ビヘイビア侵入遮断は、通信状況の異常を検知して、各種ネットワーク攻撃からパソコンを保護する機能です。
環境設定画面から、機能の使用可否や各種異常への処理方法を設定できます。
HOME画面やタスクバー内から環境設定画面を表示します。
環境設定画面から侵入遮断メニュー → ビヘイビア侵入遮断を選択します。
ビヘイビア侵入遮断機能を使用するを有効にすると、動作ルール(規則)に従って異常パケットを検知し、設定に応じて処理します。他の設定も可能になります。
各設定では、処理方法を検知/遮断/未使用から選択できます。
検知:異常パケットを検知すると、お知らせウィンドウを表示します。お知らせウィンドウから遮断可否を選択できます。
遮断:異常パケットを検知すると遮断します。
未使用:異常パケットを検知しても遮断せず、お知らせウィンドウも表示しません。
未知のプロトコルを利用するプロセスに対し、発生したパケットへの処理方法を選択します。検知/遮断を選択すると、次の設定が可能になります。
ファイル証明書を使用する:初回は遮断し、デジタル証明書を確認します。信頼できる証明書の場合、以降は遮断しません。
除外リスト:除外リストのウィンドウが表示されます。ウィンドウからプロトコル/プロセスを対象に、処理からの除外を設定します。除外した対象は、異常パケットを発生しても処理されません。
動作中のプロセスで発生するトラフィックに対し、パケット送信に異常が認められた場合の処理方法を選択します。検知/遮断を選択すると、次の設定が可能になります。
除外リスト:除外リストのウィンドウが表示されます。ウィンドウからIPアドレスを対象に、処理からの除外を設定します。除外した対象は、異常パケットを発生しても処理されません。
参考
異常性の確認は、一定以上のパケット送信が継続した場合に行われます。確認時の判定はサート・パーソナルの動作ルール(規則)に基づきます。
参考
異常トラフィックの例として、短期間に大量に発生するパケット、異常なほど断片化されたパケット、変則的なTCPフラグが指定されたパケット、過剰なHTTP通信パケットなどがあります。
IPスプーフィング(攻撃者が自身のIPアドレスを偽装してパケットを送信する)攻撃への対策として、送信元のIPアドレスが実際とは異なる場合の処理方法を選択します。
参考
IPアドレスとは、ネットワーク接続において各パソコンを区別するための固有情報です。IPスプーフィングでは、信頼されるIPアドレスに偽装することでパソコンへの侵入が試みられ、情報奪取などの危険性が発生します。
MACスプーフィング(攻撃者が自身の物理アドレスを偽装してパケットを送信する)攻撃への対策として、送信元の物理アドレスが実際とは異なる場合の処理方法を設定します。
参考
物理アドレスとは、ネットワーク接続においてIPアドレスとともに各パソコンを区別するための固有情報です。 MACスプーフィングでは、信頼される物理アドレスに偽装することでパソコンへの侵入が試みられ、情報奪取などの危険性が発生します。
ARPスプーフィング(攻撃者が自身のパソコンをゲートウェイに偽装してパケットを送信する)攻撃への対策として、偽装した通信が認められた場合への処理方法を設定します。検知/遮断を選択すると、次の設定が可能になります。
除外リスト:除外リストのウィンドウが表示されます。ウィンドウからゲートウェイ/IPアドレス/MACアドレスを対象に、処理からの除外を設定します。除外した対象は、異常パケットを発生しても処理されません。
参考
ARP(Address Resolution Protocol)とは、ネットワークアドレスを決めるプロトコルです。ARPスプーフィングでは、このプロトコルを操作して、ゲートウェイに偽装することでパソコンへの侵入が試みられます。
参考
偽装の判定は、実際のゲートウェイARP情報とネットワークのARP通信のモニタリングに基づきます。