以下の説明でプリプロセッサ ルールが言及されていない場合、オプションにはプリプロセッサ ルールが関連付けられていません。
次のグローバル TCP オプションを構成できます。
パケット タイプ パフォーマンスの向上(Packet Type Performance Boost)
送信元ポートおよび宛先ポートの両方を any
に設定した TCP ルールで、flow
または flowbits
オプションが使用されている場合を除き、有効化された侵入ルールに指定されていないポートおよびアプリケーション プロトコルのすべてについて、TCP トラフィックを無視するように設定します。このオプションはパフォーマンスを向上させますが、攻撃を見逃す可能性があります。
TCP ポリシーごとに、以下のオプションを設定できます。
ネットワーク(Network)
TCP ストリーム再構成ポリシーを適用するホストの IP アドレスを指定します。
単一の IP アドレスまたはアドレス ブロックを指定できます。デフォルト ポリシーを含め、合計で最大 255 個のプロファイルを指定できます。
(注) |
システムは、各リーフ ドメインに個別のネットワーク マップを作成します。マルチドメイン展開では、実際の IP アドレスを使用してこの設定を抑制すると、予期しない結果になる可能性があります。上書き対応オブジェクトを使用すると、子孫ドメインの管理者は、グローバル コンフィギュレーションを自分のローカル環境に調整できます。
|
デフォルト ポリシーの default
設定では、別のターゲットベース ポリシーでカバーされていないモニタ対象ネットワーク セグメントのすべての IP アドレスが指定されることに注意してください。したがって、デフォルト ポリシーの IP アドレスまたは CIDR ブロック/プレフィックス長は指定できず、また指定する必要もありません。また、別のポリシーでこの設定を空白にしたり、any
を表すアドレス表記(0.0.0.0/0 または ::/0)を使用したりすることはできません。
ポリシー
TCP ポリシーを適用するターゲット ホスト(複数可)のオペレーティング システムを識別します。[Mac OS] 以外のポリシーを選択すると、システムは同期(SYN)パケットからデータを削除し、ルール 129:2 に対するイベントの生成を無効にします。インライン正規化プリプロセッサの [SYN に関するデータを削除(Remove Data on SYN)] オプションを有効にすると、ルール 129:2 も無効になることに注意してください。
以下の表に、オペレーティング システム ポリシーとそれを使用するホスト オペレーティング システムをリストします。
表 2. TCP オペレーティング システム ポリシー
ポリシー
|
オペレーティング システム
|
ファースト
|
不明な OS
|
Last
|
Cisco IOS
|
BSD
|
AIX
FreeBSD
OpenBSD
|
Linux
|
Linux 2.4 カーネル
Linux 2.6 カーネル
|
Old Linux
|
Linux 2.2 以前のカーネル
|
Windows
|
Windows 98
Windows NT
Windows 2000
Windows XP
|
Windows 2003
|
Windows 2003
|
Windows Vista
|
Windows Vista
|
Solaris
|
Solaris OS
SunOS
|
IRIX
|
SGI Irix
|
HPUX
|
HP-UX 11.0 以降
|
HPUX 10
|
HP-UX 10.2 以前
|
Mac OS
|
Mac OS 10(Mac OS X)
|
ヒント |
First オペレーティング システム ポリシーは、ホストのオペレーティング システムが不明な場合にはある程度の保護対策になります。ただし、攻撃を見逃す可能性もあります。オペレーティング システムが既知であれば、ポリシーを編集して、その正しいオペレーティング
システムを指定してください。
|
Timeout
侵入ルール エンジンが非アクティブなストリームを状態テーブルで保持する秒数(1 ~ 86400 秒)。指定された期間内にストリームが再構成されない場合、侵入ルール エンジンはそのストリームを状態テーブルから削除します。
(注) |
ネットワーク トラフィックがデバイスの帯域幅制限に到達しやすいセグメントに、管理対象デバイスが展開されている場合は、処理のオーバーヘッド量を削減するために、この値を大きい値(たとえば、600 秒)に設定することを検討する必要があります。
|
このオプションは、Firepower Threat Defense ルーテッドおよびトランスペアレント インターフェイスでは無視されます。
最大 TCP ウィンドウ(Maximum TCP Window)
受信側ホストで指定されている TCP ウィンドウの最大許容サイズを 1 ~ 1073725440 バイトの範囲で指定します。値を 0 に設定すると、TCP ウィンドウ サイズのチェックが無効になります。
注意 |
上限は RFC で許可される最大ウィンドウ サイズです。これは、攻撃者が検出を回避できないようにすることを目的としていますが、あまりにも大きな最大ウィンドウ サイズを設定すると、システム自体がサービス妨害を招く可能性があります。
|
[ステートフル インスペクションの異常(Stateful Inspection Anomalies)] が有効になっている場合は、ルール 129:6 を有効にして、このオプションに対し イベントを生成し、インライン展開では、違反パケットをドロップします。 することができます。
