전송된 파일

• 데이터를 중첩하여 동일한 오프셋에 서로 다른 데이터로 전송된 파일

• 클라이언트가 파일 서버에 저장한 수정 사항에 대해 원격 클라이언트에 열린 파일

SMB 파일 검사 수준

SMB File Inspection(SMB 파일 검사)이 Only(전용) 또는 On(켜기)으로 설정된 경우, 파일이 SMB 트래픽에서 탐지될 때 바이트 수를 검사합니다. 다음 중 하나를 지정하십시오.

• 양수 값

• 전체 파일을 검사하려면 0

• 파일 검사를 비활성화하려면 -1

이 필드에는 액세스 컨트롤 정책의 Advanced(고급) 탭에 있는 File and Malware Settings(파일 및 악성코드 설정) 섹션에 정의된 것과 동일하거나 작은 값을 입력합니다. 이 옵션에 파일 유형 탐지 시 검사할 바이트 수 제한에 정의된 것보다 큰 값을 설정한 경우, 시스템은 액세스 컨트롤 정책 설정의 기능을 최대로 사용합니다.

SMB File Inspection(SMB 파일 검사)을 Off(해제)로 설정한 경우, 이 필드는 비활성화됩니다.

대부분의 DCE/RPC 전처리기 규칙은 SMB, 연결 지향 DCE/RPC 또는 연결 없는 DCE/RPC 트래픽에서 탐지된 이상 징후 및 회피 기술에 대해 트리거됩니다. 다음 표는 각 유형의 트래픽을 위해 활성화할 수 있는 규칙을 식별합니다.

포트

이 필드는 DNS 전처리기가 DNS 서버 응답에 대해 모니터링해야 하는 소스 포트 또는 포트를 지정합니다. 포트가 여러 개인 경우 쉼표로 구분하십시오.

DNS 전처리기에 대해 구성할 일반적인 포트는 잘 알려진 포트 53인데, 이는 DNS 이름 서버가 UDP 및 TCP 모두에서 DNS 메시지에 사용하는 것입니다.

RData 텍스트 필드의 오버플로 시도 탐지

리소스 레코드 유형이 TXT(텍스트)이면 RData 필드는 변수 길이의 ASCII 텍스트 필드입니다.

선택 시 이 옵션은 MITRE’s Current Vulnerabilities and Exposures(MITRE의 현재 취약성 및 노출) 데이터베이스의 CVE-2006-3441 항속에서 식별된 특정 취약성을 탐지합니다. 이는 Microsoft Windows 2000 서비스 팩 4, Windows XP 서비스 팩 1 및 서비스 팩 2, 그리고 Windows Server 2003 서비스 팩 1에서 잘 알려진 취약성입니다. 공격자는 이러한 취약성을 악용하고 호스트를 전송하거나 호스트가 RData 텍스트 필드의 길이에서 계산 착오를 일으키도록 하는 악의적으로 조작된 이름 서버 응답을 수신하도록 하여 버퍼 오버플로를 일으킴으로써 호스트를 완전히 제어할 수 있습니다.

네트워크가 이 취약성을 해결하기 위해 업그레이드된 적이 없는 운영체제를 실행하는 호스트를 포함하는 경우 사용자는 이 옵션을 활성화해야 합니다.

규칙 131:3을 활성화할 수 있습니다. 이벤트를 생성하고, 인라인 구축에서 이 옵션에 문제가 되는 패킷을 삭제합니다. 침입 규칙 상태 설정의 내용을 참조하십시오.

사용하지 않는 DNS RR 유형 탐지

RFC 1035는 여러 리소스 레코드 유형을 사용하지 않는 것으로 식별합니다. 이는 사용하지 않는 레코드 유형이기 때문에, 일부 시스템은 이를 처리하지 않고 익스플로잇에 노출될 수 있습니다. 네트워크에 이들을 포함하도록 의도적으로 구성하지 않는 이상 일반 DNS 응답에서 이러한 레코드 유형이 발생하지 않습니다.

시스템을 구성하여 사용하지 않는 알려진 리소스 레코드 유형을 검색할 수 있습니다. 다음 표는 이러한 레코드 유형에 대해 나열하고 설명합니다.

규칙 131:1을 활성화할 수 있습니다. 이벤트를 생성하고, 인라인 구축에서 이 옵션에 문제가 되는 패킷을 삭제합니다. 침입 규칙 상태 설정의 내용을 참조하십시오.

실험적 DNS RR 유형 탐지

RFC 1035는 여러 리소스 레코드 유형을 실험적인 것으로 식별합니다. 다음은 실험적 레코드 유형이기 때문에, 일부 시스템은 이를 처리하지 않고 익스플로잇에 노출될 수 있습니다. 네트워크에 이들을 포함하도록 의도적으로 구성하지 않는 이상 일반 DNS 응답에서 이러한 레코드 유형이 발생하지 않습니다.

시스템을 구성하여 알려진 실험적 리소스 레코드 유형을 검색할 수 있습니다. 다음 표는 이러한 레코드 유형에 대해 나열하고 설명합니다.

규칙 131:2를 활성화할 수 있습니다. 이벤트를 생성하고, 인라인 구축에서 이 옵션에 문제가 되는 패킷을 삭제합니다. 침입 규칙 상태 설정의 내용을 참조하십시오.

전역 옵션을 설정하여 FTP/텔넷 디코더가 패킷의 상태 저장 또는 상태 비저장 검사를 수행할지 여부, 디코더가 암호화된 FTP 또는 텔넷 세션을 탐지할지 여부, 그리고 암호화된 데이터가 발생한 후 디코더가 데이터 스트림 확인을 계속할지 여부를 결정할 수 있습니다.

어떤 전처리기 규칙도 다음 설명에 언급되지 않은 경우, 이 옵션은 전처리기 규칙과 연결되지 않습니다.

상태 저장 검사

선택하면 FTP/텔넷 디코더가 상태를 저장하고 개별 패킷을 위한 세션 콘텍스트를 제공하며, 리어셈블한 세션만 검사할 수 있습니다. 이를 취소하면, 세션 컨텍스트 없이 각 개별 패킷을 분석합니다.

FTP 데이터 전송을 확인하려면, 이 옵션을 선택해야 합니다.

암호화된 트래픽 탐지

암호화된 텔넷 및 FTP 세션을 탐지합니다.

규칙 125:7 및 126:2를 활성화할 수 있습니다. 이벤트를 생성하고, 인라인 구축에서 이 옵션에 문제가 되는 패킷을 삭제합니다. 침입 규칙 상태 설정의 내용을 참조하십시오.

암호화된 데이터 검사 계속 진행

데이터 스트림이 암호화된 후에도 계속 검사하여 처리 가능한. 해독된 최종 데이터를 찾도록 전처리기에 지시합니다.

FTP/텔넷 디코더에 의한 텔넷 명령의 표준화를 활성화 또는 비활성화할 수 있으며, 특정 이상 징후의 경우를 활성화 또는 비활성화할 수 있고 허용할 AYT(Are You There) 공격의 임계값 수를 설정할 수 있습니다.

어떤 전처리기 규칙도 다음 설명에 언급되지 않은 경우, 이 옵션은 전처리기 규칙과 연결되지 않습니다.

포트

텔넷 트래픽을 표준화할 포트를 나타냅니다. 텔넷은 일반적으로 TCP 포트 23에 연결됩니다. 인터페이스에서, 쉼표로 구분하여 여러 개의 포트를 나열합니다.

경고	암호화된 트래픽(SSL)은 디코딩될 수 없으므로, 포트 22(SSH)를 추가하면 예측되지 않은 결과를 얻을 수 있습니다.

표준화

지정된 포트로 향하는 텔넷 트래픽을 표준화합니다.

이상 징후 탐지

해당 SE(subnegotiation 종료) 없이 텔넷 SB(subnegotiation 시작)의 탐지를 활성화합니다.

텔넷은 SB(subnegotiation 시작)로 시작하고 SE(subnegotiation 종료)로 끝나는 subnegotiation을 지원합니다. 그러나, 텔넷 서버의 특정 구현은 해당 SE가 없는 SB를 무시합니다. 이는 우회하는 경우일 수 있는 이상 작업입니다. FTP가 제어 연결에서 텔넷 프로토콜을 사용하므로, 또한 이러한 작업에 취약합니다.

규칙 126:3을 활성화하여 이벤트를 생성하고 인라인 구축에서 이 이상 징후가 텔넷 트래픽에서 탐지될 때 문제가 되는 패킷을 삭제할 수 있으며, 규칙 125:9를 활성화하여 FTP 명령 채널에서 이 이상 징후가 탐지될 때 이벤트를 생성할 수 있습니다. 침입 규칙 상태 설정의 내용을 참조하십시오.

AYT(Are You There) 공격 임계값 수

연속적인 AYT 명령의 수가 지정된 임계값을 초과하는 경우 이를 탐지합니다. Cisco는 AYT 임계값으로 기본값을 초과하지 않는 값을 설정할 것을 권장합니다.

규칙 126:1을 활성화할 수 있습니다. 이벤트를 생성하고, 인라인 구축에서 이 옵션에 문제가 되는 패킷을 삭제합니다. 침입 규칙 상태 설정의 내용을 참조하십시오.

여러 FTP 서버에서 디코딩을 위한 옵션을 설정할 수 있습니다. 생성한 각 서버 프로파일은 서버 IP 주소 및 트래픽이 모니터링되어야 할 서버의 포트를 포함합니다. 특정 서버에 대해 어느 FTP 명령을 인증할지, 그리고 어느 FTP 명령을 무시할지 지정하고 명령에 대한 최대 매개변수 길이를 설정할 수 있습니다. 또한 디코더가 특정 명령을 위해 인증해야 할 특정 명령어 구문을 설정하고, 대안이 되는 최대 명령 매개변수 길이를 지정할 수 있습니다.

어떤 전처리기 규칙도 다음 설명에 언급되지 않은 경우, 이 옵션은 전처리기 규칙과 연결되지 않습니다.

네트워크

FTP 서버에서 하나 이상의 IP 주소를 지정하려면 이 옵션을 사용합니다.

단일 IP 주소 또는 주소 블록을 지정하거나, 하나 또는 둘 다로 구성된 쉼표로 구분된 목록을 지정할 수 있습니다. 최대 1024개의 문자를 구성할 수 있고, 기본 프로파일을 포함하여 최대 255개 프로파일을 지정할 수 있습니다.

참고	시스템은 각 리프 도메인에 대해 별도의 네트워크 맵을 작성합니다. 다중 도메인 구축에서 리터럴 IP 주소를 사용하여 이 컨피그레이션을 제한하면 예기치 않은 결과가 발생할 수 있습니다. 하위 도메인 관리자는 재정의가 활성화된 개체를 사용하여 로컬 환경에 맞게 글로벌 컨피그레이션을 조정할 수 있습니다.

기본 정책의 default 설정은 다른 대상 기반 정책으로는 처리되지 않는 모니터링된 네트워크 세그먼트에 모든 IP 주소를 지정한다는 점에 유의하십시오. 따라서, 기본 정책에 대한 IP 주소 또는 주소 블록을 지정할 수가 없으며, 지정할 필요도 없습니다. 그리고 다른 정책에서 이 설정을 공백으로 비워둘 수 없으며 any(예를 들어, 0.0.0.0/0 또는 ::/0)를 나타내는 주소 표기법을 사용할 수도 없습니다.

포트

관리되는 디바이스가 트래픽을 모니터링해야 하는 FTP 서버에서 포트를 지정하려면 이 옵션을 사용합니다. 인터페이스에서, 쉼표로 구분하여 여러 개의 포트를 나열합니다. 포트 21은 잘 알려진 FTP 트래픽용 포트입니다.

