Windows Server2003環境向け Deep Security 推奨ポリシーの考え方 と適用イメージ

トレンドマイクロ推奨 Windows Server 2003(32bit) 用ポリシー Windows Server2003 環境向け Deep Security 推奨ポリシーの考え方と適用イメージ トレンドマイクロ株式会社 2014 年 12 月 9 日作成 ポリシー利用前に 必ず本資料をご確認ください 12/9/2014 Copyright 2013 Trend Micro Incorporated. All rights reserved. 1

Windows Server2003 環境向け Deep Security 推奨ポリシーの考え方について 本資料は Windows Server2003 を対象に Deep Security の侵入防御機能 (IDS/IPS ルール ) を利用する場合におけるルール適用の最適化 ( 取捨選択 ) に対する考え方と 最適化されたルールの適用方法を纏めたものです 想定利用場面 : 1 導入環境が HW リソースが少ない 既存アプリの稼働からリソースがひっ迫している状態であることから 導入による影響を最小限に抑えたい 2 既に DS を導入済み または運用中だが 導入後にパフォーマンス面の問題が発生し 原因が IDS/IPS のルール数に依存したパフォーマンス問題であると分かっている 3 その他 パフォーマンスへの影響をとにかく最小化したい 12/9/2014 Copyright 2014 Trend Micro Incorporated. All rights reserved. 2

ポリシー最適化 ( 取捨選択 ) のスコープ ミドルウェア以上は お客様のサーバ用途ごとに異なる為 推奨設定の検索 を利用してルールを適用 アプリケーション (MS 社以外 ) ミドルウェア (MS 社以外 ) アプリケーション (MS 社 ) ミドルウェア (MS 社 ) ここが対象 オペレーティングシステム 推奨設定の検索 とは 保護するコンピュータ情報をもとに必要な IDS/IPS ルールを自動的に適用する機能です 本機能を利用することで コンピュータにとって不要なルール適用を防ぎ 必要なルールをタイムリーに適用することが可能になります 詳細はこちらをご参照ください http://esupport.trendmicro.com/solution/ja-jp/1311156.aspx 12/9/2014 Copyright 2014 Trend Micro Incorporated. All rights reserved. 3

最適化 ( 取捨選択 ) の考え方 DS の侵入防御機能 (IDS/IPS) では サーバのみならず クライアント環境の保護も想定された仮想パッチ ( ルール ) を多く搭載しています その為 今回のようにリソースが逼迫している環境では 適用するルール数を減らすために [ クライアント環境でのみ利用される可能性の高いソフトウェアに関連するルール ] は適用外とします [ クライアント サーバどちらの環境でも比較的使われる可能性が高いソフトウェアに関連するルール ] については 適用対象にします クライアントアプリ (Office 関連 Browser など ) クライアント & サーバ共有アプリ (Adobe, java ) 適用対象外 ここが対象 12/9/2014 Copyright 2014 Trend Micro Incorporated. All rights reserved. 4

ポリシー作成にあたる検証結果 以下のテスト環境において 2014 年 10 月 22 日にリリースされた仮想パッチ使って推奨設定の検索を実施したところ 388 ルール (16 種類のアプリケーションに関連 ) が適用されました 環境 Microsoft Windows Server 2003 (32 bit) Service Pack 2 Build 3790 ルールのバージョン 14-033.dsru (2014/10/22 リリース ) 推奨ルール適用数 アプリケーションの種類 388 ルール 17 1) Web Client Internet Explorer 2) Web Server Common 3) Web Client Common 4) Web Client SSL 5) NNTP Client Microsoft Outlook Express 6) Windows Services RPC Server DCERPC 7) Windows Services RPC Server 8) Windows Services RPC Client 9) Port Mapper FTP Client 10) Mail Client Outlook Express 11) Web Server IIS 12) Kerberos KDC Server 13) Microsoft Office 14) Remote Desktop Protocol Server 15) FTP Client Miscellaneous 16) Web Application Miscellaneous 17) SSL/TLS Server 12/9/2014 Copyright 2014 Trend Micro Incorporated. All rights reserved. 5