オーバーラップ範囲(Overlap Limit)
セッションで許容するオーバーラップ セグメントの数を 0(無制限)~ 255 の範囲で指定します。セッションで、この指定された値に達すると、セグメントの再構成が停止します。[ステートフル インスペクションの異常(Stateful Inspection
Anomalies)] が有効にされていて、それに付随するプリプロセッサ ルールが有効にされている場合、イベントも生成されます。
このオプションに イベントを生成し、インライン展開では、違反パケットをドロップします。 するには、ルール 129:7 を有効にします。
ファクタをフラッシュ(Flush Factor)
インライン展開では、ここで設定するサイズ減少なしのセグメントの数(1 ~ 2048)の後にサイズが減少したセグメントが検出されると、システムは検出用に累積されたセグメント データをフラッシュします。値を 0 に設定すると、要求または応答の終わりを示す可能性のあるこのセグメント
パターンの検出が無効になります。このオプションを有効にするには、インライン正規化の [TCP ペイロードの正規化(Normalize TCP Payload)] オプションを有効にする必要があることに注意してください。
ステートフル インスペクションの異常(Stateful Inspection Anomalies)
TCP スタックの異常な動作を検出します。付随するプリプロセッサ ルールが有効にされている場合、TCP/IP スタックが不完全に作成されていると、多数のイベントが生成される可能性があります。
このオプションは、Firepower Threat Defense ルーテッドおよびトランスペアレント インターフェイスでは無視されます。
このオプションに イベントを生成し、インライン展開では、違反パケットをドロップします。 するには、次のルールを有効にすることができます:
-
129:1 ~ 129:5
-
129:6(Mac OS のみ)
-
129:8 ~ 129:11
-
129:13 ~ 129:19
次の点に注意してください。
TCP セッションのハイジャック(TCP Session Hijacking)
3 ウェイ ハンドシェイク中に TCP 接続の両端から検出されたハードウェア(MAC)アドレスの有効性を、セッションで受信した後続のパケットに照合して検査することにより、TCP セッション ハイジャックを検出します。[ステートフル インスペクションの異常(Stateful
Inspection Anomalies)] が有効にされていて、2 つの対応するプリプロセッサ ルールのいずれかが有効にされている場合、接続のどちらかの側の MAC アドレスが一致しないと、システムがイベントを生成します。
このオプションは、Firepower Threat Defense ルーテッドおよびトランスペアレント インターフェイスでは無視されます。
このオプションに対し イベントを生成し、インライン展開では、違反パケットをドロップします。 するには、ルール 129:9 および 129:10 を有効にします。これらのルールのいずれかを使用してイベントを生成するには、[ステートフル インスペクションの異常(Stateful Inspection Anomalies)] を有効にする必要があります。
連続した小型セグメント(Consecutive Small Segments)
[ステートフル インスペクションの異常(Stateful Inspection Anomalies)] が有効にされている場合、連続する小さな TCP セグメントの許容数を 1 ~ 2048 の範囲で指定します。値を 0 に設定すると、連続する小さなセグメントのチェックが無効になります。
このオプションは、[小さなセグメント サイズ(Small Segment Size)] オプションと同時に設定し、両方とも無効にするか、両方にゼロ以外の値を設定する必要があります。通常は、それぞれのセグメントの長さが 1 バイトであったとしても、ACK が介在することなく 2000 個もの連続するセグメントを受信することはないので注意してください。
このオプションは、Firepower Threat Defense ルーテッドおよびトランスペアレント インターフェイスでは無視されます。
このオプションに イベントを生成し、インライン展開では、違反パケットをドロップします。 するには、ルール 129:12 を有効にします。
小型セグメントのサイズ(Small Segment Size)
[ステートフル インスペクションの異常(Stateful Inspection Anomalies)] が有効にされている場合、小さいと見なされる TCP セグメントのサイズを 1 ~ 2048 バイトの範囲で指定します。値を 0 に設定すると、小さいセグメントのサイズの指定が無効になります。
このオプションは、Firepower Threat Defense ルーテッドおよびトランスペアレント インターフェイスでは無視されます。
このオプションは、[連続する小さなセグメント(Consecutive Small Segments)] オプションと同時に設定し、両方とも無効にするか、両方にゼロ以外の値を設定する必要があります。2048 バイトの TCP セグメントは、標準的な 1500 バイトのイーサネット フレームより大きいことに注意してください。
小型セグメントを無視したポート(Ports Ignoring Small Segments)
