check point ngx smartdefense...
TRANSCRIPT
Check Point NGX SmartDefense保護機能
リファレンス・ガイド
NGX R60 以上
703073 2006 年 7 月
TM
© 2003-2007 Check Point Software Technologies Ltd.
All rights reserved. 本製品および関連ドキュメントは著作権法によって保護されており、その使用、複写、逆コンパイルを制限するライセンス契約に基づいて配布
されています。本製品または関連ドキュメントのいかなる部分も、チェック・ポイントの書面による事前承諾を得ない限り、いかなる形態や方法によっても複製
することはできません。本マニュアルを製作するにあたっては細心の注意が払われていますが、チェック・ポイントはいかなる誤りまたは欠落に対しても一切責
任を負いません。本マニュアルおよびその記述内容は、予告なく変更される場合があります。
権利の制限
米国政府による本製品の使用、複写、または開示は、DFARS(連邦国防調達規定)252.227-7013 および FAR(連邦調達規定)52.227-19 の技術データおよびコ
ンピュータ・ソフトウェアに関する権利条項(c)(1)(ii)により制限されます。
商標
2003-2007 Check Point Software Technologies Ltd. All rights reserved.Check Point、AlertAdvisor、Application Intelligence、Check Point Endpoint Security、CheckPoint Express、Check Point Express CI、Check Point のロゴ、ClusterXL、Confidence Indexing、ConnectControl、Connectra、Connectra Accelerator Card、CooperativeEnforcement、Cooperative Security Alliance、CoreXL、CoSa、DefenseNet、Dynamic Shielding Architecture、Eventia、Eventia Analyzer、Eventia Reporter、EventiaSuite、FireWall-1、FireWall-1 GX、FireWall-1 SecureServer、FloodGate-1、Hacker ID、Hybrid Detection Engine、IMsecure、INSPECT、INSPECT XL、Integrity、Integrity Clientless Security、Integrity SecureClient、InterSpect、IPS-1、IQ Engine、MailSafe、NG、NGX、Open Security Extension、OPSEC、OSFirewall、Pointsec、Pointsec Mobile、Pointsec PC、Pointsec Protector、Policy Lifecycle Management、Provider-1、PURE Security、puresecurity のロゴ、Safe@Home、Safe@Office、SecureClient、SecureClient Mobile、SecureKnowledge、SecurePlatform、SecurePlatform Pro、SecuRemote、SecureServer、SecureUpdate、SecureXL、SecureXLTurbocard、Security Management Portal、Sentivist, SiteManager-1、SmartCenter、SmartCenter Express、SmartCenter Power、SmartCenter Pro、SmartCenterUTM、SmartConsole、SmartDashboard、SmartDefense、SmartDefense Advisor、Smarter Security、SmartLSM、SmartMap、SmartPortal、SmartUpdate、SmartView、
SmartView Monitor、SmartView Reporter、SmartView Status、SmartViewTracker、SMP、SMP On-Demand、SofaWare、SSL Network Extender、Stateful Clustering、TrueVector、Turbocard、UAM、UserAuthority、User-to-Address Mapping、UTM-1、UTM-1 Edge、VPN-1、VPN-1 Accelerator Card、VPN-1 Edge、VPN-1 Express、VPN-1 Express CI、VPN-1 Power、VPN-1 Power VSX、VPN-1 Pro、VPN-1 SecureClient、VPN-1 SecuRemote、VPN-1 SecureServer、VPN-1 UTM、VPN-1 VSX、Web Intelligence、ZoneAlarm、ZoneAlarm Anti-Spyware、ZoneAlarm Antivirus、ZoneAlarm ForceField、ZoneAlarm Internet Security Suite、ZoneAlarm Pro、ZoneAlarmSecure Wireless Router、Zone Labs、および Zone Labs のロゴは、Check Point Software Technologies Ltd. あるいはその関連会社の商標または登録商標です。
ZoneAlarm is a Check Point Software Technologies, Inc. Company. 本書に記載されているその他の製品名は、各所有者の商標または商標登録です。本書に記載さ
れた製品は米国の特許 No. 5,606,668、5,835,726、5,987,611、6,496,935、6,873,988、6,850,943 および 7,165,076 により保護されています。また、その他の米
国における特許やその他の国における特許で保護されているか、出願中の可能性があります。
サード・パーティの商標および著作権については、以下の項を参照してください。 サード・パーティの商標および著作権
目次 5
目次
序文 本書の対象読者......................................................................................................... 10本書の内容................................................................................................................ 11関連ドキュメント ..................................................................................................... 12関連情報 ................................................................................................................... 14ドキュメントに関するご意見 ................................................................................... 15
第 1 章 はじめに 概要および目的......................................................................................................... 18
SmartDefense ..................................................................................................... 18Web Intelligence.................................................................................................. 19
最新版のマニュアルの入手方法 ............................................................................... 20本書の構成................................................................................................................ 21本書で使用されるステータス表示............................................................................ 22
第 2 章 Network Security 概要........................................................................................................................... 24Denial Of Service(サービス妨害攻撃).................................................................... 25
Teardrop(ティアドロップ攻撃)........................................................................ 25Ping of Death(ピング・オブ・デス攻撃).......................................................... 26LAND(ランド攻撃)........................................................................................... 27Non TCP Flooding(非 TCP フラッド攻撃)....................................................... 28
IP and ICMP(IP プロトコルと ICMP プロトコル)................................................. 29Packet Sanity(パケットの正当性).................................................................... 29Max Ping Size(Ping の最大サイズ).................................................................. 30IP Fragments(IP フラグメント)........................................................................ 31Network Quota(ネットワーク・クォータ)....................................................... 32Block Welchia ICMP(Welchia ワーム ICMP の遮断)........................................ 33Block CISCO IOS DOS(CISCO IOS に対するサービス妨害攻撃の遮断)........ 34Block Null Payload ICMP(Null ペイロード ICMP の遮断)................................ 35
TCP(TCP プロトコル)........................................................................................... 36SYN Attack Configuration(SYN 攻撃の設定).................................................... 36Small PMTU(スモール PMTU 攻撃)................................................................. 37Spoofed Reset Protection(偽装 Reset 攻撃からの保護).................................. 38Sequence Verifier(シーケンス・ベリファイア)............................................... 39
6
Fingerprint Scrambling(フィンガープリントのスクランブル)............................... 40ISN Spoofing(ISN スプーフィング).................................................................. 40TTL(Time To Live)............................................................................................ 41IP ID .................................................................................................................... 42
Successive Events(不審なイベント)..................................................................... 43Address Spoofing(アドレス・スプーフィング)............................................... 43Denial of Service(サービス妨害攻撃)............................................................... 44Local Interface Spoofing(ローカル・インタフェース・スプーフィング)........ 45Successive Alerts(不審な警告)......................................................................... 46Successive Multiple Connections(不審な複数接続)......................................... 47
DShield Storm Center............................................................................................... 48Retrieve and Block Malicious IPs(悪質な IP の取得と遮断)............................. 48Report to DShield(DShield への報告)............................................................... 49
Port Scan(ポート・スキャン攻撃)......................................................................... 50Host Port Scan(ホスト・ポート・スキャン).................................................... 50Sweep Scan(スイープ・スキャン).................................................................. 51
Dynamic Ports(動的ポート)................................................................................... 52Block Data Connections to Low Ports(ロー・ポートへのデータ接続を遮断).. 52
第 3 章 Application Intelligence 概要........................................................................................................................... 54Mail ........................................................................................................................... 55
POP3/IMAP Security(POP3/IMAP セキュリティ)............................................ 55Mail Security Server(メール・セキュリティ・サーバ).................................... 56Block ASN.1 Bitstring Encoding Attack over SMTP(ASN.1 ビット文字列の
エンコードを悪用した SMTP 経由の攻撃を遮断)........................................... 57FTP(FTP プロトコル)............................................................................................ 58
FTP Bounce(FTP バウンス攻撃)...................................................................... 58FTP Security Server(FTP セキュリティ・サーバ)........................................... 59
Microsoft Networks(Microsoft ネットワーク)......................................................... 60File and Print Sharing(ファイルとプリンタ共有)............................................. 60Block Null CIFS Sessions(Null CIFS セッションの遮断)................................. 61Block Popup Messages(ポップアップ・メッセージの遮断)........................... 62Block ASN.1 Bitstring Encoding Attack(ASN.1 ビット文字列の
エンコードを悪用した攻撃を遮断).................................................................. 63Block WINS Replication Attack(WINS レプリケーション攻撃の遮断)............. 64Block WINS Name Validation Attack(WINS 名の検証を悪用した
攻撃の遮断)...................................................................................................... 65Peer to Peer(ピア・ツー・ピア、P2P)................................................................. 66
Excluded Services/Network Objects(サービス / ネットワーク・
オブジェクトの除外)....................................................................................... 66ポート 80 番を使用するすべてのプロトコル...................................................... 67すべてのプロトコル ............................................................................................ 68
目次 7
Instant Messengers(インスタント・メッセンジャー、IM)................................... 69Excluded Services/Network Objects(サービス / ネットワーク・
オブジェクトの除外)....................................................................................... 69MSN Messenger over SIP(SIP 上の MSN メッセンジャー)............................. 70MSN Messenger over MSNMS(MSNMS 上の MSN メッセンジャー)............. 71Skype .................................................................................................................. 72Yahoo! Messenger .............................................................................................. 73ICQ ...................................................................................................................... 74
DNS(DNS プロトコル).......................................................................................... 75Protocol Enforcement – TCP(TCP 上の DNS プロトコルの検査).................... 75Protocol Enforcement – UDP(UDP 上の DNS プロトコルの検査)................... 76Domain Block List(遮断するドメインのリスト)............................................... 77Cache Poisoning Protections(キャッシュ・ポイズニング攻撃からの保護).... 78Resource Records Enforcements(リソース・レコードの制限)....................... 79
VoIP(VoIP プロトコル).......................................................................................... 80DOS Protection(DOS 攻撃からの保護)............................................................ 80H323.................................................................................................................... 81SIP....................................................................................................................... 82MGCP(特定コマンドの許可)............................................................................ 86SCCP(Skinny).................................................................................................. 87
SNMP(SNMP プロトコル)..................................................................................... 88Allow Only SNMPv3 Traffic(SNMPv3 のトラフィックのみ許可)..................... 88Drop Requests with Default Community Strings for SNMPv1 and SNMPv2(SNMPv1 と SNMPv2 のデフォルトのコミュニティ文字列を
使用する要求を破棄)....................................................................................... 89VPN Protocols(VPN プロトコル)........................................................................... 90
