Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの目次
 

攻撃の検知と防止のための画面オプション

攻撃の検出と防止は、攻撃を検知し、攻撃からネットワークを防御します。Junosセキュリティプラットフォームは、画面オプションを使用して、さまざまな内部および外部からの攻撃から保護できます。 詳細については、次のトピックを参照してください。

SRXシリーズ デバイスの画面オプションについて

すべてのSRXシリーズファイアウォールで、画面は2つのカテゴリに分類されます。

統計ベースの画面

表 1 に、統計情報ベースのすべての画面オプションを示します。

表 1: 統計ベースの画面オプション

画面オプション名

説明

ICMP flood

ICMP フラッド IDS オプションを使用して、ICMP フラッド攻撃から保護します。ICMPフラッド攻撃は通常、ICMPエコー要求が応答のすべてのリソースを使用し、有効なネットワークトラフィックを処理できない場合に発生します。

しきい値は、デバイスが以降の ICMP パケットを拒否する前に、同じ宛先アドレスに送信できる ICMP パケット数/秒(pps)を定義します。

UDP flood

UDP フラッド IDS オプションを使用して、UDP フラッド攻撃から保護します。UDPフラッド攻撃は、攻撃者がUDPデータグラムを含むIPパケットを送信し、リソースの速度を低下させて有効な接続を処理できなくなる場合に発生します。

しきい値は、同じ宛先 IP アドレスに送信できる UDP パケット数/秒を定義します。1 秒間にパケット数がこの値を超えた場合、デバイスはアラームを生成し、その 1 秒間は後続のパケットをドロップします。

TCP SYN flood source

TCP SYN フラッド・ソース IDS オプションを使用して、ソースしきい値を設定します。しきい値は、デバイスが接続要求のドロップを開始する前に、1秒あたりに受信する SYN セグメントの数を定義します。

適用可能な範囲は 4 から 500,000 SYN pps です。

TCP SYN flood destination

SYN フラッディング宛先 IDS オプションを使用して、宛先しきい値を設定します。しきい値は、デバイスが接続要求のドロップを開始する前に、1秒あたりに受信する SYN セグメントの数を定義します。

適用可能な範囲は 4 から 500,000 SYN pps です。

TCP SYN flood

TCP SYN フラッド IDS オプションを使用して、SYN フラッド攻撃を検出および防止します。このような攻撃は、接続ホストが対応する ACK 応答に応答せずに TCP SYN 要求を継続的に送信した場合に発生します。

TCP port scan

TCP ポート スキャン IDS オプションを使用して、ポート スキャン攻撃を防止します。この攻撃の目的は、少なくとも1つのポートが応答することを期待して利用可能なサービスをスキャンし、ターゲットとするサービスを特定することです。

TCP SYN-ACK-ACK proxy

TCP SYN-ACK-ACK プロキシ画面オプションを使用して、SYN-ACK-ACK 攻撃を防止します。同じIPアドレスからの接続数がSYN-ACK-ACKプロキシのしきい値に達すると、Junos OSを実行しているSRXシリーズファイアウォールは、そのIPアドレスからのそれ以降の接続要求を拒否します。

ICMP IP sweep

ICMP IP スイープ IDS オプションを使用して、IP スイープ攻撃を検出し、防止します。IPスイープ攻撃は、攻撃者が複数の宛先アドレスにICMPエコーリクエスト(ping)を送信した場合に発生します。ターゲットホストが応答すると、応答はターゲットのIPアドレスを攻撃者に明らかにします。デバイスがこのステートメントで指定されたマイクロ秒時間内に 10 個の ICMP エコー要求を受信すると、IP スイープ攻撃としてフラグを立て、そのホストからの 11 個目以降のすべての ICMP パケットを残りの 1 秒間拒否します。

しきい値は、同じホストから最大 10 個の ICMP エコー要求をデバイスに許可する最大マイクロ秒数を定義します。

TCP SYN flood alarm

TCP SYN フラッドアラーム IDS オプションを使用して、アラームしきい値を設定します。しきい値は、デバイスがイベント アラーム ログにエントリを作成する1秒あたりのハーフコンプリートプロキシ接続の数を定義します。範囲は、1 秒あたり 1 から 500,000 要求です。

