VPN – VPNトラフィック

メソッドの説明

このメソッドはポートとプロトコルの組み合わせを使用してVPN接続およびトンネルを検知します。Advancedパラメータを使用して、クライアントのネットワークトラフィックの振る舞い分析に基づく高度なVPNトンネル検知を有効化できます。基本検知は、主に標準ポートのMicrosoft PPTP、IKE Key Exchange、またはOpenVPNトラフィックの検知にお勧めします。高度な検知では、外部サーバ宛てのVPNトラフィック全般を検知できます。LanFilterパラメータでローカルネットワークを指定します。その他のパラメータ(MinimalTimeおよびMinimalData)は、外部VPNサーバとの最小接続時間および最小転送データ量を定義します。Microsoft PPTの場合は、VPN接続の最小時間を秒単位で、最小転送データ量をMiB単位で設定できます。

このメソッドは、以下のサブメソッドで構成されます。

• OpenVPN: OpenVPNトンネルの使用をレポートします。このサブメソッドは、パラメータStandardの値がアクティブに設定されているときにアクティブ化されます。

• BehavioralDetection: 監視対象のネットワーク内のデバイスによって生成されたネットワークトラフィックの高度な挙動解析を使用して、VPNトンネルの使用をレポートします。このサブメソッドは、パラメータAdvancedの値がアクティブに設定されているときにアクティブ化されます。

• MSPPTP: 現在では一般に使用されていない、仮想プライベートネットワークの実装に使用されるMS PPTPプロトコルの使用をレポートします。このサブメソッドは、パラメータMSPPTPの値がアクティブに設定されているときにアクティブ化されます。

• IPSec: IPSecトンネルを使用するデバイスをレポートします。このサブメソッドは、パラメータStandardの値がアクティブに設定されているときにアクティブ化されます。

• InternetTunnel: インターネットトンネルの既知の実装の使用をレポートします。検知は、アプリケーションが使用するデフォルトポートのリストに基づきます。このサブメソッドは、パラメータStandardの値がアクティブに設定されているときにアクティブ化されます。

• Hamachi: Hamachi VPNサービスの使用をレポートします。このサブメソッドは、パラメータStandardの値がアクティブに設定されているときにアクティブ化されます。

メソッド設定

このメソッドは、トラフィックの構造がすでに分かっているか、予想できる、明示的に選択した組織のIPアドレスに対して適用することをお勧めします。トラフィックの適切な監視場所はインターネット接続回線です。

メソッドパラメータ

• Advanced: 振る舞い分析に基づいたVPNトラフィック検知の使用。

• MinimalData: 最小転送データ量の閾値(MiB)。

• MinimalTime: VPN接続の最小時間。

• LanFilter: ローカルネットワーク内のIPアドレスを定義するフィルタの名前。ローカルネットワーク内のデバイス間の通信は検知で無視されます。

• Standard: ポートベースの検知の使用。

• ConnectionLength: MSPPTP VPN接続の最小時間の閾値(秒)。

• Transferred: MSPPTPプロトコルを使用した最小転送データ量(バイト)。

• MSPPTP: MSPPTPプロトコルの使用の検知。

フィルタの割り当て

このフィルタは、送信元IPアドレスを制限するために使用されます。

結果の解釈

このメソッドでは、お使いのネットワークでVPN/トンネルを使用しているデバイスを検知できます。基本検知では、ポートとプロトコルの組み合わせのみが対象となります。このメソッドを誤って設定すると、大量の誤検知が発生する可能性があります。高度な検知では、すべてのステーションが外部ネットワークと通信するVPNトラフィック全般を検知します。VPNテクノロジを作為的に使用すると、既存のネットワークポリシーを回避したり、積極的にブロックされているコンテンツにアクセスしたりできます。また、このテクノロジを使用すると組織内の標準のセキュリティ対策では制御できない通信チャネルも作成できるため、ネットワーク環境がリスクにさらされます。