Windows Server2003環境向け
Deep Security 推奨ポリシーの考え方
と適用イメージ
トレンドマイクロ株式会社
2014年12月9日 作成
トレンドマイクロ推奨
Windows Server 2003(32bit)用ポリシー
Windows Server2003環境向け
Deep Security 推奨ポリシーの考え方について
12/9/2014 Copyright © 2014 Trend Micro Incorporated. All rights reserved.
2
本資料は、Windows Server2003を対象にDeep Securityの侵入防御
機能(IDS/IPSルール)を利用する場合におけるルール適用の最適化(取捨選択)
に対する考え方と、最適化されたルールの適用方法を纏めたものです。
想定利用場面:
① 導入環境がHWリソースが少ない・既存アプリの稼働からリソースがひっ迫している状態で
あることから、導入による影響を最小限に抑えたい
② 既にDSを導入済み、または運用中だが、導入後にパフォーマンス面の問題が
発生し、原因がIDS/IPSのルール数に依存したパフォーマンス問題であると分かっている
③ その他、パフォーマンスへの影響をとにかく最小化したい
ポリシー最適化(取捨選択)のスコープ
アプリケーション(MS
社)
ミドルウェア
(MS社)
ミドルウェア
(MS社以外)
オペレーティングシステム
アプリケーション(MS
社以外)
ここが対象
ミドルウェア以上は、お客様のサーバ用
途ごとに異なる為、推奨設定の検索
※
を利用してルールを適用
※「推奨設定の検索」とは、保護するコンピュータ情報をもとに必要なIDS/IPSルールを
自動的に適用する機能です。本機能を利用することで、コンピュータにとって不要な
ルール適用を防ぎ、必要なルールをタイムリーに適用することが可能になります。
詳細はこちらをご参照ください。
http://esupport.trendmicro.com/solution/ja-jp/1311156.aspx
12/9/2014 Copyright © 2014 Trend Micro Incorporated. All rights reserved.
4
最適化(取捨選択)の考え方
クライアントアプリ
(Office関連、Browserなど)
クライアント&サーバ共有アプリ
(Adobe, java )
DSの侵入防御機能(IDS/IPS)では、サーバのみならず、クライアント環境の保護も
想定された仮想パッチ(ルール)を多く搭載しています。
その為、今回のようにリソースが逼迫している環境では、適用するルール数を減らすために
[クライアント環境でのみ利用される可能性の高いソフトウェアに関連するルール]は適用外とします。
※[クライアント、サーバどちらの環境でも比較的使われる可能性が高いソフトウェアに関連する
ルール]については、適用対象にします。
ここが対象
適用対象外
ポリシー作成にあたる検証結果
環境
ルールのバージョン
Microsoft Windows Server 2003 (32
bit) Service Pack 2 Build 3790
14-033.dsru
(2014/10/22リリース)
推奨ルール適用数
アプリケーションの種類
388ルール
17
以下のテスト環境において2014年10月22日にリリースされた仮想パッチ使って
推奨設定の検索を実施したところ、388ルール(16種類のアプリケーションに関連)
が適用されました。
1) Web Client Internet Explorer
2) Web Server Common
3) Web Client Common
4) Web Client SSL
5) NNTP Client Microsoft Outlook Express
6) Windows Services RPC Server DCERPC
7) Windows Services RPC Server
8) Windows Services RPC Client
9) Port Mapper FTP Client
10) Mail Client Outlook Express
11) Web Server IIS
12) Kerberos KDC Server
13) Microsoft Office
14) Remote Desktop Protocol Server
15) FTP Client Miscellaneous
16) Web Application Miscellaneous
17) SSL/TLS Server
12/9/2014 Copyright © 2014 Trend Micro Incorporated. All rights reserved.
6
各アプリケーションにおけるルール適用有無の検証結果
アプリケーションの種類 適用有無 理由
Web Client Internet Explorer
× ※Internet Explorer をサーバ上では実行しないことが条件Web Server Common
- ミドルウェア側のアプリと依存関係があるため適用有無は推奨設定の検索にて判断※監視する対象のポートを絞り込むことを推奨いたします。
Web Client Common
○ Adobe,Javaなどサーバで利用されるソフトウェアが含まれるためWeb Client SSL
○ SSLのクライアント通信はサーバでも利用されているケースが多くあるため(OPNSSLv3等)
NNTP Client Microsoft Outlook
Express
× Outlook Expressはサーバに入ってないことを想定しているため ※Exchangeなどを利用している場合は、要注意
Windows Services RPC Server
DCERPC
○
RPCはサーバ上で稼働している可能性が高いため
Windows Services RPC Server
○Windows Services RPC Client
○Port Mapper FTP Client
× ブラウザを経由したFTPを使った攻撃を検出するルール。サーバ上ではブラウザを利用しない事を想定し、適用対象から除外
Mail Client Outlook Express
× Outlook Expressはサーバに入ってないことを想定しているため ※Exchangeなどを利用している場合は要注意Web Server IIS
- 適用有無はミドルウェア側で判断(推奨設定の検索にて判断)Kerberos KDC Server
○ Kerberos認証はサーバ上で利用しているためMicrosoft Office
× サーバ上にはMicrosoft Officeが入ってないことを想定Remote Desktop Protocol Server
○ メンテナンス目的にRDPを利用している可能性が高いためFTP Client Miscellaneous
× FTPクライアントはサーバ上において利用されていないことを想定したためWeb Application Miscellaneous
○ .NET Framework、CMSなどサーバ上では稼働している可能性が高いためSSL/TLS Server
○
SSLのクライアント通信はサーバでも利用されているケースが多くあるため(OPNSSLv3等)
参考)IPSルール最適化の手順
適用対象から外すアプリケーションについて「推奨設定の検索から除外」設定にしています。
本ポリシーでは適用対象外になっているが適用対象に戻したい場合は、こちらの設定箇所
でチューニングを実施してください。
1. DSM管理コンソールにログイン
2. [ポリシー] – 該当ポリシーの詳細画面 –[侵入防御] – ポリシー一覧を表示
3. 該当のアプリケーションを右クリック-[アプリケーションの種類プロパティ]を選択
4. [オプション]タブ – 推奨設定から除外:いいえ を選択 (はい:除外されたまま)
12/9/2014 Copyright © 2014 Trend Micro Incorporated. All rights reserved.