[ステートフル インスペクションの異常(Stateful Inspection Anomalies)]、[連続する小さなセグメント(Consecutive Small Segments)]、および [小さなセグメント サイズ(Small Segment Size)] が有効になっている場合は、小さい TCP セグメントの検出を無視する 1 つ以上のポートのカンマ区切りリストを指定します。このオプションを空白のままにすると、ポートはすべて無視されないように指定されます。
このオプションは、Firepower Threat Defense ルーテッドおよびトランスペアレント インターフェイスでは無視されます。
リストには任意のポートを追加できますが、このリストが適用されるのは、TCP ポリシーの [ストリーム再構成を実行(Perform Stream Reassembly on)] ポート リストに指定されているポートのみです。
TCP 3 ウェイ ハンドシェイク必須(Require TCP 3-Way Handshake)
TCP スリーウェイ ハンドシェイクの完了時に確立されたセッションだけを処理することを指定します。パフォーマンスを向上させ、SYN フラッド攻撃から保護し、部分的に非同期の環境での運用を可能にするには、このオプションを無効にします。確立された
TCP セッションには含まれていない情報を送信して誤検出を発生させようとする攻撃を回避するには、このオプションを有効にします。
このオプションに イベントを生成し、インライン展開では、違反パケットをドロップします。 するには、ルール 129:20 を有効にします。
3 ウェイ ハンドシェイク タイムアウト(3-Way Handshake Timeout)
[TCP 3 ウェイ ハンドシェイク必須(Require TCP 3-Way Handshake)] が有効にされている場合、ハンドシェイクを完了するまでの時間制限を 0(無制限)~ 86400 秒(24 時間)の範囲で指定します。このオプションの値を変更するには、[TCP 3 ウェイ ハンドシェイク必須(Require TCP 3-Way Handshake)] を有効にする必要があります。
Firepower ソフトウェア デバイスと Firepower Threat Defense インライン、インラインタップ、およびパッシブ インターフェイスの場合、デフォルトは 0 です。Firepower Threat Defense のルーティッド インターフェイスおよびトランスペアレント インターフェイスの場合、タイムアウトは常に 30 秒であり、ここで設定した値は無視されます。
パケット サイズ パフォーマンスの向上(Packet Size Performance Boost)
再構成バッファで大きいパケットをキューに入れないようにプリプロセッサを設定します。このオプションはパフォーマンスを向上させますが、攻撃を見逃す可能性があります。1 ~ 20 バイトの小さなパケットを使用した検出回避の試行から保護するには、このオプションを無効にします。すべてのトラフィックが非常に大きなパケットからなるため、そのような攻撃は起こらないと確信できる場合は、このオプションを有効にします。
レガシー再構成(Legacy Reassembly)
パケットを再構成する際に、廃止されたストリーム 4 プリプロセッサをエミュレートするようにストリーム プリプロセッサを設定します。これにより、ストリーム プリプロセッサで再構成されたイベントを、ストリーム 4 プリプロセッサで再構成された、同じデータ
ストリームに基づくイベントと比較できます。
非同期ネットワーク(Asynchronous Network)
モニタ対象ネットワークが非同期ネットワーク(システムにトラフィックの半分だけが見えるネットワーク)であるかどうかを指定します。このオプションを有効にすると、システムは TCP ストリームを再構成しないため、パフォーマンスが向上します。
このオプションは、Firepower Threat Defense ルーテッドおよびトランスペアレント インターフェイスでは無視されます。
クライアント ポートでのストリーム再構成の実行(Perform Stream Reassembly on Client Ports)
接続のクライアント側のポートに基づくストリームの再構成を有効にします。つまり、Web サーバ、メール サーバ、または一般に $HOME_NET で指定された IP アドレスによって定義されたその他の IP アドレスを宛先とするストリームが再構成されます。不正なトラフィックがクライアントから発生する可能性がある場合は、このオプションを使用します。
このオプションは、Firepower Threat Defense ルーテッドおよびトランスペアレント インターフェイスでは無視されます。
クライアント サービスでのストリーム再構成の実行(Perform Stream Reassembly on Client Services)
接続のクライアント側のサービスに基づくストリーム再構成を有効にします。不正なトラフィックがクライアントから発生する可能性がある場合は、このオプションを使用します。
選択するクライアント サービスごとに、1 つ以上のクライアント ディテクタを有効にする必要があります。デフォルトでは、Cisco が提供するすべてのディテクタはアクティブになっています。関連するクライアント アプリケーションに有効にされているディレクタがない場合、システムは自動的に
Cisco 提供のすべてのディテクタをアプリケーションに対して有効にします。そのようなディテクタが提供されていない場合は、最後に変更されたユーザ定義のディテクタをアプリケーションに対して有効にします。