各アプリケーションにおけるルール適用有無の検証結果 アプリケーションの種類適用有無理由 Web Client Internet Explorer Internet Explorer をサーバ上では実行しないことが条件 Web Server Common - ミドルウェア側のアプリと依存関係があるため適用有無は推奨設定の検索にて判断 監視する対象のポートを絞り込むことを推奨いたします Web Client Common Adobe,Java などサーバで利用されるソフトウェアが含まれるため Web Client SSL SSLのクライアント通信はサーバでも利用されているケースが多くあるため (OPNSSLv3 等 ) NNTP Client Microsoft Outlook Express Windows Services RPC Server DCERPC Windows Services RPC Server お客様環境に合致しない場合は 次スライドを参考にポリシーのカスタマイズを実施してください Outlook Express はサーバに入ってないことを想定しているため Exchange などを利用している場合は 要注意 RPC はサーバ上で稼働している可能性が高いため Windows Services RPC Client Port Mapper FTP Client ブラウザを経由したFTPを使った攻撃を検出するルール サーバ上ではブラウザを利用しない事を想定し 適用対象から除外 Mail Client Outlook Express Outlook Expressはサーバに入ってないことを想定しているため Exchangeなどを利用している場合は要注意 Web Server IIS - 適用有無はミドルウェア側で判断 ( 推奨設定の検索にて判断 ) Kerberos KDC Server Kerberos 認証はサーバ上で利用しているため Microsoft Office サーバ上には Microsoft Office が入ってないことを想定 Remote Desktop Protocol Server メンテナンス目的に RDP を利用している可能性が高いため FTP Client Miscellaneous FTP クライアントはサーバ上において利用されていないことを想定したため Web Application Miscellaneous.NET Framework CMS などサーバ上では稼働している可能性が高いため SSL/TLS Server SSLのクライアント通信はサーバでも利用されているケースが多くあるため (OPNSSLv3 等 ) 12/9/2014 Copyright 2014 Trend Micro Incorporated. All rights reserved. 6

参考 )IPS ルール最適化の手順 適用対象から外すアプリケーションについて 推奨設定の検索から除外 設定にしています 本ポリシーでは適用対象外になっているが適用対象に戻したい場合は こちらの設定箇所でチューニングを実施してください 1. DSM 管理コンソールにログイン 2. [ ポリシー ] 該当ポリシーの詳細画面 [ 侵入防御 ] ポリシー一覧を表示 3. 該当のアプリケーションを右クリック -[ アプリケーションの種類プロパティ ] を選択 4. [ オプション ] タブ 推奨設定から除外 : いいえを選択 ( はい : 除外されたまま ) 12/9/2014 Copyright 2014 Trend Micro Incorporated. All rights reserved. 7

最適化 ( 取捨選択 ) 後のルール数 推奨設定の検索において適用されたルールを アプリケーションの種類別に適用要否の判断を行い 最適化を行ったところ 以下のように削減することができました 最適化したルール数 127 ルール ( 約 1/3 に削減 ) アプリケーションの種類 13 (4 グループ削減 ) 適用対象から外したアプリケーションに関連するルールは 今後新規ルールがリリースされた場合に推奨設定の検索を実施した場合も自動的には適用されません 12/9/2014 Copyright 2014 Trend Micro Incorporated. All rights reserved. 8

推奨ポリシーのチューニング情報まとめ (1/3) 有効にしている機能 : 侵入防御のみ 侵入防御の設定 侵入防御の動作 : 防御 割り当てられているルール : 無し 推奨設定の検索によるルール自動適用の対象外のアプリケーション : Web Client Internet Explorer NNTP Client Microsoft Outlook Express Port Mapper FTP Client Mail Client Outlook Express Microsoft Office FTP Client Miscellaneous IPS ルール適用除外の基準 (p6) をご参照の上 お客様の環境に基準が合致することをご確認のうえ 推奨ポリシーをご利用ください 侵入防御の推奨設定を自動的に適用 : はい 推奨設定の検索実行時に最適ルールを自動適用します Windows Server 2003 推奨侵入防御ポリシーファイルは こちらからダウンロードしてください URL:http://esupport.trendmicro.com/media/jp/campaign_media/ds/ds_download/r_policy.zip 12/9/2014 Copyright 2014 Trend Micro Incorporated. All rights reserved. 9