TCP SYN flood attack

TCP SYN フラッド攻撃 IDS オプションを使用して、攻撃しきい値を設定します。しきい値は、SYN プロキシ応答をトリガーするために必要な SYN パケット数/秒を定義します。範囲は 1 から 500,000 プロキシされた pps です。

UDP udp sweep

UDP UDP スイープ攻撃を検出して防止するには、UDP UDP スイープ IDS オプションを使用します。UDPスイープ攻撃では、攻撃者はUDPパケットをターゲットデバイスに送信します。デバイスがこれらのパケットに応答すると、攻撃者はターゲットデバイスのポートが開いていることを示すため、ポートが攻撃に対して脆弱になります。リモートホストが0.005秒(5000マイクロ秒)以内にUDPパケットを10個のアドレスに送信すると、デバイスはこれをUDPスイープ攻撃としてフラグを立てます。

alarm-without-dropオプションが設定されていない場合、デバイスは指定されたしきい値期間の残りの期間、そのホストからの 11 番目以降のすべての UDP パケットを拒否します。

しきい値は、デバイスが同じリモート送信元から異なる宛先アドレスへの 10 個の UDP パケットを受け入れるマイクロ秒数を定義します。

Junos OSリリース15.1X49-D20およびJunos OSリリース17.3R1以降、ファイアウォールは、送信元または宛先セッションの制限をトリガーするパケット数に関係なく、1秒に1つのログメッセージのみを生成します。この動作は、 、 、TCP-Synflood-dst-basedおよび UDP フラッド保護を備えたTCP-Synflood-src-basedフラッド プロテクション スクリーンに適用されます。

署名ベースの画面

表 2 に、シグニチャベースのすべての画面オプションを示します。

表 2: 署名ベースの画面オプション

画面オプション名

説明

TCP Winnuke

TCP WinNuke 攻撃 IDS オプションを有効または無効にします。WinNuke は、Windows を実行しているインターネット上の任意のコンピューターを標的とするサービス拒否 (DoS) 攻撃です。

TCP SYN fragment

TCP SYN フラグメント攻撃 IDS オプションを使用して、攻撃に使用されたパケットフラグメントをドロップします。SYNフラグメント攻撃は、ターゲットホストにSYNパケットフラグメントをフラッディングさせます。ホストはこれらのフラグメントをキャッシュし、残りのフラグメントが到着するのを待って、それらを再構築できるようにします。完了できない接続のフラッドは、最終的にホストのメモリバッファをいっぱいにします。これ以上接続することはできず、ホストのオペレーティング システムが損傷する可能性があります。

TCP no flag

TCP TCP TCP フラグなしIDSオプションを使用して、フラグフィールドがないか形式が正しくない不正なTCPパケットをドロップします。しきい値は、フラグが設定されていない TCP ヘッダーの数を定義します。通常の TCP セグメント ヘッダーには、少なくとも 1 つの制御フラグが設定されています。

TCP SYN FIN

TCP SYN FIN IDS オプションを使用して、攻撃者がターゲットデバイス上のセッションを消費するために使用できるフラグの不正な組み合わせを検出し、結果としてサービス拒否(DoS)状態を引き起こします。

TCP land

TCP 土地攻撃 IDS オプションを有効または無効にします。ランド攻撃は、攻撃者が被害者のIPアドレスを宛先と送信元の両方のIPアドレスとして含むなりすましのSYNパケットを送信した場合に発生します。

TCP FIN no ACK

[FIN ビットと ACK ビット IDS なし] オプションを使用して、フラグの不正な組み合わせを検出し、この組み合わせを持つパケットを拒否します。

ICMP ping of death

ping of death IDSオプションを使用して、特大および不規則なICMPパケットを検出および拒否します。TCP/IP 仕様では特定のパケット サイズが必要ですが、多くの ping 実装ではより大きなパケット サイズを使用できます。パケットが大きくなると、クラッシュ、フリーズ、再起動など、さまざまなシステムへの悪影響が引き起こされる可能性があります。