PPTP Enforcement(PPTP プロトコル標準の厳密適用)................................... 90SSL Enforcement(SSL 標準の厳密適用).......................................................... 91Block IKE Aggressive Exchange(IKE アグレッシブ・モードによる
鍵交換を遮断).................................................................................................. 92IKE Enforcement(IKE 標準の厳密適用)............................................................ 93SSH – Detect SSH over Non-Standard Ports(SSH – 非標準ポートを使用する
SSH の検出)..................................................................................................... 94SSH Enforcement(SSH プロトコル標準の厳密適用)....................................... 95
Content Protection(コンテンツの保護).................................................................. 96Malformed JPEG(不正な JPEG ファイル)....................................................... 96Malformed ANI File(不正な ANI ファイル)....................................................... 97
MS-RPC(MS-RPC プロトコル)............................................................................. 98DCOM – Allow DCE-RPC interfaces other than End-Point Mapper on
Port 135(ポート 135 番上でエンドポイント・マッパー以外の
DCE-RPC インタフェースを許可)................................................................... 98Drop Unauthenticated DCOM(未認証の DCOM を破棄).................................. 99MS-RPC Program Lookup(MS-RPC のプログラム・ルックアップ)............... 99
8
MS-SQL(MS SQL プロトコル)............................................................................ 100MS-SQL Monitor Protocol(MS SQL Monitor プロトコル)............................... 100MS-SQL Server Protocol(MS SQL Server プロトコル)................................. 101
Routing Protocols(ルーティング・プロトコル)................................................... 102OSPF................................................................................................................. 102BGP – Block non-MD5 authenticated BGP connections(BGP – MD5 で認証されていない BGP 接続を遮断).................................... 103RIP(RIP プロトコル)...................................................................................... 104IGMP(IGMP プロトコル)................................................................................ 105
SUN-RPC(SUN-RPC プロトコル)....................................................................... 106SUN-RPC Program Lookup(SUN-RPC プログラム・ルックアップ)............. 106
DHCP(DHCP プロトコル)................................................................................... 107SOCKS(SOCKS プロトコル).............................................................................. 108
第 4 章 Web Intelligence 概要......................................................................................................................... 110Malicious Code(悪質なコード)............................................................................ 111
General HTTP Worm Catcher(HTTP ワーム全般の捕捉)............................... 111Malicious Code Protector .................................................................................. 112
Application Layer(アプリケーション層).............................................................. 113Cross Site Scripting(クロス・サイト・スクリプティング)............................ 113LDAP Injection(LDAP インジェクション攻撃)............................................... 114SQL Injection(SQL インジェクション攻撃)................................................... 115Command Injection(コマンド・インジェクション)....................................... 116Directory Traversal(ディレクトリ・トラバーサル)........................................ 117
Information Disclosure(情報公開)........................................................................ 118Header Spoofing(ヘッダ・スプーフィンング)............................................... 118Directory Listing(ディレクトリ・リスト)....................................................... 119Error Concealment(エラーの秘匿)................................................................. 120
HTTP Protocol Inspection(HTTP プロトコル・インスペクション)..................... 121HTTP Format Sizes(HTTP フォーマット・サイズ)....................................... 121ASCII Only Request(要求を ASCII 文字に限定)............................................. 124ASCII Only Response Headers(応答ヘッダを ASCII 文字に限定)................. 125Header Rejection(特定のヘッダを遮断)......................................................... 126HTTP Methods(HTTP メソッド).................................................................... 127Block HTTP on Non-Standard Port(非標準ポートを使用する
HTTP を遮断)................................................................................................. 128Block Malicious HTTP Encodings(悪質な HTTP エンコードの遮断)............. 129
索引 ................................................................. 137
9
序文序文
この章の構成
本書の対象読者 10ページ
本書の内容 11ページ
関連ドキュメント 12ページ
関連情報 14ページ
ドキュメントに関するご意見 15ページ
本書の対象読者
10
本書の対象読者本書は、ポリシー管理やユーザ・サポートなど、企業内でネットワーク・セキュリティの保守を担
当する管理者を対象にしています。
本書では、以下の基本事項を理解していることを前提にしています。
• システム管理
• 基本オペレーティング・システム
• インターネット・プロトコル(IP、TCP、UDPなど)
本書の内容
序文 11
本書の内容本書は以下の各章で構成されています。
章 説明
第1章「はじめに」 システム管理者向けに、旧リリースにポリシーを
インストールする場合に各保護機能で予測される動作
(下位互換性)について説明します。
第2章「Network Security」 Network Securityの各保護機能について説明します。
第3章「Application Intelligence」 Application Intelligenceの各保護機能について説明します。
第4章「Web Intelligence」 Web Intelligenceの各保護機能について説明します。
関連ドキュメント
12
関連ドキュメントこのリリースには、以下のマニュアルが含まれます。
表 P-1 VPN-1 Power Suite のマニュアル
タイトル 説明
Internet Security Product Suite導入の
手引き
NGX R65の概要および製品のインストールとアップグレードの手順に
ついて説明しています。 また、新機能、ライセンス、ハードウェアと
ソフトウェアの最小要件などについても説明しています。
アップグレード・
ガイド
VPN-1/FireWall-1 NG以降のチェック・ポイント製品で利用できるすべ
てのアップグレード・パスについて説明しています。このガイドでは
特に、NGX R65へのアップグレードに重点を置いています。
SmartCenter SmartCenter管理ソリューションについて説明しています。 このガイ
ドでは、ネットワークの境界、ネットワーク内部、あらゆるユーザの
エンド・ポイントでのセキュリティ導入の設定、管理および監視を制
御するためのソリューションを紹介しています。
ファイアウォールとSmartDefense
ネットワーク・アクセスの制御と保護、ネットワーク接続の確立、
SmartDefenseを使用したネットワークおよびアプリケーション・レベ
ルの攻撃に対する防御、Web Intelligenceを使用したWebサーバとアプ
リケーションの保護、および統合Webセキュリティ機能について取り
上げます。さらに、ウイルス対策用のCVP(コンテンツ・ベクトリン
グ・プロトコル)アプリケーション、Webサイトへのアクセスを制限
するためのURL フィルタリング(UFP)アプリケーションの使用方法、
およびVoIPトラフィックを保護する方法について説明しています。
バーチャル・プライ
ベート・ネットワーク
このガイドでは、VPNの基本的なコンポーネントについて説明し、VPNインフラストラクチャを構成する技術に関する基本情報を提供します。
Eventia Reporter トラフィックを監視および監査する方法、チェック・ポイントVPN-1Power、SecureClient、およびSmartDefenseによって記録されたすべて
のイベントの詳細レポートや要約レポートを、選択した形式(リスト、
棒グラフ、円グラフなど)を使用して生成する方法について説明して
います。
SecurePlatform™/SecurePlatform Pro
SecurePlatformのインストールと設定の方法について説明しています。
また、SecurePlatformの管理方法とダイナミック・ルーティング(ユ
ニキャストおよびマルチキャスト)プロトコルについても説明してい
ます。
Provider-1/SiteManager-1
Provider-1/SiteManager-1セキュリティ管理ソリューションについて
説明しています。 このガイドでは、3層のマルチポリシー管理アーキテ
クチャ、およびネットワーク・オペレーティング・センター環境に共
通して見られる、時間のかかる繰り返し作業を自動化するためのネッ
トワーク・オペレーティング・センター指向の機能のホストについて
詳しく説明します。
関連ドキュメント
序文 13
表 P-2 Integrity サーバのマニュアル
タイトル 説明
インストール・ガイド: Integrity Advanced Serverのインストール、設定、および
保守
Integrity Advanced Serverのインストール、設定、および
保守の方法について説明しています。
管理者ガイド: Using Integrity Advanced Server
画面ごとのユーザ・インタフェース要素の説明と関連する章
への相互参照を紹介しています。 ヘルプ・システムの使い方
も含めた管理コンソールの操作の概要を説明します。
Integrity Advanced Server Administrator Guide
Integrity Advanced Serverで管理者およびエンドポイントの
セキュリティを管理する方法を説明しています。 Integrity Advanced Server Gateway Integration Guide
VPN(バーチャル・プライベート・ネットワーク)ゲートウェ
イ・デバイスを Integrity Advanced Serverと統合する方法に
ついて説明しています。 また、統合SecureClient/Integrityクラ
イアント・パッケージの導入方法についても説明しています。
System Requirements: Integrity Advanced Server
クライアントとサーバの要件について説明します。
Installation and Administration Guide: Installing and using Integrity Agent for Linux
Integrity Agent for Linuxのインストールと設定の方法につい
て説明しています。
Integrity XML Policy Reference Guide
IntegrityクライアントのXMLポリシー・ファイルの内容につ
いて説明しています。
Integrity Client Management Guide
コマンド・ライン・パラメータを使用して、Integrityクライア
ントのインストーラの動作およびインストール後の動作を制
御する方法を説明しています。
関連情報
14
関連情報• チェック・ポイント製品の詳細な技術情報については、弊社のナレッジ・ベース
SecureKnowledge(https://secureknowledge.checkpoint.com/)を参照してください。
• 本書の最新版については、ユーザ・センター
http://www.checkpoint.com/support/technical/documentsを参照してください。
ドキュメントに関するご意見
序文 15
ドキュメントに関するご意見チェック・ポイントは継続的にドキュメントの改善に努めています。ご意見やご要望がありましたら、
遠慮なく以下の宛先までお送りください。
ドキュメントに関するご意見
16
17
第 章1はじめに
この章の構成
概要および目的 18ページ
最新版のマニュアルの入手方法 20ページ
本書の構成 21ページ
本書で使用されるステータス表示 22ページ
概要および目的
18
概要および目的本書は、いくつかの章とセクションで構成されており、NGX(R60)SmartDefense およびWebIntelligenceの保護機能と以下の旧バージョンの製品との連動について、概要を説明しています。
• NG FP3
• NG With Application Intelligence(R54)
• NG With Application Intelligence(R55)(R55Pを含む)
• NG With Application Intelligence(R55W)
本書の目的は、システム管理者向けに、旧リリースにポリシーをインストールする場合に各保護機
能で予測される動作(下位互換性)を説明することにあります。
SmartDefenseとWeb Intelligenceの保護機能を完全に理解するには、ご自身でNGX(R60)の動
作に慣れることをお勧めします。動作に慣れるには、『CheckPoint R65 ファイアウォールと
SmartDefense』を参照してください。
SmartDefenseチェック・ポイントのSmartDefenseは、攻撃の検出と防御を行うさまざまなコンポーネントに対
する統一セキュリティ・フレームワークを提供します。 SmartDefenseは、セキュリティ・ルール・
ベースで明示的に保護が定義されていない場合でも、能動的にネットワークを保護します。
SmartDefenseはネットワーク内の活動を妨げることなく動作を分析し、潜在的な脅威となるイベ
ントを追跡して必要に応じて通知を送信します。 SmartDefenseはインテリジェントなセキュリ
ティ技術を使用して、すべての既知のネットワーク攻撃および未知のさまざまな攻撃から組織を守
ります。
最新の防御手段を実施するために最新の技術的知識は必要ありません。 ワン・クリックで、
SmartDefenseのWebサイトから最新の防御手段をすべて入手できます。
SmartDefenseのコンソールでは、以下を実行できます。
• 防御する攻撃を選択し、その攻撃の詳細情報を表示する。
• 攻撃ごとに、ログ・オプションなどのパラメータを簡単に設定する。
• 攻撃の情報をリアルタイムに受信し、新しい機能をSmartDefenseで更新する。
Web Intelligence
第 1 章 はじめに 19
Web Intelligenceチェック・ポイントのWeb Intelligenceを使用すると、Webサーバやアプリケーションの攻撃保護
機能を設定、実施、および更新できます。 Web Intelligenceの保護機能は、Webベースの攻撃に対
して特別に設計されており、SmartDefenseが提供するネットワーク・レベルとアプリケーション・
レベルの保護機能を補完します。 さらに、Web Intelligenceアドバイザリでは、Web Intelligenceお
よび新しい攻撃に対する事前防御に関する情報をオンラインで提供しています。
Web Intelligenceは、Webサーバ自体への攻撃からWebアプリケーションが使用するデータベース
への攻撃にいたるまで、既知の攻撃を幅広く防御します。さらに、インテリジェント・セキュリ
ティ技術を採用することにより、新種および未知のさまざまな攻撃も防御します。
Webファイアウォールや旧来の侵入防止システムとは異なり、Web Intelligenceは外部の攻撃から
Webを能動的に保護します。 クライアントとWebサーバ間の通信が、公開されている標準のセキュ
リティ対策に準拠していることを確認し、攻撃者が不適切なシステム・コマンドを実行できないよ
うにします。さらに、Webサーバへのトラフィックを調べて、悪質なコードが含まれていないかど
うかを確認します。 Web Intelligenceを使用すると、セキュリティやパフォーマンスを低下させず
にWebサーバとWebアプリケーションへのアクセスを許可することができます。
最新版のマニュアルの入手方法
20
最新版のマニュアルの入手方法SmartDefenseとWeb Intelligenceの保護機能は継続的に更新されています。 したがって、このマニュアル
の最新オンラインバージョンはユーザ・センターhttp://www.checkpoint.com/support/technical/documentsで入手してください。 その他の情報については、チェック・ポイントのパートナーにお問い合わせ
ください。
本書の構成
第 1 章 はじめに 21
本書の構成本書はいくつかの章に分かれています。
第2章「Network Security」では、ネットワーク・レベルおよびトランスポート・レベルでの攻撃
に対する防御を可能にする、ネットワーク・セキュリティ保護の概要を説明します。
第3章「Application Intelligence」では、SmartDefenseのApplication Intelligence機能を使用して、
アプリケーション層でのさまざまな保護を可能にするApplication Intelligenceの保護機能の概要を
説明します。
第4章「Web Intelligence」では、Webサーバおよびアプリケーションに対する高性能な攻撃防御
機能について説明します。 このアドオンは、悪質なコードを探し、プロトコルとセキュリティの推
奨手順を確実に実行することで、能動的に攻撃防御を行います。
本書で使用されるステータス表示
22
本書で使用されるステータス表示本書では、特定のシナリオにおける各保護機能の条件をステータスで表しています。 ステータスは
以下のとおりです。
• オン
保護機能がデフォルトでオンであることを示しています。 ただし、保護オプション内では
デフォルトでオン /オフになる場合があります。
• オフ
保護機能がデフォルトでオフであることを示しています。
• 同じ
保護機能の動作がNGX(R60)と同じであることを示しています。
• 常にオン
NGX(R60)でオフに設定していても、このリリースのモジュールでは保護機能をオフにでき
ないことを示しています。
• 保護を実施
保護機能が有効であることを示しています。
• *保護を実施
保護機能が有効ではあるが、この保護機能はR55のリリース時にはなかったことを示してい
ます。 この保護機能を有効にする前に、SmartDashboardを更新する必要があります。
• 保護を非実施
保護機能が有効でないことを示しています。
• 許可
すべてのコマンドが許可されていることを示しています。
• N/A
該当しないことを示しています。
23
第 章2Network Security
この章の構成
概要 24ページ
Denial Of Service(サービス妨害攻撃) 25ページ
IP and ICMP(IPプロトコルと ICMPプロトコル) 29ページ
TCP(TCPプロトコル) 36ページ
Fingerprint Scrambling(フィンガープリントのスクランブル) 40ページ
Successive Events(不審なイベント) 43ページ
DShield Storm Center 48ページ
Port Scan(ポート・スキャン攻撃) 50ページ
Dynamic Ports(動的ポート) 52ページ
概要
24
概要Application Intelligenceは、主にアプリケーション・レベルの防御に使用されます。 しかし現実に
は、ネットワーク・アプリケーションを標的とする多くの攻撃は、実際にはネットワーク層とトラ
ンスポート層を標的にしています。
ハッカーはアプリケーション層にアクセスするための手段としてこれらの低レベル層を狙い、最終
的にはアプリケーションとデータ自体を標的とします。 また、低レベル層を標的とすることで、正
規のユーザやアプリケーションがサービスを利用するのを妨げたり拒否させたりできます(DoS攻
撃など)。 これらの理由から、SmartDefenseではアプリケーション層だけでなく、ネットワーク層
とトランスポート層の問題にも対処します。
ネットワーク層のプロトコル(IP、ICMPなど)に対する不正操作を防ぐことは、多層セキュリ
ティ・ゲートウェイにおいて必要不可欠です。 ネットワーク層への攻撃では、インターネット・プ
ロトコル(IP)が最も一般的に利用されます。
ネットワーク層と同様にトランスポート層のプロトコル(TCP、UDP)も、アプリケーションと
データを攻撃するためのアクセス・ポイントとして頻繁に使用されます。
以下のページでは、NGX(R60)より前のバージョンからネットワーク・レベルとトランスポート・
レベルでの攻撃に対する各種のSmartDefense保護機能を設定するのに役立つ情報を紹介します。
これらの情報を利用して、ネットワーク・コンポーネントやファイアウォールへの直接の攻撃に対