推奨ポリシーのチューニング情報まとめ (2/3) Firewall ネットワークエンジン 機能設定値変更前変更後変更理由 Firewall, IDS/IPS 最大 TCP 接続数 : 1000 10000 Webサーバなどアクセス数が多い環境では デフォルトの数値よりも多 最大 UDP 接続数 1000 10000 くの接続が発生したケースが確認されている為 デフォルトよりも多く設定 最小フラグメントオフセット 60 0 アプリやネットワークの環境によっては 小さなフラグメントが正常な通信 でも発生する場合があり 正常な通信をブロックしてしまう可能性を考 最小フラグメントサイズ : 120 0 慮し フラグメントのサイズのチェックを無効化 IPv6 拡張タイプ 0 のドロップはいいいえ 最小 MTU 未満の IPv6 フラグメントのドロップ IPv6 予約済みアドレスのドロップ IPv6Bogon アドレスのドロップ はい はい はい いいえ いいえ いいえ IPv6 関連のパケットの不要な通信拒否処理を避けるため 12/9/2014 Copyright 2014 Trend Micro Incorporated. All rights reserved. 10

推奨ポリシーのチューニング情報まとめ (3/3) IDS/IPS ルール ルール ID 設定値変更前変更後変更理由 1000128 HTTP Protocol Decoding Specify raw characters that are not allowed in the URI: 0x00-0x19,0x7f- 0xff をブロック 空欄 ブロックしない URI に使用可能な文字 使用不可能な文字は RFC3986 に記載されています DS では URI で使用不可能な文字がパーセントエンコードされていない状態で送信されている場合 RFC に従わない不正なリクエストをブロックします 業務システム 古いシステムでは それらを考慮せずに作られたアプリケーションが存在するケースがあり デフォルトの設定ではブロックするケースが過去あったことから ブロックしないように変更しています 12/9/2014 Copyright 2014 Trend Micro Incorporated. All rights reserved. 11

推奨ポリシー適用手順 印の手順は この後のスライドで補足いたします 詳細な手順は 今後トレンドマイクロのサポート Web サイトにてご案内させていただく予定です サイト公開時に 本スライドをアップデートいたします 1. Deep Security Manager を構築する http://esupport.trendmicro.com/solution/ja-jp/1097172.aspx#step2 2. Windows Server 2003 に Deep Security Agent をインストールする http://esupport.trendmicro.com/solution/ja-jp/1097197.aspx 3. DSM に DSA を登録する http://esupport.trendmicro.com/solution/ja-jp/1310066.aspx 4. DSM に推奨ポリシーをインポートする 5. Web Server Common ポートグループを編集し 監視対象を 80/443/ お客様がご利用中のポートのみに変更する 6. DSA に推奨ポリシーを適用し 推奨設定の検索を実施する 12/9/2014 Copyright 2014 Trend Micro Incorporated. All rights reserved. 12

補足 )DSM に推奨ポリシーをインポートする 1 2 3 4 5 12/9/2014 Copyright 2014 Trend Micro Incorporated. All rights reserved. 13

補足 ) Web Server Common ポートグループを編集し 監視対象を80/443/ お客様がご利用中のポートのみに変更する 1 3 4 検索結果をダブルクリックします Web Server Common を検索ボックスに入力します 2 5 デフォルトでは監視ポートが多数登録されていますが 不要なポートは消去します 基本的には 80 / 443 / お客様がご利用中のポートを残し 残りは消去し OK をクリックします 12/9/2014 Copyright 2014 Trend Micro Incorporated. All rights reserved. 14

補足 ) DSAに推奨ポリシーを適用し 推奨設定の検索を実施する 1 2 ダブルクリック 3 プルダウンから推奨ポリシーを選択し 保存 画面下部の 推奨設定の検索 をクリック 4 12/9/2014 Copyright 2014 Trend Micro Incorporated. All rights reserved. 5

Thank You