回避技術対策の設定では、分析を回避しようとする異常なパケットに対するネットワークエンジンによる処理を管理します。回避技術対策の設定は、ポリシーまたは個々のコンピュータで設定されます。セキュリティモード設定は、侵入防御がパケットをどの程度厳密に分析するかを管理し、次のいずれかの値に設定できます。
-
標準:: は、誤検知なしでIPSルールの回避を防ぎます。これはデフォルト値です。
-
厳格:: は通常モードよりも厳格なチェックを行いますが、誤検出が発生する可能性があります。厳格モードはペネトレーションテストに有用ですが、通常の状況では有効にしないでください。
-
カスタム:: [カスタム]を選択すると、Deep Securityがパケットの問題を処理する方法を指定できる追加設定が利用可能になります。これらの設定 ([TCP PAWSウィンドウ]を除く) では、オプションとして[許可](Deep Securityがパケットをシステムに送信する)、[ログ記録のみ](許可と同じ動作だが、イベントが記録される)、[拒否](Deep Securityがパケットを破棄し、イベントを記録する)、または[拒否 (ログに記録しない)](拒否と同じ動作だが、イベントは記録されない) があります。
注意
Deep Security 10.1以前でポスチャを「カスタム」に変更した場合、回避技術対策設定のすべてのデフォルト値が「拒否」に設定されていました。これにより、ブロックイベントが劇的に増加しました。以下の表に示すように、Deep Security 10.2ではデフォルトのカスタム値が変更されました。
|
設定
|
説明
|
標準値
|
厳格値
|
初期設定のカスタム値 (10.2より前)
|
初期設定のカスタム値 (10.2以降)
|
|
無効なTCPタイムスタンプ
|
TCPタイムスタンプが古い場合の処理
|
無視してログに記録 (ログのみと同じ機能)
|
拒否
|
拒否
|
無視してログに記録 (ログのみと同じ機能)
|
|
TCP PAWSウィンドウ
|
パケットにはタイムスタンプが付加されている場合があります。パケットのタイムスタンプが、それ以前に受信したタイムスタンプよりも古い場合、不審なタイムスタンプが使用されている可能性があります。タイムスタンプの差異についての許容度は、OSによって異なります。Windowsシステムの場合、0を選択してください
(パケットのタイムスタンプが、それ以前のパケットと同じ、もしくは新しい場合、システムがパケットを受容します)。Linuxシステムの場合は、1を選択してください (パケットのタイムスタンプの古さが、それ以前のパケットより最大で1秒未満の場合、システムがパケットを受容します)。
|
Linux Agentの場合は1、それ以外の場合は0
|
Linux Agentの場合は1、それ以外の場合は0
|
0
|
Linux Agentの場合は1、それ以外の場合は0
|
|
TCPタイムスタンプ (PAWS: Protection Against Wrapped Sequence) の値がゼロ
|
TCPタイムスタンプがゼロの場合の処理
|
Linux AgentまたはNDIS5の場合は拒否、それ以外の場合は許可
|
Linux AgentまたはNDIS5の場合は拒否、それ以外の場合は許可
|
拒否
|
Linux AgentまたはNDIS5の場合は拒否、それ以外の場合は許可
|
|
フラグメント化されたパケット
|
パケットがフラグメント化されている場合の処理
|
許可
|
許可
|
拒否
|
許可
|
|
TCPゼロフラグ
|
パケットにゼロフラグが設定されている場合の処理
|
拒否
|
拒否
|
拒否
|
拒否
|
|
TCP輻輳フラグ
|
パケットに輻輳フラグが設定されている場合の処理
|
許可
|
許可
|
拒否
|
許可
|
|
TCP緊急フラグ
|
パケットに緊急フラグが設定されている場合の処理
|
許可
|
拒否
|
拒否
|
許可
|
|
TCP SYN FINフラグ
|
パケットにSYNおよびFINフラグが設定されている場合の処理
|
拒否
|
拒否
|
拒否
|
拒否
|
|
TCP SYN RSTフラグ
|
パケットにSYNおよびRSTフラグが設定されている場合の処理
|
拒否
|
拒否
|
拒否
|
拒否
|
|
TCP RST FINフラグ
|
パケットにRSTおよびFINフラグが設定されている場合の処理
|
拒否
|
拒否
|
拒否
|
拒否
|
|
TCP SYNパケット (データあり)
|
パケットにSYNフラグが設定されていて、かつデータが含まれる場合の処理
|
拒否
|
拒否
|
拒否
|
拒否
|
|
TCP Split Handshake
|
SYNへの応答として、SYN-ACKの代わりにSYNが受信されたときに実行する処理です。
|
拒否
|
拒否
|
拒否
|
拒否
|
|
識別できないTCPセッション上のRSTパケット
|
識別できないTCPセッション上のRSTパケットに対する処理
|
許可
|
拒否
|
拒否
|
許可
|
|
識別できないTCPセッション上のFINパケット
|
識別できないTCPセッション上のFINパケットに対する処理
|
許可
|
拒否
|
拒否
|
許可
|
|
識別できないTCPセッション上の送信パケット
|
識別できないTCPセッション上の送信パケットに対する処理
|
許可
|
拒否
|
拒否
|
許可
|
|
回避再送
|
複製または重複したデータを含むパケットに対する処理
|
許可
|
拒否
|
拒否
|
許可
|
|
TCPチェックサム
|
無効なチェックサムを含むパケットに対する処理
|
許可
|
拒否
|
拒否
|
許可
|