어떤 전처리기 규칙도 다음 설명에 언급되지 않은 경우, 이 옵션은 전처리기 규칙과 연결되지 않습니다.
다음 전역 TCP 옵션을 구성할 수 있습니다.
패킷 유형 성능 증대
활성화된 침입 규칙에 지정되지 않은 모든 포트 및 애플리케이션 프로토콜에 대한 TCP 트래픽 무시를 활성화합니다. 단, 소스 및 목적지 포트가 모두 any
로 설정된 TCP 규칙에 flow
또는 flowbits
옵션이 있는 경우는 예외입니다. 이러한 성능 향상으로 공격이 누락될 수 있습니다.
각 TCP 정책에 대해 다음 옵션을 구성할 수 있습니다.
네트워크
사용자가 TCP 스트림 리어셈블리 정책을 적용할 호스트 IP 주소를 지정합니다.
단일 IP 주소 또는 주소 블록을 지정할 수 있습니다. 기본 정책을 비롯한 255개의 총 프로파일을 지정할 수 있습니다.
참고
|
시스템은 각 리프 도메인에 대해 별도의 네트워크 맵을 작성합니다. 다중 도메인 구축에서 리터럴 IP 주소를 사용하여 이 컨피그레이션을 제한하면 예기치 않은 결과가 발생할 수 있습니다.
하위 도메인 관리자는 재정의가 활성화된 개체를 사용하여 로컬 환경에 맞게 글로벌 컨피그레이션을 조정할 수 있습니다.
|
기본 정책의 default
설정은 다른 대상 기반 정책으로는 처리되지 않는 모니터링된 네트워크 세그먼트에 모든 IP 주소를 지정한다는 점에 유의하십시오. 따라서, 기본 정책에 대한 IP 주소 또는 CIDR 차단/접두사 길이를 지정할 수가 없으며,
지정할 필요도 없습니다. 그리고 다른 정책에서 이 설정을 공백으로 비워둘 수 없으며 any
(예를 들어, 0.0.0.0/0 또는 ::/0)를 나타내는 주소 표기법을 사용할 수도 없습니다.
정책
대상 호스트의 TCP 정책 운영 체제를 식별합니다. Mac OS 이외의 정책을 선택하는 경우, 시스템은 동기화(SYN) 패킷에서 데이터를 제거하고 규칙 129:2의 이벤트 생성을 비활성화합니다. 인라인 표준화 전처리기 Remove Data on SYN(SYN에서 데이터 제거) 옵션을 활성화하면 규칙 129:2도 비활성화됩니다.
다음 표는 각각을 사용하는 호스트 운영 체제 및 운영 체제 정책을 식별합니다.
표 2. TCP 운영 체제 정책
정책
|
운영 체제
|
First
|
알 수 없는 OS
|
Last
|
Cisco IOS
|
BSD
|
AIX
FreeBSD
OpenBSD
|
Linux
|
Linux 2.4 커널
Linux 2.6 커널
|
이전 Linux
|
Linux 2.2 및 이전 커널
|
(Windows용)
|
Windows 98
Windows NT
Windows 2000
Windows XP
|
Windows 2003
|
Windows 2003
|
Windows Vista
|
Windows Vista
|
Solaris
|
Solaris OS
SunOS
|
IRIX
|
SGI Irix
|
HPUX
|
HP-UX 11.0 이상
|
HPUX 10
|
HP-UX 10.2 이하
|
Mac OS
|
Mac OS 10(Mac OS X)
|
팁
|
First 운영 체제 정책에서는 호스트 운영 체제를 알 수 없는 경우 일부 보호를 제공할 수 있습니다. 하지만, 이로 인해 공격이 누락될 수 있습니다. 알고 있는 경우 정확한 운영 체제를 지정하는 정책을 수정해야 합니다.
|
시간 초과
1에서 86400 사이의 시간(단위: 초)으로, 침입 규칙 엔진이 이 시간 동안 상태 표에서 비활성 스트림을 유지합니다. 스트림이 지정된 시간에 리어셈블되지 않는 경우, 침입 규칙 엔진은 이를 상태 표에서 삭제합니다.
