このトピックでは、UDP CHARGEN DoS 攻撃からの保護を構成する方法について説明します。
メモ:
送信元ポート 7 の UDP パケットが検出され、宛先ポート 19 が攻撃です。
UDP CHARGEN DoS 攻撃の検出を有効にするには:
- インターフェイスを設定し、インターフェイスにIPアドレスを割り当てます。
[edit]
user@host# set interfaces ge-0/0/1 unit 0 family inet address 192.0.2.0/24
user@host# set interfaces ge-0/0/3 unit 0 family inet address 198.51.100.0/24
- セキュリティ ゾーン
trustZone
を設定し、 untrustZone
インターフェイスを割り当てます。
[edit]
user@host# set security zones security-zone trustZone host-inbound-traffic system-services all
user@host# set security zones security-zone trustZone host-inbound-traffic protocols all
user@host# set security zones security-zone trustZone interfaces ge-0/0/1.0
user@host# set security zones security-zone untrustZone host-inbound-traffic system-services all
user@host# set security zones security-zone untrustZone host-inbound-traffic protocols all
user@host# set security zones security-zone untrustZone interfaces ge-0/0/3.0
- Junos OS事前定義済みアプリケーション
junos-chargen
を使用して、 trustZone
から untrustZone
へのセキュリティポリシーを設定します。
[edit]
user@host# set security policies from-zone untrustZone to-zone trustZone policy policy1 match source-address any
user@host# set security policies from-zone untrustZone to-zone trustZone policy policy1 match destination-address any
user@host# set security policies from-zone untrustZone to-zone trustZone policy policy1 match application junos-chargen
user@host# set security policies from-zone untrustZone to-zone trustZone policy policy1 then deny
user@host# set security policies default-policy permit-all
- syslogを設定します。
[edit]
user@host# set system syslog file syslog any any
user@host# set system syslog file syslog archive size 10000000
user@host# set system syslog file syslog structured-data
user@host# set security policies from-zone untrustZone to-zone trustZone policy policy1 then log session-init
user@host# set security policies from-zone untrustZone to-zone trustZone policy policy1 then log session-close
- パケットが宛先に到達できるようにするには、ポリシー設定を から
deny
に変更します permit
。
[edit]
user@host# set security policies from-zone untrustZone to-zone trustZone policy policy1 then permit
- 設定をコミットします。