Ping of Deathは、有効な最大長(65,535バイト)を超えるIPパケットが送信された場合に発生します。

ICMP fragment

[More Fragments] フラグが設定されている、またはフィールドにオフセットが示されている offset ICMP フレームを検出してドロップするには、[ICMP フラグメント IDS] オプションを使用します。

ICMP large

ICMP ラージ IDS オプションを使用して、IP 長が 1024 バイトを超える ICMP フレームを検出してドロップします。

IP unknown protocol

IP unknown protocol IDS オプションを使用して、IPv4 では 137、IPv6 では 139 より大きいプロトコル番号を持つすべての受信 IP フレームを破棄します。このようなプロトコル番号は未定義または予約されています。

IP bad option

IP パケット ヘッダー内の IP オプションが正しくフォーマットされていないパケットを検出してドロップするには、[IP bad IDS] オプションを使用します。デバイスは、イングレス インターフェイスのスクリーン カウンター リストにイベントを記録します。この画面オプションは、IPv4 および IPv6 に適用されます。

IP strict source route option

IP 厳密ソース ルート IDS オプションを使用して、IP オプションが 9(厳密なソース ルーティング)のパケットを検出し、イングレス インターフェイスのスクリーン カウンター リストにイベントを記録します。このオプションは、パケットが送信元から宛先に移動するための完全なルート リストを指定します。リストの最後のアドレスが、宛先フィールドのアドレスを置き換えます。現在、この画面オプションは IPv4 にのみ適用されます。

IP loose source route option

IP ルーズ ソース ルート IDS オプションを使用して、IP オプションが 3(ルーズ ソース ルーティング)のパケットを検出し、イングレス インターフェイスのスクリーン カウンター リストにイベントを記録します。このオプションは、パケットが送信元から送信先に移動するための部分的なルート リストを指定します。パケットは指定されたアドレスの順序で進む必要がありますが、指定されたアドレスの間にある他のデバイスを通過することは許可されています。ルーズ ソース ルート オプションのタイプ 0 ルーティング ヘッダーは、IPv6 で定義されている唯一の関連ヘッダーです。

IP source route option

IP ソース ルート IDS オプションを使用してパケットを検出し、イングレス インターフェイスのスクリーン カウンター リストにイベントを記録します。

IP stream option

IP ストリーム IDS オプションを使用して、IP オプションが 8(ストリーム ID)のパケットを検出し、イングレス インターフェイスのスクリーン カウンター リストにイベントを記録します。このオプションは、ストリームをサポートしないネットワークを介して 16 ビットの SATNET ストリーム識別子を伝送する方法を提供します。現在、この画面オプションは IPv4 にのみ適用されます。

IP block fragment

IP パケットフラグメント化のブロックを有効または無効にします。この機能を有効にすると、Junos OS はセキュリティ ゾーン上の IP フラグメントを拒否し、そのゾーンにバインドされたインターフェイスで受信されたすべての IP パケット フラグメントをブロックします。

IP record route option

IP レコード ルート IDS オプションを使用して、IP オプションが 7(ルートの記録)の場合にパケットを検出し、イングレス インターフェイスのスクリーン カウンター リストにイベントを記録します。このオプションは、IP パケットが移動するパスに沿ってネットワーク デバイスの IP アドレスを記録します。現在、この画面オプションは IPv4 にのみ適用されます。

IP timestamp option

IP タイムスタンプ IDS オプションを使用して、IP オプション リストにオプション 4(インターネット タイムスタンプ)が含まれているパケットを検出し、イングレス インターフェイスのスクリーン カウンター リストにイベントを記録します。このオプションは、各ネットワークデバイスが発信元から宛先までの移動中にパケットを受信した時刻を(世界時で)記録します。現在、この画面オプションは IPv4 にのみ適用されます。