File Get 명령

이 옵션을 사용하여 서버에서 클라이언트로 파일을 전송하는 데 사용되는 FTP 명령을 정의합니다. Support(지원팀)의 지시가 있는 경우가 아니면 이 값을 변경하지 마십시오.

경고	지원팀이 지시할 때만 File Get Commands(File Get 명령) 필드를 수정해야 합니다.

File Put 명령

이 옵션을 사용하여 클라이언트에서 서버로 파일을 전송하는 데 사용되는 FTP 명령을 정의합니다. Support(지원팀)의 지시가 있는 경우가 아니면 이 값을 변경하지 마십시오.

경고	지원팀이 지시할 때만 File Put Commands(File Put 명령) 필드를 수정해야 합니다.

추가 FTP 명령

이 문구를 사용하여 디코더가 탐지해야 하는 추가 명령을 지정합니다. 스페이스로 추가 명령을 구분합니다.

사용자가 추가할 수 있는 추가 명령에는 XPWD, XCWD, XCUP, XMKD, 그리고 XRMD가 포함되어 있습니다. 이 명령에 대한 자세한 내용은 네트워크 작업 그룹에 의한 디렉토리 지향 FTP 명령 사양인 RFC 775를 참고하십시오.

기본 최대 매개변수 길이

이 옵션을 사용하여 대체 매개변수 최대 길이가 설정되지 않은 명령에 대해 매개변수 최대 길이를 감지합니다. 대체 매개변수 최대 길이를 필요한 만큼 추가할 수 있습니다.

규칙 125:3을 활성화할 수 있습니다.이벤트를 생성하고, 인라인 구축에서 이 옵션에 문제가 되는 패킷을 삭제합니다. 침입 규칙 상태 설정의 내용을 참조하십시오.

대체 매개변수 최대 길이

이 옵션을 사용하여 다른 매개변수 최대 길이를 탐지할 명령을 지정하고, 해당 명령에 대한 최대 매개변수 길이를 지정합니다. Add(추가)를 클릭하여 특정 명령을 위해 탐지할 다른 매개변수 최대 길이를 지정할 수 있는 회선을 추가합니다.

문자열 형식 공격에 대한 명령 확인

이 옵션을 사용하여 문자열 형식 공격에 대해 지정된 명령을 확인합니다.

규칙 125:5를 활성화할 수 있습니다. 이벤트를 생성하고, 인라인 구축에서 이 옵션에 문제가 되는 패킷을 삭제합니다. 침입 규칙 상태 설정의 내용을 참조하십시오.

명령의 유효성

이 옵션을 사용하여 특정 명령의 유효한 형식을 입력합니다. Add(추가)를 클릭하여 명령 유효성 검사 회선을 추가합니다.

규칙 125:2 및 125:4를 활성화할 수 있습니다. 이벤트를 생성하고, 인라인 구축에서 이 옵션에 문제가 되는 패킷을 삭제합니다. 침입 규칙 상태 설정의 내용을 참조하십시오.

FTP 전송 무시

이 옵션을 사용하여 데이터 전송 채널의 상태 확인 이외의 모든 검사를 비활성화하여 FTP 데이터 전송의 성능을 개선합니다.

참고	데이터 전송을 검사하려면 전역 FTP/Telnet Stateful Inspection 옵션을 선택해야 합니다.

FTP 명령 내 텔넷 이스케이프 코드 탐지

이 옵션을 사용하여 텔넷 명령이 FTP 명령 계통에서 사용되는 경우를 탐지합니다.

규칙 125:1을 활성화할 수 있습니다. 이벤트를 생성하고, 인라인 구축에서 이 옵션에 문제가 되는 패킷을 삭제합니다. 침입 규칙 상태 설정의 내용을 참조하십시오.

표준화 진행 중 삭제 명령 무시

Detect Telnet Escape Codes within FTP Commands(FTP 명령 내 텔넷 이스케이프 코드 탐지)를 선택한 경우 이 옵션을 사용하여 FTP 트래픽을 표준화할 때 텔넷 특성과 회선 삭제 명령을 무시합니다. 설정은 FTP 서버 처리가 텔넷 삭제 명령을 처리하는 방식에 일치해야 합니다. 이전 서버는 일반적으로 이를 처리하지만 새로운 FTP 서버는 일반적으로 텔넷 삭제 명령을 무시한다는 점에 유의하십시오.

문제 해결 옵션: FTP 명령 유효성 검사 구성 로그

Support(지원팀)는 문제 해결 통화 중에 사용자에게 시스템을 구성하여 서버에 나열된 각 FTP 명령에 대한 구성 정보를 인쇄하도록 요청할 수 있습니다.

경고	지원팀이 지시할 때만 Log FTP Command Validation Configuration(FTP 명령 유효성 검사 구성 로그)을 활성화하십시오.

이러한 옵션을 사용하여 맞춤형 FTP 클라이언트 프로파일을 구성합니다. 옵션 설명에 전처리기 규칙이 포함되어 있지 않으면 이 옵션은 전처리기 규칙과 연결되어 있지 않은 것입니다.

네트워크

FTP 클라이언트의 하나 이상의 IP 주소를 지정하려면 이 옵션을 사용합니다.

단일 IP 주소나 주소 블록 또는 둘 중 하나 또는 모두로 구성된 쉼표로 구분된 목록을 지정할 수 있습니다. 최대 1024개의 문자를 지정할 수 있고, 기본 프로파일을 포함하여 최대 255개 프로파일을 지정할 수 있습니다.

참고	시스템은 각 리프 도메인에 대해 별도의 네트워크 맵을 작성합니다. 다중 도메인 구축에서 리터럴 IP 주소를 사용하여 이 컨피그레이션을 제한하면 예기치 않은 결과가 발생할 수 있습니다. 하위 도메인 관리자는 재정의가 활성화된 개체를 사용하여 로컬 환경에 맞게 글로벌 컨피그레이션을 조정할 수 있습니다.

기본 정책의 default 설정은 다른 대상 기반 정책으로는 처리되지 않는 모니터링된 네트워크 세그먼트에 모든 IP 주소를 지정한다는 점에 유의하십시오. 따라서, 기본 정책에 대한 IP 주소 또는 주소 블록을 지정할 수가 없으며, 지정할 필요도 없습니다. 그리고 다른 정책에서 이 설정을 공백으로 비워둘 수 없으며 any(예를 들어, 0.0.0.0/0 또는 ::/0)를 나타내는 주소 표기법을 사용할 수도 없습니다.

최대 응답 길이

클라이언트가 수락하는 FTP 명령에 대해 허용되는 최대 응답 길이를 지정하려면 이 옵션을 사용합니다. 이는 기본 버퍼 오버플로를 탐지할 수 있습니다.

규칙 125:6을 활성화할 수 있습니다. 이벤트를 생성하고, 인라인 구축에서 이 옵션에 문제가 되는 패킷을 삭제합니다. 침입 규칙 상태 설정의 내용을 참조하십시오.

FTP 바운스 공격 탐지

FTP 바운스 공격을 탐지하려면 이 옵션을 사용합니다.

규칙 125:8을 활성화할 수 있습니다. 이벤트를 생성하고, 인라인 구축에서 이 옵션에 문제가 되는 패킷을 삭제합니다. 침입 규칙 상태 설정의 내용을 참조하십시오.

FTP 바운스 허용

FTP PORT 명령이 FTP 바운스 공격으로 처리되어서는 안 되는 호스트에서 추가 호스트 및 포트 목록을 구성하려면 이 옵션을 사용합니다.

FTP 명령 내 텔넷 이스케이프 코드 탐지

이 옵션을 사용하여 텔넷 명령이 FTP 명령 계통에서 사용되는 경우를 탐지합니다.

규칙 125:1을 활성화할 수 있습니다. 이벤트를 생성하고, 인라인 구축에서 이 옵션에 문제가 되는 패킷을 삭제합니다. 침입 규칙 상태 설정의 내용을 참조하십시오.

표준화 진행 중 삭제 명령 무시

Detect Telnet Escape Codes within FTP Commands를 선택한 경우 FTP 트래픽을 표준화할 때 텔넷 문자 및 줄 지우기 명령을 무시하려면 이 옵션을 사용합니다. 이 설정은 FTP 클라이언트가 텔넷 지우기 명령을 처리하는 방법과 일치해야 합니다. 이전 클라이언트는 일반적으로 이를 처리하지만 새로운 FTP 클라이언트는 일반적으로 텔넷 삭제 명령을 무시한다는 점에 유의하십시오.

HTTP Inspect(HTTP 검사) 전처리기에 제공되는 전역 HTTP 옵션은 전처리기가 작동하는 방식을 제어합니다. 이 옵션을 사용하여 웹 서버 포트로 지정되지 않은 포트가 HTTP 트래픽을 수신할 때 HTTP 표준화를 활성화하거나 비활성화합니다.

다음 사항을 참고하십시오.

• Unlimited Decompression(무제한 압축 해제)을 활성화하는 경우, 변경 사항을 커밋하면 Maximum Compressed Data Depth(압축 데이터 최대 수준) 및 Maximum Decompressed Data Depth(압축 해제된 데이터 최대 수준) 옵션이 자동으로 65535로 설정됩니다.

• Maximum Compressed Data Depth(압축 데이터 최대 깊이) 또는 Maximum Decompressed Data Depth(압축 해제 데이터 최대 깊이)의 값이 다음에서 다른 경우 가장 높은 값을 사용합니다.

  • 기본 네트워크 분석 정책

  • 동일한 액세스 제어 정책의 네트워크 분석 규칙에서 호출된 기타 사용자 지정 네트워크 분석 정책

어떤 전처리기 규칙도 다음 설명에 언급되지 않은 경우, 이 옵션은 전처리기 규칙과 연결되지 않습니다.

이상 HTTP 서버 탐지

웹 서버 포트로 지정되지 않은 포트로 전송되거나 해당 포트에서 수신되는 HTTP 트래픽을 탐지합니다.

참고	이 옵션을 설정하는 경우, HTTP 설정 페이지의 서버 프로파일에서 HTTP 트래픽을 수신하는 모든 포트를 나열해야 합니다. 이 옵션을 설정하지 않는 경우, 그리고 이 옵션 및 관련 전처리기 규칙을 활성화하는 경우, 서버를 오가는 일반 트래픽이 이벤트를 생성합니다. 기본 서버 프로파일은 보통 HTTP 트래픽에 사용되는 모든 포트를 포함하지만, 해당 프로파일을 수정한 경우, 이벤트가 생성되는 것을 방지하기 위해 다른 프로파일에 포트를 추가해야 할 수 있습니다.

규칙 120:1을 활성화할 수 있습니다. 이벤트를 생성하고, 인라인 구축에서 이 옵션에 문제가 되는 패킷을 삭제합니다. 침입 규칙 상태 설정의 내용을 참조하십시오.

HTTP 프록시 서버 탐지

Allow HTTP Proxy Use(HTTP 프록시 사용 허용) 옵션으로 정의되지 않은 프록시 서버를 사용하여 HTTP 트래픽을 탐지합니다.

규칙 119:17을 활성화할 수 있습니다. 이벤트를 생성하고, 인라인 구축에서 이 옵션에 문제가 되는 패킷을 삭제합니다. 침입 규칙 상태 설정의 내용을 참조하십시오.

압축 데이터 최대 수준

Inspect Compressed Data(압축 데이터 검사)(및 선택적으로, Decompress SWF File(SWF 파일 압축 해제, LZMA), Decompress SWF File(SWF 파일 압축 해제, Deflate) 또는 Decompress PDF File(PDF 파일 압축 해제, Deflate))가 활성화되어 있는 경우 압축 해제할 압축 데이터의 최대 크기를 설정합니다.

