TOR – TORトラフィック

メソッドの説明

このメソッドは、監視対象ネットワーク内のTORクライアントの使用を検出するよう設計されています(例: TOR経由でインターネットに接続するTORブラウザ、オペレーティングシステム、マルウェアなど)。また、TORネットワークから監視対象サーバへの入接続も検出します。どちらの検出も、Flowmon Networksによって更新されるTORリレーの公開リストに基づいて実行されます。TORクライアントの検出は、メソッドパラメータClientDirectAccessEnabledを使用して有効または無効にできます。TORネットワークからの入接続の検出は、パラメータServerAccessEnabledを使用して有効または無効にできます。どちらの検出も、成功したTORネットワーク経由の接続のみをレポートし、失敗した接続試行は除外するよう設定することも可能です。その場合に使用できるパラメータはそれぞれClientIgnoreUnsucとServerIgnoreUnsucです。TORネットワークからの入接続を監視するデバイスを指定するには、MonitoredDevicesパラメータを設定する必要があります。

このメソッドは、以下のサブメソッドで構成されます。

• ClientDirectAccess: TORネットワークへのアクティブな接続があるネットワーク内のデバイスをレポートします。

• ServerAccess: TORネットワークから監視対象デバイスへの接続試行をレポートします。

メソッド設定

このメソッドは、監視対象ネットワーク内のクライアントステーションと一般公開されるデバイスに適用することをお勧めします。一般公開されるデバイスを監視する理由は、TORネットワークを通じてコマンド&コントロールサーバと通信するマルウェアの感染から保護するためです。トラフィックの適切な監視場所は中央のスイッチまたはインターネット接続回線です。TORリレーのリストを定期的に更新するには、デバイス(プローブ/コレクタ)からservices.flowmon.comサーバのポート443 (HTTPS、標準のセキュアなWebトラフィック)への通信をブロックしないようにする必要があります。また、ADSモジュールの設定で[Flowmonサービス]オプションを有効にする必要があります(詳細については、「モジュールの全般的な設定」の章を参照してください)。

メソッドパラメータ

• ClientDirectAccessEnabled: ネットワーク内のTORクライアントの検知をアクティブ化します。

• ClientIgnoreUnsuc: TORクライアントからTORネットワークへの接続試行の失敗を無視します。

• ServerAccessEnabled: TORネットワークからの受信トラフィックの検知をアクティブ化します。

• ServerIgnoreUnsuc: TORネットワークから監視対象デバイスへの接続試行の失敗を無視します。

• MonitoredDevices: TORネットワークからの受信トラフィックの監視対象とするデバイスを指定するフィルタです。

フィルタの割り当て

ClientDirectAccessサブメソッドでは、フィルタが送信元IPアドレスを制限するために使用されます。このサブメソッドで割り当てられたフィルタは、サブメソッドServerAccessで使用されません。

結果の解釈

このメソッドはTORネットワークに接続するデバイスを検知できます。TORは人気の高い匿名化サービスですが、悪意のあるネットワークアクティビティを隠したり、コマンド&コントロールサーバが検知されにくくしたりするためにマルウェアによって悪用される可能性があります。また、TORネットワークを使用すると、積極的にブロックされているコンテンツや、いわゆるダークウェブで公開されているコンテンツにもアクセスできるようになります。TORは、企業環境に導入されているセキュリティポリシーの制約を回避するためにもよく使われます。このメソッドでは、TORネットワークからの入接続の検知も目的としており、TORネットワーク経由で実行される、悪意のあるアクティビティの早期検知に役立ちます。