IP security option

IP セキュリティー IDS オプションを使用して、IP オプションが 2(セキュリティー)のパケットを検出し、イングレス・インターフェースのスクリーン・カウンター・リストにイベントを記録します。現在、この画面オプションは IPv4 にのみ適用されます。

IP spoofing

IPアドレススプーフィングIDSオプションを使用して、スプーフィング攻撃を防止します。IPスプーフィングは、パケットヘッダーに無効な送信元アドレスが挿入され、パケットが信頼できる送信元から送信されたように見える場合に発生します。

IP tear drop

IP ティアドロップ IDS オプションを使用して、ティアドロップ攻撃をブロックします。ティアドロップ攻撃は、フラグメント化されたIPパケットが重複し、パケットを再構築しようとするホストがクラッシュする原因となった場合に発生します。ティアドロップオプションは、そのような不一致があるパケットをドロップするようにデバイスに指示します。ティアドロップ攻撃は、フラグメント化されたIPパケットの再構築を悪用します。

画面のセントラルポイントアーキテクチャの機能強化の理解

Junos OSリリース15.1X49-D30およびJunos OSリリース17.3R1以降、SRX5400、SRX5600、およびSRX5800デバイス上で、中央点アーキテクチャが強化され、1秒あたりの接続数(CPS)が増加しています。この機能強化により、中央点セッションと中央点パケット処理は、中央点から SPU(サービス処理ユニット)に移動しました。

以前は、中央点にはセッション制限があり、利用可能なリソース(セッション制限エントリ)がない場合、パケットは常にセッション制限によって許可されていました。現在、中央点とSPUの両方にセッション制限があります。中央点に使用可能なリソースがなく、SPU には使用可能なリソースがある場合、中央点ではセッションを制限できませんが、SPU はセッションを制限できます。

以下のシナリオでは、中央点と SPU がパケットを許可するかドロップするかを決定するタイミングについて説明します。

  • 中央点にセッション制限エントリーがなく、SPU にセッション制限エントリーがある場合:

    1. SPU のセッション制限カウンターがしきい値より大きい場合、パケットはドロップされます。

    2. SPU のセッション制限カウンターがしきい値より大きくない場合、パケットは許可されます。

  • SPU にセッション制限エントリーがない場合:

    1. SPU のセッション制限カウンターがしきい値より大きい場合、パケットは許可されます。

    2. SPU のセッション制限カウンターがしきい値より大きくない場合、パケットは許可されます。

メモ:

正確なセッション数を維持するために、追加のメッセージが中央点に送信され、画面の 1 秒あたりの接続数 (CPS) に影響を与える可能性があります。これは、送信元または宛先のセッション制限に影響します。

グローバル トラフィック統計に中心点がない場合、一部のグローバル ビュー画面に影響を与える可能性があります。SYN Cookie のみにグローバル ビューがなく、グローバル トラフィック統計は SPU によって処理されるため、カウンタは以前と同様に正確でない場合があります。中央点と SPU の両方で処理されるその他の統計ベースの画面では、カウンターは正確です。

以前は、統計ベースのスクリーニングは中央点でのみ処理され、ログとSNMPトラップは厳密にレート制限できました。これで、中央点とSPUの両方が独立してログとSNMPトラップを生成できるようになりました。そのため、ログとSNMPトラップが以前よりも大きくなる可能性があります。