압축 해제된 데이터 최대 수준

Inspect Compressed Data(그리고 선택적으로 Decompress SWF File(LZMA), Decompress SWF File(Deflate) 또는 Decompress PDF File(Deflate)) 옵션이 활성화된 경우 표준화된 압축 해제 데이터의 최대 크기를 설정합니다.

모니터링하는 각 서버에 대한 서버 수준 옵션을 모든 서버 또는 서버 목록에 대해 전역으로 설정할 수 있습니다. 또한, 미리 정의된 서버 프로파일을 사용하여 이 옵션을 설정하거나, 사용자 환경의 요구를 충족하도록 이들을 개별적으로 설정할 수 있습니다. 이 옵션 또는 이 옵션을 설정하는 기본 프로파일 중 하나를 사용하여 트래픽을 표준화할 HTTP 서버 포트와 표준화할 서버 응답 페이로드의 양, 그리고 표준화할 인코딩 유형을 지정합니다.

어떤 전처리기 규칙도 다음 설명에 언급되지 않은 경우, 이 옵션은 전처리기 규칙과 연결되지 않습니다.

네트워크

하나 이상 서버의 IP 주소를 지정하려면 이 옵션을 사용합니다. 단일 IP 주소나 주소 블록 또는 둘 중 하나 또는 모두로 구성된 쉼표로 구분된 목록을 지정할 수 있습니다.

최대 255개의 총 프로파일의 제한 외에도, 기본 프로파일을 포함하여 최대 496개의 문자 또는 약 26개의 항목을 하나의 HTTP 서버 목록에 포함할 수 있으며 모든 서버 프로파일에 대해 총 256개의 주소 항목을 지정할 수 있습니다.

참고	시스템은 각 리프 도메인에 대해 별도의 네트워크 맵을 작성합니다. 다중 도메인 구축에서 리터럴 IP 주소를 사용하여 이 컨피그레이션을 제한하면 예기치 않은 결과가 발생할 수 있습니다. 하위 도메인 관리자는 재정의가 활성화된 개체를 사용하여 로컬 환경에 맞게 글로벌 컨피그레이션을 조정할 수 있습니다.

기본 정책의 default 설정은 다른 대상 기반 정책으로는 처리되지 않는 모니터링된 네트워크 세그먼트에 모든 IP 주소를 지정한다는 점에 유의하십시오. 따라서, 기본 정책에 대한 IP 주소 또는 CIDR 차단/접두사 길이를 지정할 수가 없으며, 지정할 필요도 없습니다. 그리고 다른 정책에서 이 설정을 공백으로 비워둘 수 없으며 any(예를 들어, 0.0.0.0/0 또는 ::/0)를 나타내는 주소 표기법을 사용할 수도 없습니다.

포트

HTTP 트래픽을 전처리기 엔진이 표준화하는 포트. 포트 번호가 여러 개인 경우 쉼표로 구분하십시오.

오버사이즈 디렉토리 길이

지정한 값보다 긴 URL 디렉토리를 탐지합니다.

지정된 길이보다 긴 URL 요청을 전처리기가 감지하면 규칙 119:15를 활성화하여 이벤트를 생성하고, 인라인 구축에서 문제가 되는 패킷을 삭제합니다.할 수 있습니다.

클라이언트 흐름 수준

Ports(포트)에 정의된 클라이언트 측 HTTP 트래픽의 헤더 및 페이로드 데이터를 포함하여 원시 HTTP 패킷에서 규칙이 검사하는 바이트 수를 지정합니다. 규칙 내 HTTP 콘텐츠 규칙 옵션이 요청 메시지의 특정 부분을 검사할 때 클라이언트 흐름 수준은 적용되지 않습니다.

다음 중 하나를 지정합니다.

• 양수 값은 첫 번째 패킷에서 지정된 바이트 수를 검사합니다. 첫 번째 패킷이 지정된 것보다 작은 바이트를 포함하는 경우, 전체 패킷을 검사합니다. 지정된 값이 세그먼트 및 리어셈블된 패킷 모두에 적용된다는 점에 유의하십시오.

  또한 300 값은 여러 클라이언트 요청 헤더의 끝에 나타나는 큰 HTTP 쿠키의 검사를 일반적으로 수행하지 않는다는 점에 유의하십시오.

• 0은 한 세션의 여러 패킷을 포함하여 모든 클라이언트 측 트래픽을 검사하며, 필요 시 바이트 상한을 초과합니다. 이 값이 성능에 영향을 줄 수 있다는 점에 유의하십시오.

• -1은 클라이언트 측 트래픽을 모두 무시합니다.

서버 흐름 수준

Ports(포트)에 지정된 서버 측 HTTP 트래픽의 원시 HTTP 패킷에서 규칙이 검사하는 바이트 수를 지정합니다. Inspect HTTP Responses가 비활성화된 경우 원시 헤더와 페이로드가 검사에 포함되고, Inspect HTTP Response가 활성화된 경우 원시 응답 본문만 검사에 포함됩니다.

서버 흐름 수준은 Ports(포트)에 정의된 서버 측 HTTP 트래픽에서 규칙이 검사하는 세션의 원시 서버 응답 데이터의 바이트 수를 지정합니다. 이 옵션을 사용하여 HTTP 서버 응답 데이터의 조사 수준 및 성능의 균형을 맞출 수 있습니다. 규칙 내 HTTP 콘텐츠 규칙 옵션이 응답 메시지의 특정 부분을 검사할 때 서버 흐름 수준은 적용되지 않습니다.

클라이언트 흐름 수준과 달리, 서버 흐름 수준은 검사하는 규칙에 대해 HTTP 요청 패킷이 아닌 HTTP 응답별로 바이트 수를 지정합니다.

다음 값 중 하나를 지정할 수 있습니다.

• 양수 값:

  Inspect HTTP Responses가 활성화된 경우 원시 HTTP 응답 본문만 검사하고 원시 HTTP 헤더는 검사하지 않습니다. Inspect Compressed Data가 활성화된 경우 압축 해제 데이터도 검사합니다.

  Inspect HTTP Responses가 비활성화된 경우 원시 패킷 헤더 및 페이로드를 검사합니다.

  세션이 지정된 것보다 작은 응답 바이트를 포함하는 경우, 규칙은 주어진 세션의 모든 응답 패킷을 완전히 검사하며, 필요에 따라 여러 패킷에 걸쳐 검사합니다. 세션이 지정된 것보다 많은 응답 바이트를 포함하는 경우, 규칙은 해당 세션에 대해 지정된 수의 바이트만 검사하며, 필요에 따라 여러 패킷에 걸쳐 검사합니다.

  흐름 수준 값이 작으면 Ports(포트)에 정의된 서버 측 트래픽을 대상으로 하는 규칙에서 오탐이 발생할 수 있습니다. 이러한 규칙의 대부분은 비 헤더 데이터의 처음 100바이트 정도에 있을 수 있는 HTTP 헤더 또는 콘텐츠를 대상으로 합니다. 헤더 길이는 일반적으로 300바이트보다 작지만, 헤더 크기는 다양할 수 있습니다.

  또한 지정된 값이 세그먼트 및 리어셈블된 패킷 모두에 적용된다는 점에 유의하십시오.

• 0은 65535바이트가 넘는 세션의 응답 데이터를 포함하여 Ports(포트)에 정의된 모든 HTTP 서버 측 트래픽의 전체 패킷을 검사합니다.

  이 값이 성능에 영향을 줄 수 있다는 점에 유의하십시오.

• -1:

  Inspect HTTP Responses가 활성화된 경우 원시 HTTP 헤더만 검사하고 원시 HTTP 응답 본문은 검사하지 않습니다.

  Inspect HTTP Response(HTTP 응답 검사)가 비활성화된 경우 Ports(포트)에 정의된 모든 서버 측 트래픽을 무시합니다.

최대 헤더 길이

HTTP 요청에서(그리고 Inspect HTTP Responses가 활성화된 경우 HTTP 응답에서) 지정된 최대 바이트 수보다 긴 헤더 필드를 탐지합니다. 0 값은 이 옵션을 비활성화합니다. 활성화하려면 양수 값을 지정합니다.

규칙 119:19 이벤트를 생성하고, 인라인 구축에서 이 옵션에 문제가 되는 패킷을 삭제합니다. 침입 규칙 상태 설정의 내용을 참조하십시오.를 활성화할 수 있습니다.

최대 헤더 수

HTTP 요청에서 헤더 수가 이 설정을 초과하는 경우 이를 탐지합니다. 0 값은 이 옵션을 비활성화합니다. 활성화하려면 양수 값을 지정합니다.

규칙 119:20 이벤트를 생성하고, 인라인 구축에서 이 옵션에 문제가 되는 패킷을 삭제합니다. 침입 규칙 상태 설정의 내용을 참조하십시오.를 활성화할 수 있습니다.

최대 스페이스 수

접혀진 회선에서 공백의 수가 HTTP 요청에서 이 설정과 동일하거나 초과하는 경우 이를 탐지합니다. 0 값은 이 옵션을 비활성화합니다. 활성화하려면 양수 값을 지정합니다.

규칙 119:26 이벤트를 생성하고, 인라인 구축에서 이 옵션에 문제가 되는 패킷을 삭제합니다. 침입 규칙 상태 설정의 내용을 참조하십시오.를 활성화할 수 있습니다.

HTTP 클라이언트 본문 추출 수준

HTTP 클라이언트 요청의 메시지 본문에서 추출할 바이트 수를 지정합니다. 침입 규칙을 사용하여 content 또는 protected_content 키워드 HTTP Client Body(HTTP 클라이언트 본문) 옵션을 선택하여 추출된 데이터를 검사할 수 있습니다.

클라이언트 본문을 무시하려면 -1을 지정합니다. 전체 클라이언트 본문을 추출하려면 0을 지정합니다. 추출할 특정 바이트를 확인하면 시스템 성능을 개선할 수 있다는 점에 유의하십시오. HTTP Client Body(HTTP 클라이언트 본문) 옵션이 침입 규칙에서 작동하려면 0보다 크거나 같은 값을 지정해야 합니다.

소규모 청크 크기

하나의 청크가 작은 것으로 고려되는 최대 바이트 수를 지정합니다. 양수 값을 지정합니다. 0 값은 이상 징후를 보이는 연속된 소규모 세그먼트의 탐지를 비활성화합니다. 자세한 내용은 Consecutive Small Chunks(연속된 소규모 청크) 옵션을 참고하십시오.

연속된 소규모 청크

얼마나 많은 연속된 작은 청크가 청크화된 이동 인코딩을 사용하는 클라이언트 또는 서버 트래픽에서 비정상적으로 큰 수를 나타내는지 지정합니다. Small Chunk Size(소규모 청크 크기) 옵션은 작은 청크의 최대 크기를 지정합니다.

예를 들어, Small Chunk Size(소규모 청크 크기)를 10으로 설정하고 Consecutive Small Chunks(연속된 소규모 청크)를 5로 설정하여 10바이트 이하의 연속된 5개의 청크를 탐지합니다.

전처리기 규칙 119:27을 활성화하여 클라이언트 트래픽의 과도한 소규모 청크에서 이벤트를 생성하고, 인라인 구축에서 문제가 되는 패킷을 삭제합니다.할 수 있고, 전처리기 규칙 120:7을 활성화하여 서버 트래픽의 과도한 소규모 청크에서 이벤트를 트리거할 수 있습니다. Small Chunk Size(소규모 청크 크기)가 활성화되고 이 옵션이 0 또는 1에 설정될 때, 이 규칙을 활성화하면 지정된 크기 또는 그보다 작은 모든 청크에서 이벤트가 트리거됩니다.

HTTP 메서드

시스템의 트래픽에 발생할 것으로 예상되는 GET 및 POST 외에 HTTP 요청 메서드를 지정합니다. 여러 개의 값을 구분하려면 쉼표를 사용하십시오.