する保護機能を設定できます。
IP、TCP、UDPまたは ICMPネットワーク・プロトコルを対象とするこれらの攻撃の影響は、単に
組織内で使用されているオペレーティング・システムを識別することから、ネットワーク上のホス
トとサーバに対するサービス妨害攻撃にまで至ります。
Denial Of Service(サービス妨害攻撃)
第 2 章 Network Security 25
Denial Of Service(サービス妨害攻撃)サービス妨害攻撃(DoS攻撃)は、サービスの正常な動作を妨害することを目的としています。 このタイプの攻撃は、オペレーティング・システムの脆弱性を悪用し、リモートからマシンの異常終
了を引き起こします。
SmartDefenseによって生成されるログにより攻撃を検出できます。 これらのログは攻撃別に生成
できます。
Teardrop(ティアドロップ攻撃)
ティアドロップ攻撃は、2つ目以降のフラグメントに不正なオフセット値を含む大きなパケットの
フラグメンテーションを利用しようとする攻撃です。 この保護機能を選択することにより、ティア
ドロップ攻撃が遮断されます。
このチェックボックスをオンにしていない場合でも、ティアドロップ攻撃は遮断され、[Virtualdefragmentation error: Overlapping fragments]としてログに記録されます。
表 2-1
デフォルトの設定: オン
保護機能により生成されるログ: Teardrop attack detected
NGXのパフォーマンスへの影響: なし
表 2-2
NG FP3 ~ R55 R55W
NGX(R60)管理サー
バから保護機能を
オンにした場合の
動作
NGX(R60)管理サー
バから保護機能を
Monitor-Onlyにした
場合の動作
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした
場合の動作
同じ N/A 同じ N/A
Ping of Death(ピング・オブ・デス攻撃)
26
Ping of Death(ピング・オブ・デス攻撃)
ピング・オブ・デス攻撃は、64 KBを超えるIPパケットをネットワークに送信しようとする攻撃です。
この保護機能を選択することにより、ピング・オブ・デス攻撃が遮断されます。
このチェックボックスをオンにしていない場合でも、ピング・オブ・デス攻撃は遮断され、[Virtualdefragmentation error: Packet too big]としてログに記録されます。
表 2-3
デフォルトの設定: オン
保護機能により生成されるログ: Ping of Death
NGXのパフォーマンスへの影響: なし
表 2-4
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした
場合の動作
NGX(R60)管理
サーバから保護機
能をオンにした
場合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした
場合の動作
同じ N/A 同じ N/A
LAND(ランド攻撃)
第 2 章 Network Security 27
LAND(ランド攻撃)
この保護機能により、ランド攻撃を遮断できます。 ランド攻撃は、同じ発信元ホスト /ポートで
コンピュータにパケットを送信しようとする攻撃です。
この保護機能を選択することにより、ランド攻撃が遮断されます。
この保護機能が有効な場合は、ランド攻撃を仕掛けるパケットは遮断されます。
表 2-5
デフォルトの設定: オン
保護機能により生成されるログ: Land Attack
NGXのパフォーマンスへの影響: なし
表 2-6
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした
場合の動作
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした
場合の動作
同じ 保護を非実施 同じ 同じ
Non TCP Flooding(非 TCP フラッド攻撃)
28
Non TCP Flooding(非 TCP フラッド攻撃)
この保護機能を使用すると、開いている非TCP接続の割合を制限することにより非TCPフラッド
攻撃を遮断できます。 しきい値を設定することにより、SmartDefenseは非TCP接続に指定した割
合以上の帯域が使用されるのを防ぎます。
さらに、このしきい値を超える非TCP接続を追跡できます。
表 2-7
デフォルトの設定: オフ
保護機能により生成されるログ: NGXのパフォーマンスへの影響: アクセラレーションが有効
表 2-8
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした
場合の動作
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした
場合の動作
保護を非実施 保護を非実施 同じ N/A
IP and ICMP(IP プロトコルと ICMP プロトコル)
第 2 章 Network Security 29
IP and ICMP(IP プロトコルと ICMP プロトコル)このセクションで説明する保護機能により、第3層の総合的なシーケンス・チェック(IPプロトコル
と ICMPプロトコル)および第4層の検査(UDP、TCP、および IPのオプションの正当性検査)を
実行できます。
Packet Sanity(パケットの正当性)
この保護機能は、第3層と第4層で幾つかの正当性検査を行います。 たとえば、パケット・サイズ
やUDP、TCPのヘッダ長を確認したり、IPのオプションを一部制限したり、TCPフラグを検証し
たりできます。
また、検査でパケットに異常が発見された場合に、その事実をログに記録するかどうかも設定でき
ます。
Monitor-Onlyモードを使用すると、正当でないトラフィックを遮断せずに追跡できます。 ただし、
Monitor-Onlyモードに設定すると、フラグメント化されたパケットがフィルタ処理されずに通過し
ます。 フラグメント化されたパケットに何らかの攻撃が潜んでいる恐れがあるため、 この設定は
ネットワークを攻撃にさらすことになります。
Monitor-Onlyモードではパケットの正当性はオフになっていますが、以下の正当性検査は依然とし
て実行され、該当する場合、これらのパケットは破棄されます。
– 無効なUDP長を持つUDPパケット
– ヘッダが破損しているTCPパケット
これらの場合はいずれも、SmartDefenseログが生成されます。
表 2-9
デフォルトの設定: オン
保護機能により生成されるログ: NGXのパフォーマンスへの影響: アクセラレーションが有効
表 2-10
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした
場合の動作
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした
場合の動作
常にオン 保護を実施 常にオン 常にオン
Max Ping Size(Ping の最大サイズ)
30
Max Ping Size(Ping の最大サイズ)
この保護機能により、ICMPエコー・リクエストの最大許容データ・サイズを制限できます。 リク
エストが不正な形式になる「ピング・オブ・デス攻撃」と混同しないでください。
表 2-11
デフォルトの設定: オン
保護機能により生成されるログ: NGXのパフォーマンスへの影響: なし
表 2-12
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした
場合の動作
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした
場合の動作
同じ 保護を非実施 同じ 同じ
IP Fragments(IP フラグメント)
第 2 章 Network Security 31
IP Fragments(IP フラグメント)
この保護機能により、フラグメント化された IPパケットに対してSmartDefenseゲートウェイを通
過させるかどうかを設定できます。 許可されるフラグメント化されたパケット(不完全なパケット)
の数に制限を設定することが可能です。
また、構成されていないパケットを保持するタイムアウトを設定できます。
表 2-13
デフォルトの設定: 許可
保護機能により生成されるログ: NGXのパフォーマンスへの影響: フラグメントをファイアウォールに転送 (フラグ
メント化されていないトラフィックは影響なし)
表 2-14
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした
場合の動作
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした
場合の動作
同じ N/A 同じ N/A
Network Quota(ネットワーク・クォータ)
32
Network Quota(ネットワーク・クォータ)
ネットワーク・クォータは、同じ発信元 IPから確立できる接続数を制限することで、DoS攻撃を遮
断します。
特定の発信元からの接続が許可された接続数を超えると、ネットワーク・クォータはその発信元か
らの新たな接続をすべて遮断するか、イベントを記録します。
表 2-15
デフォルトの設定: オフ
保護機能により生成されるログ: Network Quota
NGXのパフォーマンスへの影響: テンプレートが無効
表 2-16
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした
場合の動作
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした
場合の動作
同じ 同じ 同じ 同じ
注: R55W のネットワーク・クォータ保護機能では、[Monitor Only]は[Only track the event]と呼ばれていました。
Block Welchia ICMP(Welchia ワーム ICMP の遮断)
第 2 章 Network Security 33
Block Welchia ICMP(Welchia ワーム ICMP の遮断)
この保護機能が有効な場合、SmartDefenseはWelchiaワーム固有のPingパケットを識別して、
破棄します。
表 2-17
デフォルトの設定: オフ
保護機能により生成されるログ: Welchia/Nachi Worm ICMP Packet Detected
NGXのパフォーマンスへの影響: なし(ICMPのアクセラレーションが無効)
表 2-18
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした
場合の動作
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした
場合の動作
同じ 同じ 同じ 同じ
Block CISCO IOS DOS(CISCO IOS に対するサービス妨害攻撃の遮断)
34
Block CISCO IOS DOS(CISCO IOS に対するサービス妨害攻撃の遮断)
この保護機能により、CISCO IOSに対するサービス妨害攻撃から保護するプロトコルを設定でき
ます。 また、実施モジュールから何ホップ先のCiscoルータまで保護するのかも指定できます。
表 2-19
デフォルトの設定: オフ
保護機能により生成されるログ: Cisco IOS Enforcement Violation
NGXのパフォーマンスへの影響: なし(ICMPのアクセラレーションが無効)
表 2-20
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした
場合の動作
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした
場合の動作
同じ 同じ 同じ 同じ
Block Null Payload ICMP(Null ペイロード ICMP の遮断)
第 2 章 Network Security 35
Block Null Payload ICMP(Null ペイロード ICMP の遮断)
この保護機能が有効な場合、SmartDefenseはNullペイロードのPingパケットを識別して、破棄し
ます。
VPN-1 NG AI(R55)では、SmartView Trackerを使用して、ルール番号99501のDropログ・エン
トリで識別します。
表 2-21
デフォルトの設定: オフ
保護機能により生成されるログ: Null Payload Echo Request
NGXのパフォーマンスへの影響: なし(ICMPのアクセラレーションが無効)
表 2-22
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにした
場合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした
場合の動作
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした
場合の動作
同じ 同じ 同じ 同じ
TCP(TCP プロトコル)
36
TCP(TCP プロトコル)このセクションで説明する保護機能により、包括的なTCPプロトコルの検査を設定できます。
SYN Attack Configuration(SYN 攻撃の設定)
この保護機能により、SYN攻撃を検出してネットワークを保護する方法を設定できます。 1箇所
(SmartDefense)でSYN攻撃に対する保護(SmartDefenseによる保護)を有効にし、すべてのモ
ジュール(ゲートウェイ)に対する保護パラメータを一括で指定するか、または現在の個々のゲー
トウェイに対して以前のSYNDefender(SYN攻撃)の設定を有効にするかを選択できます。
SYN攻撃に対する保護は、モジュールごとに個別に設定できます。 このページでモジュール固有の
設定を無効にすることが可能です。
表 2-23
デフォルトの設定: オフ
保護機能により生成されるログ: NGXのパフォーマンスへの影響: TCPセッションのアクセラレーションが無効
(テンプレートが無効) Relayモード - セッション・
ハンドシェイクをFWに転送
表 2-24
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにした
場合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした
場合の動作
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした
場合の動作
同じ 保護を実施 同じ 同じ
Small PMTU(スモール PMTU 攻撃)
第 2 章 Network Security 37
Small PMTU(スモール PMTU 攻撃)
この保護機能は、設定オプション[Minimal MTU size]で許可されるパケット・サイズを制御しま
す。 極端に小さな値では攻撃は防御されず、また不必要に大きな値では正当なリクエストが破棄さ
れて「ブラック・ホール」効果が生じ、パフォーマンスが低下する恐れがあります。
表 2-25
デフォルトの設定: オフ
保護機能により生成されるログ: NGXのパフォーマンスへの影響: なし(アクセラレーションが有効)
表 2-26
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにした
場合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした
場合の動作
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした
場合の動作
同じ 保護を実施 同じ 同じ
Spoofed Reset Protection(偽装 Reset 攻撃からの保護)
38
Spoofed Reset Protection(偽装 Reset 攻撃からの保護)
この保護機能により、あらかじめ設定した期間について接続ごとに許可されるRSTパケットの数に
しきい値が設定されます。
指定したサービスをこの保護から除外することが可能です。 HTTPのように比較的短いセッション
を特徴とするサービスはこの攻撃の影響を受けないため、 パフォーマンス上の理由から、これらの
サービスをこの保護から除外することをお勧めします。
表 2-27
デフォルトの設定: オフ
保護機能により生成されるログ: NGXのパフォーマンスへの影響: RSTパケットをファイアウォールに転送
表 2-28
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした
場合の動作
NGX(R60)管理
サーバから保護機
能をオンにした
場合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした
場合の動作
保護を非実施 保護を非実施 保護を非実施 保護を非実施
Sequence Verifier(シーケンス・ベリファイア)
第 2 章 Network Security 39
Sequence Verifier(シーケンス・ベリファイア)
シーケンス・ベリファイアは、TCPパケットの現在のシーケンス番号とTCPの接続状態をマッチ
ングさせるシーケンス検証機能です。 TCPセッションにおいて、既存の接続には一致するがシーケ
ンス番号が正しくないパケットは、パケットのシーケンスがセキュリティを損なう恐れがある場合
に破棄されるかデータが取り除かれます。
この保護機能により、適切な追跡オプションを選択し、追跡するシーケンス外パケットのタイプを
定義できます。
表 2-29
デフォルトの設定: オフ
保護機能により生成されるログ: NGXのパフォーマンスへの影響: なし
表 2-30
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにした
場合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした
場合の動作
NGX(R60)管理
サーバから保護機
能をオンにした
場合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした
場合の動作
同じ 保護を非実施 同じ 保護を非実施
Fingerprint Scrambling(フィンガープリントのスクランブル)
40
Fingerprint Scrambling(フィンガープリントのスクランブル)
SmartDefense では、フィンガープリンティングで一般的に使用されるフィールドの一部をスクラ
ンブルし、ファイアウォール背後のホストのオリジナル識別情報を秘匿できます。 ただし、フィン
ガープリンティングを完全に防ぐことはほぼ不可能です。 また、この機能によりファイアウォール
で保護されたホストのフィンガープリンティングは困難になりますが、そこにファイアウォールが
あるという事実を隠すわけではありません(つまり、ファイアウォールの存在をフィンガープリン
ティングすることは依然として可能です)。
この保護機能により、暗号化されていない(プレーンな)接続、暗号化された接続(VPN接続また
はHTTPS接続)、またはその両方に対してフィンガープリントをスプーフィングすることを選択で
きます。
ISN Spoofing(ISN スプーフィング)
ISNスクランブラは、サーバが使用するシーケンス番号とクライアントが認識するシーケンス番号
に違いを生じさせることにより、この攻撃に対抗します。 この番号の違いは、暗号化機能により高
いエントロピーを持つため、サーバの ISNの推測が事実上不可能になります。 実際のサーバのエン
トロピーが、ISNスクランブラで選択されているエントロピーよりも高い場合は、高いほうのエン
トロピーがクライアントに送信されます。
表 2-31
デフォルトの設定: オフ
保護機能により生成されるログ: NGXのパフォーマンスへの影響: TCPトラフィックのアクセラレーションが無効
表 2-32
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにした
場合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした
場合の動作
NGX(R60)管理
サーバから保護機
能をオンにした
場合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした
場合の動作
同じ 保護を非実施 同じ 保護を非実施
TTL(Time To Live)
第 2 章 Network Security 41
TTL(Time To Live)この保護機能により、TTLの使用を有効または無効にし、パケットをTTLパケットとして識別する
方法を定義します。
すべてのパケット(またはすべての送信パケット)のTTLフィールドを指定した番号に変更できま
す。 これにより、 リスナはホストのルータ(ホップ)の数を知ることができず、元のTTL値を知る
こともできなくなります。
表 2-33
デフォルトの設定: オフ
保護機能により生成されるログ: NGXのパフォーマンスへの影響: TCPトラフィックのアクセラレーションが無効
表 2-34
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにした
場合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした
場合の動作
NGX(R60)管理
サーバから保護機
能をオンにした
場合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした
場合の動作
同じ 保護を非実施 同じ 保護を非実施
IP ID
42
IP IDこの保護機能では、元の IP IDを無効にして、代わりにファイアウォールが生成した IDに設定する
ことができるため、元のオペレーティング・システムで使用されるアルゴリズムをマスキングし、
オペレーティング・システムの IDを隠すことができます。 多くのオペレーティング・システムで使
用されているRandom、Incremental、および Incremental LE(リトル・エンディアン)の3種類の
アルゴリズムを使用できます。
表 2-35
デフォルトの設定: オフ
保護機能により生成されるログ: NGXのパフォーマンスへの影響: TCPトラフィックのアクセラレーションが無効
表 2-36
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした
場合の動作
NGX(R60)管理
サーバから保護機
能をオンにした
場合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした
場合の動作
同じ 保護を非実施 同じ 保護を非実施
Successive Events(不審なイベント)
第 2 章 Network Security 43
Successive Events(不審なイベント)このセクションで説明する保護機能により、いくつかの一般的な属性も含めて、チェック・ポイン
トのさまざまな種類のMalicious Activity Detectionsを設定できます。
これらの検出はすべて、SmartDefenseが生成するログに依存しています。 デフォルトでは、チェッ
ク・ポイントのMalicious Activity Detectionsは検出された攻撃を遮断するのではなく、警告を生成
します。 User Defined Alerts(ユーザ定義警告)などのほかのアクションを実行するように設定す
ることができます。
Address Spoofing(アドレス・スプーフィング)
この保護機能により、アドレス・スプーフィングを防御するためのパラメータを設定できます。 指定した秒数間に一定の数を超えるイベントが検出されると、攻撃はアドレス・スプーフィングとし
て検出(定義)されます。
表 2-37
デフォルトの設定: オフ
保護機能により生成されるログ: NGXのパフォーマンスへの影響: なし
表 2-38
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにした
場合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした
場合の動作
NGX(R60)管理
サーバから保護機
能をオンにした
場合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした
場合の動作
同じ 保護を実施 同じ 保護を実施
Denial of Service(サービス妨害攻撃)
44
Denial of Service(サービス妨害攻撃)
ネットワークをDoS攻撃から保護するために、SmartDefenseはしきい値を利用してDoS攻撃を識
別します。 このしきい値により、指定した時間に一定の量を超えるイベントが発生すると、DoSイ
ベントとして検出されます。
このしきい値の限界に達すると、DoSイベントの発生がログに記録され、警告が生成されます。
この保護機能により、DoS攻撃として処理するイベントの頻度、およびこれらの攻撃が検出された
ときに取るアクションを定義できます。
表 2-39
デフォルトの設定: オフ
保護機能により生成されるログ: NGXのパフォーマンスへの影響: なし
表 2-40
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにした
場合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした
場合の動作
NGX(R60)管理
サーバから保護機
能をオンにした
場合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした
場合の動作
同じ 保護を実施 同じ 保護を実施
Local Interface Spoofing(ローカル・インタフェース・スプーフィング)
第 2 章 Network Security 45
Local Interface Spoofing(ローカル・インタフェース・スプーフィング)
この保護機能により、ローカル・インタフェース・スプーフィングを防御するためのパラメータを
設定できます。 指定した秒数間に一定の数を超えるイベントが検出されると、攻撃はローカル・イ
ンタフェース・スプーフィングとして検出(定義)されます。
表 2-41
デフォルトの設定: オフ