SRXシリーズ デバイスにおける画面オプションの実装

以下の表は、SRXシリーズファイアウォールに実装されており、すべてのSRXシリーズファイアウォールでサポートされているすべての画面オプションを示しています。

表3:SRXシリーズデバイスに実装された画面オプション

画面

NP/CP/SPU に実装

ハッシュモードでのサポート

SOF モードでのサポート

icmp-flood

Np

はい

はい

udp-flood

Np

はい

はい

winnuke

Np

はい

はい

tcp-port-scan

CP+SPU

はい

はい

udp-port-scan

CP+SPU

はい

はい

address-sweep

CP+SPU

はい

はい

tcp-sweep

CP+SPU

はい

はい

udp-sweep

CP+SPU

はい

はい

tear-drop

Spu

はい

いいえ

syn-flood

Spu

はい

はい

syn-flood-src

Np

はい

はい

syn-flood-dst

Np

はい

はい

ip-spoofing

Spu

はい

はい

ping-of-death

Np

はい

はい

ip-option-src-route

Np

はい

はい

land

Np

はい

はい

syn-fragment

Np

はい

はい

tcp-no-flag

Np

はい

はい

unknown-protocol

Np

はい

はい

ip-option-bad

Np

はい

はい

ip-option-record-route

Np

はい

はい

ip-option-timestamp

Np

はい

はい

ip-option-security

Np

はい

はい

ip-option-loose-src-route

Np

はい

はい

ip-option-strict-src-route

Np

はい

はい

ip-option-stream

Np

はい

はい

icmp-fragment

Np

はい

はい

icmp-large-pkt

Np

はい

はい

syn-fin

Np

はい

はい

fin-no-ack

Np

はい

はい

src-session-limit

CP+SPU

はい

はい

syn-ack-ack-proxy

Spu

はい

はい

block-fragment

Np

はい

はい

dst-session-limit

CP+SPU

はい

はい

ipv6-ext-header

Spu

はい

いいえ

ipv6-ext-hbyh-option

Spu

はい

いいえ

ipv6-ext-dst-option

Spu

はい

いいえ

ipv6-ext-header-limit

Spu

はい

いいえ

ipv6-malformed-header

Spu

はい

いいえ

icmpv6-malformed-packet

Spu

はい

いいえ

ip-tunnel-summary

Spu

はい

いいえ
メモ:

IOC1カードでサポートされているすべての画面機能は、IOC2およびIOC3カードでサポートされています。SRX5000 回線のデバイスおよびSRX4600デバイスでは、IOC2 カードのネットワーク・プロセッサー・ユニット (NPU) がルックアップ・ユニット (LU) に置き換えられます。

例:複数スクリーニング オプションの設定

この例では、複数のスクリーニング・オプションに対して 1 つの侵入検出サービス (IDS) プロファイルを作成する方法を示します。

要件

この機能を設定する前に、デバイス初期化以外の特別な設定を行う必要はありません。

概要

セキュリティゾーンでは、1つのIDSプロファイルを複数のスクリーニングオプションに適用できます。この例では、次のスクリーニング オプションを構成しています。

  • ICMPスクリーニング

  • 知財審査

  • TCPスクリーニング

  • UDP スクリーニング

これらのスクリーニング オプションは、untrust ゾーンに割り当てられます。

構成

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルでCLI [edit] にコピーアンドペーストして、設定モードから を入力します commit

設定モードから を入力します commit

手順

手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、「Using the CLI Editor in Configuration ModeJunos OS CLI User Guide」を参照してください。

複数のスクリーニングオプションのIDSプロファイルを設定するには:

  1. ICMP スクリーニング オプションを設定します。

  2. IP スクリーニング オプションを構成します。

  3. TCP スクリーニング オプションを構成します。

  4. UDP スクリーニング オプションを構成します。

  5. IDS プロファイルをゾーンにアタッチします。

結果

設定モードから、 および show security zones コマンドを入力してshow security screen ids-option screen-config設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから を入力します commit

検証

複数のスクリーニングオプションのIDSプロファイルの検証

目的

複数のスクリーニング オプションの IDS プロファイルが正しく構成されていることを確認します。

アクション

show security screen ids-option screen-config Screen object status動作モードから と show security zones コマンドを入力します。

メモ:

すべてのSRXシリーズファイアウォールで、TCP同期フラッドアラームしきい値はドロップされたパケット数を示しませんが、値にはアラームしきい値に達した後のパケット情報が表示されます。

同期 Cookie またはプロキシはパケットをドロップしません。したがって、(ではないdrop) アクションがalarm-without-dropシステムログに表示されます。

