トレンドマイクロ株式会社
2014年12月9日 作成
2015年7月30日 更新
7/30/2015 Copyright © 2014 Trend Micro Incorporated. All rights reserved.
1
※「トレンドマイクロ推奨 Windows Server
2003(32bit)用ポリシー」を利用される前に、
必ず本資料をご確認ください。
Windows Server 2003 (32bit)に
Deep Security Agentを導入する際の注意点
Windows Server 2003(32bit)環境での注意点
• Windows Server 2003 (32bit)では、カーネルで
利用可能な非ページプールの上限が256MBと制限
されています。
• Deep Security Agent(以下、DSA) 侵入防止機能を利用
することでWindows OSの非ページプールの領域を使用します。
メモリ消費量は、適用するIPSルール数、検出数(ハンドルしている
TCP数)に依存します。
非ページプールの枯渇により、他ミドルウェアやOSが
ハングアップしてしまう可能性がございます。
出典: Windows の限界に挑む: ページ プールと非ページ プール
<http://technet.microsoft.com/ja-jp/windows/mark_03.aspx>
参考情報:
IPSルール数に応じた非ページプール領域の容量について
•
注意:あくまで検証環境上でのデータです。実際のお客様環境におけるパフォーマンス
をお約束するデータではございません。
•
テスト内容
– 下表に記載した4つの環境において、Jmeterで負荷テストを実施。
– Jmeterで送付したHTTPリクエストは、以下のような内容をランダムで50,000回実施。
• 500KBのファイルをダウンロード
• SQL Injection
• Bash/Apache/PHPなどの脆弱性をつく攻撃コード
– 結果の測定はWindowsパフォーマンスモニターで計測。
•
非ページ領域の容量 ※テスト中の最大値
•
結果
– DSAに適用するルールが増えることにより、パケット検査の際に非ページプール領域を
圧迫してしまうことが確認されました。
7/30/2015 Copyright © 2014 Trend Micro Incorporated. All rights reserved.
3
環境
非ページプールの領域(KB)
1. DSAなし
13,804
2. DSAあり(有効化のみ・ルール割り当て無し)
35,728
3. DSAあり 100ルール適用
41,868
対応策
• 本事象はパフォーマンスが原因で発生するため、回避策としては以下の3パター
ンをご検討ください。
1. 定期的なメモリ開放
–
定期的なOSの再起動
–
定期的なメモリ開放ツールの利用
•
例)Microsoft社 Windows Server 2003 Resource Kit Toolsに含
まれる「 Empty.exe: Free Working Set Tool 」等
2. 不要なIPSルールを削減する
–
サーバOSでは一般的には不要と考えられるIPSルールを
適用しないようにチューニングした、
トレンドマイクロ推奨Windows
Server 2003(32bit)用ポリシー
※
を利用
3. メモリ整理の実施タイミングをチューニングする
–
Windows環境においてデフォルト設定では、ページプールの上限80%分
のメモリ使用に達すると、メモリの調整処理が実行されます。この処理を行
うタイミングを早めることで、バースト的にメモリを使用する処理が発生して
も、上限内で済むようにすることが狙いです。
–
設定方法:http://support2.microsoft.com/kb/312362/ja
次のスライド以降
でご説明します。
トレンドマイクロ推奨
Windows Server 2003(32bit)用ポリシー
Windows Server2003環境向け
Deep Security 推奨ポリシーの考え方
と適用イメージ
Windows Server2003環境向け
Deep Security 推奨ポリシーの考え方について
本資料は、Windows Server2003を対象にDeep Securityの侵入防御
機能(IDS/IPSルール)を利用する場合におけるルール適用の最適化(取捨選択)
に対する考え方と、最適化されたルールの適用方法を纏めたものです。
想定利用場面:
① 導入環境がHWリソースが少ない・既存アプリの稼働からリソースがひっ迫している状態で
あることから、導入による影響を最小限に抑えたい
② 既にDSを導入済み、または運用中だが、導入後にパフォーマンス面の問題が
発生し、原因がIDS/IPSのルール数に依存したパフォーマンス問題であると分かっている
③ その他、パフォーマンスへの影響をとにかく最小化したい
7/30/2015 Copyright © 2014 Trend Micro Incorporated. All rights reserved.