この機能には、保護ライセンスと制御ライセンスが必要です。
このオプションは、Firepower Threat Defense ルーテッドおよびトランスペアレント インターフェイスでは無視されます。
サーバ ポートでのストリーム再構成の実行(Perform Stream Reassembly on Server Ports)
接続のサーバ側のポートに基づくストリーム再構成のみを有効にします。つまり、Web サーバ、メール サーバ、または一般に $EXTERNAL_NET で指定された IP アドレスによって定義されたその他の IP アドレスから発信されたストリームが再構成されます。サーバ側の攻撃を監視する必要がある場合は、このオプションを使用します。ポートを指定しないことによって、このオプションを無効にできます。
このオプションは、Firepower Threat Defense ルーテッドおよびトランスペアレント インターフェイスでは無視されます。
(注) |
一部の Web サーバの場合、シームレスなアクセスを行うには、このフィールドでポート番号 80 を指定するだけでは不十分です。[サーバ サービスでのストリーム再構成の実行(Perform Stream Reassembly on Server
Services)] フィールドに「HTTP」サービスを追加することも必要になります。
|
サーバ サービスでのストリーム再構成の実行(Perform Stream Reassembly on Server Services)
接続のサーバ側のサービスに基づくストリーム再構成のみを有効にします。サーバ側の攻撃を監視する必要がある場合は、このオプションを使用します。サービスを指定しないことによって、このオプションを無効にできます。
1 つ以上のディテクタを有効にする必要があります。デフォルトでは、Cisco が提供するすべてのディテクタはアクティブになっています。サービスに有効にされているディレクタがない場合、システムは自動的に Cisco 提供のすべてのディテクタを関連するアプリケーション
プロトコルに対して有効にします。そのようなディテクタが提供されていない場合は、最後に変更されたユーザ定義のディテクタをアプリケーション プロトコルに対して有効にします。
この機能には、保護ライセンスと制御ライセンスが必要です。
このオプションは、Firepower Threat Defense ルーテッドおよびトランスペアレント インターフェイスでは無視されます。
両方のポートでのストリーム再構成の実行(Perform Stream Reassembly on Both Ports)
接続のクライアント側とサーバ側の両方のポートに基づくストリーム再構成を有効にします。同じポートで、不正なトラフィックがクライアントとサーバ間のいずれの方向でも移動する可能性がある場合は、このオプションを使用します。ポートを指定しないことによって、このオプションを無効にできます。
このオプションは、Firepower Threat Defense ルーテッドおよびトランスペアレント インターフェイスでは無視されます。
両方のサービスでのストリーム再構成の実行(Perform Stream Reassembly on Both Services)
接続のクライアント側とサーバ側の両方のサービスに基づくストリーム再構成を有効にします。同じサービスで、不正なトラフィックがクライアントとサーバ間のいずれの方向でも移動する可能性がある場合は、このオプションを使用します。サービスを指定しないことによって、このオプションを無効にできます。
1 つ以上のディテクタを有効にする必要があります。デフォルトでは、Cisco が提供するすべてのディテクタはアクティブになっています。関連するクライアント アプリケーションまたはアプリケーション プロトコルに対して有効になっているディレクタがない場合、システムは自動的に
Cisco 提供のすべてのディテクタをアプリケーションまたはアプリケーション プロトコルに対して有効にします。そのようなディテクタが提供されていない場合は、最後に変更されたユーザ定義のディテクタをアプリケーションまたはアプリケーション プロトコルに対して有効にします。
この機能には、保護ライセンスと制御ライセンスが必要です。
このオプションは、Firepower Threat Defense ルーテッドおよびトランスペアレント インターフェイスでは無視されます。
トラブルシューティング オプション:最大キューイング バイト(Troubleshooting Options: Maximum Queued Bytes)
トラブルシューティングの電話中に、TCP 接続の片側でキューイングできるデータの量を指定するようにサポートから依頼される場合があります。値 0 は、無制限のバイト数を指定します。
注意 |
このトラブルシューティング オプションの設定を変更するとパフォーマンスに影響するので、必ずガイダンスに従って実行してください。
|
トラブルシューティング オプション:最大キューイング セグメント(Troubleshooting Options:Maximum Queued Segments)
トラブルシューティングの電話中に、TCP 接続の片側でキューイングできるデータ セグメントの最大バイト数を指定するようにサポートから依頼される場合があります。値 0 は、無制限のデータ セグメント バイト数を指定します。
注意 |
このトラブルシューティング オプションの設定を変更するとパフォーマンスに影響するので、必ずガイダンスに従って実行してください。
|