SRX5000 モジュール ポート コンセントレータの画面オプションについて

SRX5000シリーズモジュールポートコンセントレータ(SRX5K-MPC)は、Junos OSの画面オプションをサポートしています。画面オプションは、ゾーンにバインドされたインターフェイスを経由する必要があるすべての接続試行を検査し、許可または拒否することで、ゾーンを保護します。

画面オプションを使用すると、セキュリティ デバイスは、SYN フラッド攻撃、UDP フラッド攻撃、ポート スキャン攻撃など、さまざまな内部および外部攻撃から保護できます。Junos OSは、セキュリティポリシーが処理される前にトラフィックに画面チェックを適用するため、リソースの使用率が低くなります。

画面オプションは、次の 2 つのカテゴリに分かれています。

  • 統計ベースの画面

  • 署名ベースの画面

統計ベースの画面

SRX5K-MPCに実装されているすべての画面機能は、レイヤー2またはレイヤー3モードから独立しています。フラッド保護は、SYN フラッド攻撃、セッション テーブル フラッド攻撃、ファイアウォール サービス拒否 (DoS) 攻撃、およびネットワーク DoS 攻撃に対する防御に使用されます。

次の 4 つのタイプのしきい値ベースのフラッディング保護が、IPv4 と IPv6 の両方の各プロセッサーで実行されます。

  • UDP ベースのフラッド防御

  • ICMPベースの洪水防御

  • TCPソースベースのSYNフラッド防御

  • TCP宛先ベースのSYNフラッド防御

メモ:

2 種類の TCP SYN フラッディング保護のいずれかがゾーンで構成されている場合、2 番目の種類の TCP SYN フラッディング保護は同じゾーンで自動的に有効になります。これら2種類の保護は常に連携して機能します。

各タイプのフラッド保護はしきい値ベースであり、しきい値は各マイクロプロセッサのゾーンごとに計算されます。マイクロプロセッサチップ上でフラッドが検出された場合、その特定のマイクロプロセッサは、設定に基づいて問題のあるパケットに対してアクションを実行します。

  • デフォルト アクション(報告とドロップ):画面のログ記録と報告は SPU で行われるため、この目的のために問題のあるパケットを中央点または SPU に転送する必要があります。SPU をフラッディングから保護するために、ゾーン内の各画面の最初の問題のあるパケットのみが SPU に送信され、1 秒ごとにロギングとレポートが行われます。残りの問題のあるパケットは、マイクロプロセッサでカウントおよびドロップされます。

    たとえば、論理インターフェイスで UDP フラッディングが設定されているしきい値が 5000 パケット/秒に設定されているとします。UDPパケットが1秒あたり20,000のレートで着信する場合、毎秒約5000UDPパケットが中央点またはSPUに転送され、残りのパケットはフラッディングとして検出されます。ただし、ロギングとレポーティングのために SPU に送信される UDP フラッディング パケットは 1 秒に 1 つだけです。残りのパケットはマイクロプロセッサで破棄されます。

  • アラームのみ(アラームドロップなし):画面保護によって検出された問題のあるパケットはドロップされません。残りの画面チェックをスキップし、中央点またはSPUに転送され、画面結果がメタヘッダーにコピーされます。ドロップされたパケットとしてカウントされません。

IOC1とIOC2の違い

画面の動作は、デバイスに IOC1 カードと IOC2 カードのどちらが搭載されていても同じです。ただし、統計ベースの画面のしきい値には違いがあります。 表 4 に、統計情報ベースの画面オプションと、デバイスに IOC1 カードと IOC2 カードのどちらが搭載されているかに応じた画面の動作を示します。

表 4: 統計ベースの画面オプション

画面オプション名

説明

IOC1

IOC2

ICMP flood

ICMP フラッドしきい値を設定します。ICMPフラッドスクリーンオプションは、ICMPフラッド攻撃から保護するために使用されます。ICMPフラッド攻撃は通常、ICMPエコー要求が応答のすべてのリソースを使用し、有効なネットワークトラフィックを処理できない場合に発生します。