침입 규칙은 HTTP 메서드에서 내용을 검색하기 위해 content 또는 protected_content 키워드와 HTTP Method 인수를 사용합니다. 규칙 119:31을 활성화하여 GET 및 POST 이외의 메서드 또는 이 옵션에 구성된 메서드가 트래픽에 발생할 경우 이벤트를 생성하고, 인라인 구축에서 문제가 되는 패킷을 삭제합니다.할 수 있습니다. 침입 규칙 상태 설정의 내용을 참조하십시오.

경고 없음

동반되는 전처리기 규칙이 활성화된 경우 침입 이벤트를 비활성화합니다.

참고	이 옵션은 HTTP 표준 텍스트 규칙 및 공유 개체 규칙을 비활성화하지 않습니다.

HTTP 헤더 표준화

Inspect HTTP Responses(HTTP 응답 검사)가 활성화된 경우 요청 및 응답 헤더에서 비쿠키 데이터의 표준화를 활성화합니다. Inspect HTTP Responses가 활성화되지 않은 경우 요청 및 응답 헤더에서 쿠키를 비롯한 전체 HTTP 헤더의 표준화를 활성화합니다.

HTTP 쿠키 검사

HTTP 요청 헤더에서 쿠키 추출을 활성화합니다. 또한 Inspect HTTP Responses(HTTP 응답 검사)가 활성화된 경우 응답 헤더에서 set‑cookie 데이터 추출을 활성화합니다. 쿠키 추출이 필요하지 않은 경우 이 옵션을 비활성화하면 성능을 높일 수 있습니다.

Cookie: 및 Set-Cookie: 헤더 이름, 헤더 행의 주요 스페이스, 그리고 헤더 행을 종료하는 CRLF는 헤더의 일부로 검사되지만 쿠키의 일부로는 검사되지 않는다는 점에 유의하십시오.

HTTP 헤더 내 쿠키 표준화

HTTP 요청 헤더에서 쿠키의 표준화를 활성화합니다. Inspect HTTP Responses(HTTP 응답 검사)가 활성화된 경우 응답 헤더에서 set‑cookie 데이터의 표준화도 활성화합니다. 이 옵션을 선택하기 전에 Inspect HTTP Cookies(HTTP 쿠키 검사)를 선택해야 합니다.

HTTP 프록시 사용 허용

모니터링된 웹 서버가 HTTP 프록시로 사용되는 것을 허용합니다. 이 옵션은 HTTP 요청 검사에서만 사용됩니다.

URI만 검사

표준화된 HTTP 요청 패킷의 URI 부분만 검사합니다.

HTTP 응답 검사

HTTP 요청 메시지를 디코딩하고 표준화하는 것 외에도 HTTP 응답의 확장된 검사를 활성화하여 전처리기가 규칙 엔진에 의한 검사를 위해 응답 필드를 추출하도록 합니다. 이 옵션을 활성화하면 시스템이 응답 헤더, 본문, 상태 코드 등을 추출하며 Inspect HTTP Cookies(HTTP 쿠키 검사)가 활성화된 경우 set‑cookie 데이터도 추출합니다.

다음과 같이 규칙 120:2 및 120:3을 활성화하여 이벤트를 생성하고, 인라인 구축에서 문제가 되는 패킷을 삭제합니다.할 수 있습니다.

UTF 인코딩을 UTF-8로 표준화

Inspect HTTP Responses(HTTP 응답 검사)가 활성화된 경우 HTTP 응답에서 UTF‑16LE, UTF‑16BE, UTF‑32LE 및 UTF32-BE 인코딩을 탐지하여 UTF‑8로 표준화합니다.

UTF 표준화가 실패할 경우, 규칙 120:4를 활성화하여 이벤트를 생성하고, 인라인 구축에서 문제가 되는 패킷을 삭제합니다.할 수 있습니다.

압축 데이터 검사

Inspect HTTP Responses(HTTP 응답 검사)가 활성화된 경우 HTTP 응답 본문에 있는 gzip 및 deflate 호환 압축 데이터의 압축 해제 및 표준화된 압축 해제 데이터의 검사를 활성화합니다. 시스템은 청크 및 비 청크 HTTP 응답 데이터를 검사합니다. 시스템은 필요에 따라 여러 패킷에 걸쳐 패킷 별로 압축 해제된 데이터 패킷을 검사합니다. 즉 시스템이 검사를 위해 서로 다른 패킷의 압축 해제된 데이터를 결합하지 않습니다. Maximum Compressed Data Depth(압축 데이터 최대 수준), Maximum Decompressed Data Depth(압축 해제된 데이터 최대 수준) 또는 압축 해제된 데이터의 끝부분에 도달하면 압축 해제가 종료됩니다. Unlimited Decompression(무제한 압축 해제)을 선택하지 않은 경우 Server Flow Depth(서버 흐름 수준)에 도달하면 압축 해제된 데이터의 검사가 종료됩니다. file_data 규칙 키워드를 사용하여 압축 해제된 데이터를 검사할 수 있습니다.

다음과 같이 규칙 120:6 및 120:24를 활성화하여 이벤트를 생성하고, 인라인 구축에서 문제가 되는 패킷을 삭제합니다.할 수 있습니다.

무제한 압축 해제

Inspect Compressed Data(그리고 선택적으로 Decompress SWF File(LZMA), Decompress SWF File(Deflate) 또는 Decompress PDF File(Deflate))가 활성화된 경우 여러 패킷에서 Maximum Decompressed Data Depth를 재정의합니다. 즉, 이 옵션은 여러 패킷에서 무제한 압축 해제를 활성화합니다. 이 옵션을 활성화해도 단일 패킷 내 Maximum Compressed Data Depth(압축 데이터 최대 수준) 또는 Maximum Decompressed Data Depth(압축 해제된 데이터 최대 수준)에 영향을 주지 않는다는 점에 유의하십시오. 또한 이 옵션을 활성화하는 경우 변경을 커밋하면 Maximum Compressed Data Depth(압축 데이터 최대 수준) 및 Maximum Decompressed Data Depth(압축 해제된 데이터 최대 수준)를 65535로 설정한다는 점에 유의하십시오.

JavaScript 표준화

Inspect HTTP Responses가 활성화된 경우 HTTP 응답 본문 내에서 Javascript의 탐지 및 표준화를 활성화합니다. 전처리기는 unescape 및 decodeURI 함수 및 String.fromCharCode 메서드와 같이 난독 처리된 JavaScript 데이터를 표준화합니다. 전처리기는 unescape, decodeURI 및 decodeURIComponent 함수에서 다음 인코딩을 표준화합니다.

• %XX

• %uXXXX

• 0xXX

• \xXX

• \uXXXX

전처리기는 연속적인 여백을 탐지하고 이를 단일 스페이스로 표준화합니다. 이 옵션을 활성화할 경우, 구성 필드를 사용하여 사용자가 난독 처리된 JavaScript 데이터에서 허용할 연속적인 여백의 최대 수를 지정할 수 있습니다. 1에서 65535까지의 값을 입력할 수 있습니다. 이 필드와 연결된 전처리기 규칙(120:10)이 활성화되는지 여부에 관계없이 0 값은 이벤트 생성을 비활성화합니다.

전처리기는 또한 JavaScript의 더하기(+) 연산자를 표준화하고 연산자를 사용하여 문자열을 연결합니다.

file_data 침입 규칙 키워드를 사용하여 침입 규칙이 표준화된 JavaScript 데이터를 가리키도록 할 수 있습니다.

다음과 같이 규칙 120:9, 120:10, 120:11을 활성화하여 이벤트를 생성하고, 인라인 구축에서 문제가 되는 패킷을 삭제합니다.할 수 있습니다.

SWF 파일 압축 해제(LZMA) 및 SWF 파일 압축 해제(Deflate)

HTTP Inspect Responses(HTTP 응답 검사)가 활성화된 경우 이러한 옵션은 HTTP 요청의 HTTP 응답 본문 내에 있는 파일의 압축된 부분을 압축 해제합니다.

참고	HTTP GET 응답에서 찾은 파일의 압축된 부분만 압축 해제할 수 있습니다.

• Decompress SWF File(LZMA)(SWF 파일 압축 해제, LZMA)은 Adobe ShockWave Flash(.swf) 파일의 LZMA 호환 가능 압축된 부분을 압축 해제합니다.

• Decompress SWF File(SWF 파일 압축 해제, Deflate)은 Adobe ShockWave Flash(.swf) 파일의 deflate 호환 가능 압축된 부분을 압축 해제합니다.

Maximum Compressed Data Depth(압축 데이터 최대 수준), Maximum Decompressed Data Depth(압축 해제된 데이터 최대 수준) 또는 압축 해제된 데이터의 끝부분에 도달하면 압축 해제가 종료됩니다. Unlimited Decompression(무제한 압축 해제)을 선택하지 않은 경우 Server Flow Depth(서버 흐름 수준)에 도달하면 압축 해제된 데이터의 검사가 종료됩니다. file_data 침입 규칙 키워드를 사용하여 압축 해제된 데이터를 검사할 수 있습니다.

다음과 같이 규칙 120:12 및 120:13을 활성화하여 이벤트를 생성하고, 인라인 구축에서 문제가 되는 패킷을 삭제합니다.할 수 있습니다.

PDF 파일 압축 해제(Deflate)

HTTP Inspect Responses(HTTP 응답 검사)가 활성화된 경우, Decompress PDF File(Deflate)(PDF 파일 압축 해제, Deflate)은HTTP 요청의 HTTP 응답 본문 내에 있는 Portable Document Format(.pdf) 파일의 deflate 호환 가능 압축된 부분을 압축 해제합니다. 시스템은 /FlateDecode 스트림 필터를 사용하는 PDF 파일의 압축만 해제할 수 있습니다. 다른 스트림 필터(/FlateDecode /FlateDecode 포함)는 지원되지 않습니다.

참고	HTTP GET 응답에서 찾은 파일의 압축된 부분만 압축 해제할 수 있습니다.

Maximum Compressed Data Depth(압축 데이터 최대 수준), Maximum Decompressed Data Depth(압축 해제된 데이터 최대 수준) 또는 압축 해제된 데이터의 끝부분에 도달하면 압축 해제가 종료됩니다. Unlimited Decompression(무제한 압축 해제)을 선택하지 않은 경우 Server Flow Depth(서버 흐름 수준)에 도달하면 압축 해제된 데이터의 검사가 종료됩니다. file_data 침입 규칙 키워드를 사용하여 압축 해제된 데이터를 검사할 수 있습니다.

다음과 같이 규칙 120:14, 120:15, 120:16, 120:17을 활성화하여 이벤트를 생성하고, 인라인 구축에서 문제가 되는 패킷을 삭제합니다.할 수 있습니다.

원래 클라이언트 IP 주소 추출

침입 검사 중에 원래 클라이언트 IP 주소 검사를 활성화합니다. 시스템은 XFF(X-Forwarded-For), True-Client-IP 또는 XFF Header Priority(XFF 헤더 우선 순위) 옵션에 정의하는 맞춤형 HTTP 헤더에서 원래 클라이언트 IP 주소를 추출합니다. 추출된 원래 클라이언트 IP 주소를 침입 이벤트 테이블에서 확인할 수 있습니다.

규칙 119:23, 119:29, 119:30 이벤트를 생성하고, 인라인 구축에서 이 옵션에 문제가 되는 패킷을 삭제합니다. 침입 규칙 상태 설정의 내용을 참조하십시오.을 활성화할 수 있습니다.

XFF 헤더 우선 순위

URI 로그

HTTP 요청 패킷의 원시 URI 추출(있는 경우)을 활성화하고 세션에 대해 생성된 모든 침입 이벤트와 해당 URI를 연결합니다.