참고
|
관리되는 디바이스가 네트워크 트래픽이 디바이스의 대역폭 제한에 도달할 가능성이 높은 세그먼트에 구축된 경우, 처리 오버헤드의 양을 낮추기 위해 이 값을 더 높게(예: 600초) 설정할 것을 고려해야 합니다.
|
threat defense 디바이스는 이 옵션을 무시하며, 대신 고급 액세스 컨트롤 Threat Defense Service Policy(위협 방어 서비스 정책)의 설정을 사용합니다. 자세한 내용은 서비스 정책 규칙 구성를 참조하십시오.
최대 TCP 창
수신 호스트가 지정한 대로 허용된 1에서 1073725440바이트 사이의 최대 TCP 창 크기를 지정합니다. 값을 0으로 설정하면 TCP 창 크기 확인이 비활성화됩니다.
경고
|
상한은 RFC에서 허용하는 최대 창 크기이며 공격자의 탐지 회피를 방지하는 것이 목적이지만, 최대 창 크기를 너무 크게 설정하면 자체적으로 서비스 거부가 발생할 수 있습니다.
|
Stateful Inspection Anomalies(상태 저장 검사 이상 징후)가 활성화되면 이 옵션에 대해 규칙 129:6을 활성화하여 이벤트를 생성하고, 인라인 구축에서 문제가 되는 패킷을 삭제합니다.할 수 있습니다.
중첩 제한
세션에서 중첩되는 세그먼트에 대해 0(무제한)과 255 사이의 구성된 번호가 탐지된 경우 해당 세션을 위한 세그먼트 리어셈블리가 중단되며, Stateful Inspection Anomalies(상태 저장 검사 이상 징후)가 활성화되고 동반되는 전처리기 규칙이 활성화된 경우 이벤트가 생성된다는 것을 지정합니다.
규칙 129:7을 활성화하여 이 옵션에 대한 이벤트를 생성하고, 인라인 구축에서 문제가 되는 패킷을 삭제합니다.할 수 있습니다.
플러시 배율
인라인 구축에서, 비감소 크기의 세그먼트 1~2048 사이로 구성된 수에 이어 감소 크기의 세그먼트가 탐지된 경우 시스템은 탐지를 위해 누적된 세그먼트 데이터를 플러시합니다. 값을 0으로 설정하면 이러한 세그먼트 패턴의
탐지가 비활성화되며, 이는 요청 또는 응답의 종료를 나타낼 수 있습니다. 이 옵션을 적용하려면 Inline Normalization(인라인 표준화) Normalize TCP Payload(TCP 페이로드 표준화) 옵션이 활성화되어야 한다는 점에 유의하십시오.
상태 저장 검사 이상 징후
TCP 스택에서 비정상적 상태를 탐지합니다. TCP/IP 스택이 잘못 로깅된 경우 동반되는 전처리기 규칙이 활성화되면 이로 인해 많은 이벤트가 생성될 수 있습니다.
이 옵션은 threat defense 라우팅 및 투명 인터페이스에 대해서는 무시됩니다.
다음 규칙을 활성화하여 이 옵션에 대한 이벤트를 생성하고, 인라인 구축에서 문제가 되는 패킷을 삭제합니다.할 수 있습니다.
-
129:1~129:5
-
129:6(Mac OS만 해당)
-
129:8~129:11
-
129:13~129:19
다음에 유의하십시오.
TCP 세션 가로채기
세션에서 수신된 후속 패킷에 대한 3방향 핸드셰이크 동안 TCP 연결의 양쪽에서 탐지된 하드웨어(MAC) 주소를 검증하여 TCP 세션 가로채기를 탐지합니다. 한쪽 또는 다른 쪽의 MAC 주소가 일치하지 않으면, Stateful Inspection Anomalies가 활성화되고 두 개의 해당 프리프로세서 규칙 중 하나가 활성화된 경우 시스템이 이벤트를 생성합니다.
이 옵션은 threat defense 라우팅 및 투명 인터페이스에 대해서는 무시됩니다.
규칙 129:9 및 129:10을 활성화하여 이 옵션에 대한 이벤트를 생성하고, 인라인 구축에서 문제가 되는 패킷을 삭제합니다.할 수 있습니다. 이러한 규칙 중 하나가 이벤트를 생성하려면 Stateful Inspaction Anomalies(상태 저장 검사 이상 징후)도 활성화해야 합니다.