8
最適化(取捨選択)後のルール数
最適化したルール数
アプリケーションの種類
127ルール
(約1/3に削減)
13
(4グループ削減)
推奨設定の検索において適用されたルールを、アプリケーションの種類別に
適用要否の判断を行い、最適化を行ったところ、以下のように削減することができました。
※適用対象から外したアプリケーションに関連するルールは、
今後新規ルールがリリースされた場合に推奨設定の検索を実施した場合も
自動的には適用されません。
推奨ポリシーのチューニング情報まとめ(1/3)
• 有効にしている機能:侵入防御のみ
• 侵入防御の設定
– 侵入防御の動作:防御
– 割り当てられているルール:無し
– 推奨設定の検索によるルール自動適用の対象外のアプリケーション:
• Web Client Internet Explorer
• NNTP Client Microsoft Outlook Express
• Port Mapper FTP Client
• Mail Client Outlook Express
• Microsoft Office
• FTP Client Miscellaneous
※IPSルール適用除外の基準(p6)をご参照の上、お客様の環境に基準が
合致することをご確認のうえ、推奨ポリシーをご利用ください。
– 侵入防御の推奨設定を自動的に適用:はい
※推奨設定の検索実行時に最適ルールを自動適用します。
Windows Server 2003 推奨 侵入防御ポリシーファイル
は、
こちら
からダウンロードしてください。
※URL:
http://esupport.trendmicro.com/media/jp/campaign_media/ds/ds_download/r_policy.zip
12/9/2014 Copyright © 2014 Trend Micro Incorporated. All rights reserved.
10
推奨ポリシーのチューニング情報まとめ(2/3)
機能
設定値
変更前
変更後
変更理由
Firewall, IDS/IPS 最大TCP接続数: 1000 10000 Webサーバなどアクセス数が多い環境では、デフォルトの数値よりも多 くの接続が発生したケースが確認されている為、 デフォルトよりも多く設定 最大UDP接続数 1000 10000 最小フラグメントオフセット 60 0 アプリやネットワークの環境によっては、小さなフラグメントが正常な通信 でも発生する場合があり、正常な通信をブロックしてしまう可能性を考 慮し、フラグメントのサイズのチェックを無効化 最小フラグメントサイズ: 120 0 IPv6拡張タイプ0のドロップ はい いいえ IPv6関連のパケットの不要な通信拒否処理を避けるため 最小MTU未満のIPv6フラグ メントのドロップ はい いいえ IPv6予約済みアドレスのド ロップ はい いいえ IPv6Bogonアドレスのドロッ プ はい いいえFirewall – ネットワークエンジン
推奨ポリシーのチューニング情報まとめ(3/3)
ルール
ID
設定値
変更前
変更後
変更理由
1000128 – HTTP Protocol DecodingSpecify raw characters that are not allowed in the URI: 0x00- 0x19,0x7f-0xffをブロック 空欄 ”ブロックしない” URIに使用可能な文字、使用不可能な文字はRFC3986に記載されています。 DSでは、URIで使用不可能な文字がパーセントエンコードされていな い状態で送信されている場合、 RFCに従わない不正なリクエストをブロックします。 業務システム・古いシステムでは、それらを考慮せずに作られたアプリ ケーションが存在するケースがあり、 デフォルトの設定ではブロックするケースが過去あったことから、ブロックし ないように変更しています。
IDS/IPSルール
推奨ポリシー適用手順
1. Deep Security Managerを構築する
http://esupport.trendmicro.com/solution/ja-JP/1097172.aspx#step2
2. Windows Server 2003 にDeep Security Agentをインストールする
http://esupport.trendmicro.com/solution/ja-JP/1097197.aspx
3. DSMにDSAを登録する
http://esupport.trendmicro.com/solution/ja-JP/1310066.aspx
4. DSMに推奨ポリシーをインポートする
★
5. “Web Server Common”ポートグループを編集し、監視対象を80/443/
お客様がご利用中のポートのみに変更する
★
6. DSAに推奨ポリシーを適用し、推奨設定の検索を実施する
★
12/9/2014 Copyright © 2014 Trend Micro Incorporated. All rights reserved.
12
詳細な手順は、今後トレンドマイクロのサポートWebサイトにてご案内させていただく予
定です。サイト公開時に、本スライドをアップデートいたします。
補足)DSMに推奨ポリシーをインポートする
①
②
③
④
⑤
補足) “Web Server Common”ポートグループを編集し、
監視対象を80/443/お客様がご利用中のポートのみに変更する
12/9/2014 Copyright © 2014 Trend Micro Incorporated. All rights reserved.