이 옵션을 활성화할 경우, 침입 이벤트 표 보기의 HTTP URI 열에서 추출한 URI의 첫 50자를 표시할 수 있습니다. 패킷 보기에서 전체 URI를 최대 2048바이트까지 표시할 수 있습니다.

호스트 이름 로그

HTTP 요청 호스트 헤더의 호스트 이름 추출(있는 경우)을 활성화하고 세션에 대해 생성된 모든 침입 이벤트와 해당 호스트 이름을 연결합니다. 여러 호스트 헤더가 있을 경우, 첫 번째 헤더에서 호스트 이름을 추출합니다.

이 옵션을 활성화할 경우, 침입 이벤트 표 보기의 HTTP Hostname(호스트 이름) 열에서 추출한 호스트 이름의 첫 50자를 표시할 수 있습니다. 패킷 보기에서 전체 호스트 이름을 최대 2048바이트까지 표시할 수 있습니다.

규칙 119:25를 활성화할 수 있습니다. 이벤트를 생성하고, 인라인 구축에서 이 옵션에 문제가 되는 패킷을 삭제합니다. 침입 규칙 상태 설정의 내용을 참조하십시오.

활성화된 119:24는 이 옵션의 설정에 상관없이 HTTP 요청에서 여러 호스트 헤더를 탐지하는 경우, 트리거됩니다.

프로파일

HTTP 트래픽에 표준화된 인코딩 유형을 지정합니다. 시스템은 대부분의 서버에 적절한 기본 프로파일, Apache 서버 및 IIS 서버의 기본 프로파일, 모니터링되는 트래픽의 요구 사항에 맞게 조정할 수 있는 맞춤형 기본 설정을 제공합니다.

• 모든 서버에 대해 적절한 표준 기본 프로파일을 사용하려면 All(모두)을 선택합니다.

• 시스템 제공 IIS 프로파일을 사용하려면 IIS를 선택합니다.

• 시스템 제공 Apache 프로파일을 사용하려면 Apache를 선택합니다.

• 자체 서버 프로파일을 생성하려면 Custom(맞춤형)을 선택합니다.

다음 표의 Preprocessor Rule GID:SID(전처리기 규칙 GID:SID) 열에서 규칙을 활성화하여 특정 구성 옵션과 관련이 없는 HTTP Inspect(HTTP 검사) 전처리기 규칙에 대한 이벤트를 생성할 수 있습니다.

포트

트래픽을 표준화할 포트를 지정합니다. 인터페이스에서, 쉼표로 구분하여 여러 개의 포트를 나열합니다. 일반적인 RPC 포트는 111 및 32771입니다. 네트워크가 다른 포트에 RPC 트래픽을 전송할 경우 이들의 추가를 고려하십시오.

조각화된 RPC 레코드 탐지

조각화된 RPC 레코드를 탐지합니다.

규칙 106:1 및 106:5를 활성화할 수 있습니다. 이벤트를 생성하고, 인라인 구축에서 이 옵션에 문제가 되는 패킷을 삭제합니다. 침입 규칙 상태 설정의 내용을 참조하십시오.

1개의 패킷에서 여러 레코드 탐지

패킷(또는 리어셈블된 패킷)당 1개 이상의 RPC 요청을 탐지합니다.

규칙 106:2를 활성화할 수 있습니다. 이벤트를 생성하고, 인라인 구축에서 이 옵션에 문제가 되는 패킷을 삭제합니다. 침입 규칙 상태 설정의 내용을 참조하십시오.

단일 조각을 초과하는 조각화된 레코드 총합 탐지

현재 패킷 길이를 초과하는 리어셈블된 조각 레코드 길이를 탐지합니다.

규칙 106:3을 활성화할 수 있습니다. 이벤트를 생성하고, 인라인 구축에서 이 옵션에 문제가 되는 패킷을 삭제합니다. 침입 규칙 상태 설정의 내용을 참조하십시오.

1개의 패킷 크기를 초과하는 단일 조각 레코드 탐지

일부 레코드를 탐지합니다.

규칙 106:4를 활성화할 수 있습니다. 이벤트를 생성하고, 인라인 구축에서 이 옵션에 문제가 되는 패킷을 삭제합니다. 침입 규칙 상태 설정의 내용을 참조하십시오.

다음 옵션의 경우, 1부터 65535바이트까지의 양수 값을 지정하거나 0을 지정해 연결된 규칙의 활성화 여부에 상관없이 옵션에서 이벤트 생성을 비활성화할 수 있습니다.

• 요청 URI 최대 길이

• 통화 ID 최대 길이

• 요청 이름 최대 길이

• 발신지 최대 길이

• 수신지 최대 길이

• 경유지 최대 길이

• 접촉 최대 길이

• 콘텐츠 최대 길이

어떤 전처리기 규칙도 다음 설명에 언급되지 않은 경우, 이 옵션은 전처리기 규칙과 연결되지 않습니다.

포트

SIP 트래픽을 위해 검사할 포트를 지정합니다. 0부터 65535까지의 정수를 지정할 수 있습니다. 포트 번호가 여러 개인 경우 쉼표로 구분하십시오.

점검할 메서드

탐지할 SIP 메서드를 지정합니다. 다음 중 하나로 현재 정의된 SIP 메서드를 지정할 수 있습니다.

	ack, benotify, bye, cancel, do, info, invite, join, message,
	notify, options, prack, publish, quath, refer, register,
	service, sprack, subscribe, unsubscribe, update

메서드는 대소문자를 구분하지 않습니다. 메서드 이름은 알파벳 문자, 숫자 및 밑줄 문자를 포함할 수 있습니다. 다른 특수 문자는 허용되지 않습니다. 메서드가 여러 개인 경우 쉼표로 구분하십시오.

향후 새 SIP 메서드가 정의될 수도 있기 때문에, 사용자의 구성은 현재 정의되지 않은 영문자열을 포함할 수 있습니다. 시스템은 최대 32개의 메서드까지 지원하는데, 최근 정의된 메서드 21개에 메서드 11개를 추가한 것입니다. 시스템은 사용자가 구성할 수 있는 정의되지 않은 모든 메서드를 무시합니다.

이 옵션에 지정한 메서드 외에도 총 32개의 메서드에는 침입 규칙에서 sip_method 키워드를 사용하여 지정된 메서드가 포함된다는 점에 유의하십시오.

세션 내 최대 대화 상자

스트림 세션 내에서 허용되는 최대 대화 상자 수를 지정합니다. 이 숫자보다 많은 대화 상자가 생성되는 경우 대화 상자 수가 지정된 최대 수를 초과하지 않을 때까지 가장 오래된 대화 상자부터 삭제됩니다. 1에서 4194303까지의 정수를 지정할 수 있습니다.

규칙 140:27을 활성화할 수 있습니다. 이벤트를 생성하고, 인라인 구축에서 이 옵션에 문제가 되는 패킷을 삭제합니다. 침입 규칙 상태 설정의 내용을 참조하십시오.

요청 URI 최대 길이

Request‑URI 헤더 필드에서 허용할 최대 바이트 수를 지정합니다. 규칙 140:3이 활성화된 경우 더 긴 URI가 이벤트를 생성하고, 인라인 구축에서 문제가 되는 패킷을 삭제합니다.합니다. 요청 URI 필드는 요청에 대한 대상 경로 또는 페이지를 나타냅니다.

통화 ID 최대 길이

요청 또는 응답 Call‑ID 헤더 필드에서 허용할 최대 바이트 수를 지정합니다. 규칙 140:5가 활성화된 경우 더 긴 Call‑ID가 이벤트를 생성하고, 인라인 구축에서 문제가 되는 패킷을 삭제합니다.합니다. Call-ID 필드는 요청 및 응답에서 SIP 세션을 고유하게 식별합니다.

요청 이름 최대 길이

CSeq 트랜잭션 식별자에 지정된 메서드의 이름인 요청 이름에서 허용할 최대 바이트 수를 지정합니다. 규칙 140:7이 활성화된 경우 더 긴 요청 이름이 이벤트를 생성하고, 인라인 구축에서 문제가 되는 패킷을 삭제합니다.합니다.

발신지 최대 길이

요청 또는 응답 From 헤더 필드에서 허용할 최대 바이트 수를 지정합니다. 규칙 140:9가 활성화된 경우 더 긴 From 필드에서 이벤트를 생성하고, 인라인 구축에서 문제가 되는 패킷을 삭제합니다.합니다. From 필드는 메시지 초기자를 식별합니다.

수신지 최대 길이

요청 또는 응답 To 헤더 필드에서 허용할 최대 바이트 수를 지정합니다. 규칙 140:11이 활성화된 경우 더 긴 To 필드에서 이벤트를 생성하고, 인라인 구축에서 문제가 되는 패킷을 삭제합니다.합니다. To 필드는 메시지 수신자를 식별합니다.

경유지 최대 길이

요청 또는 응답 Via 헤더 필드에서 허용할 최대 바이트 수를 지정합니다. 규칙 140:13이 활성화된 경우 더 긴 Via 필드가 이벤트를 생성하고, 인라인 구축에서 문제가 되는 패킷을 삭제합니다.합니다. Via 필드는 요청이 뒤따르는 경로를 제공하며, 응답에서는 수신 정보를 제공합니다.

접촉 최대 길이

요청 또는 응답 Contact 헤더 필드에서 허용할 최대 바이트 수를 지정합니다. 규칙 140:15가 활성화된 경우 더 긴 Contact 필드에서 이벤트를 생성하고, 인라인 구축에서 문제가 되는 패킷을 삭제합니다.합니다. Contact 필드는 이후의 메시지와 접촉할 위치를 지정하는 URI를 제공합니다.

콘텐츠 최대 길이

요청 또는 응답 메시지 본문의 콘텐츠에서 허용할 최대 바이트 수를 지정합니다. 규칙 140:16이 활성화된 경우 더 긴 콘텐츠가 이벤트를 생성하고, 인라인 구축에서 문제가 되는 패킷을 삭제합니다.합니다.

오디오/비디오 데이터 채널 무시

데이터 채널 트래픽에 대한 검사를 활성화 및 비활성화합니다. 이 옵션을 활성화하면 전처리기는 비 데이터 채널 SIP 트래픽에 대한 검사를 계속합니다.

다음 표의 SIP 전처리기 규칙은 특정 구성 옵션과 관련이 없습니다. 다른 SIP 전처리기 규칙에서와 마찬가지로 이벤트를 생성하고, 인라인 구축에서 문제가 되는 패킷을 삭제합니다.하고 싶다면 이러한 규칙을 활성화해야 합니다.

GTP 전처리기 규칙이 이벤트를 생성하고, 인라인 구축에서 문제가 되는 패킷을 삭제합니다.하게 하려면 다음 표에서 해당 규칙을 활성화해야 합니다.

MIME 이메일 첨부 파일에 디코딩이 필요하지 않은 경우 디코딩 또는 추출에는 여러 첨부 파일(있는 경우) 및 여러 패킷을 포괄하는 큰 첨부 파일이 포함된다는 점에 유의하십시오.

또한 다음 상황에서 Base64 Decoding Depth(Base64 디코딩 수준), 7-Bit/8-Bit/Binary Decoding Depth(7비트/8비트/이진 디코딩 수준), Quoted-Printable Decoding Depth(따옴표로 묶인 인쇄 가능한 디코딩 수준) 또는 Unix-to-Unix Decoding Depth(Unix-to-Unix 디코딩 수준) 옵션의 값이 서로 다를 때 가장 높은 값이 사용된다는 점에 유의하십시오.