保護機能により生成されるログ: NGXのパフォーマンスへの影響: なし
表 2-42
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにした
場合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした
場合の動作
NGX(R60)管理
サーバから保護機
能をオンにした
場合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした
場合の動作
同じ 保護を実施 同じ 保護を実施
Successive Alerts(不審な警告)
46
Successive Alerts(不審な警告)
この保護機能により、不審な警告を防御するためのパラメータを設定できます。 指定した秒数間に
一定の数を超えるイベントが検出されると、攻撃は不審な警告として検出(定義)されます。
表 2-43
デフォルトの設定: オフ
保護機能により生成されるログ: NGXのパフォーマンスへの影響: なし
表 2-44
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにした
場合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした
場合の動作
NGX(R60)管理
サーバから保護機
能をオンにした
場合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした
場合の動作
同じ 保護を実施 同じ 保護を実施
Successive Multiple Connections(不審な複数接続)
第 2 章 Network Security 47
Successive Multiple Connections(不審な複数接続)
この保護機能により、不審な複数接続を防御するためのパラメータを設定できます。 指定した秒数
間に一定の数を超えるイベントが検出されると、攻撃は不審な複数接続として検出(定義)されます。
表 2-45
デフォルトの設定: オフ
保護機能により生成されるログ: Successive Multiple Connections
NGXのパフォーマンスへの影響: なし
表 2-46
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにした
場合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした
場合の動作
NGX(R60)管理
サーバから保護機
能をオンにした
場合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした
場合の動作
同じ 保護を実施 同じ 保護を実施
DShield Storm Center
48
DShield Storm CenterStorm Centerは攻撃に関するログ情報を収集します。 この情報は、利用者全員の利益のために世界
中の組織から自発的に提供されます。 Storm Centerは、ネットワーク・セキュリティへのリアルタ
イムの脅威に関するレポートを作成して、すぐに利用できる形で提示します。
SmartDefense Storm Centerモジュールにより、ネットワークStorm Centerとネットワーク・セ
キュリティ情報を必要とする組織の間で情報交換が可能になります。
このセクションで説明する保護機能により、DShield Storm Centerから悪質な IPのリストを取得
し、それらの IPを遮断することができます。 また、DShieldにログを提出することもできます。
Retrieve and Block Malicious IPs(悪質な IP の取得と遮断)
この保護機能により、DShield.org(代表的なStorm Centerの1つ)から悪質な IPアドレスを受け
取り、すべてのゲートウェイで遮断するか、特定のゲートウェイで遮断するかを決めることができ
ます。
表 2-47
デフォルトの設定: オフ
保護機能により生成されるログ: NGXのパフォーマンスへの影響: なし
表 2-48
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした
場合の動作
NGX(R60)管理
サーバから保護機
能をオンにした
場合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした
場合の動作
同じ 保護を非実施 同じ 保護を非実施
Report to DShield(DShield への報告)
第 2 章 Network Security 49
Report to DShield(DShield への報告)
この保護機能により、Storm Centerにログを送信して、ほかの組織が同じネットワークへの脅威に
対処するのに役立てることができます。
表 2-49
デフォルトの設定: オフ
保護機能により生成されるログ: NGXのパフォーマンスへの影響: なし
表 2-50
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにした
場合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした
場合の動作
NGX(R60)管理
サーバから保護機
能をオンにした
場合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした
場合の動作
同じ 保護を非実施 同じ 保護を非実施
Port Scan(ポート・スキャン攻撃)
50
Port Scan(ポート・スキャン攻撃)このセクションで説明する保護機能により、情報収集の発生を検出して、該当する情報が脆弱なコ
ンピュータを攻撃するために使用されないようにすることができます。
ポート・スキャンとは、ネットワーク内の開いた状態のTCPポートおよびUDPポートの情報を収
集する方法です。 情報を収集すること自体は攻撃ではありませんが、収集した情報は後で脆弱なコ
ンピュータを標的にして攻撃するために使用できます。
ポート・スキャンは、nmapなどのスキャン・ユーティリティを使用するハッカー、またはほかの
コンピュータに自身を感染させようとするワームによって実施されます。 ポート・スキャンは、一
般的にはポートにアクセスして応答を待つことによって行われます。 応答によって、ポートが開い
ているかどうかを判断できます。
Host Port Scan(ホスト・ポート・スキャン)
SmartDefenseには3つのレベルのポート・スキャン検出感度があります。 それぞれのレベルは、一
定の時間にスキャンされた動作していないポートの量を表しています。 ポート・スキャンが検出さ
れると、ログまたは警告が生成されます。
表 2-51
デフォルトの設定: オフ
保護機能により生成されるログ: Port Scan
NGXのパフォーマンスへの影響: なし
表 2-52
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにし
た場合の動作
NGX(R60)管理
サーバから保護機
能をMonitor-Onlyにした場合の動作
NGX(R60)管理
サーバから保護機
能をオンにした
場合の動作
NGX(R60)管理
サーバから保護機
能をMonitor-Onlyにした場合の動作
保護を非実施 保護を非実施 同じ N/A
Sweep Scan(スイープ・スキャン)
第 2 章 Network Security 51
Sweep Scan(スイープ・スキャン)
SmartDefenseには3つのレベルのポート・スキャン検出感度があります。 それぞれのレベルは、一
定の時間にスキャンされた動作していないポートの量を表しています。 ポート・スキャンが検出さ
れると、ログまたは警告が生成されます。
表 2-53
デフォルトの設定: オフ
保護機能により生成されるログ: Port Scan
NGXのパフォーマンスへの影響: なし
表 2-54
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにした
場合の動作
NGX(R60)管理
サーバから保護機
能をMonitor-Onlyにした場合の動作
NGX(R60)管理
サーバから保護機
能をオンにした
場合の動作
NGX(R60)管理
サーバから保護機
能をMonitor-Onlyにした場合の動作
保護を非実施 保護を非実施 同じ N/A
Dynamic Ports(動的ポート)
52
Dynamic Ports(動的ポート)この保護機能が有効になっている場合、クライアントがこれらの保護されたポートに動的に接続し
ようとすると、接続が破棄されます。
Block Data Connections to Low Ports(ロー・ポートへのデータ接続を遮断)
[Block data connections to low ports]では、1024より低い番号の動的に開かれたポートを許可す
るかどうかを指定します。 ロー・ポート範囲は多くの標準サービスで使用されているため、通常は
ロー・ポートを許可しません。
表 2-55
デフォルトの設定: オン
保護機能により生成されるログ: NGXのパフォーマンスへの影響: なし
表 2-56
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機
能をMonitor-Onlyにした場合の動作
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機
能をMonitor-Onlyにした場合の動作
同じ 保護を非実施 同じ 同じ
53
第 章3Application Intelligence
この章の構成
概要 54ページ
Mail 55ページ
FTP(FTPプロトコル) 58ページ
Microsoft Networks(Microsoftネットワーク) 60ページ
Peer to Peer(ピア・ツー・ピア、P2P) 66ページ
Instant Messengers(インスタント・メッセンジャー、IM) 69ページ
DNS(DNSプロトコル) 75ページ
VoIP(VoIPプロトコル) 80ページ
SNMP(SNMPプロトコル) 88ページ
VPN Protocols(VPNプロトコル) 90ページ
Content Protection(コンテンツの保護) 96ページ
MS-RPC(MS-RPCプロトコル) 98ページ
MS-SQL(MS SQLプロトコル) 100ページ
Routing Protocols(ルーティング・プロトコル) 102ページ
SUN-RPC(SUN-RPCプロトコル) 106ページ
DHCP(DHCPプロトコル) 107ページ
SOCKS(SOCKSプロトコル) 108ページ
概要
54
概要ファイアウォールを直接攻撃するのではなく、ネットワーク・アプリケーションの脆弱性を利用す
る攻撃がますます増加しています。 チェック・ポイントのApplication Intelligenceは複数の高度な
機能をファイアウォールとSmartDefenseに統合することで、アプリケーション・レベルでの攻撃
を検出して防御します。 チェック・ポイントのApplication Intelligenceは INSPECTインテリジェン
ト・インスペクション技術に基づいており、アプリケーションへの攻撃と脅威に対する保護機能を
SmartDefenseに提供します。
図 3-1 OSI(開放型システム間相互接続)参照モデル
Application Intelligenceによる防御では、SmartDefenseのApplication Intelligence機能を使用して、
アプリケーション層での各種保護機能を設定できます。
注: OSI 参照モデルとは、ネットワーク上のデバイス間でデータを転送する方法を記述し
たフレームワークまたはガイドラインです。
アプリケーション層は実際にエンド・ユーザが使用するソフトウェア・アプリケーションで
はなく、ソフトウェア・アプリケーションがネットワークを介して通信できるようにする一連
のサービスです。 第5層、第6層、および第7層の違いは明確でない部分があり、他社の同
種製品にはこのユーザ・ガイドと同様にこれらの層を組み合わせているものもあります。
第 3 章 Application Intelligence 55
Mailこのセクションで説明する保護機能により、メール・トラフィックに適用するアクションの種類を
選択できます。
POP3/IMAP Security(POP3/IMAP セキュリティ)
この保護機能により、POP3/IMAPプロトコルを使用してネットワークに配信される電子メール・
メッセージを制限できます。 このオプションを使用すれば、不正な動作を認識して遮断することが
可能です。 たとえば、SmartDefenseは(バッファ・オーバーラン攻撃で行われるように)ユーザ名
とパスワードの長さを強制的に設定できます。これにより、コンピュータを破壊する恐れのある長
い文字列の使用を防ぐことができます。
SmartDefense は、ネットワーク・リソースの使用が意図的に中断される状況を防ぐこともできます。
サービス妨害攻撃で使用される可能性のあるNOOPコマンド(「no operation=何もしない」コマンド)
の数を制限します。
表 3-57
デフォルトの設定: オフ
保護機能により生成されるログ: NGXのパフォーマンスへの影響: POP3/IMAPアクセラレーションが無効(セキュリ
ティ・サーバが有効)
表 3-58
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
保護を非実施 保護を非実施 同じ 同じ
Mail Security Server(メール・セキュリティ・サーバ)
56
Mail Security Server(メール・セキュリティ・サーバ)
この保護機能により、セキュリティ・サーバを通過するSMTP接続に適用するアクションの種類を
選択できます。
SMTPセキュリティ・サーバでは、SMTPプロトコルを厳密に適用できます。 通常、セキュリティ・
サーバは標準セキュリティ・ポリシーでリソースまたは認証ルールを指定して有効化します。
表 3-59
デフォルトの設定: オン - ルール・ベースで使用されるリソースに関連
した接続の場合のみ
保護機能により生成されるログ: NGXのパフォーマンスへの影響: SMTPアクセラレーションが無効(セキュリティ・
サーバが有効)
表 3-60
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
同じ 保護を非実施 同じ 保護を非実施
Block ASN.1 Bitstring Encoding Attack over SMTP(ASN.1 ビット文字列のエンコードを悪用した SMTP 経由の攻撃を遮断)
第 3 章 Application Intelligence 57
Block ASN.1 Bitstring Encoding Attack over SMTP(ASN.1 ビット文字列のエンコードを悪用した SMTP経由の攻撃を遮断)
SmartDefenseは、通信を分析し、SMTP認証のGSSAPI構造内のASN.1エンコードを検索して、
この脆弱性に対する保護を提供します。
SMTPセキュリティ・サーバですでにGSSAPI認証方式を遮断しています。
表 3-61
デフォルトの設定: オフ
保護機能により生成されるログ: MS-ASN.1 Enforcement Violation
NGXのパフォーマンスへの影響: 保護機能がオンになっている関連プロトコルのアク
セラレーションが無効
表 3-62
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
同じ(R55のみ) 同じ(R55のみ) 同じ 同じ
FTP(FTP プロトコル)
58
FTP(FTP プロトコル)このセクションで説明する保護機能により、FTPプロトコルについてさまざまな設定を行うことが
できます。
FTP Bounce(FTP バウンス攻撃)
この保護機能により、ファイアウォールを狙ったFTPバウンス攻撃を無効にすることができます。
SmartDefenseはカーネル・レベルで検査を行い、攻撃を無効にします。
SmartDefenseでは、FTP PORTコマンドの宛先を検証し、FTPバウンス攻撃に対して必須の保護
を実行します。 さらに、[Network Security]の[Dynamic Ports]タブの設定に従って、動的ポー
トへの接続を遮断します。
表 3-63
デフォルトの設定: オン
保護機能により生成されるログ: NGXのパフォーマンスへの影響: なし
表 3-64
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
同じ 保護を非実施 同じ 同じ
FTP Security Server(FTP セキュリティ・サーバ)
第 3 章 Application Intelligence 59
FTP Security Server(FTP セキュリティ・サーバ)
FTPセキュリティ・サーバは、FTPコマンド(PUT/GET)、ファイル名制限、およびCVPチェック
(ウイルスなど)に基づいて、認証サービスおよびコンテンツ・セキュリティを提供します。 さら
に、ルールの[Track]が[Log]の場合、FTPセキュリティ・サーバはFTPのgetおよびputコマ
ンドをログに記録します。
通常、セキュリティ・ポリシーに指定のルールを使用することにより、セキュリティ・サーバが有
効になります。
表 3-65
デフォルトの設定: オン - ルール・ベースで使用されるリソースに関連
した接続の場合のみ
保護機能により生成されるログ: NGXのパフォーマンスへの影響: FTPアクセラレーションが無効(セキュリティ・
サーバが有効)
表 3-66
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
同じ 保護を非実施 同じ 保護を非実施
Microsoft Networks(Microsoft ネットワーク)
60
Microsoft Networks(Microsoft ネットワーク)このセクションで説明する保護機能により、Microsoftネットワーキング・プロトコルに適用するア
クションの種類を選択できます。
File and Print Sharing(ファイルとプリンタ共有)
この保護機能により、CIFS Worm Defenderが検出して遮断するワーム・シグネチャを設定できます。
表 3-67
デフォルトの設定: オフ
保護機能により生成されるログ:
NGXのパフォーマンスへの影響: Microsoftネットワーク・プロトコルのアクセラレー
ションが無効
表 3-68
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
同じ 保護を非実施 同じ 同じ
Block Null CIFS Sessions(Null CIFS セッションの遮断)
第 3 章 Application Intelligence 61
Block Null CIFS Sessions(Null CIFS セッションの遮断)
この保護機能が有効な場合、SmartDefenseはNullセッションの試行を遮断します。
表 3-69
デフォルトの設定: オフ
保護機能により生成されるログ: NGXのパフォーマンスへの影響: CIFSプロトコルのセッション・レート・アクセラ
レーションが無効
表 3-70
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
*保護を実施 保護を非実施 同じ 同じ
Block Popup Messages(ポップアップ・メッセージの遮断)
62
Block Popup Messages(ポップアップ・メッセージの遮断)
この保護機能が有効になっている場合、Windowsポップアップ・メッセージを送信しようとする試
みはすべて遮断されます。
表 3-71
デフォルトの設定: オフ
保護機能により生成されるログ: NGXのパフォーマンスへの影響: Microsoftネットワーク・プロトコルのアクセラレー
ションが無効
表 3-72
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
*保護を実施 保護を非実施 同じ 同じ
Block ASN.1 Bitstring Encoding Attack(ASN.1 ビット文字列のエンコードを悪用した攻撃を遮断)
第 3 章 Application Intelligence 63
Block ASN.1 Bitstring Encoding Attack(ASN.1 ビット文字列のエンコードを悪用した攻撃を遮断)
SmartDefenseは、通信を分析し、さまざまなプロトコルのGSS-API構造内のASN.1 BERエンコー
ドを検索して、この脆弱性に対する保護を提供します。
表 3-73
デフォルトの設定: オフ
保護機能により生成されるログ: MS-ASN.1 Enforcement Violation
NGXのパフォーマンスへの影響: 保護機能がオンになっている関連プロトコルのアク
セラレーションが無効
表 3-74
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
同じ(R55のみ) 同じ(R55のみ) 同じ 同じ
Block WINS Replication Attack(WINS レプリケーション攻撃の遮断)
64
Block WINS Replication Attack(WINS レプリケーション攻撃の遮断)
この保護機能により、SmartDefense は不正なWINS パケットを認識します。 これにより、
SmartDefenseは有害なパケットがネットワークに侵入する前に、そのパケットを捕捉することが
できます。
表 3-75
デフォルトの設定: オフ
保護機能により生成されるログ: MS WINS Replication Protocol Enforcement Violation
NGXのパフォーマンスへの影響: クライアント /サーバ接続上のMicrosoft WINSト
ラフィックのアクセラレーションが無効
表 3-76
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
同じ(R55のみ) 同じ(R55のみ) 同じ 同じ
Block WINS Name Validation Attack(WINS 名の検証を悪用した攻撃の遮断)
第 3 章 Application Intelligence 65
Block WINS Name Validation Attack(WINS 名の検証を悪用した攻撃の遮断)
この保護機能により、SmartDefense は不正なNBNS パケットを認識します。 これにより、
SmartDefenseは有害なパケットがネットワークに侵入する前に、そのパケットを捕捉することが
できます。
表 3-77
デフォルトの設定: オフ
保護機能により生成されるログ: MS WINS Name Validation Enforcement Violation
NGXのパフォーマンスへの影響: クライアント /サーバ接続上のMicrosoft WINSトラ
フィックのアクセラレーションが無効
表 3-78
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
同じ(R55のみ) 同じ(R55のみ) 同じ 同じ
Peer to Peer(ピア・ツー・ピア、P2P)
66
Peer to Peer(ピア・ツー・ピア、P2P)このセクションで説明する保護機能により、P2Pトラフィックを遮断できます。
このセクションの保護機能は、メッセージ転送やファイル共有に使用されるP2Pアプリケーション
(KazaaやGnutellaなど)の使用を遮断します。 HTTPになりすますP2Pアプリケーションに対して
は、遮断するHTTPパターンを定義できます。
SmartDefenseは、フィンガープリントとHTTPヘッダを確認することによって、使用しているTCPポートに関係なく、P2Pセッションを検出します。
Excluded Services/Network Objects(サービス / ネットワーク・オブジェクトの除外)
R55W以降のバージョンでは、 P2Pプロトコルに対してスキャンされないホストとポートのホワイ
ト・リストを作成することができるようになりました。 ただし、この機能はR55以前のモジュール
には存在しないため、古いモジュールに保護をインストールすると、除外されたオブジェクトでも
保護が有効になります。
表 3-79
デフォルトの設定: オフ
保護機能により生成されるログ: NGXのパフォーマンスへの影響: なし
表 3-80
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
保護を非実施 保護を非実施 同じ 同じ
ポート 80 番を使用するすべてのプロトコル
第 3 章 Application Intelligence 67
ポート 80 番を使用するすべてのプロトコル
これらの保護機能により、以下のP2Pアプリケーションを遮断できます。
• KaZaA
• Gnutella
• eMule
• BitTorrent
• SoulSeek
• IRC
表 3-81
デフォルトの設定: オフ
保護機能により生成されるログ:
NGXのパフォーマンスへの影響: ポート80番のセッション・レート・アクセラレー
ションが無効
表 3-82
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
保護を非実施 保護を非実施 同じ 同じ
すべてのプロトコル
68
すべてのプロトコル
これらの保護機能により、以下のP2Pアプリケーションを遮断できます。
• KaZaA
• Gnutella
• eMule
• BitTorrent
• SoulSeek
• IRC
旧バージョン(FP3~R55)の場合、[Header Rejection]をオンにすると、HTTPは保護されます。
表 3-83
デフォルトの設定: オフ
保護機能により生成されるログ: NGXのパフォーマンスへの影響: セッション・レート・アクセラレーションが無効
表 3-84
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
保護を非実施 保護を非実施 同じ 同じ
Instant Messengers(インスタント・メッセンジャー、IM)
第 3 章 Application Intelligence 69
