はじめに
本ドキュメントは、以下の環境で動作確認しております
・Cisco Firepower Management Center for VMWare v6.2.2 (build 81)
・Cisco Firepower Threat Defense for VMWare (75) Version 6.2.2 (Build 81)
背景
Network Analysis PolicyはIntrusion PolicyやFile Policyと違い、どのような攻撃パケットを検知・防御するのかを定義するPolicyではないため、普段はあまり直接設定変更することはありませんが、チューニングすることで、攻撃パケットをより確実に検知させたり、逆に、緩い条件に設定してパフォーマンスを重視させることが可能です。
お客様からは、デフォルトの設定で、想定したパケットが検知・防御されなかったというケースをよく、お問い合わせいただいておりますが、そういったケースの場合は、Network Analysis Policyを見直しいただくことをお勧めいたします。
本記事では、その設定の元となる、製品出荷時に定義されているBase Policy3種類について、違いの説明させていただきます。
Base Policyの違い
FMCでは、以下の4つのBase Policyが用意されております。
- Connectivity Over Security
- Balanced Security and Connectivity
- Security Over Connectivity
- Maximum Detection
デフォルトでは、Balanced Security and Connectivityが設定されており、特別な要望がない限りは、こちらをそのままお使いいただくことが推奨されます。
このBalanced Security and Connectivityに対して、接続性を優先(セキュリティ弱)したConnectivity Over Securityと、セキュリティを優先したSecurity Over Connectivityが通常の環境でお使いいただく、Base Policyとなっておりますので、必要に応じて選択いただけたらと思います。
Maximum Detectionに関しては検知試験用のBase Policyであり、通常はお客様の環境でお使いいただくBase Policyではございません。
以下の通り、Maximum Detection以外のBase Policyの違いをまとめました。
|
Connectivity Over Security |
Balanced Security and Connectivity |
Security Over Connectivity |
Inline Normalization |
無効 |
無効 |
有効 |
TCP Stream |
再構成を行うPort数少ない |
再構成を行うPort数中程度 |
再構成を行うPort数多い |
UDP Stream |
Packet Type Performance boost有効 |
Packet Type Performance boost有効 |
|
HTTP |
HTTP検出Port少ない
Client Flow ~300Byte
Server Flow ~300Byte
|
HTTP検出Port数中程度
Client Flow ~300Byte
Server Flow ~500Byte
|
HTTP検出Port数多い
Client Flow制限なし
Server Flow制限なし
HTTP Header Normalization
HTTP Cookie
|
その他 |
|
|
SIP有効
DCE/RPCポート自動検出
|
上記の通り、Base Policyによって設定されている内容がかなり違うことがわかります。
過去に実際にお問い合わせをいただいた内容で言えば、DefaultのBalanced Security and Connectivityでは、TCP Inline Normalizationが無効になっているという点、Packet Type Performance boostが有効になっている点が大きな違いとして挙げられます。
これらの設定の違いによって、検知の挙動が異なり、特にInlineで導入いただいているお客様に関しては、想定していたパケットがDefaultの状態で検知・防御されない等よくお問い合わせいただいており、注意する必要がございます。
事例としてDrop and Alertが設定されているRuleに合致したHTTP PacketがDropされないという事例が記事で紹介してありますので、ご参考にしていただけたらと思います。
その他、パケットの再構成を行う対象のPortが異なるなどがあり、これら設定はパフォーマンスに影響します。
お客様の要件に応じて、セキュリティとパフォーマンスのトレードオフを検討する必要があります。
なお、本記事では概要について説明させていただきましたが、個別の設定項目の違いについては、Network Analysis Policyを比較するツールがこちらの記事で紹介されておりますので、ご確認いただけたらと思います。