• 기본 네트워크 분석 정책

• 동일한 액세스 제어 정책의 네트워크 분석 규칙에서 호출된 기타 사용자 지정 네트워크 분석 정책

어떤 전처리기 규칙도 다음 설명에 언급되지 않은 경우, 이 옵션은 전처리기 규칙과 연결되지 않습니다.

포트

IMAP 트래픽을 검사할 포트를 지정합니다. 0부터 65535까지의 정수를 지정할 수 있습니다. 포트 번호가 여러 개인 경우 쉼표로 구분하십시오.

Base64 디코딩 수준

Base64로 인코딩된 각 MIME 이메일 첨부 파일에서 추출하고 디코딩할 최대 바이트 수를 지정합니다. 양수를 지정할 수 있으며, 0을 지정하여 모든 Base64 데이터를 디코딩할 수도 있습니다. Base64 데이터를 무시하려면 -1을 지정합니다.

4로 나누어지지 않는 양수는 다음 4의 배수로 올림 처리된다는 점에 유의하십시오. 이때 65533, 65534, 및 65535 값은 제외되는데, 이들은 65532로 내림 처리됩니다.

이 옵션이 활성화된 경우, 규칙 141:4를 활성화하여 디코딩이 실패할 경우 이벤트를 생성하고, 인라인 구축에서 문제가 되는 패킷을 삭제합니다.할 수 있습니다. 예를 들어 유효하지 않은 인코딩 또는 손상된 데이터로 인해 디코딩이 실패할 수 있습니다.

7비트/8비트/이진 디코딩 수준

디코딩이 필요하지 않은 각 MIME 이메일 첨부 파일에서 추출할 데이터의 최대 바이트를 지정합니다. 이 첨부 파일 형식에는 평문, jpeg 이미지, mp3 파일 등과 같이 7비트, 8비트, 이진 및 다양한 다중 부분 콘텐츠 형식 등이 있습니다. 양수 값을 지정할 수 있으며, 0을 지정하여 패킷의 모든 데이터를 추출할 수도 있습니다. 디코딩되지 않은 데이터를 무시하려면 -1을 지정합니다.

이 옵션이 활성화된 경우, 규칙 141:6을 활성화하여 추출이 실패할 경우 이벤트를 생성하고, 인라인 구축에서 문제가 되는 패킷을 삭제합니다.할 수 있습니다. 예를 들어 손상된 데이터로 인해 추출이 실패할 수 있습니다.

따옴표로 묶인 인쇄 가능한 디코딩 수준

QP(Quoted‑Printable)로 인코딩된 각 MIME 이메일 첨부 파일에서 추출 및 디코딩할 최대 바이트 수를 지정합니다. 양수를 지정할 수 있으며, 0을 지정하여 패킷의 모든 QP 인코딩 데이터를 디코딩할 수도 있습니다. QP로 인코딩된 데이터를 무시하려면 -1을 지정합니다.

이 옵션이 활성화된 경우, 규칙 141:5를 활성화하여 디코딩이 실패할 경우 이벤트를 생성하고, 인라인 구축에서 문제가 되는 패킷을 삭제합니다.할 수 있습니다. 예를 들어 유효하지 않은 인코딩 또는 손상된 데이터로 인해 디코딩이 실패할 수 있습니다.

Unix‑to‑Unix 디코딩 수준

Unix‑to‑Unix로 인코딩된(uuencoded) 각 이메일 첨부 파일에서 추출 및 디코딩할 최대 바이트 수를 지정합니다. 양수를 지정할 수 있으며, 0을 지정하여 패킷의 모든 비인코딩 데이터를 디코딩할 수도 있습니다. uuencoded 데이터를 무시하려면 -1을 지정합니다.

이 옵션이 활성화된 경우, 규칙 141:7을 활성화하여 디코딩이 실패할 경우 이벤트를 생성하고, 인라인 구축에서 문제가 되는 패킷을 삭제합니다.할 수 있습니다. 예를 들어 유효하지 않은 인코딩 또는 손상된 데이터로 인해 디코딩이 실패할 수 있습니다.

다음 표의 IMAP 전처리기 규칙은 특정 구성 옵션과 관련이 없습니다. 다른 IMAP 전처리기 규칙에서와 마찬가지로 이벤트를 생성하고, 인라인 구축에서 문제가 되는 패킷을 삭제합니다.하고 싶다면 이러한 규칙을 활성화해야 합니다.

MIME 이메일 첨부 파일에 디코딩이 필요하지 않은 경우 디코딩 또는 추출에는 여러 첨부 파일(있는 경우) 및 여러 패킷을 포괄하는 큰 첨부 파일이 포함된다는 점에 유의하십시오.

또한 다음 상황에서 Base64 Decoding Depth(Base64 디코딩 수준), 7-Bit/8-Bit/Binary Decoding Depth(7비트/8비트/이진 디코딩 수준), Quoted-Printable Decoding Depth(따옴표로 묶인 인쇄 가능한 디코딩 수준) 또는 Unix-to-Unix Decoding Depth(Unix-to-Unix 디코딩 수준) 옵션의 값이 서로 다를 때 가장 높은 값이 사용된다는 점에 유의하십시오.

• 기본 네트워크 분석 정책

• 동일한 액세스 제어 정책의 네트워크 분석 규칙에서 호출된 기타 사용자 지정 네트워크 분석 정책

어떤 전처리기 규칙도 다음 설명에 언급되지 않은 경우, 이 옵션은 전처리기 규칙과 연결되지 않습니다.

포트

POP 트래픽을 검사할 포트를 지정합니다. 0부터 65535까지의 정수를 지정할 수 있습니다. 포트 번호가 여러 개인 경우 쉼표로 구분하십시오.

Base64 디코딩 수준

Base64로 인코딩된 각 MIME 이메일 첨부 파일에서 추출하고 디코딩할 최대 바이트 수를 지정합니다. 양수를 지정할 수 있으며, 0을 지정하여 모든 Base64 데이터를 디코딩할 수도 있습니다. Base64 데이터를 무시하려면 -1을 지정합니다.

4로 나누어지지 않는 양수는 다음 4의 배수로 올림 처리된다는 점에 유의하십시오. 이때 65533, 65534, 및 65535 값은 제외되는데, 이들은 65532로 내림 처리됩니다.

이 옵션이 활성화된 경우, 규칙 142:4를 활성화하여 디코딩이 실패할 경우 이벤트를 생성하고, 인라인 구축에서 문제가 되는 패킷을 삭제합니다.할 수 있습니다. 예를 들어 유효하지 않은 인코딩 또는 손상된 데이터로 인해 디코딩이 실패할 수 있습니다.

7비트/8비트/이진 디코딩 수준

디코딩이 필요하지 않은 각 MIME 이메일 첨부 파일에서 추출할 데이터의 최대 바이트를 지정합니다. 이 첨부 파일 형식에는 평문, jpeg 이미지, mp3 파일 등과 같이 7비트, 8비트, 이진 및 다양한 다중 부분 콘텐츠 형식 등이 있습니다. 양수 값을 지정할 수 있으며, 0을 지정하여 패킷의 모든 데이터를 추출할 수도 있습니다. 디코딩되지 않은 데이터를 무시하려면 -1을 지정합니다.

이 옵션이 활성화된 경우, 규칙 142:6을 활성화하여 추출이 실패할 경우 이벤트를 생성하고, 인라인 구축에서 문제가 되는 패킷을 삭제합니다.할 수 있습니다. 예를 들어 손상된 데이터로 인해 추출이 실패할 수 있습니다.

따옴표로 묶인 인쇄 가능한 디코딩 수준

QP(Quoted‑Printable)로 인코딩된 각 MIME 이메일 첨부 파일에서 추출 및 디코딩할 최대 바이트 수를 지정합니다. 양수를 지정할 수 있으며, 0을 지정하여 패킷의 모든 QP 인코딩 데이터를 디코딩할 수도 있습니다. QP로 인코딩된 데이터를 무시하려면 -1을 지정합니다.

이 옵션이 활성화된 경우, 규칙 142:5를 활성화하여 디코딩이 실패할 경우 이벤트를 생성하고, 인라인 구축에서 문제가 되는 패킷을 삭제합니다.할 수 있습니다. 예를 들어 유효하지 않은 인코딩 또는 손상된 데이터로 인해 디코딩이 실패할 수 있습니다.

Unix‑to‑Unix 디코딩 수준

Unix‑to‑Unix로 인코딩된(uuencoded) 각 이메일 첨부 파일에서 추출 및 디코딩할 최대 바이트 수를 지정합니다. 양수를 지정할 수 있으며, 0을 지정하여 패킷의 모든 비인코딩 데이터를 디코딩할 수도 있습니다. uuencoded 데이터를 무시하려면 -1을 지정합니다.

이 옵션이 활성화된 경우, 규칙 142:7을 활성화하여 디코딩이 실패할 경우 이벤트를 생성하고, 인라인 구축에서 문제가 되는 패킷을 삭제합니다.할 수 있습니다. 예를 들어 유효하지 않은 인코딩 또는 손상된 데이터로 인해 디코딩이 실패할 수 있습니다.

다음 표의 POP 전처리기 규칙은 특정 구성 옵션과 관련이 없습니다. 다른 POP 전처리기 규칙에서와 마찬가지로 이벤트를 생성하고, 인라인 구축에서 문제가 되는 패킷을 삭제합니다.하고 싶다면 이러한 규칙을 활성화해야 합니다.

표준화를 활성화하거나 비활성화하고, SMTP 디코더가 탐지하는 변칙 트래픽 유형을 제어하는 옵션을 구성할 수 있습니다.

MIME 이메일 첨부 파일에 디코딩이 필요하지 않은 경우 디코딩 또는 추출에는 여러 첨부 파일(있는 경우) 및 여러 패킷을 포괄하는 큰 첨부 파일이 포함된다는 점에 유의하십시오.

또한 다음 상황에서 Base64 Decoding Depth(Base64 디코딩 수준), 7-Bit/8-Bit/Binary Decoding Depth(7비트/8비트/이진 디코딩 수준), Quoted-Printable Decoding Depth(따옴표로 묶인 인쇄 가능한 디코딩 수준) 또는 Unix-to-Unix Decoding Depth(Unix-to-Unix 디코딩 수준) 옵션의 값이 서로 다를 때 가장 높은 값이 사용된다는 점에 유의하십시오.

• 기본 네트워크 분석 정책

• 동일한 액세스 제어 정책의 네트워크 분석 규칙에서 호출된 기타 사용자 지정 네트워크 분석 정책

어떤 전처리기 규칙도 다음 설명에 언급되지 않은 경우, 이 옵션은 전처리기 규칙과 연결되지 않습니다.

포트

SMTP 트래픽을 표준화할 포트를 지정합니다. 0 이상의 값을 지정할 수 있습니다. 포트가 여러 개인 경우 쉼표로 구분하십시오.

상태 저장 검사

이를 선택하면, SMTP 디코더가 상태를 저장하고 개별 패킷을 위한 세션 컨텍스트를 제공하며, 리어셈블한 세션만 검사할 수 있습니다. 이를 취소하면, 세션 컨텍스트 없이 각 개별 패킷을 분석합니다.

표준화

All(모두)로 설정된 경우, 모든 명령을 표준화합니다. 명령 다음에 나오는 하나 이상의 공백 문자를 확인합니다.

None(없음)으로 설정된 경우, 어떤 명령도 표준화하지 않습니다.

Cmds로 설정된 경우, Custom Commands(맞춤형 명령)에 나열된 명령을 표준화합니다.

사용자 지정 명령

Normalize(표준화)가 Cmds로 설정된 경우, 나열된 명령을 표준화합니다.

텍스트 상자에서 표준화되어야 하는 명령을 지정합니다. 명령 다음에 나오는 하나 이상의 공백 문자를 확인합니다.