Instant Messengers(インスタント・メッセンジャー、IM)
このセクションで説明する保護機能により、IMプロトコルを使用する IMアプリケーションを遮断
できます。 IMアプリケーションには、音声通話、メッセージ転送、ファイル共有などの多くの機能
があります。
Excluded Services/Network Objects(サービス / ネットワーク・オブジェクトの除外)
R55W以降のバージョンでは、 P2Pプロトコルに対してスキャンされないホストとポートのホワイ
ト・リストを作成することができるようになりました。 ただし、この機能はR55以前のモジュール
には存在しないため、古いモジュールに保護をインストールすると、除外されたオブジェクトでも
保護が有効になります。
表 3-85
デフォルトの設定: オフ
保護機能により生成されるログ: NGXのパフォーマンスへの影響:
表 3-86
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
保護を非実施 保護を非実施 同じ 同じ
MSN Messenger over SIP(SIP 上の MSN メッセンジャー)
70
MSN Messenger over SIP(SIP上のMSNメッセンジャー)
この保護機能により、SIPベースのMSNメッセンジャーから送信されるすべて、または特定のMSNメッセンジャー・アプリケーション(ファイル転送、アプリケーション共有、ホワイト・ボード、
リモート・アシスタント)を遮断できます。
SmartDefenseは、SIP(Session Initiation Protocol)RFC 3261への準拠を確認します。MSNメッ
センジャーを完全に遮断するか、特定のアプリケーション(ファイル転送、アプリケーション共有、
ホワイト・ボード、リモート・アシスタント)を選択して遮断することができます。
[SmartDefense]→[Application Intelligence]→[VoIP]→[SIP]で[block sip based instantmessaging]を選択すると、SIPによるMSNアプリケーションがすべて自動的に遮断されます。
表 3-87
デフォルトの設定: オフ
保護機能により生成されるログ: NGXのパフォーマンスへの影響: SIPトラフィックのアクセラレーションが無効
表 3-88
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
保護を非実施 保護を非実施 同じ N/A
MSN Messenger over MSNMS(MSNMS 上の MSN メッセンジャー)
第 3 章 Application Intelligence 71
MSN Messenger over MSNMS(MSNMS 上の MSNメッセンジャー)
この保護機能により、特定のMSNメッセンジャー・アプリケーション(動画、音声、ファイル転
送、アプリケーション共有、ホワイト・ボード、リモート・アシスタント)を遮断できます。
MSNメッセンジャーを完全に遮断するか、特定のアプリケーション(動画、音声、ファイル転送、
アプリケーション共有、ホワイト・ボード、リモート・アシスタント)を選択して遮断することが
できます。
MSNMSによるMSNメッセンジャーを完全に遮断するために設定は不要です。これには、セキュ
リティ・ルールが必要だからです。
MSNMSベースの特定の IMアプリケーションを選択して遮断するには、これを可能にするMSNMSサービス(TCP1863)でセキュリティ・ルールを定義して、SmartDefenseを設定する必要があり
ます。
表 3-89
デフォルトの設定: オフ
保護機能により生成されるログ: NGXのパフォーマンスへの影響: VPN-1 – セッション・レート・アクセラレーションが無効
Interspect – なし
表 3-90
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
保護を非実施 保護を非実施 保護を非実施 保護を非実施
Skype
72
SkypeSmartDefenseは、SkypeフィンガープリントとHTTPヘッダを識別して、Skypeトラフィックを遮
断できます。 SmartDefenseは、P2Pセッションを開始するために使用されるTCPポートに関係な
く、P2Pトラフィックを検出できます。 Skypeでは、P2P電話通信にUDPまたはTCPポート1024番以上、またはHTTPを使用します。
SkypeはSSLに似たセッションを使用してファイアウォールをバイパスするため、SSLポートを完
全に遮断するか、[VPN Protocols]ブランチで[Block SSL null-pointer assignment]を有効にす
る必要があります。
SmartDefenseは、HTTP要求と応答上のP2P接続を検出します。
表 3-91
デフォルトの設定: オフ
保護機能により生成されるログ:
NGXのパフォーマンスへの影響: VPN-1 – セッション・レート・アクセラレーションが無効
Interspect – なし
表 3-92
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
保護を非実施 保護を非実施 同じ 同じ
Yahoo! Messenger
第 3 章 Application Intelligence 73
Yahoo! MessengerSmartDefenseは、フィンガープリントとHTTPヘッダを識別して、Yahoo! Messengerトラフィッ
クを遮断できます。 SmartDefenseは、P2Pセッションを開始するために使用されるTCPポートに
関係なく、P2Pトラフィックを検出できます。
Yahoo! Messengerは、TCPポート5050番とTCPポート80番をメッセージに、TCPポート5100番を動画に、TCPポート5000番を音声に、TCPポート5010番をファイル転送に使用します。
SmartDefenseは、HTTPによるP2Pの要求および応答接続を検出します。
表 3-93
デフォルトの設定: オフ
保護機能により生成されるログ:
NGXのパフォーマンスへの影響: VPN-1 – セッション・レート・アクセラレーションが無効
Interspect – なし
表 3-94
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
保護を非実施 保護を非実施 同じ 同じ
ICQ
74
ICQSmartDefenseは、ICQのフィンガープリントとHTTPヘッダを識別して、ICQトラフィックを遮断
できます。 SmartDefenseは、P2Pセッションを開始するために使用されるTCPポートに関係なく、
P2Pトラフィックを検出できます。
ICQは、TCPポート5190番を接続に使用します。 ファイルの転送と共有はTCPポート3574/7320番によって行われます。
SmartDefenseは、HTTPによるP2Pの要求および応答接続を検出します。
表 3-95
デフォルトの設定: オフ
保護機能により生成されるログ:
NGXのパフォーマンスへの影響: VPN-1 – セッション・レート・アクセラレーションが無効
Interspect – なし
表 3-96
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
保護を非実施 保護を非実施 同じ 同じ
DNS(DNS プロトコル)
第 3 章 Application Intelligence 75
DNS(DNS プロトコル)このセクションで説明する保護機能により、DNS関連のさまざまな脆弱性を保護し、DNSプロト
コルの厳密適用と検証(TCPおよびUDP)を行うことにより、プロトコル違反を防ぎます。
Protocol Enforcement – TCP(TCP 上の DNS プロトコルの検査)
SmartDefenseは、変更されたDNSパケットを認識します。 これにより、SmartDefenseは有害なパ
ケットがネットワークに侵入する前に、そのパケットを捕捉することができます。
この保護機能では、TCPプロトコルの厳密な適用が可能です。 TCPを使用して送信された変更のな
いDNSパケットだけがネットワークに入ることができます。 この場合、TCPを使用するすべての
DNSポートは、ネットワークに入ろうとするDNSパケットがすべて変更されていないことを確認
するために監視されます。
TCPプロトコルを厳密に適用することにより、故意に変更されたDNSパケットがシステムに侵入
する可能性は低くなります。
表 3-97
デフォルトの設定: オン
保護機能により生成されるログ:
NGXのパフォーマンスへの影響: DNS/TCPアクセラレーションが無効
表 3-98
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
保護を非実施 保護を非実施 同じ N/A
Protocol Enforcement – UDP(UDP 上の DNS プロトコルの検査)
76
Protocol Enforcement – UDP(UDP 上の DNS プロトコルの検査)
SmartDefenseは、変更されたDNSパケットを認識します。 これにより、SmartDefenseは有害なパ
ケットがネットワークに侵入する前に、そのパケットを捕捉することができます。
このウィンドウでUDPプロトコルを厳密に適用できます。 UDPにより送信された変更のないDNSパケットだけがネットワークに入ることができます。 この場合、UDPを使用するすべてのDNSポー
トは、ネットワークに入ろうとするDNSパケットがすべて変更されていないことを確認するため
に監視されます。
UDPプロトコルを厳密に適用することにより、故意に変更されたDNSパケットがシステムに侵入
する可能性は低くなります。
表 3-99
デフォルトの設定: オン
保護機能により生成されるログ:
NGXのパフォーマンスへの影響: DNS/UDPアクセラレーションが無効
表 3-100
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
同じ 保護を非実施 同じ N/A
Domain Block List(遮断するドメインのリスト)
第 3 章 Application Intelligence 77
Domain Block List(遮断するドメインのリスト)
この保護機能により、不要なトラフィックを除外するための遮断リストを作成できます。
SmartDefense には、不要なトラフィックを除外するための遮断リストが含まれています。
SmartDefenseは、ユーザがこの遮断リストに指定したドメイン・アドレスにアクセスすることを
許可しません。 遮断するドメインのリストは、手作業で更新されます。
表 3-101
デフォルトの設定: オフ
保護機能により生成されるログ:
NGXのパフォーマンスへの影響: DNSアクセラレーションが無効
表 3-102
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
保護を非実施 保護を非実施 同じ 同じ
Cache Poisoning Protections(キャッシュ・ポイズニング攻撃からの保護)
78
Cache Poisoning Protections(キャッシュ・ポイズニング攻撃からの保護)
この保護機能によりキャッシュ・ポイズニング攻撃を防御することができます。
DNSトラフィックを減らすために、ネーム・サーバはキャッシュを維持します。 DNSキャッシュ
は、各ゾーンのTTLに従って更新されます。 キャッシュ・ポイズニング攻撃は、DNSサーバがリ
モート・ネーム・サーバから故意に変更されたマッピング情報を受け取りキャッシュすることによ
り発生します。 DNSサーバは誤った情報をキャッシュして、要求に対して送信します。 その結果、
電子メール・メッセージやURLアドレスがリダイレクトされ、ユーザが送信した情報がキャプチャ
および破壊される場合があります。
表 3-103
デフォルトの設定: オフ
保護機能により生成されるログ:
NGXのパフォーマンスへの影響: DNSアクセラレーションが無効
表 3-104
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
保護を非実施 保護を非実施 同じ N/A
Resource Records Enforcements(リソース・レコードの制限)
第 3 章 Application Intelligence 79
Resource Records Enforcements(リソース・レコードの制限)
この保護機能により、TCPを使用して送信されるDNSクエリに対する応答内で許可される回答
(Answer)、権威 (Authority)、および追加 (Additional)のリソース・レコードの最大数を設定できます。
表 3-105
デフォルトの設定: オフ
保護機能により生成されるログ: DNS Enforcement Violation
NGXのパフォーマンスへの影響: DNSアクセラレーションが無効
表 3-106
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
同じ(R55のみ) 同じ(R55のみ) 同じ 同じ
VoIP(VoIP プロトコル)
80
VoIP(VoIP プロトコル)このセクションで説明する保護機能により、VoIPネットワークへのDoS攻撃に対する保護を有効
にできます。 VoIPのページでは、VoIPプロトコルに対する保護機能を設定できます。
SmartDefenseは発信者と受信者のアドレスを検証し、発信者と受信者がVoIPコールを送受信でき
ることを確認します。 また、SmartDefenseは許可されている各ポートを通過するパケットの内容を
検査し、適切な情報が含まれていることを確認します。 完全なステートフル・インスペクションを
H.323、SIP、MGCPおよびSCCPコマンドで実施することで、RFC規格に従って、すべてのVoIPパケットの構造が正しいこと、および正しい順序で到着することを保証します。
DOS Protection(DOS 攻撃からの保護)
悪質な IP電話端末は、ネットワークに大量のコールを送信することによってサービス妨害攻撃を
行い、電話ネットワークを正しい目的で使用できなくすることができます。
この保護機能により、VPN-1 Powerゲートウェイが特定の IPアドレスに対して1分間に許可する
コール数を制限することで、サービス拒否攻撃を防ぎます。 ハンドオーバー・デバイスは多数のコー
ルを送信するので、ハンドオーバー・デバイスからのコールはカウントされません。
表 3-107
デフォルトの設定: オフ
保護機能により生成されるログ:
NGXのパフォーマンスへの影響: VoIPトラフィックのアクセラレーションが無効
表 3-108
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
保護を非実施 保護を非実施 保護を非実施 保護を非実施
H323
第 3 章 Application Intelligence 81
H323この保護機能により以下のアプリケーション層の検査を実行できます。
• プロトコルを厳密に適用します。これにはH.323パケットの順序と方向が含まれます。
• 送信された電話番号が24文字を超える場合にパケットを破棄します。 これによってサーバで
バッファ・オーバーランが発生するのを防ぎます。
• 動的ポートが別のサービスによって使用されていない場合にのみ開くことを許可します。 たと
えば、 接続メッセージがH.245に対してポート80番を要求した場合は、ポートは開かれません。 これによって予約済みポートが不正に使用されるのを防ぎます。
表 3-109
デフォルトの設定: オン
保護機能により生成されるログ:
NGXのパフォーマンスへの影響: VoIPトラフィックのアクセラレーションが無効
表 3-110
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
同じ 保護を非実施 同じ 保護を非実施
SIP
82
SIPこの保護機能により、SIPヘッダの内容を確認できます。 このオプションが選択され、ルール・ベー
スに明示的なSIPルールがある場合、SmartDefenseはSIPヘッダを検証して、無効な文字を検索し
ます。
表 3-111
デフォルトの設定: オン
保護機能により生成されるログ:
NGXのパフォーマンスへの影響: VoIPトラフィックのアクセラレーションが無効
表 3-112
NG FP3 ~ R55 R55W
NGX(R60)管理サーバか
ら保護機能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機
能をMonitor-Onlyにした場合の動作
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機
能をMonitor-Onlyにした場合の動作
同じ
「Block SIP-base video/audio/Instant Messaging」および
「Default Proxy Registration Expiration ...」は実施されま
せん
保護を非実施 同じ
「Block SIP calls that use ...」および「Drop unknown SIP message」は実施
されません
保護を非実施
SIP
第 3 章 Application Intelligence 83
Block SIP Calls That Use Two Different Voice Connections (RTP) for incoming Audio and Outgoing Audio(受信音声と送信音声のそれぞれに異なる音声接続
(RTP)を使用する SIP コールを遮断)
Verify SIP Header Content(SIP ヘッダの内容を検証)
表 3-113
デフォルトの設定: オフ
保護機能により生成されるログ:
NGXのパフォーマンスへの影響: VoIPトラフィックのアクセラレーションが無効
表 3-114
R55で保護機能がオンの場合の
動作
R55Wで保護機能がオンの
場合の動作
R60で保護機能がオンの
場合の動作
保護を実施 保護を実施 保護を実施
表 3-115
デフォルトの設定: オン
保護機能により生成されるログ:
NGXのパフォーマンスへの影響: VoIPトラフィックのアクセラレーションが無効
表 3-116
R55で保護機能がオンの場合の
動作
R55Wで保護機能がオンの
場合の動作
R60で保護機能がオンの
場合の動作
保護を実施 保護を実施 保護を実施
SIP
84
Block SIP-base Video/Audio(SIP 上の動画と音声を遮断)
Block SIP-based Instant Messaging(SIP 上の IM を遮断)
表 3-117
デフォルトの設定: オフ(R60より前の全バージョン)/オン(R60)
保護機能により生成されるログ:
NGXのパフォーマンスへの影響: VoIPトラフィックのアクセラレーションが無効
表 3-118
R55で保護機能がオンの場合の
動作
R55Wで保護機能がオンの
場合の動作
R60で保護機能がオンの
場合の動作
保護を非実施 保護を実施 保護を実施
表 3-119
デフォルトの設定: オフ(R60より前の全バージョン)/オン(R60)
保護機能により生成されるログ:
NGXのパフォーマンスへの影響: VoIPトラフィックのアクセラレーションが無効
表 3-120
R55で保護機能がオンの
場合の動作
R55Wで保護機能がオンの
場合の動作
R60で保護機能がオンの場合の
動作
保護を実施 保護を実施 保護を実施
SIP
第 3 章 Application Intelligence 85
Drop Unknown SIP Messages(不明な SIP メッセージを破棄)
Default Proxy Registration Expiration Time Period(デフォルトのプロキシ登録の有効期間)
表 3-121
デフォルトの設定: オン
保護機能により生成されるログ:
NGXのパフォーマンスへの影響: VoIPトラフィックのアクセラレーションが無効
表 3-122
R55で保護機能がオンの場
合の動作
R55Wで保護機能がオンの
場合の動作
R60で保護機能がオンの場合の
動作
保護を非実施 保護を非実施 保護を実施
表 3-123
デフォルトの設定: 600秒
保護機能により生成されるログ:
NGXのパフォーマンスへの影響: VoIPトラフィックのアクセラレーションが無効
表 3-124
R55で保護機能がオンの
場合の動作
R55Wで保護機能がオンの
場合の動作
R60で保護機能がオンの場合の
動作
保護を非実施 保護を非実施 保護を実施
MGCP(特定コマンドの許可)
86
Block the Destination from Re-inviting Calls(Re-Invite呼び出しの制限)
MGCP(特定コマンドの許可)
SmartDefense は、MGCP に対する完全なネットワーク・レベルのセキュリティを提供します。
SmartDefenseは、RFC-2705、RFC-3435(バージョン1.0)、および ITU TGCP仕様J.171に厳密
に準拠しています。 また、フラグメント化されたパケットの検査、アンチ・スプーフィング、サー
ビス妨害攻撃に対する保護など、すべてのSmartDefenseの機能がサポートされています。 ただし、
MGCPでのNATはサポートされていません。
さらに、SmartDefenseはハンドオーバー・ロケーションを制限して制御信号とデータ接続を制御
します。
表 3-125
デフォルトの設定: オフ(R60より前の全バージョン)/オン(R60)
保護機能により生成されるログ:
NGXのパフォーマンスへの影響: VoIPトラフィックのアクセラレーションが無効
表 3-126
R55で保護機能がオンの
場合の動作
R55Wで保護機能がオンの
場合の動作
R60で保護機能がオンの場合の
動作
保護を実施 保護を実施 保護を実施
表 3-127
デフォルトの設定: 許可
保護機能により生成されるログ:
NGXのパフォーマンスへの影響: VoIPトラフィックのアクセラレーションが無効
表 3-128
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
保護を非実施 保護を非実施 同じ N/A
SCCP(Skinny)
第 3 章 Application Intelligence 87
SCCP(Skinny)SCCP(Skinny Client Control Protocol)は、テレフォニー・ゲートウェイをコール・エージェント
(またはメディア・ゲートウェイ・コントローラ)と呼ばれる外部のコール制御デバイスから制御
します。
SmartDefenseは、SCCPベースのVoIP通信に対して完全な接続性とネットワーク・レベルのセキュ
リティを提供します。 すべてのSCCPトラフィックが検査され、適正なトラフィックは通過を許可
され、攻撃は遮断されます。 アンチ・スプーフィングやサービス妨害攻撃に対する保護など、
SmartDefenseのすべての機能がサポートされています。 フラグメント化されたパケットは、カーネ
ル・ベースのストリーミングを使用して調査され、セキュリティが保護されます。 ただし、SCCPデバイスでのNATはサポートされていません。
さらに、SmartDefenseはハンドオーバー・ロケーションを制限して制御信号とデータ接続を制御
します。
SmartDefenseは状態を追跡し、すべてのSCCPメッセージに対して状態が有効であることを検証
します。 多くの主要なメッセージに対しては、メッセージのパラメータの存在と正当性も検証します。
SmartDefenseは、SCCP接続に対して追加のコンテンツ・セキュリティ検査を実行することで、高
度な保護を提供できます。
表 3-129
デフォルトの設定: オン
保護機能により生成されるログ:
NGXのパフォーマンスへの影響: VoIPトラフィックのアクセラレーションが無効
表 3-130
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
保護を非実施 保護を非実施 同じ N/A
SNMP(SNMP プロトコル)
88
SNMP(SNMP プロトコル)このセクションで説明する保護機能は、SNMPv3(最新バージョンのSNMP)を厳密に適用し、そ
れより前のバージョンを拒否するオプションにより、SNMPの脆弱性に対する保護を提供します。
また、このウィンドウではSNMPのすべてのバージョンを許可する一方で、SNMPv1とSNMPv2のデフォルトのコミュニティ文字列を利用した要求を破棄することもできます。
Allow Only SNMPv3 Traffic(SNMPv3 のトラフィックのみ許可)
この保護機能により、旧バージョンのSNMPの使用を防止します。 SNMPv3を強制させることにより、
SmartDefenseは認証機能を使用できない旧バージョンのSNMP(SNMPv1およびSNMPv2)の使
用を制限することができます。
表 3-131
デフォルトの設定: オフ
保護機能により生成されるログ:
NGXのパフォーマンスへの影響: SNMPトラフィックのアクセラレーションが無効
表 3-132
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
保護を非実施 保護を非実施 同じ 同じ
Drop Requests with Default Community Strings for SNMPv1 and SNMPv2(SNMPv1 と SNMPv2 のデフォルトのコミュニティ文字列を使用する要求を破棄)
第 3 章 Application Intelligence 89
Drop Requests with Default Community Strings for SNMPv1 and SNMPv2(SNMPv1 と SNMPv2 のデフォルトのコミュニティ文字列を使用する要求を破棄)
SNMPv1とSNMPv2のデフォルトのコミュニティ文字列を利用した要求を破棄することにより、
SNMPv1とSNMPv2に関連した暗号化されていないテキストがネットワーク経由で送信されるの
を防ぎます。
表 3-133
デフォルトの設定: オフ
保護機能により生成されるログ:
NGXのパフォーマンスへの影響: SNMPトラフィックのアクセラレーションが無効
表 3-134