しきい値は、デバイスが以降の ICMP パケットを拒否する前に、同じ宛先アドレスに ping を送信できる ICMP パケットの数/秒を定義します。

着信トラフィックがしきい値 pps を超えた場合、パケットがドロップされるか、アラームが発生します。

IOC2 カードを搭載した SRX5000 ライン デバイスでは、ルックアップ(LU)チップの画面構成が変更されています。各 IOC2 カードには 4 つの LU チップがあります。着信トラフィックがしきい値 pps を超えると、パケットはドロップされます。たとえば、ユーザーが 1000 pps のしきい値を指定した場合、各 LU チップに 250 pps を内部的に構成し、1000 pps のしきい値が 4 つの LU チップ間で均等に分散されるようにします。予想される結果として、ユーザーは1000 ppsの全体的なしきい値を取得します。

SRX5000回線デバイスでは、IOC2 カードがサービス オフロード モードの場合、1 つの LU チップのみが機能します。受信トラフィック レートがしきい値を超えると、予想される動作の結果としてパケットが破棄されます。

UDP flood

UDP フラッドしきい値を設定します。UDPフラッドスクリーンオプションは、UDPフラッド攻撃から保護するために使用されます。UDPフラッド攻撃は、攻撃者が有効な接続を処理できないようにリソースを遅くする目的でUDPデータグラムを含むIPパケットを送信したときに発生します。

しきい値は、同じ宛先 IP アドレス/ポートのペアに ping できる UDP pp の数を定義します。1 秒間にパケット数がこの値を超えた場合、デバイスはアラームを生成し、その 1 秒間は後続のパケットをドロップします。

着信トラフィックがしきい値 pps を超えた場合、パケットがドロップされるか、アラームが発生します。

IOC2 カードを搭載した SRX5000 ライン デバイスでは、ルックアップ(LU)チップの画面構成が変更されています。各 IOC2 カードには 4 つの LU チップがあります。着信トラフィックがしきい値 pps を超えると、パケットはドロップされます。たとえば、ユーザーが 1000 pps のしきい値を指定した場合、各 LU チップに 250 pps を内部的に構成し、1000 pps のしきい値が 4 つの LU チップ間で均等に分散されるようにします。予想される結果として、ユーザーは1000 ppsの全体的なしきい値を取得します。

SRX5000回線デバイスでは、IOC2 カードがサービス オフロード モードの場合、1 つの LU チップのみが機能します。受信トラフィック レートがしきい値を超えると、予想される動作の結果としてパケットが破棄されます。

TCP SYN flood source

TCP SYN フラッド ソースのしきい値を設定します。しきい値は、デバイスが接続要求のドロップを開始する前に、1秒あたりに受信する SYN セグメントの数を定義します。

適用可能な範囲は 4 から 500,000 SYN pps です。

着信トラフィックがしきい値 pps を超えた場合、パケットがドロップされるか、アラームが発生します。

IOC2 カードを搭載した SRX5000 ライン デバイスでは、ルックアップ(LU)チップの画面構成が変更されています。各 IOC2 カードには 4 つの LU チップがあります。着信トラフィックがしきい値 pps を超えると、パケットはドロップされます。たとえば、ユーザーが 1000 pps のしきい値を指定した場合、各 LU チップに 250 pps を内部的に構成し、1000 pps のしきい値が 4 つの LU チップ間で均等に分散されるようにします。予想される結果として、ユーザーは1000 ppsの全体的なしきい値を取得します。

SRX5000回線デバイスでは、IOC2 カードがサービス オフロード モードの場合、1 つの LU チップのみが機能します。受信トラフィック レートがしきい値を超えると、予想される動作の結果としてパケットが破棄されます。

TCP SYN flood destination

TCP SYN フラッド宛先のしきい値を設定します。しきい値は、デバイスが接続要求のドロップを開始する前に、1秒あたりに受信する SYN セグメントの数を定義します。