스페이스(ASCII 0x20) 및 탭(ASCII 0x09) 문자는 표준화를 위한 공백 문자로 간주됩니다.

데이터 무시

메일 데이터를 처리하지 않습니다. MIME 메일 헤더 데이터만 처리합니다.

TLS 데이터 무시

Transport Layer Security(전송 레이어 보안) 프로토콜의 암호화된 데이터를 처리하지 않습니다.

경고 없음

동반되는 전처리기 규칙이 활성화된 경우 침입 이벤트를 비활성화합니다.

알 수 없는 명령 탐지

SMTP 트래픽에서 알 수 없는 명령을 탐지합니다.

규칙 124:5를 활성화하여 이 옵션에 대한 이벤트를 생성하고, 인라인 구축에서 문제가 되는 패킷을 삭제합니다.할 수 있습니다.

명령줄 최대 길이

SMTP 명령줄이 이 값보다 길 경우 이를 탐지합니다. 명령줄 길이를 탐지하지 않으려면 0을 지정합니다.

간단한 메일 전송 프로토콜의 네트워크 작업 그룹 사양인 RFC 2821은 명령줄 최대 길이로 512를 권장합니다.

규칙 124:1을 활성화하여 이 옵션에 대한 이벤트를 생성하고, 인라인 구축에서 문제가 되는 패킷을 삭제합니다.할 수 있습니다.

헤더 행 최대 길이

SMTP 데이터 헤더 행이 이 값보다 길 경우 이를 탐지합니다. 데이터 헤더 행 길이를 탐지하지 않으려면 0을 지정합니다.

규칙 124:2 및 124:7을 활성화하여 이 옵션에 대한 이벤트를 생성하고, 인라인 구축에서 문제가 되는 패킷을 삭제합니다.할 수 있습니다.

응답 회선 최대 길이

SMTP 응답 회선이 이 값보다 길 경우 이를 탐지합니다. 응답 회선 길이를 탐지하지 않으려면 0을 지정합니다.

RFC 2821는 응답 회선 최대 길이로 512를 권장합니다.

규칙 124:3을 활성화하여 이 옵션에 대해 이벤트를 생성하고, 인라인 구축에서 문제가 되는 패킷을 삭제합니다.할 수 있고, 해당 옵션이 활성화되면 Alt Max Command Line Len(대안적 명령줄 최대 길이)에 대해서도 가능합니다.

대안적 명령줄 최대 길이

지정된 모든 명령에 대한 SMTP 명령줄이 이 값보다 길 경우 이를 탐지합니다. 지정된 명령에 대한 명령줄 길이를 탐지하지 않으려면 0을 지정합니다. 여러 명령에 대해 다양한 기본 회선 길이가 설정됩니다.

이 설정은 지정된 명령에 대한 Max Command Line Len(명령줄 최대 길이) 설정을 무시합니다.

규칙 124:3을 활성화하여 이 옵션에 대해 이벤트를 생성하고, 인라인 구축에서 문제가 되는 패킷을 삭제합니다.할 수 있고, 해당 옵션이 활성화되면 Max Response Line Len(최대 응답 줄 길이)에 대해서도 가능합니다.

유효하지 않은 명령

이 명령어가 클라이언트 측에서 전송되는지 여부를 탐지합니다.

규칙 124:6을 활성화하여 이 옵션 및 Invalid Commands(유효하지 않은 명령)에 대해 이벤트를 생성하고, 인라인 구축에서 문제가 되는 패킷을 삭제합니다.할 수 있습니다.

유효한 명령

이 목록에 있는 명령을 허용합니다.

이 명령이 비어 있더라도 전처리기는 다음의 유효한 명령을 허용합니다. ATRN AUTH BDAT DATA DEBUG EHLO EMAL ESAM ESND ESOM ETRN EVFY EXPN HELO HELP IDENT MAIL NOOP ONEX QUEU QUIT RCPT RSET SAML SEND SIZE SOML STARTTLS TICK TIME TURN TURNME VERB VRFY XADR XAUTH XCIR XEXCH50 X-EXPS XGEN XLICENSE X-LINK2STATE XQUE XSTA XTRN XUSR

참고	RCPT TO 및 MAIL FROM은 SMTP 명령입니다. 전처리기 구성은 RCPT와 MAIL의 명령 이름을 각각 사용합니다. 해당 코드 안에서, 전처리기는 RCPT와 MAIL을 정확한 명령 이름에 매핑합니다.

규칙 124:4를 활성화하여 이 옵션에 대해 이벤트를 생성하고, 인라인 구축에서 문제가 되는 패킷을 삭제합니다.할 수 있고, 해당 옵션이 구성되면 Invalid Command(유효하지 않은 명령)에 대해서도 가능합니다.

데이터 명령

SMTP DATA 명령이 RFC 5321당 데이터를 전송하는 것과 동일한 방식으로 데이터 전송을 시작하는 명령을 나열합니다. 공백을 사용하여 여러 명령을 구분하십시오.

이진 데이터 명령

BDAT 명령이 RFC 3030당 데이터를 전송하는 것과 유사한 방식으로 데이터 전송을 시작하는 명령을 나열합니다. 공백을 사용하여 여러 명령을 구분하십시오.

인증 명령

클라이언트와 서버 간의 인증 교환을 시작하는 명령을 나열합니다. 공백을 사용하여 여러 명령을 구분하십시오.

xlink2state 탐지

X‑Link2State Microsoft Exchange 버퍼 데이터 오버플로 공격의 일부인 패킷을 탐지합니다. 인라인 배포에서, 시스템은 해당 패킷을 삭제할 수 있습니다.

규칙 124:8을 활성화하여 이 옵션에 대한 이벤트를 생성하고, 인라인 구축에서 문제가 되는 패킷을 삭제합니다.할 수 있습니다.

Base64 디코딩 수준

Ignore Data(데이터 무시)가 비활성화된 경우, Base64로 인코딩된 각 MIME 이메일 첨부 파일에서 추출 및 디코딩할 최대 바이트 수를 지정합니다. 양수 값을 지정할 수도 있고 0을 지정하여 모든 Base64 데이터를 디코딩할 수도 있습니다. Base64 데이터를 무시하려면 -1을 지정합니다. Ignore Data(데이터 무시)를 선택한 경우 전처리기는 데이터를 디코딩하지 않습니다.

4로 나누어지지 않는 양수는 다음 4의 배수로 올림 처리된다는 점에 유의하십시오. 이때 65533, 65534, 및 65535 값은 제외되는데, 이들은 65532로 내림 처리됩니다.

이 옵션이 활성화된 경우, 규칙 124:10을 활성화하여 디코딩이 실패할 경우 이벤트를 생성하고, 인라인 구축에서 문제가 되는 패킷을 삭제합니다.할 수 있습니다. 예를 들어 잘못된 인코딩 또는 손상된 데이터로 인해 디코딩이 실패할 수 있습니다.

이 옵션은 Enable MIME Decoding(MIME 디코딩 활성화) 및 Maximum MIME Decoding Depth(MIME 디코딩 최대 수준)와 같이 더 이상 사용되지 않는 옵션을 대체한다는 점에 유의하십시오. 이 옵션은 이전 버전과의 호환성을 위해 기존 침입 정책에서 계속 지원됩니다.

7비트/8비트/이진 디코딩 수준

Ignore Data가 비활성화된 경우 디코딩이 필요하지 않은 각 MIME 이메일 첨부 파일에서 추출할 최대 데이터 바이트를 수를 지정합니다. 이 첨부 파일 형식에는 평문, jpeg 이미지, mp3 파일 등과 같이 7비트, 8비트, 이진 및 다양한 다중 부분 콘텐츠 형식 등이 있습니다. 양수 값을 지정할 수 있으며, 0을 지정하여 패킷의 모든 데이터를 추출할 수도 있습니다. 디코딩되지 않은 데이터를 무시하려면 -1을 지정합니다. Ignore Data가 선택된 경우 프리프로세서는 데이터를 추출하지 않습니다.

따옴표로 묶인 인쇄 가능한 디코딩 수준

Ignore Data(데이터 무시)가 비활성화된 경우, QP(Quoted‑Printable)로 인코딩된 각 MIME 이메일 첨부 파일에서 추출 및 디코딩할 최대 바이트 수를 지정합니다.

1~65535바이트를 지정할 수 있으며, 0을 지정하여 패킷의 QP로 인코딩된 모든 데이터를 디코딩할 수도 있습니다. QP로 인코딩된 데이터를 무시하려면 -1을 지정합니다. Ignore Data(데이터 무시)를 선택한 경우 전처리기는 데이터를 디코딩하지 않습니다.

이 옵션이 활성화된 경우, 규칙 124:11을 활성화하여 디코딩이 실패할 경우 이벤트를 생성하고, 인라인 구축에서 문제가 되는 패킷을 삭제합니다.할 수 있습니다. 예를 들어 잘못된 인코딩 또는 손상된 데이터로 인해 디코딩이 실패할 수 있습니다.

Unix‑to‑Unix 디코딩 수준

Ignore Data(데이터 무시)가 비활성화된 경우, Unix‑to‑Unix로 인코딩된(uuencoded) 각 MIME 이메일 첨부 파일에서 추출 및 디코딩할 최대 바이트 수를 지정합니다. 1~65535바이트를 지정할 수 있으며, 0을 지정하여 패킷의 모든 uuencoded 데이터를 디코딩할 수도 있습니다. uuencoded 데이터를 무시하려면 -1을 지정합니다. Ignore Data(데이터 무시)를 선택한 경우 전처리기는 데이터를 디코딩하지 않습니다.

이 옵션이 활성화된 경우, 규칙 124:13을 활성화하여 디코딩이 실패할 경우 이벤트를 생성하고, 인라인 구축에서 문제가 되는 패킷을 삭제합니다.할 수 있습니다. 예를 들어 잘못된 인코딩 또는 손상된 데이터로 인해 디코딩이 실패할 수 있습니다.

MIME 첨부 파일 이름 로그

MIME Content‑Disposition 헤더에서 MIME 첨부 파일 이름의 추출을 활성화하고 파일 이름을 세션에 대해 생성된 모든 침입 이벤트와 연결합니다. 여러 파일 이름이 지원됩니다.

이 옵션을 사용할 경우, 침입 이벤트 표 보기의 Email Attachment(이메일 첨부 파일) 열에서 이벤트와 관련된 파일 이름을 볼 수 있습니다.

수신지 주소 로그

SMTP RCPT TO 명령에서 수신자 전자 메일 주소의 추출을 활성화하고 수신자 주소를 세션에 대해 생성된 모든 침입 이벤트와 연결합니다. 여러 수신자가 지원됩니다.

이 옵션을 사용할 경우, 침입 이벤트 표 보기의 Email Recipient(전자 메일 수신자) 열에서 이벤트와 관련된 수신자를 볼 수 있습니다.

발신지 주소 로그

SMTP MAIL FROM 명령에서 발신자 전자 메일 주소의 추출을 활성화하고 발신자 주소를 세션에 대해 생성된 모든 침입 이벤트와 연결합니다. 여러 발신자 주소가 지원됩니다.

이 옵션을 사용할 경우, 침입 이벤트 표 보기의 Email Sender(이메일 발신자) 열에서 이벤트와 관련된 발신자를 볼 수 있습니다.

헤더 로그

전자 메일 헤더의 추출을 활성화합니다. 추출할 바이트 수는 Header Log Depth(헤더 로그 수준)에 지정된 값에 따라 결정됩니다.

이메일 헤더 데이터를 패턴으로 사용하는 침입 규칙을 작성하려면 content 또는 protected_content 키워드를 사용할 수 있습니다. 또한 침입 이벤트 패킷 보기에서 추출한 전자 메일 헤더를 볼 수 있습니다.