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
保護を非実施 保護を非実施 同じ 同じ
VPN Protocols(VPN プロトコル)
90
VPN Protocols(VPN プロトコル)このセクションで説明する保護機能により、VPN(バーチャル・プライベート・ネットワーク)プ
ロトコルに適用するアクションの種類を選択できます。
PPTP Enforcement(PPTP プロトコル標準の厳密適用)
この保護機能により、PPTPプロトコルを厳密に適用します。 PPTPセッションはRFC規格(メッ
セージ・タイプ、パケットの長さなど)に準拠するように設定されます。 PPTP制御接続が予期せ
ず終了する場合、GREトンネルは自動的に終了します。 さらに、この保護機能を有効にすることに
より、PPTP接続に対するHide NATおよびStatic NATを実施できます。
表 3-135
デフォルトの設定: オン
保護機能により生成されるログ:
NGXのパフォーマンスへの影響: PPTPトラフィックのアクセラレーションが無効
表 3-136
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
保護を非実施 保護を非実施 保護を非実施 保護を非実施
SSL Enforcement(SSL 標準の厳密適用)
第 3 章 Application Intelligence 91
SSL Enforcement(SSL 標準の厳密適用)
この保護機能が有効な場合、SmartDefenseは不正な形式のSSL Client Helloパケットを識別して、
破棄します。
表 3-137
デフォルトの設定: オフ
保護機能により生成されるログ: Invalid SSL Packet
NGXのパフォーマンスへの影響: ゲートウェイを通過するSSLトラフィックのアクセ
ラレーションが無効
表 3-138
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
同じ(R55のみ) 同じ(R55のみ) 同じ 同じ
Block IKE Aggressive Exchange(IKE アグレッシブ・モードによる鍵交換を遮断)
92
Block IKE Aggressive Exchange(IKE アグレッシブ・モードによる鍵交換を遮断)
この保護機能が有効になっている場合、SmartDefenseは IKEアグレッシブ・モードによる鍵交換
を識別して、破棄します。
表 3-139
デフォルトの設定: オフ
保護機能により生成されるログ: IKE Aggressive Packet Detected
NGXのパフォーマンスへの影響: ゲートウェイを通過するクライアントからサーバ方
向の IKEトラフィックのアクセラレーションが無効 (サーバからクライアント方向のアクセラレーショ
ンは有効)
表 3-140
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
同じ(R55のみ) 同じ(R55のみ) 同じ 同じ
IKE Enforcement(IKE 標準の厳密適用)
第 3 章 Application Intelligence 93
IKE Enforcement(IKE 標準の厳密適用)
この保護機能により、ペイロードのタイプと長さ、最大ペイロード数、およびパケット長について、
IKEプロトコルがRFC 2409へ準拠するように設定されます。 [IKE payload enforcement]を有効
にすることにより、SmartDefenseは IKE Security Associationペイロードに追加のチェックを行い
ます。 「Monitor-Only(監視のみ)」モードを使用すると、接続を遮断せずに IKEプロトコル違反を
追跡できます。
表 3-141
デフォルトの設定: オフ
保護機能により生成されるログ: IKE Enforcement Violation
NGXのパフォーマンスへの影響: ゲートウェイを通過するクライアントからサーバ方
向の IKEトラフィックのアクセラレーションが無効 (サーバからクライアント方向のアクセラレーション
は有効)
表 3-142
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
同じ(R55のみ) 同じ(R55のみ) 同じ 同じ
SSH – Detect SSH over Non-Standard Ports(SSH – 非標準ポートを使用する SSH の検出)
94
SSH – Detect SSH over Non-Standard Ports(SSH – 非標準ポートを使用する SSH の検出)
SSHバージョン1および2は、通常TCPポート22番で使用されます。この保護機能では、[BlockAll SSH Versions]と[Run SSH Enforcement]のいずれかを選択できます。
• [Block All SSH Versions]を選択すると、すべてのTCPポート上のSSHトラフィック(任意
のSSHバージョン)が遮断されます。
• [Run SSH Enforcement]を選択すると、SSH Enforcement保護機能がTCPポート22番を含む
すべての非標準ポートに適用されます。
表 3-143
デフォルトの設定: オフ
保護機能により生成されるログ: SSH Connection on a Non-Standard Port
NGXのパフォーマンスへの影響: すべてのトラフィックのセッション・レート・アク
セラレーションが無効
表 3-144
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
保護を非実施 保護を非実施 同じ 同じ
SSH Enforcement(SSH プロトコル標準の厳密適用)
第 3 章 Application Intelligence 95
SSH Enforcement(SSH プロトコル標準の厳密適用)
SSH Enforcement 保護機能は、TCP ポート22 番のSSH トラフィックに適用されます。SSHEnforcementにより特定の防御属性を選択および選択解除できます。 [Block SSH v1]を選択する
ことにより、SSHバージョン2だけがTCPポート22番で有効になります。
表 3-145
デフォルトの設定: オフ
保護機能により生成されるログ:
NGXのパフォーマンスへの影響: SSHトラフィックのセッション・レート・アクセラ
レーションが無効
表 3-146
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
保護を非実施 保護を非実施 同じ 同じ
Content Protection(コンテンツの保護)
96
Content Protection(コンテンツの保護)このセクションで説明する保護機能により、複数のプロトコルを使用した不正なコンテンツを遮断
できます。
Malformed JPEG(不正な JPEG ファイル)
この保護機能を有効にすることにより、SmartDefenseはプロトコル・タイプがHTTPのすべての
サービスについて不正な形式のJPEGファイルを遮断します。
[Perform strict enforcement]を有効にすることにより、JPEGファイルを内容に基づいて検出でき
ます。
表 3-147
デフォルトの設定: オフ
保護機能により生成されるログ: JPEG Content Protection Violation
NGXのパフォーマンスへの影響: HTTPのアクセラレーションが無効
表 3-148
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
同じ(R55のみ) 同じ(R55のみ) 同じ 同じ
Malformed ANI File(不正な ANI ファイル)
第 3 章 Application Intelligence 97
Malformed ANI File(不正な ANI ファイル)
この保護機能を有効にすることにより、SmartDefenseはプロトコル・タイプがHTTPのすべての
サービスについて不正な形式のANIファイルを遮断します。
表 3-149
デフォルトの設定: オフ
保護機能により生成されるログ: ANI Content Protection Violation
NGXのパフォーマンスへの影響: HTTPのアクセラレーションが無効
表 3-150
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
同じ(R55のみ) 同じ(R55のみ) 同じ 同じ
MS-RPC(MS-RPC プロトコル)
98
MS-RPC(MS-RPC プロトコル)
DCOM – Allow DCE-RPC interfaces other than End-Point Mapper on Port 135(ポート 135 番上でエンドポイント・マッパー以外の DCE-RPC インタフェースを許可)
この保護機能により、特定のMS-RPCインタフェース(DCOMインタフェースなど)がルール・
ベースで許可されている場合に、このインタフェースを許可します。 DCE-RPCサービスを使用し
てこれらのインタフェースを作成し、このページで保護機能を適用できます。
SmartDefenseは正当なDCOMトラフィックを許可する一方で、「Blaster」ワームとその亜種を無
条件で遮断します。
表 3-151
デフォルトの設定: オフ
保護機能により生成されるログ:
NGXのパフォーマンスへの影響: RPCトラフィックのアクセラレーションが無効
表 3-152
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
*保護を実施 保護を非実施 同じ 同じ
Drop Unauthenticated DCOM(未認証の DCOM を破棄)
第 3 章 Application Intelligence 99
Drop Unauthenticated DCOM(未認証の DCOM を破棄)
MS-RPC Program Lookup(MS-RPC のプログラム・ルックアップ)
この保護機能により、ルックアップ動作要求を遮断し、この脆弱性が利用されるのを防ぎます。
表 3-153
デフォルトの設定: オフ
保護機能により生成されるログ:
NGXのパフォーマンスへの影響: RPCトラフィックのアクセラレーションが無効
表 3-154
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
*保護を実施 保護を非実施 同じ 同じ
表 3-155
デフォルトの設定: オフ
保護機能により生成されるログ:
NGXのパフォーマンスへの影響: RPCトラフィックのアクセラレーションが無効
表 3-156
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
保護を非実施 保護を非実施 保護を非実施 保護を非実施
MS-SQL(MS SQL プロトコル)
100
MS-SQL(MS SQL プロトコル)このセクションで説明する保護機能により、MS SQL Serverプロトコルにについてさまざまな設定
を行うことができます。
MS-SQL Monitor Protocol(MS SQL Monitor プロトコル)
この保護機能により、MS SQL Monitorプロトコル(ポート1434番 /UDPで動作)に適用されるさ
まざまな設定を行うことができます。
表 3-157
デフォルトの設定: オフ
保護機能により生成されるログ: MS-SQL Monitor Protocol Enforcement Violation
NGXのパフォーマンスへの影響: MS-SQLトラフィックのアクセラレーションが無効
表 3-158
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
同じ(R55のみ) 同じ(R55のみ) 同じ 同じ
MS-SQL Server Protocol(MS SQL Server プロトコル)
第 3 章 Application Intelligence 101
MS-SQL Server Protocol(MS SQL Server プロトコル)
この保護機能により、MS SQL Serverプロトコル(tcp/1433で動作)に複数の設定を行うことがで
きます。
表 3-159
デフォルトの設定: オフ
保護機能により生成されるログ: MS-SQL Server Protocol Enforcement Violation
NGXのパフォーマンスへの影響: MS-SQLトラフィックのアクセラレーションが無効
表 3-160
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
同じ(R55のみ) 同じ(R55のみ) 同じ 同じ
Routing Protocols(ルーティング・プロトコル)
102
Routing Protocols(ルーティング・プロトコル)このセクションで説明する保護により、ルーティング・プロトコルに適用するアクションの種類を
選択できます。
OSPFこの保護機能を有効にすると、SmartDefenseはOSPFパケット・ヘッダの正当性を検証します。こ
れには、プロトコル・バージョン、メッセージ・タイプ、パケット長が含まれます。 さらに、
SmartDefenseはMD5で認証されていない、安全でないと考えられるOSPFトラフィックを遮断し
ます。
表 3-161
デフォルトの設定: オフ
保護機能により生成されるログ: OSPF enforcement violation
NGXのパフォーマンスへの影響: Performance Pack – なし(アクセラレーションが無効) Nokia – これらのプロトコルのアクセラレーションが無効
表 3-162
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
同じ(R55のみ) 同じ(R55のみ) 同じ 同じ
BGP – Block non-MD5 authenticated BGP connections(BGP – MD5 で認証されていない BGP 接続を遮断)
第 3 章 Application Intelligence 103
BGP – Block non-MD5 authenticated BGP connections(BGP – MD5 で認証されていない BGP 接続を遮断)
この保護機能を有効にすることにより、SmartDefenseはMD5で認証されていない、安全でないと
考えられるBGPトラフィックを検出して遮断します。
表 3-163
デフォルトの設定: オフ
保護機能により生成されるログ: BGP Enforcement Violation
NGXのパフォーマンスへの影響: Performance Pack – なし (アクセラレーションが無効) Nokia – これらのプロトコルのアクセラレーションが無効
表 3-164
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
同じ(R55のみ) 同じ(R55のみ) 同じ 同じ
RIP(RIP プロトコル)
104
RIP(RIP プロトコル)
この保護機能を有効にすることにより、SmartDefenseはRIPパケット・ヘッダの検証を実施しま
す。 さらに、SmartDefenseはMD5で認証されていない、安全でないと考えられるRIPトラフィッ
クを遮断します。
表 3-165
デフォルトの設定: オフ
保護機能により生成されるログ: RIP Enforcement Violation
NGXのパフォーマンスへの影響: Performance Pack – なし (アクセラレーションが無効) Nokia – これらのプロトコルのアクセラレーションが無効
表 3-166
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
同じ(R55のみ) 同じ(R55のみ) 同じ 同じ
IGMP(IGMP プロトコル)
第 3 章 Application Intelligence 105
IGMP(IGMP プロトコル)
この保護機能を有効にすることにより、SmartDefenseは IGMPパケット・ヘッダの検証を実施し
ます。 さらに、SmartDefenseはMD5以外で認証され、安全でないと考えられる IGMPトラフィッ
クを遮断します。
表 3-167
デフォルトの設定: オフ
保護機能により生成されるログ: IGMP protocol Enforcement Violation
NGXのパフォーマンスへの影響: Performance Pack – なし (アクセラレーションが無効) Nokia – これらのプロトコルのアクセラレーションが無効
表 3-168
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
同じ(R55のみ) 同じ(R55のみ) 同じ 同じ
SUN-RPC(SUN-RPC プロトコル)
106
SUN-RPC(SUN-RPC プロトコル)このセクションで説明する保護機能により、SUN-RPC(Remote Procedure Calls)プロトコルに
適用するアクションの種類を選択できます。
SUN-RPC Program Lookup(SUN-RPC プログラム・ルックアップ)
NG with Application Intelligence(R55)以降で利用できるこの保護機能により、SUN-RPCインタ
フェース・スキャニングを遮断します。
表 3-169
デフォルトの設定: オフ
保護機能により生成されるログ: SUN-RPC Enforcement Violation
NGXのパフォーマンスへの影響: SUN – RPCトラフィックのアクセラレーションが無効
表 3-170
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
同じ(R55のみ) 同じ(R55のみ) 同じ 同じ
DHCP(DHCP プロトコル)
第 3 章 Application Intelligence 107
DHCP(DHCP プロトコル)この保護機能を有効にすることにより、SmartDefenseはDHCPパケット・ヘッダおよびオプショ
ンの検証を実施します。
表 3-171
デフォルトの設定: オフ
保護機能により生成されるログ: DHCP Protocol Enforcement Violation
NGXのパフォーマンスへの影響: なし
表 3-172
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
同じ(R55のみ) 同じ(R55のみ) 同じ 同じ
SOCKS(SOCKS プロトコル)
108
SOCKS(SOCKS プロトコル)この保護機能により、SOCKSプロトコルが厳密に適用されます。 SOCKSプロトコル・ポート(デ
フォルトでは1080番)を使用したSOCKSプロトコル以外の通信は遮断されます。
SOCKSバージョン4のみ、または認証されていないSOCKS通信(トロイの木馬による情報のトン
ネリングに使用される)も遮断できます。
表 3-173
デフォルトの設定: オフ
保護機能により生成されるログ: SOCKS Enforcement Violation
NGXのパフォーマンスへの影響: なし
表 3-174
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
同じ(R55のみ) 同じ(R55のみ) 同じ 同じ
109
第 章4Web Intelligence
この章の構成
概要 110ページ
Malicious Code(悪質なコード) 111ページ
Application Layer(アプリケーション層) 113ページ
Information Disclosure(情報公開) 118ページ
HTTP Protocol Inspection(HTTPプロトコル・インスペクション) 121ページ
概要
110
概要Web Intelligenceは正当なトラフィックを通過させながら、個々の攻撃だけでなく各種の攻撃を総
合的に遮断するチェック •ポイントのステートフル・インスペクション、Application Intelligence、およびMalicious Code Protector技術をベースにしています。
• Malicious Code Protectorはチェック・ポイントが特許出願中の技術であり、Webサーバおよ
びアプリケーションを狙った悪質なコードを遮断します。 データ・ストリーム内の実行コード
だけでなく、不審な動作も特定することにより、Web通信に潜む悪質な実行可能コードを検
出できます。 Malicious Code Protectorはカーネル・ベースで検査されるため、ワイヤ・ス
ピードでの高パフォーマンスのセキュリティ保護を実現します。
• Application Intelligenceは、各アプリケーションの動作を詳細に理解したうえで、アプリケー
ション・レベルの攻撃を検出および防御する統合ネットワーク・セキュリティ技術です。
• ステートフル・インスペクションはネットワークに出入りする情報のフローを分析するため、
通信セッション情報とアプリケーション情報に基づいてセキュリティに関する意思決定をリ
アルタイムで行うことができます。 これは、複雑なプロトコルを使用した通信であっても、ネッ
トワークで送受信されるすべての通信の状態とコンテキストを追跡することで実現されます。
Web intelligenceはVPN-1 Powerのアドオンです。 SmartDefenseのサブスクリプション・サービス
に加入されたお客様は、SmartDefenseとWeb Intelligenceの両方をワン・クリックで自動的に更新
できます。 更新は頻繁にリリースされ、弊社WebサイトのSmartDerenseのページから入手できます。
http://www.checkpoint.co.jp/defense/advisories/public/index.html
有効なサブスクリプション・ライセンスをお持ちのお客様はSmartDefenseアドバイザリにアクセ
スし、最新の攻撃手法とSmartDefenseおよびWeb Intelligenceでの対応策、ネットワークを保護
するための情報、ツールや実用例などを参照できます。
ヒント:チェック・ポイント・ソフトウェアの最新バージョンには最新の防御策が組み込ま
れているので、ゲートウェイのバージョンを最新の状態に保つことをお勧めします。
Malicious Code(悪質なコード)
第 4 章 Web Intelligence 111
Malicious Code(悪質なコード)このセクションで説明している保護機能により、Webサーバまたはクライアント上で、攻撃者が悪
質なコードを実行できないようにします。
General HTTP Worm Catcher(HTTP ワーム全般の捕捉)
この保護機能により、あらかじめ設定されたパターンに基づいて検出および遮断されるワーム・シ
グネチャを設定できます。 この検出はカーネルで行われるため、非常に迅速です。 セキュリティ・
サーバは必要ありません。
この保護機能はすべてのトラフィックまたは特定のWebサーバに適用することができます。 攻撃
が遮断されると、カスタマイズ可能なWebページでユーザに通知できます。
表 4-175
デフォルトの設定: オン(定義済みWebサーバの場合)
保護機能により生成されるログ: Worm catcher pattern found. cmd.exe
NGXのパフォーマンスへの影響: なし(アクセラレーションが有効なC2Sトラフィッ
ク上でのみ動作)
表 4-176
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
同じ 保護を実施 同じ 同じ
Malicious Code Protector
112
Malicious Code Protectorこの保護機能は、マシン・コードを逆アセンブルすることにより、URL、HTTP要求ヘッダ、およ
びHTTP要求本文を分析します。 危険を評価し、それに応じて接続を許可または拒否します。 アセ
ンブラ・コードを動的に分析するため、パターンや更新を必要とせずに、将来の脆弱性の大部分を
防御できます。
誤検出を最小限に抑え、優れたセキュリティを実現するために、3つのレベルの保護を使用できま
す。 これらのセキュリティ・レベルにより、攻撃の検知率と誤検出のバランスを調整します。 レベ
ルは、環境に合わせていつでも変更できます。 詳細については、オンライン・ヘルプを参照してく
ださい。
この保護機能は、オンライン・ヘルプで指定されたプラットフォーム上で動作するWebサーバに対
する通信に利用できます。
表 4-177
デフォルトの設定: オフ
保護機能により生成されるログ: Malicious code detected in URL
NGXのパフォーマンスへの影響: なし(アクセラレーションが有効なC2Sトラフィッ
ク上でのみ動作)
表 4-178
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
NGX(R60)管理
サーバから保護機能
をオンにした場合の
動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
保護を非実施 保護を非実施 同じ(Solarisを除く) 同じ
Application Layer(アプリケーション層)
第 4 章 Web Intelligence 113
Application Layer(アプリケーション層)このセクションの保護機能により、Webアプリケーションが特別な命令として解釈するテキスト、
タグ、コマンド、その他の文字を攻撃者が挿入できないようにします。 これらの文字がフォームや
URLに挿入されると、攻撃者により個人データの窃取、悪質な目的によるWebサイトへの通信セッ
ションのリダイレクト、データベースからの情報の窃取、不正アクセス、許可されないコマンドの
実行などが行なわれる可能性があります。
Cross Site Scripting(クロス・サイト・スクリプティング)
クロス・サイト・スクリプティング攻撃を防ぐために、POSTコマンドを使用して送信される、ス
クリプティング・コードを含むHTTP要求は拒否されます。 また、この保護機能は、情報送信のも
う一つの手法である、URLの一部にエンコードされたデータを認識します。 スクリプティング・コー
