無償UTM untangle には侵入防止機能がついています。
ネットワーク上の悪意のある行為を検出する侵入検知システムです。利用するためには有効にして、セットアップウィザードでセットアップします。
クラスタイプ
推奨設定(デフォルト)では、シェルコードの検出、トロイの木馬、Webアプリ攻撃、異常なクライアントポート接続、ネットワークスキャンなどさまざまな侵入を検知します。
ベースはオープンソースプロジェクトsnortで構成されているようです。
私の環境では疑わしいアクセスは検出されているものの、ブロックまでは至っていません。
デモページでも、ブロックは出ていないですね。
侵入防御のルールのほとんどがデフォルトでブロックされていないのはなぜですか?
多くのルールが悪質な攻撃に加えて正当なトラフィックをブロックする可能性があるため、デフォルトではブロックを有効にしません。
ネットワークに適したルールを自由に変更することができます。
snortはシグネチャ型で、このIntrusion_Prevention機能を有効にしても、ブロックはしてない状況です。検知した侵入をブロックしたい場合は、Intrusion_Prevention のルールで、ブロックをチェックする必要があります。
snort機能を利用したIntrusion_Preventionには、ルールが数万件登録されているようです。これを全てブロックすると、正常な通信も阻害してしまったり、動作にもかなり負荷がかかると思われるところから、当初はブロックにチェックが入っていない状態なのかなと思います。
こちらで検索する事ができるようですが、掲載されていないルールも多々あるようで、untangleのルール、リファレンスの虫眼鏡マークをクリックして何を防止するのかを確認するのが良いと思います。
また、イベントで検知されたルールがどれにあたるのかを調べるには、イベントのSIDをメモし、ルールの検索窓からそのSIDを入力すると、該当のルールが表示されます。
ホームページで検索するには
GID-SID
でひくと、ヒットするようです。
GID:126
SID:1
の場合は、126-1と検索します。
snort単体で設定することなく、ブロックするにはチェックするだけというのはとてもすごいです。
2か月ほど試験して、検知だけされたルールをブロックします。
ネットワーク偵察の指標であり、対象システムに対する標的型攻撃の前兆
ネットワーク偵察の指標であり、対象システムに対する標的型攻撃の前兆
これもポートスキャン系ですね。ネットワーク偵察の指標であり、対象システムに対する標的型攻撃の前兆
これもポートスキャン系ですね。ネットワーク偵察の指標であり、対象システムに対する標的型攻撃の前兆
MALWAREのユーザエージェント、トロイの木馬型と判断されたようですが、Android用のWPS Officeアプリに関連して、誤検知との情報がありブロックせず
ET POLICY Dropbox DNSルックアップ – 使用中のオフサイトファイルバックアップの可能性
⇒ こちらは、ドロップボックスのオフサイトファイルバックアップの可能性があるので、ブロックしないでおきます。
ET POLICY Dropboxクライアントブロードキャスト
⇒ こちらも、ドロップボックスアプリの動作のような気がするのでブロックしません。
P2PのUDP接続のようです。もちろんブロックで。
非準拠のDNSトラフィック
一度行った設定はエクスポートできます。違うマシンでも同じ設定を簡単にインポートする事が可能です。
エクスポートしたファイルはjsonファイルとして保存されます。