回避技術対策の設定では、分析を回避しようとする異常なパケットに対するネットワークエンジンによる処理を管理します。回避技術対策の設定は、ポリシーまたは個々のコンピュータで設定されます。セキュリティモード設定は、侵入防御がパケットをどの程度厳密に分析するかを管理し、次のいずれかの値に設定できます。
- 標準: 誤検出が発生しないように侵入防御ルールの回避を防ぎます。これが初期設定値です。
- 厳格: 標準モードよりも厳密なチェックが行われますが、誤検出が発生する場合があります。厳格モードは侵入テストを行う場合に便利ですが、通常は有効にしないでください。
- カスタム: [カスタム]を選択すると、エージェントがパケットの問題を処理する方法を指定できる追加の設定が利用可能になります。これらの設定 ([TCP タイムスタンプ PAWS ウィンドウ]を除く) のオプションは、[許可] (エージェントはシステムにパケットを送信します) または[拒否 サイレント] (拒否と同じ動作ですが、イベントはログに記録されません) です。拒否 (エージェントがパケットをドロップし、イベントをログに記録する) はカスタマイズ可能なオプションではないことに注意してください。
設定
|
説明
|
標準値
|
厳格値
|
初期設定のカスタム値 (10.2より前)
|
初期設定のカスタム値 (10.2以降)
|
無効なTCPタイムスタンプ
|
TCPタイムスタンプが古い場合の処理
|
無視 (許可と同じ機能)
|
拒否 (ログに記録)
|
拒否 (ログに記録)
|
無視 (許可と同じ機能)
|
TCP PAWSウィンドウ
|
パケットにはタイムスタンプが付加されている場合があります。パケットのタイムスタンプが、それ以前に受信したタイムスタンプよりも古い場合、不審なタイムスタンプが使用されている可能性があります。タイムスタンプの差異についての許容度は、OSによって異なります。Windowsシステムの場合、0を選択してください
(パケットのタイムスタンプが、それ以前のパケットと同じ、もしくは新しい場合、システムがパケットを受容します)。Linuxシステムの場合は、1を選択してください (パケットのタイムスタンプの古さが、それ以前のパケットより最大で1秒未満の場合、システムがパケットを受容します)。
|
Linux Agentの場合は1、それ以外の場合は0
|
Linux Agentの場合は1、それ以外の場合は0
|
0
|
Linux Agentの場合は1、それ以外の場合は0
|
TCPタイムスタンプ (PAWS: Protection Against Wrapped Sequence) の値がゼロ
|
TCPタイムスタンプがゼロの場合の処理
|
Linux AgentまたはNDIS5の場合は拒否、それ以外の場合は許可
|
Linux AgentまたはNDIS5の場合は拒否、それ以外の場合は許可
|
拒否 (ログに記録)
|
Linux AgentまたはNDIS5の場合は拒否、それ以外の場合は許可
|
フラグメント化されたパケット
|
パケットがフラグメント化されている場合の処理
|
許可
|
許可
|
拒否 (ログに記録)
|
許可
|
TCPゼロフラグ
|
パケットにゼロフラグが設定されている場合の処理
|
拒否 (ログに記録)
|
拒否 (ログに記録)
|
拒否 (ログに記録)
|
拒否 (ログに記録)
|
TCP輻輳フラグ
|
パケットに輻輳フラグが設定されている場合の処理
|
許可
|
許可
|
拒否 (ログに記録)
|
許可
|
TCP緊急フラグ
|
パケットに緊急フラグが設定されている場合の処理
|
許可
|
拒否 (ログに記録)
|
拒否 (ログに記録)
|
許可
|
TCP SYN FINフラグ
|
パケットにSYNおよびFINフラグが設定されている場合の処理
|
拒否 (ログに記録)
|
拒否 (ログに記録)
|
拒否 (ログに記録)
|
拒否 (ログに記録)
|
TCP SYN RSTフラグ
|
パケットにSYNおよびRSTフラグが設定されている場合の処理
|
拒否 (ログに記録)
|
拒否 (ログに記録)
|
拒否 (ログに記録)
|
拒否 (ログに記録)
|
TCP RST FINフラグ
|
パケットにRSTおよびFINフラグが設定されている場合の処理
|
拒否 (ログに記録)
|
拒否 (ログに記録)
|
拒否 (ログに記録)
|
拒否 (ログに記録)
|
TCP SYNパケット (データあり)
|
パケットにSYNフラグが設定されていて、かつデータが含まれる場合の処理
|
拒否 (ログに記録)
|
拒否 (ログに記録)
|
拒否 (ログに記録)
|
拒否 (ログに記録)
|
TCP Split Handshake
|
SYNへの応答として、SYN-ACKの代わりにSYNが受信されたときに実行する処理です。
|
拒否 (ログに記録)
|
拒否 (ログに記録)
|
拒否 (ログに記録)
|
拒否 (ログに記録)
|
識別できないTCPセッション上のRSTパケット
|
識別できないTCPセッション上のRSTパケットに対する処理
|
許可
|
拒否 (ログに記録)
|
拒否 (ログに記録)
|
許可
|
識別できないTCPセッション上のFINパケット
|
識別できないTCPセッション上のFINパケットに対する処理
|
許可
|
拒否 (ログに記録)
|
拒否 (ログに記録)
|
許可
|
識別できないTCPセッション上の送信パケット
|
識別できないTCPセッション上の送信パケットに対する処理
|
許可
|
拒否 (ログに記録)
|
拒否 (ログに記録)
|
許可
|
回避再送
|
複製または重複したデータを含むパケットに対する処理
|
許可
|
拒否 (ログに記録)
|
拒否 (ログに記録)
|
許可
|
TCPチェックサム
|
無効なチェックサムを含むパケットに対する処理
|
許可
|
拒否 (ログに記録)
|
拒否 (ログに記録)
|
許可
|