연속된 소규모 세그먼트
Stateful Inspection Anomalies가 활성화된 경우, 허용되는 연속 소형 TCP 세그먼트의 최대 수를 1~2048 범위로 지정합니다. 값을 0으로 설정하면 소규모 연속 세그먼트 확인이 비활성화됩니다.
이 옵션은 Small Segment Size(소규모 세그먼트 크기) 옵션과 함께 설정해야 합니다. 둘 다 비활성화하거나 둘 다 0이 아닌 값으로 설정합니다. 각 세그먼트의 길이가 1바이트라고 해도 개입 ACK 없이 최대 2000개의 연속 세그먼트를 수신하는 경우 일반적으로 예상하는 것보다
훨씬 많은 연속 세그먼트일 수 있음에 유의하십시오.
이 옵션은 threat defense 라우팅 및 투명 인터페이스에 대해서는 무시됩니다.
규칙 129:12를 활성화하여 이 옵션에 대한 이벤트를 생성하고, 인라인 구축에서 문제가 되는 패킷을 삭제합니다.할 수 있습니다.
소규모 세그먼트 크기
Stateful Inspection Anomalies가 활성화된 경우, 소형으로 간주되는 1~2048바이트의 TCP 세그먼트 크기를 지정합니다. 값을 0으로 설정하면 소규모 세그먼트의 크기가 비활성화됩니다.
이 옵션은 threat defense 라우팅 및 투명 인터페이스에 대해서는 무시됩니다.
이 옵션은 Consecutive Small Segment Size(연속된 소규모 세그먼트 크기) 옵션과 함께 설정해야 합니다. 둘 다 비활성화하거나 둘 다 0이 아닌 값으로 설정합니다. 2048바이트 TCP 세그먼트는 일반적인 1500바이트 이더넷 프레임보다 크다는 점에 유의하십시오.
Ports Ignoring Small Segments(소규모 세그먼트를 무시하는 포트)
Stateful Inspection Anomalies(상태 저장 검사 이상 징후), Consecutive Small Segment Size(연속된 소규모 세그먼트) 및 Small Segment Size(소규모 세그먼트 크기)가 활성화된 경우, 소규모 TCP 세그먼트 탐지를 무시하는 쉼표로 구분된 하나 이상의 포트 목록을 지정합니다. 이 옵션을 비워 두면 어떤 포트도 무시되지 않습니다.
이 옵션은 threat defense 라우팅 및 투명 인터페이스에 대해서는 무시됩니다.
어느 포트든 목록에 추가할 수 있지만, 목록은 TCP 정책 내 Perform Stream Reassembly on(스트림 리어셈블리 수행) 포트 목록 중 하나에서 지정된 포트에만 영향을 미칩니다.
TCP 3방향 핸드셰이크 요청
TCP 3방향 핸드셰이크가 완료되는 경우에만 세션을 설정된 것으로 처리하도록 지정합니다. 성능을 향상시키고, SYN 플러드 공격으로부터 보호하며, 부분 비동기 환경에서 작업을 허용하려면 이 옵션을 비활성합니다. 설정된
TCP 세션의 일부가 아닌 정보를 전송하여 잘못된 긍정을 생성하려고 시도하는 공격을 차단하려면 이 옵션을 활성화합니다.
규칙 129:20을 활성화하여 이 옵션에 대한 이벤트를 생성하고, 인라인 구축에서 문제가 되는 패킷을 삭제합니다.할 수 있습니다.
3방향 핸드셰이크 시간 제한
Require TCP 3‑Way Handshake(TCP 3방향 핸드셰이크 요청)가 활성화된 경우 핸드셰이크 완료 기한이 되는 시간(단위: 초)을 0(무제한)에서 86400(24시간)까지의 범위에서 지정합니다. 이 옵션의 값을 수정하려면 Require TCP 3‑Way Handshake(TCP 3방향 핸드셰이크 요청)를 활성화해야 합니다.
Firepower Software 디바이스 및 threat defense 인라인, 인라인, 패시브 인터페이스의 경우, 기본값은 0입니다. threat defense 라우팅 및 투명 인터페이스의 경우, 시간 초과는 항상 30 초이며, 여기서 구성된 값은 무시됩니다.