헤더 로그 수준

Log Headers(헤더 로그)가 활성화된 경우 추출할 전자 메일 헤더의 바이트 수를 지정합니다. 0~20480바이트를 지정할 수 있습니다. 값을 0으로 지정하면 Log Headers(헤더 로그)가 비활성화됩니다.

전처리기는 다음 사항 중 하나가 발생할 경우 세션에 대한 트래픽 검사를 중지합니다.

• 서버와 클라이언트 간 유효한 교환이 이 암호화된 패킷의 수만큼 발생하며 연결은 지속됩니다.

• Number of Bytes Sent Without Server Response(서버 응답 없이 전송된 바이트 수)에 도달한 후에 검사할 암호화된 패킷 수에 도달하며 공격이 있는 것으로 간주됩니다.

Number of Encrypted Packets to Inspect(검사할 암호화된 패킷 수)가 경과되는 동안 유효한 각 서버 응답은 Number of Bytes Sent Without Server Response(서버 응답 없이 전송된 바이트 수)를 재설정하며 패킷 카운트가 계속됩니다.

다음의 예시 SSH 전처리기 구성을 고려하십시오.

• Server Ports(서버 포트): 22

• Autodetect Ports(자동 탐지된 포트): 꺼짐

• Maximum Length of Protocol Version String(프로토콜 버전 문자열의 최대 길이): 80

• Number of Encrypted Packets to Inspect(검사할 암호화된 패킷 수): 25

• Number of Bytes Sent Without Server Response(서버 응답 없이 전송된 바이트 수): 19,600

• 모든 탐지 옵션이 활성화됩니다.

예제에서, 전처리기는 포트 22에서만 트래픽을 검사합니다. 즉 연결 자동 탐지가 비활성화되므로 지정된 포트에서만 검사합니다.

또한, 다음 사항 중 하나가 발생할 경우 예제의 전처리기는 트래픽 검사를 중지합니다.

• 클라이언트는 누적해서 19,600 미만의 바이트를 포함하는 25개의 암호화된 패킷을 전송합니다. 공격이 전혀 없는 것으로 가정합니다.

• 클라이언트는 25개의 암호화된 패킷으로 19,600 이상의 바이트를 전송합니다. 이 경우, 예제의 세션이 SSH 버전 2 세션이므로 전처리기는 해당 공격이 시도-응답 버퍼 오버플로 익스플로잇이라고 간주합니다.

예제에서 전처리기는 트래픽을 처리하는 동안 발생하는 다음과 같은 모든 징후를 탐지합니다.

• 80바이트보다 큰 버전 문자열에서 트리거되었고 SecureCRT 익스플로잇을 나타내는 서버 오버플로

• 프로토콜 불일치

• 잘못된 방향으로 흐르는 패킷

마지막으로, 전처리기는 버전 1 또는 버전 2 외에도 자동으로 모든 버전 문자열을 탐지합니다.

어떤 전처리기 규칙도 다음 설명에 언급되지 않은 경우, 이 옵션은 전처리기 규칙과 연결되지 않습니다.

서버 포트

SSH 전처리기가 트래픽을 검사할 포트를 지정합니다.

단일 포트 또는 쉼표로 구분된 포트 목록을 설정할 수 있습니다.

자동 탐지된 포트

전처리기는 자동으로 SSH 트래픽을 탐지할 수 있습니다.

이 옵션을 선택하면, 전처리기는 SSH 버전 번호에 대한 모든 트래픽을 검사합니다. 이는 클라이언트와 서버 패킷 모두가 버전 번호를 포함하지 않을 때 처리를 중지합니다. 이를 비활성화하면, 전처리기는 Server Ports(서버 포트) 옵션에서 확인된 트래픽만 검사합니다.

검사할 암호화된 패킷 수

세션당 검토할 스트림 리어셈블 암호화된 패킷 수를 지정합니다.

이 옵션을 0으로 설정하면 모든 트래픽이 통과할 수 있습니다.

검사할 암호화된 패킷 수를 줄이면 일부 공격이 탐지를 이스케이프할 수 있습니다. 검사할 암호화된 패킷 수를 늘리면 성능에 부정적인 영향을 줄 수 있습니다.

서버 응답 없이 전송된 바이트 수

시도-응답 버퍼 오버플로 공격 또는 CRC‑32 공격이 있는 것으로 가정하기 전에 SSH 클라이언트가 응답을 받지 않고 서버에 보낼 수 있는 최대 바이트 수를 지정합니다.

전처리기가 시도-응답 버퍼 오버플로 또는 CRC‑32 익스플로잇에서 오탐을 생성하는 경우 이 옵션의 값을 높이십시오.

프로토콜 버전 문자열의 최대 길이

문자열을 SecureCRT 익스플로잇으로 간주하기 전에 서버의 버전 문자열에 허용할 최대 바이트 수를 지정합니다.

시도-응답 버퍼 오버플로 공격 탐지

시도-응답 버퍼 오버플로 익스플로잇에 대한 탐지를 활성화 또는 비활성화합니다.

규칙 128:1을 활성화하여 이 옵션에 대한 이벤트를 생성하고, 인라인 구축에서 문제가 되는 패킷을 삭제합니다.할 수 있습니다. SFTP 세션이 때때로 규칙 128:1을 트리거할 수 있습니다.

SSH1 CRC-32 공격 탐지

CRC‑32 익스플로잇에 대한 탐지를 활성화 또는 비활성화합니다.

규칙 128:2를 활성화하여 이 옵션에 대한 이벤트를 생성하고, 인라인 구축에서 문제가 되는 패킷을 삭제합니다.할 수 있습니다.

서버 오버플로 탐지

SecureCRT SSH 클라이언트 버퍼 오버플로 익스플로잇에 대한 탐지를 활성화 또는 비활성화합니다.

규칙 128:3을 활성화하여 이 옵션에 대한 이벤트를 생성하고, 인라인 구축에서 문제가 되는 패킷을 삭제합니다.할 수 있습니다.

프로토콜 불일치 탐지

프로토콜 불일치에 대한 탐지를 활성화 또는 비활성화합니다.

규칙 128:4를 활성화하여 이 옵션에 대한 이벤트를 생성하고, 인라인 구축에서 문제가 되는 패킷을 삭제합니다.할 수 있습니다.

오류 메시지 방향 탐지

트래픽이 잘못된 방향으로 흐르는 경우(즉, 가정한 서버가 클라이언트 트래픽을 생성하거나, 클라이언트가 서버 트래픽을 생성한 경우) 탐지를 활성화 또는 비활성화합니다.

규칙 128:5를 활성화하여 이 옵션에 대한 이벤트를 생성하고, 인라인 구축에서 문제가 되는 패킷을 삭제합니다.할 수 있습니다.

지정된 페이로드에 대해 유효하지 않은 페이로드 크기 탐지

SSH 패킷에서 지정한 길이가 IP 헤더에 지정된 총 길이와 일관되지 않고 메시지 끝이 잘렸을 때, 즉, 전체 SSH 헤더에 충분한 데이터가 있지 않은 경우에 유효하지 않은 페이로드 크기를 가진 패킷 탐지를 활성화 또는 비활성화합니다.

규칙 128:6을 활성화하여 이 옵션에 대한 이벤트를 생성하고, 인라인 구축에서 문제가 되는 패킷을 삭제합니다.할 수 있습니다.

유효하지 않은 버전 문자열 탐지

이를 활성화할 경우, 전처리기가 설정 없이도 버전 1 또는 2 이외의 다른 모든 버전의 문자열을 탐지한다는 점에 유의하십시오.

규칙 128:7을 활성화하여 이 옵션에 대한 이벤트를 생성하고, 인라인 구축에서 문제가 되는 패킷을 삭제합니다.할 수 있습니다.

참고	시스템 제공 네트워크 분석 정책은 기본적으로 SSL 전처리기를 활성화합니다. Cisco는 암호화된 트래픽이 네트워크를 통과할 것으로 예상하는 경우 맞춤형 구축에서 SSL 전처리기를 비활성화하지 않을 것을 권장합니다.

SSL 검사를 구성하지 않으면 시스템은 암호화된 트래픽에서 해독 없이 악성코드와 침입을 검사하려고 시도합니다. SSL 전처리기를 활성화하면, 세션이 암호화되는 경우를 탐지합니다. SSL 전처리기를 활성화한 후, 규칙 엔진은 전처리기를 호출하여 SSL 상태 및 버전 정보를 얻을 수 있습니다. 침입 정책에서 ssl_state 및 ssl_version 키워드를 사용하여 규칙을 활성화하는 경우 SSL 프리프로세서도 활성화해야 합니다.

포트

SSL 전처리기가 암호화된 세션의 트래픽을 모니터링할 포트를 쉼표로 구분하여 지정합니다. 이 필드에 포함된 포트만 암호화된 트래픽을 검사합니다.

참고	SSL 전처리기가 SSL 모니터링을 위해 지정된 포트를 통해 비 SSL 트래픽을 탐지하는 경우, 해당 트래픽을 SSL 트래픽으로 디코딩하려고 시도한 다음 이를 손상된 것으로 표시합니다.

암호화된 트래픽 검사 중지

세션이 암호화된 것으로 표시되면 세션의 트래픽에 대한 검사를 활성화하거나 비활성화합니다.

암호화된 세션의 검사와 리어셈블리를 비활성화하려면 이 옵션을 활성화하십시오. SSL 전처리기가 이 세션에 대한 상태를 유지하므로 세션의 모든 트래픽의 검사를 비활성화할 수 있습니다. 이 옵션을 활성화하면 세션의 일부 패킷을 검증해 플로우가 심층 검사를 우회한 후 암호화되게 합니다. 모든 우회 세션은 show snort statistics 명령에 대한 응답에 표시되는, 빨리 감은 플로우 숫자를 높입니다. 또한 심층 검사를 우회하기 때문에 연결 이벤트에서의 이니시에이터와 반응기 바이트가 정확하지 않습니다. Snort가 검사한 패킷만 포함하며 심층 검사 우회 후의 패킷은 포함하지 않기 때문에, 실제 세션 값 미만이 됩니다. 이 동작은 연결 요약 이벤트와 위젯에 표시되는 모든 트래픽 값에 적용됩니다.

다음 두 조건 충족 시, 시스템은 암호화된 세션의 트래픽 검사를 중지합니다.

• SSL 전처리기가 활성화됨

• 이 옵션이 선택됨

이 옵션의 선택을 취소하면 Server side data is trusted(서버 측 데이터가 신뢰됨) 옵션을 수정할 수 없습니다.

서버 측 데이터가 신뢰됨

암호화된 트래픽 검사 중지가 활성화되면, 클라이언트측 트래픽에만 기반을 두는 암호화된 트래픽 식별이 활성화됩니다.

최대 하트비트 길이

바이트 수를 지정하면 Heartbleed 버그 악용 시도에 대한 SSL 핸드셰이크 내의 하트비트 요청 및 응답 검사를 활성화할 수 있습니다. 1~65535까지의 정수를 지정할 수 있으며, 0을 지정하여 옵션을 비활성화할 수도 있습니다.

전처리기가 실제 페이로드 길이보다 큰 페이로드 길이를 가진 하트비트 요청을 감지하고 규칙 137:3이 활성화되거나, 규릭 137:4가 활성화되었을 때 이 옵션에 설정된 값보다 하트비트 응답이 크다면 전처리기는 이벤트를 생성하고, 인라인 구축에서 문제가 되는 패킷을 삭제합니다.

이벤트를 생성하고, 인라인 구축에서 문제가 되는 패킷을 삭제합니다.하고 싶다면 SSL 전처리기 규칙(GID 137)을 활성화합니다.

다음 표는 사용자가 활성화할 수 있는 SSL 전처리기 규칙에 대해 설명합니다.