トレンドマイクロ推奨 Windows Server 2003(32bit)用ポリシー Windows Server2003環境向け Deep Security 推奨ポリシーの考え方 ポリシー利用前に、必ず本資料をご確認ください。 と適用イメージ トレンドマイクロ株式会社 2014年12月9日 作成 12/9/2014 Copyright © 2013 Trend Micro Incorporated. All rights reserved. 1 Windows Server2003環境向け Deep Security 推奨ポリシーの考え方について 本資料は、Windows Server2003を対象にDeep Securityの侵入防御 機能(IDS/IPSルール)を利用する場合におけるルール適用の最適化(取捨選択) に対する考え方と、最適化されたルールの適用方法を纏めたものです。 想定利用場面: ① 導入環境がHWリソースが少ない・既存アプリの稼働からリソースがひっ迫している状態で あることから、導入による影響を最小限に抑えたい ② 既にDSを導入済み、または運用中だが、導入後にパフォーマンス面の問題が 発生し、原因がIDS/IPSのルール数に依存したパフォーマンス問題であると分かっている ③ その他、パフォーマンスへの影響をとにかく最小化したい 12/9/2014 Copyright © 2014 Trend Micro Incorporated. All rights reserved. 2 ポリシー最適化(取捨選択)のスコープ ミドルウェア以上は、お客様のサーバ用 途ごとに異なる為、推奨設定の検索※ を利用してルールを適用 アプリケーション(MS 社以外) アプリケーション(MS 社) ミドルウェア (MS社以外) ミドルウェア (MS社) オペレーティングシステム ここが対象 ※「推奨設定の検索」とは、保護するコンピュータ情報をもとに必要なIDS/IPSルールを 自動的に適用する機能です。本機能を利用することで、コンピュータにとって不要な ルール適用を防ぎ、必要なルールをタイムリーに適用することが可能になります。 詳細はこちらをご参照ください。 http://esupport.trendmicro.com/solution/ja-jp/1311156.aspx 12/9/2014 Copyright © 2014 Trend Micro Incorporated. All rights reserved. 3 最適化(取捨選択)の考え方 DSの侵入防御機能(IDS/IPS)では、サーバのみならず、クライアント環境の保護も 想定された仮想パッチ(ルール)を多く搭載しています。 その為、今回のようにリソースが逼迫している環境では、適用するルール数を減らすために [クライアント環境でのみ利用される可能性の高いソフトウェアに関連するルール]は適用外とします。 ※[クライアント、サーバどちらの環境でも比較的使われる可能性が高いソフトウェアに関連する ルール]については、適用対象にします。 クライアント&サーバ共有アプリ (Adobe, java ) クライアントアプリ (Office関連、Browserなど) 適用対象外 12/9/2014 Copyright © 2014 Trend Micro Incorporated. All rights reserved. ここが対象 4 ポリシー作成にあたる検証結果 以下のテスト環境において2014年10月22日にリリースされた仮想パッチ使って 推奨設定の検索を実施したところ、388ルール(16種類のアプリケーションに関連) が適用されました。 環境 ルールのバージョン Microsoft Windows Server 2003 (32 bit) Service Pack 2 Build 3790 14-033.dsru (2014/10/22リリース) 推奨ルール適用数 アプリケーションの種類 388ルール 17 1) Web Client Internet Explorer 2) Web Server Common 3) Web Client Common 4) Web Client SSL 5) NNTP Client Microsoft Outlook Express 6) Windows Services RPC Server DCERPC 7) Windows Services RPC Server 8) Windows Services RPC Client 12/9/2014 Copyright © 2014 Trend Micro Incorporated. All rights reserved. 5 9) Port Mapper FTP Client 10) Mail Client Outlook Express 11) Web Server IIS 12) Kerberos KDC Server 13) Microsoft Office 14) Remote Desktop Protocol Server 15) FTP Client Miscellaneous 16) Web Application Miscellaneous 17) SSL/TLS Server 各アプリケーションにおけるルール適用有無の検証結果 ※お客様環境に合致しない場合は、次スライドを参考にポリシーのカスタマイズを実施してください。 