패킷 크기 성능 증대
전처리기가 리어셈블리 버퍼에서 대규모 패킷을 큐에 넣지 않도록 설정합니다. 이러한 성능 향상으로 공격이 누락될 수 있습니다. 1~20바이트의 소규모 패킷을 사용하여 회피 시도를 차단하려면 이 옵션을 비활성화합니다.
모든 트래픽이 매우 큰 패킷으로 구성되어 있어서 그러한 공격이 없을 것임을 확신하는 경우 이 옵션을 활성화합니다.
레거시 리어셈블리
패킷을 리어셈블할 때 스트림 전처리기가 더 이상 사용되지 않는 Stream 4(스트림 4) 전처리기를 모방하도록 설정하여 스트림 전처리기가 리어셈블한 이벤트를 Stream 4(스트림 4) 전처리기가 리어셈블한 동일 데이터
스트림에 기반한 이벤트와 비교할 수 있습니다.
비동기 네트워크
모니터링된 네트워크가 비동기 네트워크, 즉, 시스템이 트래픽의 절반만 표시하는 네트워크인지 여부를 지정합니다. 이 옵션을 활성화할 경우, 시스템은 성능을 높이기 위해 TCP 스트림을 리어셈블하지 않습니다.
이 옵션은 threat defense 라우팅 및 투명 인터페이스에 대해서는 무시됩니다.
클라이언트 포트에서 스트림 리어셈블리 수행
연결의 클라이언트 측 포트에 기반한 스트림 리어셈블리를 활성화합니다. 다시 말해, 일반적으로 $HOME_NET에 지정된 IP 주소에 의해 정의되는 웹 서버, 메일 서버, 또는 다른 IP 주소로 전송되는 스트림을 리어셈블합니다.
악성 트래픽이 클라이언트에서 시작될 것으로 예상되는 경우 이 옵션을 사용하십시오.
이 옵션은 threat defense 라우팅 및 투명 인터페이스에 대해서는 무시됩니다.
클라이언트 서비스에서 스트림 리어셈블리 수행
연결의 클라이언트 측을 위한 서비스에 기반한 스트림 리어셈블리를 활성화합니다. 악성 트래픽이 클라이언트에서 시작될 것으로 예상되는 경우 이 옵션을 사용하십시오.
선택한 각 클라이언트 서비스에 대해 하나 이상의 클라이언트 탐지기가 활성화되어야 합니다. 기본적으로 모든 Cisco 제공 탐지기는 활성화되어 있습니다. 연결된 클라이언트 애플리케이션에 활성화된 탐지기가 없는 경우, 시스템은
해당 애플리케이션의 모든 Cisco 제공 탐지기를 자동으로 활성화합니다. 탐지기가 없는 경우, 시스템은 가장 최근에 수정된 해당 애플리케이션의 사용자 정의 탐지기를 활성화합니다.
이 기능을 사용하려면 보호 및 제어 라이선스가 필요합니다.
이 옵션은 threat defense 라우팅 및 투명 인터페이스에 대해서는 무시됩니다.
서버 포트에서 스트림 리어셈블리 수행
연결의 서버 측만을 위한 포트에 기반한 스트림 리어셈블리를 활성화합니다. 다시 말해, 일반적으로 $EXTERNAL_NET에 지정된 IP 주소에 의해 정의되는 웹 서버, 메일 서버, 또는 다른 IP 주소에서 시작되는 스트림을
리어셈블합니다. 서버 측 공격을 경계하고자 하는 경우 이 옵션을 사용합니다. 포트를 지정하지 않음으로써 이 옵션을 비활성화할 수 있습니다.
이 옵션은 threat defense 라우팅 및 투명 인터페이스에 대해서는 무시됩니다.
