ISSニュース

お客様各位 2000年 10月 3日 東京都新宿区北新宿３−１−１６ 第2事業本部　セキュリティ営業部 以下リリースが、インターネット　セキュリティ　システムズ株式会社より発行されましたので、ご案内致します。 RealSecure 5.0 Network Sensor False Positiveレポート このレポートでは2000年10月3日現在判明している、RealSecure 5.0 Network SensorのFalse Positiveについてレポートします。なおいずれの場合もX-Press Updateにて検出精度を向上するよう対応予定ですが、100% False Positiveが解消されることを保証するものではありませんので、あらかじめご了承ください。またX-Press Updateのリリース時期に関しては、弊社マーケティングより正式にご案内申し上げます。今後とも製品の機能向上に努めて参りますので、よろしくお願いいたします。 False Positive 1:TCP_Overlap_Data False Positiveの内容： RealSecure 3.2.x Network Agentでは検出されなかったTCP_Overlap_Dataイベントが、RealSecure 5.0で検出されます。 回避策： RealSecure 3.2.xでTCP_Overlap_Dataイベントが発生していないことを確認します。RealSecure 3.2.xでもこのイベントが発生している場合は、それがFalse Positiveかどうか確認してください。確認に関しては、お手数ですがサポート受付先にお問い合わせください。RealSecure 3.2.xでTCP_Overlap_Dataイベントが検出されないかあるいは検出されてもFalse Positiveであると判断できる場合は、RealSecure 5.0でTCP_Overlap_Dataイベントのチェックを行わないようにします。 対応： X-Press Updateにて対応する予定です。 False Positive 2:TFN2K False Positiveの内容： DNS参照に対するリプライに関するトラフィックにより、False Positiveが発生します。 回避策： TFN2Kに関するチェックを外してください。 対応： 現在TFN2Kを検出する適切なアーキテクチャの作成中です。X-Press Updateにて対応する予定です。 False Postive 3:Mstream False Positiveの内容： 以下のような条件で、Mstreamに関するFalse Positiveが発生する可能性があります。 TCPポート：12754、6723 UDPポート：10498、7983、6838、9325 パケット内のストリング（ゾンビからの出力） Must be ran as root. socket bind setsockopt newserver stream mstream ping pong fork Forked into background, pid %d パケット内のストリング（マスターからの出力） Connection from %s newserver New server on %s. pong Got pong number %d from %s %s has disconnected (not auth'd): %s Invalid password from %s. Password accepted for connection from %s. Lost connection to %s: %s 上記文字列を含むパケットが、該当するポートにおける通信で発見された場合、False Positiveが発生する可能性があります。FTP、Telnet、HTTPなど一般的なプロトコルが、何らかの理由で任意のハイポートを使用し、かつ"Password accepted from ...."など上記文字列を発見することで、このイベントが発生します。X-Forceチームは、False Positiveの可能性を小さくするために、この検出方法を再検討しています。 回避策： Mstreamに関するチェックを外してください。 対応： 将来X-Press Updateにて新しい発見アーキテクチャに対応予定です。 Internet Security Systemsのロゴおよび、Internet Security Systems の各商品はInternet Security Systems, Inc. の商標または登録商標です。 その他企業のロゴと製品名はそれぞれの企業の商標または登録商標です。