VPN – VPNトラフィック

メソッドの説明

このメソッドは、振る舞い分析またはウェルノウンポートおよびポートを使用して、VPN接続およびトンネルを検知します。ポートとプロトコルの組み合わせを使用した基本検知は、標準ポート上のMicrosoft PPTP、IKE Key Exchange、またはOpenVPNのトラフィックの検知に使用されます。振る舞い分析では、外部サーバに対する一般的なVPNトラフィックが検知されます。LanFilterパラメータでローカルネットワークを指定します。その他のパラメータ(MinimalTimeおよび**MinimalData)**は、外部VPNサーバとの最小接続時間および最小転送データ量を定義します。Microsoft PPTの場合は、VPN接続の最小時間を秒単位で、最小転送データ量をMiB単位で設定できます。

このメソッドは、以下のサブメソッドで構成されます。

• OpenVPN: OpenVPNトンネルの使用率をレポートします。

• BehavioralDetection: 監視対象のネットワーク内のデバイスによって生成されたネットワークトラフィックの高度な挙動解析を使用して、VPNトンネルの使用をレポートします。

• MSPPTP: 現在では一般に使用されていない、仮想プライベートネットワークの実装に使用されるMS PPTPプロトコルの使用率をレポートします。

• IPSec: IPSecトンネルを使用するデバイスをレポートします。

• InternetTunnel: インターネットトンネルの既知の実装の使用率をレポートします。検知は、アプリケーションで使用されるデフォルトポートのリストに基づいて行われます。

• Hamachi: Hamachi VPNサービスの使用率をレポートします。

メソッド設定

このメソッドは、トラフィックの構造がすでに分かっているか、予想できる、明示的に選択した組織のIPアドレスに対して適用することをお勧めします。トラフィックの適切な監視場所はインターネット接続回線です。

メソッドパラメータ

BehavioralDetection

• MinimalData: 最小転送データ量の閾値(MiB)。

• MinimalTime: VPN接続の最小時間。

• LanFilter: ローカルネットワーク内のIPアドレスを定義するフィルタの名前。ローカルネットワーク内のデバイス間の通信は検知で無視されます。

MSPPTP

• ConnectionLength: MSPPTP VPN接続の最小時間の閾値(秒)。

• Transferred: MSPPTPプロトコルを使用した最小転送データ量(バイト)。

フィルタの割り当て

• MSPPTP: 送信元IPアドレスまたは宛先IPアドレスがフィルタの割り当てに一致するフローのみが処理されます。
• その他のサブメソッド: 送信元IPアドレスがフィルタの割り当てに一致するフローのみが処理されます。

結果の解釈

このメソッドでは、お使いのネットワークでVPN/トンネルを使用しているデバイスを検知できます。基本検知では、ポートとプロトコルの組み合わせのみが対象となります。このメソッドを誤って設定すると、大量の誤検知が発生する可能性があります。振る舞い検知では、すべてのステーションが外部ネットワークと通信するVPNトラフィック全般を検知します。VPNテクノロジを作為的に使用すると、既存のネットワークポリシーを回避したり、積極的にブロックされているコンテンツにアクセスしたりできます。また、このテクノロジを使用すると組織内の標準のセキュリティ対策では制御できない通信チャネルも作成できるため、ネットワーク環境がリスクにさらされます。