참고
|
철저한 서비스 검사를 위해서는 Perform Stream Reassembly on Server Ports(서버 포트에서 스트림 리어셈블리 수행) 필드에 포트 번호를 추가하는 것 외에도 Perform Stream Reassembly on Server Services(서버 서비스에서 스트림 리어셈블리 수행) 필드에 서비스 이름을 추가합니다. 예를 들어 Perform Stream Reassembly on Server Ports(서버 포트에서 스트림 리어셈블리 수행) 필드에 포트 번호 80을 추가하는 것 외에도 Perform Stream Reassembly on Server Services(서버 서비스에서 스트림 리어셈블리 수행) 필드에 'HTTP' 서비스를 추가합니다.
|
서버 서비스에서 스트림 리어셈블리 수행
연결의 서버 측만을 위한 서비스에 기반한 스트림 리어셈블리를 활성화합니다. 서버 측 공격을 경계하고자 하는 경우 이 옵션을 사용합니다. 서비스를 지정하지 않음으로써 이 옵션을 비활성화할 수 있습니다.
하나 이상의 탐지기를 활성화해야 합니다. 기본적으로 모든 Cisco 제공 탐지기는 활성화되어 있습니다. 서비스에 활성화된 탐지기가 없는 경우, 시스템은 연결된 애플리케이션 프로토콜의 모든 Cisco 제공 탐지기를 자동으로
활성화합니다. 탐지기가 없는 경우, 시스템은 가장 최근에 수정된 애플리케이션 프로토콜의 사용자 정의 탐지기를 활성화합니다.
이 기능을 사용하려면 보호 및 제어 라이선스가 필요합니다.
이 옵션은 threat defense 라우팅 및 투명 인터페이스에 대해서는 무시됩니다.
두 포트 모두에서 스트림 리어셈블리 수행
연결의 클라이언트 및 서버 측 모두를 위한 포트에 기반한 스트림 리어셈블리를 활성화합니다. 동일한 포트의 악성 트래픽이 클라이언트와 서버 사이에서 어느 방향에서나 이동할 수 있을 것으로 예상되는 경우 이 옵션을 사용하십시오.
포트를 지정하지 않음으로써 이 옵션을 비활성화할 수 있습니다.
이 옵션은 threat defense 라우팅 및 투명 인터페이스에 대해서는 무시됩니다.
두 서비스 모두에서 스트림 리어셈블리 수행
연결의 클라이언트 및 서버 측 모두를 위한 서비스에 기반한 스트림 리어셈블리를 활성화합니다. 동일한 서비스의 악성 트래픽이 클라이언트와 서버 사이에서 어느 방향에서나 이동할 수 있을 것으로 예상되는 경우 이 옵션을 사용하십시오.
서비스를 지정하지 않음으로써 이 옵션을 비활성화할 수 있습니다.
하나 이상의 탐지기를 활성화해야 합니다. 기본적으로 모든 Cisco 제공 탐지기는 활성화되어 있습니다. 연결된 클라이언트 애플리케이션 또는 애플리케이션 프로토콜에 대해 활성화된 탐지기가 없을 경우 해당 애플리케이션 또는
애플리케이션 프로토콜에 대해 자동으로 모든 Cisco 제공 탐지기가 활성화됩니다. 탐지기가 하나도 없을 경우 가장 최근에 수정된 사용자 정의 탐지기가 이 애플리케이션 또는 애플리케이션 프로토콜에 대해 활성화됩니다.
이 기능을 사용하려면 보호 및 제어 라이선스가 필요합니다.
이 옵션은 threat defense 라우팅 및 투명 인터페이스에 대해서는 무시됩니다.
문제 해결 옵션: 최대 대기 바이트
Support(지원팀)는 문제 해결 통화 중 사용자에게 TCP 연결의 한 쪽에 대기될 수 있는 데이터의 양을 지정하도록 요청할 수 있습니다. 0 값은 무제한 바이트 수를 지정합니다.
경고
|
이 문제 해결 옵션에 대한 설정을 변경하면 성능에 영향을 미치므로 지원 안내서를 통해서만 변경해야 합니다.
|
문제 해결 옵션: 최대 대기 세그먼트
Support(지원팀)는 문제 해결 통화 중 사용자에게 TCP 연결의 한 쪽에 대기될 수 있는 세그먼트의 최대 바이트 수를 지정하도록 요청할 수 있습니다. 0 값은 무제한 데이터 세그먼트 바이트 수를 지정합니다.
경고
|
이 문제 해결 옵션에 대한 설정을 변경하면 성능에 영향을 미치므로 지원 안내서를 통해서만 변경해야 합니다.
|