7
ポリシー最適化(取捨選択)のスコープ
アプリケーション(MS
社)
ミドルウェア
(MS社)
ミドルウェア
(MS社以外)
オペレーティングシステム
アプリケーション(MS
社以外)
ここが対象
ミドルウェア以上は、お客様のサーバ用
途ごとに異なる為、推奨設定の検索
※
を利用してルールを適用
※「推奨設定の検索」とは、保護するコンピュータ情報をもとに必要なIDS/IPSルールを
自動的に適用する機能です。本機能を利用することで、コンピュータにとって不要な
ルール適用を防ぎ、必要なルールをタイムリーに適用することが可能になります。
詳細はこちらをご参照ください。
http://esupport.trendmicro.com/solution/ja-jp/1311156.aspx
最適化(取捨選択)の考え方
クライアントアプリ
(Office関連、Browserなど)
クライアント&サーバ共有アプリ
(Adobe, java )
DSの侵入防御機能(IDS/IPS)では、サーバのみならず、クライアント環境の保護も
想定された仮想パッチ(ルール)を多く搭載しています。
その為、今回のようにリソースが逼迫している環境では、適用するルール数を減らすために
[クライアント環境でのみ利用される可能性の高いソフトウェアに関連するルール]は適用外とします。
※[クライアント、サーバどちらの環境でも比較的使われる可能性が高いソフトウェアに関連する
ルール]については、適用対象にします。
ここが対象
適用対象外
7/30/2015 Copyright © 2014 Trend Micro Incorporated. All rights reserved.
9
ポリシー作成にあたる検証結果
環境
ルールのバージョン
Microsoft Windows Server 2003 (32
bit) Service Pack 2 Build 3790
14-033.dsru
(2014/10/22リリース)
推奨ルール適用数
アプリケーションの種類
388ルール
17
以下のテスト環境において2014年10月22日にリリースされた仮想パッチ使って
推奨設定の検索を実施したところ、388ルール(16種類のアプリケーションに関連)
が適用されました。
1) Web Client Internet Explorer
2) Web Server Common
3) Web Client Common
4) Web Client SSL
5) NNTP Client Microsoft Outlook Express
6) Windows Services RPC Server DCERPC
7) Windows Services RPC Server
8) Windows Services RPC Client
9) Port Mapper FTP Client
10) Mail Client Outlook Express
11) Web Server IIS
12) Kerberos KDC Server
13) Microsoft Office
14) Remote Desktop Protocol Server
15) FTP Client Miscellaneous
16) Web Application Miscellaneous
17) SSL/TLS Server
各アプリケーションにおけるルール適用有無の検証結果
アプリケーションの種類 適用有無 理由
Web Client Internet Explorer
× ※Internet Explorer をサーバ上では実行しないことが条件Web Server Common
- ミドルウェア側のアプリと依存関係があるため適用有無は推奨設定の検索にて判断 ※監視する対象のポートを絞り込むことを推奨いたします。Web Client Common
○ Adobe,Javaなどサーバで利用されるソフトウェアが含まれるためWeb Client SSL
○ SSLのクライアント通信はサーバでも利用されているケースが多くあるため (OPNSSLv3等)NNTP Client Microsoft Outlook
Express
× Outlook Expressはサーバに入ってないことを想定しているため
※Exchangeなどを利用している場合は、要注意
Windows Services RPC Server
DCERPC
○
RPCはサーバ上で稼働している可能性が高いため
Windows Services RPC Server
○Windows Services RPC Client
○Port Mapper FTP Client
×(初期設定:×)
ブラウザを経由したFTPを使った攻撃を検出するルール。
サーバ上ではブラウザを利用しない事を想定し、適用対象から除外
Mail Client Outlook Express
× Outlook Expressはサーバに入ってないことを想定しているため ※Exchangeなどを利用している場合は要注意Web Server IIS
- 適用有無はミドルウェア側で判断(推奨設定の検索にて判断)Kerberos KDC Server
○ Kerberos認証はサーバ上で利用しているためMicrosoft Office
× サーバ上にはMicrosoft Officeが入ってないことを想定Remote Desktop Protocol Server
○ メンテナンス目的にRDPを利用している可能性が高いためFTP Client Miscellaneous
×(初期設定:×)
FTPクライアントはサーバ上において利用されていないことを想定したため
Web Application Miscellaneous
○ .NET Framework、CMSなどサーバ上では稼働している可能性が高いため7/30/2015 Copyright © 2014 Trend Micro Incorporated. All rights reserved.