ドが要求から取り除かれるのではなく、要求全体が拒否されます。
誤検出を最小限に抑え、優れたセキュリティを実現するために、3つのレベルの保護を使用できま
す。これらのセキュリティ・レベルにより、攻撃の検知率と誤検出のバランスを調整します。レベ
ルは、環境に合わせていつでも変更できます。 詳細については、オンライン・ヘルプを参照してく
ださい。
表 4-179
デフォルトの設定: オン(定義済みWebサーバの場合)
保護機能により生成されるログ: Cross Site Scripting detected in URL: 'script'
NGXのパフォーマンスへの影響: なし(アクセラレーションが有効なC2Sトラフィッ
ク上でのみ動作)
表 4-180
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
同じ 保護を実施 同じ 同じ
LDAP Injection(LDAP インジェクション攻撃)
114
LDAP Injection(LDAP インジェクション攻撃)
この保護機能は、Webアプリケーションに送信されたフォームおよびURL内のLDAPクエリの悪
用を識別することにより、LDAPサーバを保護します。 攻撃が検出されると、接続が拒否されます。
最適な検出感度で優れたセキュリティを提供するために、3つのレベルの保護を利用できます。 詳細については、オンライン・ヘルプを参照してください。
検査するLDAPフィールドのリストはカスタマイズできるため、標準のLDAPフィールドとカスタ
マイズしたLDAPフィールドの使用を制御できます。
表 4-181
デフォルトの設定: オン(定義済みWebサーバの場合)
保護機能により生成されるログ: LDAP Injection detected in URL: 'uid'
NGXのパフォーマンスへの影響: なし(アクセラレーションが有効なC2Sトラフィッ
ク上でのみ動作)
表 4-182
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
保護を非実施 保護を非実施 保護を非実施 保護を非実施
SQL Injection(SQL インジェクション攻撃)
第 4 章 Web Intelligence 115
SQL Injection(SQL インジェクション攻撃)
Web Intelligenceは、フォームおよびURL内のSQLコマンドを検索します。 コマンドが見つかると、
接続は拒否されます。
誤検出を最小限に抑え、優れたセキュリティを実現するために、3つのレベルの保護を使用できま
す。これらのセキュリティ・レベルにより、攻撃の検知率と誤検出のバランスを調整します。レベ
ルは、環境に合わせていつでも変更できます。 詳細については、オンライン・ヘルプを参照してく
ださい。
表 4-183
デフォルトの設定: オン(定義済みWebサーバの場合)
保護機能により生成されるログ: SQL Injection detected in URL: 'select'
NGXのパフォーマンスへの影響: なし(アクセラレーションが有効なC2Sトラフィッ
ク上でのみ動作)
表 4-184
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
保護を非実施 保護を非実施 同じ 同じ
Command Injection(コマンド・インジェクション)
116
Command Injection(コマンド・インジェクション)
この保護機能では、フォームおよびURLのシステム・コマンドを検索します。 コマンドが見つかる
と、接続は拒否されます。
誤検出を最小限に抑え、優れたセキュリティを実現するために、3つのレベルの保護を使用できま
す。これらのセキュリティ・レベルにより、攻撃の検知率と誤検出のバランスを調整します。レベ
ルは、環境に合わせていつでも変更できます。 詳細については、オンライン・ヘルプを参照してく
ださい。
表 4-185
デフォルトの設定: オン(定義済みWebサーバの場合)
保護機能により生成されるログ: Command Injection detected in URL: 'chown'
NGXのパフォーマンスへの影響: なし(アクセラレーションが有効なC2Sトラフィッ
ク上でのみ動作)
表 4-186
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
保護を非実施 保護を非実施 同じ 同じ
Directory Traversal(ディレクトリ・トラバーサル)
第 4 章 Web Intelligence 117
Directory Traversal(ディレクトリ・トラバーサル)
この保護機能では、URLに不正なトラバーサル文字の組み合わせが含まれていないか確認します。
URLに不正なディレクトリ要求が含まれている要求は遮断されます。
表 4-187
デフォルトの設定: オン(定義済みWebサーバの場合)
保護機能により生成されるログ: directory traversal overflow http://1.2.3.4/../../
NGXのパフォーマンスへの影響: なし(アクセラレーションが有効なC2Sトラフィッ
ク上でのみ動作)
表 4-188
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
保護を非実施 保護を非実施 同じ 同じ
Information Disclosure(情報公開)
118
Information Disclosure(情報公開)Webサイトを攻撃する前に攻撃者が行う最初の手順の1つは、サイトに関する情報を収集すること
です。 ハッカーの目的は、Webサーバの攻撃に使用できる情報を入手することです。 これは、「フィ
ンガープリンティング」として知られています。
このセクションで説明する保護機能により、Webサーバでユーザに必要のない情報を公開すること
を防ぐことができます。
Header Spoofing(ヘッダ・スプーフィンング)
この保護機能により、ヘッダ名とヘッダ値を識別する正規表現を利用し、HTTP要求または応答に
表示される特定のヘッダを削除または変更できます。 たとえば、通常のサーバのヘッダには、Webサー
バ名とバージョン番号が含まれています。 この保護機能を使用してバージョン情報を秘匿します。
注: この保護機能を有効にすると、保護が適用される Web トラフィックのパフォーマンス
が低下します。
表 4-189
デフォルトの設定: オフ
保護機能により生成されるログ: Header Spoofing, replacing header, new header is 'IIS'
NGXのパフォーマンスへの影
響:
すべてのHTTPトラフィックのアクセラレーションが無効
表 4-190
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
保護を非実施 保護を非実施 同じ 同じ
Directory Listing(ディレクトリ・リスト)
第 4 章 Web Intelligence 119
Directory Listing(ディレクトリ・リスト)
この保護機能により、ディレクトリ・リストを含むWebページを識別し、それらを遮断します。
最適な検出感度で優れたセキュリティを提供するために、3つのレベルの保護を利用できます。 詳細については、オンライン・ヘルプを参照してください。
表 4-191
デフォルトの設定: オフ
保護機能により生成されるログ: Directory Listing detected
NGXのパフォーマンスへの影響: すべてのHTTPトラフィックのアクセラレーションが無効
表 4-192
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
保護を非実施 保護を非実施 保護を非実施 保護を非実施
Error Concealment(エラーの秘匿)
120
Error Concealment(エラーの秘匿)
この保護機能は、HTTP応答内のWebサーバのエラー・メッセージを検索し、発見された場合、Webページがユーザに表示されるのを防ぎます。
エラー・メッセージは2種類の方法で検出され、秘匿されます。
1番目の方法では、不要な情報を表示する4XXおよび5XXエラー・ステータス・コードを含むHTTP応答を秘匿します。 秘匿するステータス・コードを選択できます。
2番目の方法では、Webアプリケーション・エンジンで生成されたエラー・メッセージを秘匿しま
す。 この方法は、アプリケーション・エンジンがWebサーバにエラーがあることを通知しない場合
に必要で、この場合、Webサーバにはエラーがないというエラー情報が表示されます。 特定のアプ
リケーション・エンジンからのメッセージを識別するパターンを設定できます。 これらのパターン
が検出されると、ページが遮断されます。
表 4-193
デフォルトの設定: オフ
保護機能により生成されるログ: Concealed HTTP response status code: '413'
NGXのパフォーマンスへの影響: すべてのHTTPトラフィックのアクセラレーションが無効
表 4-194
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
保護を非実施 保護を非実施 保護を非実施 保護を非実施
HTTP Protocol Inspection(HTTP プロトコル・インスペクション)
第 4 章 Web Intelligence 121
HTTP Protocol Inspection(HTTP プロトコル・インスペクション)
HTTPプロトコルに厳密なポリシーを適用して、セッションがRFC標準と共通のセキュリティ対策
に準拠するようにします。
Web Intelligenceは、バージョンNG with Application Intelligence(R55W)以降の実施モジュール
を通過するすべての接続に対して、パフォーマンスの高いカーネル・レベルの検査を実行します。
NG with Application Intelligence(R55)以前のバージョンの実施モジュールの場合は、選択肢があ
ります。 パフォーマンスを最適化するためにカーネルを使用してHTTPプロトコル・インスペク
ションを実行するか、プロトコルを厳密に適用するためにHTTPセキュリティ・サーバを使用して
HTTPプロトコル・インスペクションを実行するかを選択できます。 3つ目の選択肢では、オプショ
ンをルール・ベースで使用されるリソースに関連する接続にだけ適用し、セキュリティ・サーバを
使用するオプションを実施します。
HTTP Format Sizes(HTTP フォーマット・サイズ)
HTTP要求および応答内のさまざまな要素のサイズを制限することは優れたセキュリティ手法で
す。 これにより、バッファ・オーバーランの可能性が低くなり、ヘッダに挿入されるコードのサイ
ズが制限されます。
この保護機能により、HTTP要求および応答内のさまざまな要素に上限を設定できます。 また、ヘッ
ダ名を記述する正規表現を使用して、特定のヘッダに制限を設定することもできます。 検出された
HTTP接続に複数の要求が含まれる場合、この制限はそれぞれの要求に個別に適用されます。
表 4-195
デフォルトの設定: オン
HTTP Format Sizes(HTTP フォーマット・サイズ)
122
Maximum Request Body Size(要求本文の最大サイズ):
Maximum URL Length(URL の最大長):
表 4-196
デフォルトの設定: オフ
保護機能により生成されるログ: Request body length exceeded allowed maximum length of 49152 bytes
NGXのパフォーマンスへの影響: なし(アクセラレーションが有効なC2Sトラフィッ
ク上でのみ動作)
表 4-197
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
保護を非実施 保護を非実施 同じ 同じ
表 4-198
デフォルトの設定: オン(定義済みWebサーバの場合)
保護機能により生成されるログ: URL length exceeded allowed maximum length of 2048 bytes
NGXのパフォーマンスへの影響: なし(アクセラレーションが有効なC2Sトラフィック上で
のみ動作)
表 4-199
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
同じ 保護を実施 同じ 同じ
HTTP Format Sizes(HTTP フォーマット・サイズ)
第 4 章 Web Intelligence 123
Maximum Header Value Length(ヘッダ値の最大長):
Maximum Number of Headers(ヘッダの最大数):
表 4-200
デフォルトの設定: オン(定義済みWebサーバの場合)
保護機能により生成されるログ: 'host' header length exceeded maximum allowed length
NGXのパフォーマンスへの影響: なし(アクセラレーションが有効なC2Sトラフィック
上でのみ動作)
表 4-201
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
同じ 保護を実施 同じ 同じ
表 4-202
デフォルトの設定: オン(定義済みWebサーバの場合)
保護機能により生成されるログ: Number of HTTP headers exceeded allowed maximum of 500
NGXのパフォーマンスへの影響: なし(アクセラレーションが有効なC2Sトラフィック上
でのみ動作)
表 4-203
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
同じ 保護を実施 同じ 同じ
ASCII Only Request(要求を ASCII 文字に限定)
124
ASCII Only Request(要求を ASCII 文字に限定)
この保護機能では、HTTP要求内の非ASCII文字列を識別して遮断できます。 HTTP要求ヘッダと
フォーム・フィールドを遮断することが可能です。 ユーザがWebフォームを送信すると、データは
URLのクエリ・セクションまたはHTTP要求の本文として転送されます。
表 4-204
デフォルトの設定: オン(定義済みWebサーバの場合)
保護機能により生成されるログ: Invalid character detected in request URL: '0xff'
NGXのパフォーマンスへの影響: なし(アクセラレーションが有効なC2Sトラフィッ
ク上でのみ動作)
表 4-205
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
同じ 保護を実施 同じ 同じ
ASCII Only Response Headers(応答ヘッダを ASCII 文字に限定)
第 4 章 Web Intelligence 125
ASCII Only Response Headers(応答ヘッダを ASCII文字に限定)
この保護機能では、ASCII文字以外の値を含む応答を破棄します。
このページで、すべてのHTTPヘッダをASCII文字のみに強制できます。 これにより、悪質なコン
テンツがHTTPプロトコル・ヘッダを通過するのを防ぐことができます。
注: この保護機能を有効にすると、保護が適用される Web トラフィックのパフォーマンス
が低下します。
表 4-206
デフォルトの設定: オフ
保護機能により生成されるログ: Invalid character detected in response headers: '0xff'
NGXのパフォーマンスへの影響: すべてのHTTPトラフィックのアクセラレーションが
無効
表 4-207
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
同じ 保護を実施 同じ 保護を実施
Header Rejection(特定のヘッダを遮断)
126
Header Rejection(特定のヘッダを遮断)
この保護機能により、特定のヘッダとヘッダ値を含むHTTP要求を遮断できます。
HTTPヘッダ名と値は大文字と小文字の区別のある正規表現で定義されます。
表 4-208
デフォルトの設定: オフ
保護機能により生成されるログ: Header Rejection pattern found in request
NGXのパフォーマンスへの影響: なし(アクセラレーションが有効なC2Sトラフィッ
ク上でのみ動作)
表 4-209
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
同じ (従来は
「ピア・ツー・
ピア」と呼ばれて
いました)
保護を実施 同じ 同じ
HTTP Methods(HTTP メソッド)
第 4 章 Web Intelligence 127
HTTP Methods(HTTP メソッド)
この保護機能を使用して、HTTP要求で使用するHTTPメソッドを制御します。
Web Intelligenceでは、HTTPメソッドを「Standard Safe(GET、HEAD、およびPOST)」、「StandardUnsafe(その他の標準HTTPメソッド)」、および「WebDAV」の3つのグループに分けています。
デフォルトでは、「Standard Safe」メソッド以外のすべてのメソッドは遮断されます。
ユーザが、Microsoft Hotmail、Outlook Web Access、およびFrontPageなどのアプリケーションに
アクセスできるようにするためには、非RFC準拠のWebDAV HTTPメソッドの使用を許可する必
要があります。
遮断するメソッドを正確に選択できます。たとえば、GETおよびPOSTメソッドだけが許可されて
いて、その他のメソッドが遮断されている場合、WebDavメソッドを使用するHTTP要求である
MKCOL/HTTP/1.0は拒否されます。
表 4-210
デフォルトの設定: オン(定義済みWebサーバの場合)
保護機能により生成されるログ: Blocked Method: 'PUT'
NGXのパフォーマンスへの影響: なし(アクセラレーションが有効なC2Sトラフィッ
ク上でのみ動作)
表 4-211
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
保護を非実施 保護を非実施 同じ 同じ
Block HTTP on Non-Standard Port(非標準ポートを使用する HTTP を遮断)
128
Block HTTP on Non-Standard Port(非標準ポートを使用する HTTP を遮断)
SmartDefenseでは、セキュリティ管理者によってHTTPで使用できるポートとして設定されてい
ないTCPポート上のHTTPトラフィックを検出して遮断できます。
非標準ポートでHTTPトラフィックを許可する方法の詳細については、CPSA-2005-01「セキュリ
ティを強化するための推奨設定: 非標準の HTTP ポートを使用するHTTP トラフィックのブロッ
ク」を参照してください。
表 4-212
デフォルトの設定: オフ
保護機能により生成されるログ:
NGXのパフォーマンスへの影響:
表 4-213
NG FP3 ~ R55 R55W
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
NGX(R60)管理
サーバから保護機
能をオンにした場
合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場
合の動作
保護を非実施 保護を非実施 保護を非実施 保護を非実施
Block Malicious HTTP Encodings(悪質な HTTP エンコードの遮断)
第 4 章 Web Intelligence 129
Block Malicious HTTP Encodings(悪質な HTTPエンコードの遮断)
URI内のNULLエンコードは、通常、URIベースの制限をバイパスしたり、一部のWebサーバが
NULL文字のあとのパラメータを無視することを利用する場合に使用されます。
この保護機能により、URIのパス部分にNULLエンコードを含むHTTP要求を遮断できます。
表 4-214
デフォルトの設定: オフ
保護機能により生成されるログ:
NGXのパフォーマンスへの影響:
表 4-215
NG FP3 ~ R55 R55W
NGX(R60)管理サーバ
から保護機能をオンに
した場合の動作
NGX(R60)管理
サーバから保護機能を
Monitor-Onlyにした場合
の動作
NGX(R60)管
理サーバから保
護機能をオンに
した場合の動作
NGX(R60)管理
サーバから保護機
能をMonitor-Onlyにした場合の動作
保護を非実施(R54、FP3)同じ(R55のみ)
保護を非実施(R54、FP3)同じ(R55のみ)
同じ 同じ
Block Malicious HTTP Encodings(悪質な HTTP エンコードの遮断)
130
131
サード・パーティの商標および著作権
Entrust は、米国およびその他の国における Entrust Technologies, Inc. の登録商標です。 Entrust のロゴ、Entrust の製品およびサービスの
名称も Entrust Technologies, Inc. の登録商標です。Entrust Technologies Limited は、Entrust Technologies, Inc. の完全所有子会社です。
FireWall-1 および SecuRemote には、Entrust の証明書管理技術が採用されています。
Verisign は Verisign Inc. の商標です。
下記は、ソフトウェアのうちミシガン大学が著作権を所有する部分に関する記述です。 Portions of the software copyright 1992-1996 Regents of the University of Michigan. All rights reserved. Redistribution and use in source and binary forms are permitted provided that this notice is preserved and that due credit is given to the University of Michigan at Ann Arbor. The name of the University may not be used to endorse or promote products derived from this software without specific prior written permission. This software is provided “as is” without express or implied warranty. Copyright Sax Software (terminal emulation only).
下記は、ソフトウェアのうちカーネギー・メロン大学が著作権を所有する部分に関する記述です。
Copyright 1997 by Carnegie Mellon University. All Rights Reserved.
Permission to use, copy, modify, and distribute this software and its documentation for any purpose and without fee is hereby granted, provided that the above copyright notice appear in all copies and that both that copyright notice and this permission notice appear in supporting documentation, and that the name of CMU not be used in advertising or publicity pertaining to distribution of the software without specific, written prior permission.CMU DISCLAIMS ALL WARRANTIES WITH REGARD TO THIS SOFTWARE, INCLUDING ALL IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS, IN NO EVENT SHALL CMU BE LIABLE FOR ANY SPECIAL, INDIRECT OR CONSEQUENTIAL DAMAGES OR ANY DAMAGES WHATSOEVER RESULTING FROM LOSS OF USE, DATA OR PROFITS, WHETHER IN AN ACTION OF CONTRACT, NEGLIGENCE OR OTHER TORTIOUS ACTION, ARISING OUT OF OR IN CONNECTION WITH THE USE OR PERFORMANCE OF THIS SOFTWARE.
下記は、ソフトウェアのうち The Open Group が著作権を所有する部分に関する記述です。
THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT. IN NO EVENT SHALL THE OPEN GROUP BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER LIABILITY, WHETHER IN AN ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM, OUT OF OR IN CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN THE SOFTWARE.
下記は、ソフトウェアのうち OpenSSL Project が著作権を所有する部分に関する記述です。 This product includes software developed by the OpenSSL Project for use in the OpenSSL Toolkit (http://www.openssl.org/).
