ネットワーク脅威防止がどのようにステートフルな接続テーブルを維持するか
search cancel

ネットワーク脅威防止がどのようにステートフルな接続テーブルを維持するか

book

Article ID: 250829

calendar_today

Updated On:

Products

Endpoint Protection

Issue/Introduction

SEP クライアントのネットワーク脅威防止 (ファイアウォール) が有効だと、確立した接続が終了したり、タイムアウトする。

下記のような事象が発生する。

  • シトリックスクライアントがシトリックスサーバーに接続し、クライアントが TCP keep-alive パケットを含むいかなるトラフィックも送信せず、一定期間アイドル状態だと、接続が閉じる。
  • リモートデスクトップ接続 (RDP) が終了したり切断される。
  • SSH セッションが切断される。
  • トラフィックが送信されずアイドル状態が続くと、Notes クライアントが新しいメールを受信しない。

Cause

SEP のネットワーク脅威防止のファイアウォールは、TCP と疑似 UDP 接続の両方のステートフルセッションテーブルを維持します。このデザインにより、ファイアウォールのパフォーマンスが向上します。クライアントから開始された TCP/UDP 接続が、ファイアウォールルールにより許可されると、セッションはセッションテーブルに入れられます。送信元/送信先 IP とポートを含むパケットが、セッションテーブルに含まれるものと合致すると、ファイアウォールエンジンは、ファイアウォールルールのチェックをせずに上位のアプリケーションに直接パケットを渡します。

ステートテーブルのセキュリティとパフォーマンスを維持するために、ファイアウォールエンジンはアクティブではないセッションを定期的に削除します。ステートテーブルからアクティブではないかアイドル状態のセッションが削除されると、返信トラフィック/パケットは自動的には許可されず、許可ルールに合致するかファイアウォールエンジンにより検査されます。パケットが許可されると、セッションテーブルに再び入れられます。TCP セッションの有効期間は 300 秒 (5 分) です。UDP セッションの有効期間は 40 秒です。

その他にも接続情報を保持するステートテーブルが定期的に削除される状況があります。例えば、ファイアウォールポリシーが更新された時や、Symantec Endpoint Protection サービスが再起動された時に削除されます。

Resolution

ステートテーブルからアイドルセッションが削除されるのを防ぐためには、5 分以内の間隔で TCP keep-alive パケットを送信するよう実装してください。さらに、アプリケーションのトラフィックに合致する、アプリケーションファイアウォールルールを作成することができます。ルールを作成する際、アプリケーションが使用する特定のプロトコルとアウトバウンドポートが合致するようにアプリケーションルールを作成する必要があります。これによりアプリケーション用のステートフルなエントリが作成されます。アプリケーションが閉じられると、テーブルからステートフル接続を期限切れさせるタイマーのカウントダウンが開始されます。

SEP のファイアウォールは、特定の TCP/TDP ポートもしくはポート範囲を伴ったアプリケーションルールに対してのみ、ステートテーブルを作成することができます。SEP は、ポートの指定されていない一般的な TCP/UDP や他のプロトコルを使用するアプリケーションを、アプリケーションに合致することはできません。

参考:

RFC 1122 - Requirements for Internet Hosts -- Communication Layers 4.2.3.6 TCP Keep-alives

Additional Information

TCP セッションタイムアウトの設定

 

[英語文書] How the Symantec Endpoint Protection client with Network Threat Protection maintains its stateful connection table