11
参考)IPSルール最適化の手順
適用対象から外すアプリケーションについて「推奨設定の検索から除外」設定にしています。
本ポリシーでは適用対象外になっているが適用対象に戻したい場合は、こちらの設定箇所
でチューニングを実施してください。
1. DSM管理コンソールにログイン
2. [ポリシー] – 該当ポリシーの詳細画面 –[侵入防御] – ポリシー一覧を表示
3. 該当のアプリケーションを右クリック-[アプリケーションの種類プロパティ]を選択
4. [オプション]タブ – 推奨設定から除外:いいえ を選択 (はい:除外されたまま)
最適化(取捨選択)後のルール数
最適化したルール数
アプリケーションの種類
127ルール
(約1/3に削減)
13
(4グループ削減)
推奨設定の検索において適用されたルールを、アプリケーションの種類別に
適用要否の判断を行い、最適化を行ったところ、以下のように削減することができました。
※適用対象から外したアプリケーションに関連するルールは、
今後新規ルールがリリースされた場合に推奨設定の検索を実施した場合も
自動的には適用されません。
推奨ポリシーのチューニング情報まとめ(1/3)
• 有効にしている機能:侵入防御のみ
• 侵入防御の設定
– 侵入防御の動作:防御
– 割り当てられているルール:1件 「動作確認用-テストルール」
– 推奨設定の検索によるルール自動適用の対象外のアプリケーション:
• Web Client Internet Explorer
• NNTP Client Microsoft Outlook Express
• Port Mapper FTP Client
• Mail Client Outlook Express
• Microsoft Office
• FTP Client Miscellaneous
※IPSルール適用除外の基準(p6)をご参照の上、お客様の環境に基準が
合致することをご確認のうえ、推奨ポリシーをご利用ください。
– 侵入防御の推奨設定を自動的に適用:はい
※推奨設定の検索実行時に最適ルールを自動適用します。
推奨ポリシーのチューニング情報まとめ(2/3)
機能
設定値
変更前
変更後
変更理由
Firewall, IDS/IPS 最大TCP接続数: 1000 10000 Webサーバなどアクセス数が多い環境では、デフォルトの数値よりも多 くの接続が発生したケースが確認されている為、 デフォルトよりも多く設定 最大UDP接続数 1000 10000 最小フラグメントオフセット 60 0 アプリやネットワークの環境によっては、小さなフラグメントが正常な通信 でも発生する場合があり、正常な通信をブロックしてしまう可能性を考 慮し、フラグメントのサイズのチェックを無効化 最小フラグメントサイズ: 120 0 IPv6拡張タイプ0のドロップ はい いいえ IPv6関連のパケットの不要な通信拒否処理を避けるため 最小MTU未満のIPv6フラグ メントのドロップ はい いいえ IPv6予約済みアドレスのド ロップ はい いいえ IPv6Bogonアドレスのドロッ プ はい いいえFirewall – ネットワークエンジン
ルール
ID
設定値
変更前
変更後
変更理由
1000128 – HTTP Protocol DecodingSpecify raw characters that are not allowed in the URI: 0x00- 0x19,0x7f-0xffをブロック ※DS9.5以降の バージョンでは、 デフォルトで空欄に なっています。 空欄 ”ブロックしない” URIに使用可能な文字、使用不可能な文字はRFC3986に記載されています。 DSでは、URIで使用不可能な文字がパーセントエンコードされていな い状態で送信されている場合、 RFCに従わない不正なリクエストをブロックします。 業務システム・古いシステムでは、それらを考慮せずに作られたアプリ ケーションが存在するケースがあり、 デフォルトの設定ではブロックするケースが過去あったことから、ブロックし ないように変更しています。
IDS/IPSルール
7/30/2015 Copyright © 2014 Trend Micro Incorporated. All rights reserved.