アプリケーションの種類 適用有無 理由 Web Client Internet Explorer × ※Internet Explorer をサーバ上では実行しないことが条件 Web Server Common - ミドルウェア側のアプリと依存関係があるため適用有無は推奨設定の検索にて判断 ※監視する対象のポートを絞り込むことを推奨いたします。 Web Client Common ○ Adobe,Javaなどサーバで利用されるソフトウェアが含まれるため Web Client SSL ○ SSLのクライアント通信はサーバでも利用されているケースが多くあるため (OPNSSLv3等) NNTP Client Microsoft Outlook Express × Outlook Expressはサーバに入ってないことを想定しているため ※Exchangeなどを利用している場合は、要注意 Windows Services RPC Server DCERPC ○ Windows Services RPC Server ○ Windows Services RPC Client ○ Port Mapper FTP Client × ブラウザを経由したFTPを使った攻撃を検出するルール。 サーバ上ではブラウザを利用しない事を想定し、適用対象から除外 Mail Client Outlook Express × Outlook Expressはサーバに入ってないことを想定しているため ※Exchangeなどを利用している場合は要注意 Web Server IIS - 適用有無はミドルウェア側で判断(推奨設定の検索にて判断) Kerberos KDC Server ○ Kerberos認証はサーバ上で利用しているため Microsoft Office × サーバ上にはMicrosoft Officeが入ってないことを想定 Remote Desktop Protocol Server ○ メンテナンス目的にRDPを利用している可能性が高いため FTP Client Miscellaneous × FTPクライアントはサーバ上において利用されていないことを想定したため Web Application Miscellaneous ○ .NET Framework、CMSなどサーバ上では稼働している可能性が高いため RPCはサーバ上で稼働している可能性が高いため SSLのクライアント通信はサーバでも利用されているケースが多くあるため(OPNSSLv3等) SSL/TLS Server Copyright © 2014 Trend Micro Incorporated. All rights reserved. 6 ○ 12/9/2014 参考)IPSルール最適化の手順 適用対象から外すアプリケーションについて「推奨設定の検索から除外」設定にしています。 本ポリシーでは適用対象外になっているが適用対象に戻したい場合は、こちらの設定箇所 でチューニングを実施してください。 1. 2. 3. 4. 12/9/2014 DSM管理コンソールにログイン [ポリシー] – 該当ポリシーの詳細画面 –[侵入防御] – ポリシー一覧を表示 該当のアプリケーションを右クリック-[アプリケーションの種類プロパティ]を選択 [オプション]タブ – 推奨設定から除外:いいえ を選択 (はい:除外されたまま) Copyright © 2014 Trend Micro Incorporated. All rights reserved. 7 最適化(取捨選択)後のルール数 推奨設定の検索において適用されたルールを、アプリケーションの種類別に 適用要否の判断を行い、最適化を行ったところ、以下のように削減することができました。 最適化したルール数 アプリケーションの種類 127ルール (約1/3に削減) 13 (4グループ削減) ※適用対象から外したアプリケーションに関連するルールは、 今後新規ルールがリリースされた場合に推奨設定の検索を実施した場合も 自動的には適用されません。 12/9/2014 Copyright © 2014 Trend Micro Incorporated. All rights reserved. 8 推奨ポリシーのチューニング情報まとめ(1/3) • 有効にしている機能:侵入防御のみ • 侵入防御の設定 – 侵入防御の動作:防御 – 割り当てられているルール:無し – 推奨設定の検索によるルール自動適用の対象外のアプリケーション: • • • • • • Web Client Internet Explorer NNTP Client Microsoft Outlook Express Port Mapper FTP Client Mail Client Outlook Express Microsoft Office FTP Client Miscellaneous ※IPSルール適用除外の基準(p6)をご参照の上、お客様の環境に基準が 合致することをご確認のうえ、推奨ポリシーをご利用ください。 – 侵入防御の推奨設定を自動的に適用:はい ※推奨設定の検索実行時に最適ルールを自動適用します。 Windows Server 2003 推奨 侵入防御ポリシーファイル は、こちらからダウンロードしてください。 ※URL:http://esupport.trendmicro.com/media/jp/campaign_media/ds/ds_download/r_policy.zip 12/9/2014 Copyright © 2014 Trend Micro Incorporated. All rights reserved. 9 推奨ポリシーのチューニング情報まとめ(2/3) Firewall – ネットワークエンジン 機能 Firewall, IDS/IPS 12/9/2014 設定値 変更前 変更後 最大TCP接続数: 1000 10000 最大UDP接続数 1000 10000 最小フラグメントオフセット 60 0 最小フラグメントサイズ: 120 0 IPv6拡張タイプ0のドロップ はい いいえ 最小MTU未満のIPv6フラグ メントのドロップ はい いいえ IPv6予約済みアドレスのド ロップ はい いいえ IPv6Bogonアドレスのドロッ プ はい いいえ Copyright © 2014 Trend Micro Incorporated. All rights reserved. 変更理由 Webサーバなどアクセス数が多い環境では、デフォルトの数値よりも多 くの接続が発生したケースが確認されている為、 デフォルトよりも多く設定 アプリやネットワークの環境によっては、小さなフラグメントが正常な通信 でも発生する場合があり、正常な通信をブロックしてしまう可能性を考 慮し、フラグメントのサイズのチェックを無効化 IPv6関連のパケットの不要な通信拒否処理を避けるため 10 推奨ポリシーのチューニング情報まとめ(3/3) IDS/IPSルール ルール ID 設定値 1000128 – HTTP Protocol Decoding 12/9/2014 Specify raw characters that are not allowed in the URI: 変更前 0x000x19,0x7f0xffをブロック 変更後 変更理由 空欄 ”ブロックしない” URIに使用可能な文字、使用不可能な文字はRFC3986に記載さ れています。 DSでは、URIで使用不可能な文字がパーセントエンコードされていな い状態で送信されている場合、 RFCに従わない不正なリクエストをブロックします。 業務システム・古いシステムでは、それらを考慮せずに作られたアプリ ケーションが存在するケースがあり、 デフォルトの設定ではブロックするケースが過去あったことから、ブロックし ないように変更しています。 Copyright © 2014 Trend Micro Incorporated. All rights reserved. 11 推奨ポリシー適用手順 ★印の手順は、この後のスライドで補足いたします 詳細な手順は、今後トレンドマイクロのサポートWebサイトにてご案内させていただく予 定です。サイト公開時に、本スライドをアップデートいたします。 1. Deep Security Managerを構築する http://esupport.trendmicro.com/solution/ja-JP/1097172.aspx#step2 2. Windows Server 2003 にDeep Security Agentをインストールする http://esupport.trendmicro.com/solution/ja-JP/1097197.aspx 3. DSMにDSAを登録する http://esupport.trendmicro.com/solution/ja-JP/1310066.aspx 4. DSMに推奨ポリシーをインポートする★ 5. “Web Server Common”ポートグループを編集し、監視対象を80/443/ お客様がご利用中のポートのみに変更する★ 6. DSAに推奨ポリシーを適用し、推奨設定の検索を実施する★ 12/9/2014 Copyright © 2014 Trend Micro Incorporated. All rights reserved. 12 補足)DSMに推奨ポリシーをインポートする ① ② ③ ④ ⑤ 12/9/2014 Copyright © 2014 Trend Micro Incorporated. All rights reserved. 13 補足) “Web Server Common”ポートグループを編集し、 監視対象を80/443/お客様がご利用中のポートのみに変更する ① ③ ④ 検索結果を “Web Server Common”を 検索ボックスに入力します ダブルクリックします ② デフォルトでは監視ポートが多数登録されて いますが、不要なポートは消去します。 基本的には80 / 443 / お客様がご利用中 のポートを残し、残りは消去し、「OK」をクリック します。 ⑤ 12/9/2014 Copyright © 2014 Trend Micro Incorporated. All rights reserved. 14 補足) DSAに推奨ポリシーを適用し、推奨設定の検索を実施する ① ② ダブルクリック プルダウンから 推奨ポリシーを選択し、 「保存」 ③ 画面下部の 「推奨設定の検索」 をクリック 12/9/2014 ④ Copyright © 2014 Trend Micro Incorporated. All rights reserved. ⑤ Thank You
© Copyright 2024 Paperzz