THIS SOFTWARE IS PROVIDED BY THE OpenSSL PROJECT ``AS IS'' AND ANY * EXPRESSED OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE OpenSSL PROJECT OR ITS CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
下記は、ソフトウェアのうち Eric Young が著作権を所有する部分に関する記述です。 THIS SOFTWARE IS PROVIDED BY ERIC YOUNG ``AS IS'' AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE AUTHOR OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE. Copyright 1998 The Open Group.
132
下記は、ソフトウェアのうち Jean-loup Gailly および Mark Adler が著作権を所有する部分に関する記述です。Copyright (C) 1995-2002 Jean-loup Gailly and Mark Adler. This software is provided 'as-is', without any express or implied warranty. In no event will the authors be held liable for any damages arising from the use of this software. Permission is granted to anyone to use this software for any purpose, including commercial applications, and to alter it and redistribute it freely, subject to the following restrictions:
1. The origin of this software must not be misrepresented; you must not claim that you wrote the original software. If you use this software in a product, an acknowledgment in the product documentation would be appreciated but is not required.
2. Altered source versions must be plainly marked as such, and must not be misrepresented as being the original software.
3. This notice may not be removed or altered from any source distribution.
下記は、ソフトウェアのうち Gnu Public License が著作権を所有する部分に関する記述です。 This program is free software; you can redistribute it and/or modify it under the terms of the GNU General Public License as published by the Free Software Foundation; either version 2 of the License, or (at your option) any later version. This program is distributed in the hope that it will be useful, but WITHOUT ANY WARRANTY; without even the implied warranty of MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the GNU General Public License for more details.You should have received a copy of the GNU General Public License along with this program; if not, write to the Free Software Foundation, Inc., 675 Mass Ave, Cambridge, MA 02139, USA.
下記は、ソフトウェアのうち Thai Open Source Software Center Ltd および Clark Cooper が著作権を所有する部分に関する記述です。Copyright (c) 2001, 2002 Expat maintainers. Permission is hereby granted, free of charge, to any person obtaining a copy of this software and associated documentation files (the "Software"), to deal in the Software without restriction, including without limitation the rights to use, copy, modify, merge, publish, distribute, sublicense, and/or sell copies of the Software, and to permit persons to whom the Software is furnished to do so, subject to the following conditions: The above copyright notice and this permission notice shall be included in all copies or substantial portions of the Software. THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT. IN NO EVENT SHALL THE AUTHORS OR COPYRIGHT HOLDERS BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER LIABILITY, WHETHER IN AN ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM, OUT OF OR IN CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN THE SOFTWARE.GDChart is free for use in your applications and for chart generation. YOU MAY NOT re-distribute or represent the code as your own. Any re-distributions of the code MUST reference the author, and include any and all original documentation. Copyright. Bruce Verderaime. 1998, 1999, 2000, 2001. Portions copyright 1994, 1995, 1996, 1997, 1998, 1999, 2000, 2001, 2002 by Cold Spring Harbor Laboratory. Funded under Grant P41-RR02188 by the National Institutes of Health. Portions copyright 1996, 1997, 1998, 1999, 2000, 2001, 2002 by Boutell.Com, Inc. Portions relating to GD2 format copyright 1999, 2000, 2001, 2002 Philip Warner. Portions relating to PNG copyright 1999, 2000, 2001, 2002 Greg Roelofs. Portions relating to gdttf.c copyright 1999, 2000, 2001, 2002 John Ellson ([email protected]). Portions relating to gdft.c copyright 2001, 2002 John Ellson ([email protected]). Portions relating to JPEG and to color quantization copyright 2000, 2001, 2002, Doug Becker and copyright (C) 1994, 1995, 1996, 1997, 1998, 1999, 2000, 2001, 2002, Thomas G. Lane. This software is based in part on the work of the Independent JPEG Group. See the file README-JPEG.TXT for more information. Portions relating to WBMP copyright 2000, 2001, 2002 Maurice Szmurlo and Johan Van den Brande. Permission has been granted to copy, distribute and modify gd in any context without fee, including a commercial application, provided that this notice is present in user-accessible supporting documentation. This does not affect your ownership of the derived work itself, and the intent is to assure proper credit for the authors of gd, not to interfere with your productive use of gd. If you have questions, ask. "Derived works" includes all programs that utilize the library. Credit must be given in user-accessible documentation. This software is provided "AS IS." The copyright holders disclaim all warranties, either express or implied, including but not limited to implied warranties of merchantability and fitness for a particular purpose, with respect to this code and accompanying documentation. Although their code does not appear in gd 2.0.4, the authors wish to thank David Koblas, David Rowley, and Hutchison Avenue Software Corporation for their prior contributions.
Licensed under the Apache License, Version 2.0 (the "License"); you may not use this file except in compliance with the License. You may obtain a copy of the License at http://www.apache.org/licenses/LICENSE-2.0
The curl license
COPYRIGHT AND PERMISSION NOTICE
Copyright (c) 1996 - 2004, Daniel Stenberg, <[email protected]>.All rights reserved.
Permission to use, copy, modify, and distribute this software for any purpose
with or without fee is hereby granted, provided that the above copyright
notice and this permission notice appear in all copies.
133
THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT OF THIRD PARTY RIGHTS. IN NO EVENT SHALL THE AUTHORS OR COPYRIGHT HOLDERS BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER LIABILITY, WHETHER IN AN ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM, OUT OF OR IN CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN THE SOFTWARE.
Except as contained in this notice, the name of a copyright holder shall not be used in advertising or otherwise to promote the sale, use or other dealings in this Software without prior written authorization of the copyright holder.
The PHP License, version 3.0
Copyright (c) 1999 - 2004 The PHP Group. All rights reserved.
Redistribution and use in source and binary forms, with or without modification, is permitted provided that the following conditions are met:
1. Redistributions of source code must retain the above copyright notice, this list of conditions and the following disclaimer.
2. Redistributions in binary form must reproduce the above copyright notice, this list of conditions and the following disclaimer in the documentation and/or other materials provided with the distribution.
3. The name "PHP" must not be used to endorse or promote products derived from this software without prior written permission. For written permission, please contact [email protected].
4. Products derived from this software may not be called "PHP", nor may "PHP" appear in their name, without prior written permission from [email protected]. You may indicate that your software works in conjunction with PHP by saying "Foo for PHP" instead of calling it "PHP Foo" or "phpfoo"
5. The PHP Group may publish revised and/or new versions of the license from time to time. Each version will be given a distinguishing version number. Once covered code has been published under a particular version of the license, you may always continue to use it under the terms of that version. You may also choose to use such covered code under the terms of any subsequent version of the license published by the PHP Group. No one other than the PHP Group has the right to modify the terms applicable to covered code created under this License.
6. Redistributions of any form whatsoever must retain the following acknowledgment:
"This product includes PHP, freely available from <http://www.php.net/>".
THIS SOFTWARE IS PROVIDED BY THE PHP DEVELOPMENT TEAM ``AS IS'' AND ANY EXPRESSED OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE PHP DEVELOPMENT TEAM OR ITS CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
This software consists of voluntary contributions made by many individuals on behalf of the PHP Group. The PHP Group can be contacted via Email at [email protected].
For more information on the PHP Group and the PHP project, please see <http://www.php.net>. This product includes the Zend Engine, freely available at <http://www.zend.com>.
This product includes software written by Tim Hudson ([email protected]).
THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT OWNER OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS
INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
134
Copyright (c) 1998, 1999, 2000 Thai Open Source Software Center Ltd
Permission is hereby granted, free of charge, to any person obtaining a copy of this software and associated documentation files (the "Software"), to deal in the Software without restriction, including without limitation the rights to use, copy, modify, merge, publish, distribute, sublicense, and/or sell copies of the Software, and to permit persons to whom the Software is furnished to do so, subject to the following conditions:The above copyright notice and this permission notice shall be included in all copies or substantial portions of the Software.
THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT. IN NO EVENT SHALL THE AUTHORS OR COPYRIGHT HOLDERS BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER LIABILITY, WHETHER IN AN ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM, OUT OF OR IN CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN THE SOFTWARE.
Copyright 2003, 2004 NextHop Technologies, Inc. All rights reserved.
Confidential Copyright Notice
Except as stated herein, none of the material provided as a part of this document may be copied, reproduced, distrib-uted, republished, downloaded, displayed, posted or transmitted in any form or by any means, including, but not lim-ited to, electronic, mechanical, photocopying, recording, or otherwise, without the prior written permission of NextHop Technologies, Inc. Permission is granted to display, copy, distribute and download the materials in this doc-ument for personal, non-commercial use only, provided you do not modify the materials and that you retain all copy-right and other proprietary notices contained in the materials unless otherwise stated. No material contained in this document may be "mirrored" on any server without written permission of NextHop. Any unauthorized use of any material contained in this document may violate copyright laws, trademark laws, the laws of privacy and publicity, and communications regulations and statutes. Permission terminates automatically if any of these terms or condi-tions are breached. Upon termination, any downloaded and printed materials must be immediately destroyed.
Trademark Notice
The trademarks, service marks, and logos (the "Trademarks") used and displayed in this document are registered and unregistered Trademarks of NextHop in the US and/or other countries. The names of actual companies and products mentioned herein may be Trademarks of their respective owners. Nothing in this document should be construed as granting, by implication, estoppel, or otherwise, any license or right to use any Trademark displayed in the document. The owners aggressively enforce their intellectual property rights to the fullest extent of the law. The Trademarks may not be used in any way, including in advertising or publicity pertaining to distribution of, or access to, materials in
this document, including use, without prior, written permission. Use of Trademarks as a "hot" link to any website is prohibited unless establishment of such a link is approved in advance in writing. Any questions concerning the use of these Trademarks should be referred to NextHop at U.S. +1 734 222 1600.
U.S. Government Restricted Rights
The material in document is provided with "RESTRICTED RIGHTS." Software and accompanying documentation are provided to the U.S. government ("Government") in a transaction subject to the Federal Acquisition Regulations with Restricted Rights. The Government's rights to use, modify, reproduce, release, perform, display or disclose are
restricted by paragraph (b)(3) of the Rights in Noncommercial Computer Software and Noncommercial Computer Soft-ware Documentation clause at DFAR 252.227-7014 (Jun 1995), and the other restrictions and terms in paragraph (g)(3)(i) of Rights in Data-General clause at FAR 52.227-14, Alternative III (Jun 87) and paragraph (c)(2) of the Commer-cial
Computer Software-Restricted Rights clause at FAR 52.227-19 (Jun 1987).
Use of the material in this document by the Government constitutes acknowledgment of NextHop's proprietary rights in them, or that of the original creator. The Contractor/Licensor is NextHop located at 1911 Landings Drive, Mountain View, California 94043. Use, duplication, or disclosure by the Government is subject to restrictions as set forth in applicable laws and regulations.
Disclaimer Warranty Disclaimer Warranty Disclaimer Warranty Disclaimer Warranty
THE MATERIAL IN THIS DOCUMENT IS PROVIDED "AS IS" WITHOUT WARRANTIES OF ANY KIND EITHER EXPRESS OR IMPLIED. TO THE FULLEST EXTENT POSSIBLE PURSUANT TO THE APPLICABLE LAW, NEXTHOP DISCLAIMS ALL WARRANTIES,
135
EXPRESSED OR IMPLIED, INCLUDING, BUT NOT LIMITED TO, IMPLIED WARRANTIES OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE, NON INFRINGEMENT OR OTHER VIOLATION OF RIGHTS. NEITHER NEXTHOP NOR ANY OTHER PROVIDER OR DEVELOPER OF MATERIAL CONTAINED IN THIS DOCUMENT WARRANTS OR MAKES ANY REPRESEN-TATIONS REGARDING THE USE, VALIDITY, ACCURACY, OR RELIABILITY OF, OR THE RESULTS OF THE USE OF, OR OTHERWISE RESPECTING, THE MATERIAL IN THIS DOCUMENT.
Limitation of Liability
UNDER NO CIRCUMSTANCES SHALL NEXTHOP BE LIABLE FOR ANY DIRECT, INDIRECT, SPECIAL, INCIDENTAL OR CONSEQUENTIAL DAMAGES, INCLUDING, BUT NOT LIMITED TO, LOSS OF DATA OR PROFIT, ARISING OUT OF THE USE, OR THE INABILITY TO USE, THE MATERIAL IN THIS DOCUMENT, EVEN IF NEXTHOP OR A NEXTHOP AUTHORIZED REPRESENTATIVE HAS ADVISED OF THE POSSIBILITY OF SUCH DAMAGES. IF YOUR USE OF MATERIAL FROM THIS DOCUMENT RESULTS IN THE NEED FOR SERVICING, REPAIR OR CORRECTION OF EQUIPMENT OR DATA, YOU ASSUME ANY COSTS THEREOF. SOME STATES DO NOT ALLOW THE EXCLUSION OR LIMITATION OF INCIDENTAL OR CONSEQUENTIAL DAMAGES, SO THE ABOVE LIMITATION OR EXCLUSION MAY NOT FULLY APPLY TO YOU.
Copyright ComponentOne, LLC 1991-2002. All Rights Reserved.
BIND: ISC Bind (Copyright (c) 2004 by Internet Systems Consortium, Inc. ("ISC"))
Copyright 1997-2001, Theo de Raadt: the OpenBSD 2.9 Release
PCRE LICENCE
PCRE is a library of functions to support regular expressions whose syntax and semantics are as close as possible to those of the Perl 5 language. Release 5 of PCRE is distributed under the terms of the "BSD" licence, as specified below. The documentation for PCRE, supplied in the "doc" directory, is distributed under the same terms as the software itself.
Written by: Philip Hazel <[email protected]>
University of Cambridge Computing Service, Cambridge, England. Phone:
+44 1223 334714.
Copyright (c) 1997-2004 University of Cambridge All rights reserved.
Redistribution and use in source and binary forms, with or without modification, are permitted provided that the following conditions are met:
* Redistributions of source code must retain the above copyright notice, this list of conditions and the following disclaimer.
* Redistributions in binary form must reproduce the above copyright notice, this list of conditions and the following disclaimer in the documentation and/or other materials provided with the distribution.
* Neither the name of the University of Cambridge nor the names of its contributors may be used to endorse or promote products derived from this software without specific prior written permission.
THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT OWNER OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
Eventia Reporter には、MySQL AB が著作権を所有している、またはライセンスを許諾しているソフトウェアが含まれています。
136
2007 年 3 月 137
索引
AAddress Spoofing 43Allow Only SNMPv3 Traffic 88Application Intelligence 110Application Layer 113ASCII Only Request 124ASCII Only Response
Headers 125
BBGP 103Block ASN.1 Bitstring Encoding
Attack 63Block ASN.1 Bitstring Encoding
Attack over SMTP 57Block CISCO IOS DOS 34Block Data Connections to Low
Ports 52Block HTTP on Non-Standard
Port 128Block IKE Aggressive
Exchange 92, 93Block Malicious HTTP
Encodings 129Block Null CIFS Sessions 61Block Null Payload ICMP 35Block Popup Messages 62Block SSL Null-Pointer
Assignment 91Block Welchia ICMP 33Block WINS Name Validation
Attack 65Block WINS Replication
Attack 64
CCache Poisoning Protections 78Command Injection 116Content Protection 96Cross Site Scripting 113
DDCOM 98Denial Of Service 25Denial of Service 44DHCP 107Directory Listing 119Directory Traversal 117DNS 75Domain Block List 77DOS Protection 80Drop Requests to Default
Community Strings 89Drop Unauthenticated DCOM 99DShield Storm Center 48Dynamic Ports 52
EError Concealment 120
FFile and Print Sharing 60Fingerprint Scrambling 40FTP 58FTP Bounce 58FTP Security Server 59
GGeneral HTTP Worm
Catcher 111
HH323 81Header Rejection 126Header Spoofing 118Host Port Scan 50HTTP Format Sizes 121HTTP Methods 127HTTP Protocol Inspection 121
IICQ 74IGMP 105Information Disclosure 118Instant Messengers 69IP and ICMP 29IP Fragments 31IP ID 42ISN Spoofing 40
LLAND 27LDAP Injection 114Local Interface Spoofing 45
MMail 55Mail Security Server 56Malformed ANI File 97Malformed JPEG 96
138
Malicious Code 111Malicious Code Protector 110,
112Maximum Header Value
Length 123Maximum Number of
Headers 123Maximum Request Body
Size 83, 122Maximum URL Length 122Max Ping Size 30MGCP (allowed commands) 86Microsoft Networks 60MSN Messenger over
MSNMS 71MSN messenger over SIP 70MS-RPC 98MS-RPC Program Lookup 99MS-SQL 100MS-SQL Monitor Protocol 100MS-SQL Server Protocol 101
NN/A 22Network Quota 32NG FP3 18NG R55W 18NG With Application Intelligence(R54)18
NG With Application Intelligence R55 18
Non TCP Flooding 28
OOSPF 102
PPacket Sanity 29Peer to Peer 66Ping of Death 26POP3/IMAP Security 55
Port Scan 50PPTP Enforcement 90Protocol Enforcement - TCP 75Protocol enforcement - UDP 76
RReport to DShield 49Resource Records
Enforcements 79Retrieve and Block Malicious
IPs 48RIP 104Routing Protocols 102
SSCCP(Skinny)87Sequence Verifier 39SIP 82Skype 72Small PMTU 37SmartDefense 18SNMP 88SOCKS 108Spoofed Reset Protection 38SQL Injection 115SSH - Detect SSH over Non-
Standard Ports 94SSH Enforcement 95Successive Alerts 46Successive Events 43Successive Multiple
Connections 47SUN-RPC 106SUN-RPC Program Lookup 106Sweep Scan 51SYN Attack Configuration 36
TTCP 36Teardrop 25TTL 41
VVoIP 80VPN Protocols 90
WWeb Intelligence 19
YYahoo! Messenger 73
お同じ 22オフ 22オン 22
き許可 22
すステートフル・
インスペクション 110
つ常にオン 22
ほ保護を実施 22保護を非実施 22