本ブログ記事は、ntop社のブログ「How to Configure Flow Risk Exclusions in nDPI and ntopng」を意訳してご紹介しております。
文:ジュピターテクノロジー よしひろ
はじめに
フローリスクは、ネットワークトラフィックの問題を検出するためにnDPIが実装するメカニズムであり、その理論的設計は、昨年IEEE Xplorerに寄稿した「Using Deep Packet Inspection in CyberTraffic Analysis」(参照するには、会員であるかゲストで購入する必要があります)ホワイトペーパーに記載しています。
ntopngのリスク例外定義をリワークして、クリックするだけで設定できるようにしていますが、protos.txtファイルに追加することで、リスク例外を簡単に定義することもできます。本日は、その使い方や活用例をご紹介します。
ntopng.confファイルに次のような行を追加することで、protos.txt設定ファイルをntopngに渡すことができます。
–ndpi-protocols = /etc/ntopng/protos.txt
/etc/ntopng/protos.txtファイルを作成します。
こちらのファイルにnDPIでフローリスク例外をどのように定義するかを設定します。
一般的な設定は、以下の通りです。
・IPアドレスベースの例外(当面はIPv4のみをサポートすることに注意してください)
ip_risk_mask:A.B.C.D/CIDR=mask
・ホスト名ベースの例外
host_risk_mask:”name”=mask
•カスタムプロトコルポート
tcp|udp:port@ExistingProtocolName
• カスタム暗号化認証局
trusted_issuer_dn:”CN =…”
活用例
- Q.私のネットワークでは、8008でHTTPを実行しています。「非標準ポートの既知のプロトコル」アラートを発報しないようにするにはどうすればよいですか?
A. protos.txtファイルに次のエントリを追加します。
tcp:8008@HTTP
メモ:HTTPは、nDPIに認識されている既存のプロトコルの名前であることに注意してください。文字列の大文字と小文字が既存のプロトコル名と一致していることを確認してください。プロトコル名の文字列が存在しない場合は、新しいポートベースのプロトコルがnDPIで定義されます。
- Q.私のデバイス1.2.3.4は古く、いくつかのサイバーセキュリティの問題があります(たとえば、廃止されたTLS暗号の利用)。ただし、デバイスはネットワーク内で十分に保護されているため、このような問題は無視する必要があります。どうすればアラート発報を無効にすることができますか?
A. protos.txtファイルに次のエントリを追加します(注:0はすべての例外をマスクすることを意味します)
ip_risk_mask:1.2.3.4=0
- Q.ドメインsms.itに対して多くのDGAアラートが表示されます。どうすればアラートを無効にすることができますか?
A. protos.txtファイルに次のエントリを追加します(注:0はすべての例外をマスクすることを意味します)
host_risk_mask :”.sms.it”=0 - Q.私のネットワークには、カスタムCAで作成された自己署名TLS証明書があります。これらのアラートを発報しないようにnDPIに指示するにはどうすればよいですか?
A. ntopng(またはWireshark)を開いてTLSフロー内の発行者DN文字列を確認し、文字列をコピーして、次のようにprotos.txtファイルに新しい行を追加します。
trusted_issuer_dn:”CN=813845657003339838, O=Code42,OU=TEST,ST=MN,C=US”
protos.txtファイルで定義できるものを確認するには、定義できるすべての可能な例外を含むこの包括的なサンプルファイルを参考にしてください。
お問い合わせ
ntop社製品にご興味のある方は、以下リンクよりいつでも弊社までお問い合わせください。
10分間機能制限なし!無償でご利用いただける評価版も以下のダウンロードリンクにご用意しております。簡単に検証が開始できますので、評価ガイド(PDF)を参考にぜひお試しください!