適用可能な範囲は 4 から 500,000 SYN pps です。

着信トラフィックがしきい値 pps を超えた場合、パケットがドロップされるか、アラームが発生します。

IOC2 カードを搭載した SRX5000 ライン デバイスでは、ルックアップ(LU)チップの画面構成が変更されています。各 IOC2 カードには 4 つの LU チップがあります。着信トラフィックがしきい値 pps を超えると、パケットはドロップされます。たとえば、ユーザーが 1000 pps のしきい値を指定した場合、各 LU チップに 250 pps を内部的に構成し、1000 pps のしきい値が 4 つの LU チップ間で均等に分散されるようにします。予想される結果として、ユーザーは1000 ppsの全体的なしきい値を取得します。

SRX5000回線デバイスでは、IOC2 カードがサービス オフロード モードの場合、1 つの LU チップのみが機能します。受信トラフィック レートがしきい値を超えると、予想される動作の結果としてパケットが破棄されます。
メモ:

SRX5400、SRX5600、および SRX5800 回線デバイスでは、LAG/LACP および RLAG/RETH 子リンクの DUT 内の各 IOC に画面のしきい値が設定されます。LAG/LACP または RETH/RLAG インターフェイスの一部として IOC 間の子インターフェイスがあり、イングレス トラフィックも IOC 間で複数の子リンクを通過する場合、複数の IOC からスクリーンを通過したパケットの総数と、エグレス インターフェイスで予想される 1 秒あたりのパケットの合計数(pps)に一致するようにしきい値を設定します。

シグネチャベースの画面

SRX5K-MPCは、受信したパケットの健全性チェックとともに、シグネチャベースの画面オプションを提供します。

デバイスが受信したパケットの形式が正しくなかったり無効であったりすることがあり、デバイスやネットワークに損害を与える可能性があります。これらのパケットは、処理の初期段階でドロップする必要があります。

シグネチャベースの画面オプションとサニティーチェックの両方で、パケットヘッダー、ステータスビットと制御ビット、拡張ヘッダー(IPv6 の場合)を含むパケットの内容が調べられます。要件に応じて画面を設定できますが、パケットの正常性チェックはデフォルトで実行されます。

パケット健全性チェックと画面オプションは、イングレスインターフェイスで受信したパケットに対して実行されます。

プロセッサは正常性チェックを行い、いくつかの画面機能を実行して、物理インターフェイスから受信した不正な形式や悪意のあるイングレスパケットを検出します。サニティー チェックに失敗したパケットはカウントされ、破棄されます。

以下のパケット健全性チェックがサポートされています。

  • IPv4サニティーチェック

  • IPv6サニティーチェック

以下の画面機能がサポートされています。

  • IPベースの画面

  • UDP ベースの画面

  • TCPベースの画面

  • ICMP ベースの画面

画面機能は、IPv4 パケットにのみ適用される IP オプション画面を除き、IPv4 パケットと IPv6 パケットの両方に適用されます。1 つの画面オプションでパケットが検出された場合、パケットは残りの画面チェックをスキップし、ロギングと統計情報収集のために中央点または SPU(サービス処理ユニット)に転送されます。

メモ:

SRX5400、SRX5600、および SRX5800 デバイスでは、最初のパス署名画面が最初に実行され、次に高速パス bad-inner-header 画面が続きます。

画面の IPv6 サポートについて

ジュニパーネットワークスは、ゾーンレベルとポリシーレベルでさまざまな検知および防御メカニズムを提供し、実行のあらゆる段階で悪用に対抗します。画面オプションはゾーンレベルにあります。Junos OSの画面オプションは、ゾーンを検査し、そのゾーンにバインドされたインターフェイスを越える必要のあるすべての接続試行を許可または拒否することで、ゾーンを保護します。

IPv6 拡張ヘッダー、パケット ヘッダー、ICMPv6 トラフィックに基づいてパケットを確認およびフィルタリングする画面オプションを設定できます。設定に基づいて、画面はパケットをドロップし、ログを作成し、IPv6トラフィックの統計を増やすことができます。

IPv6拡張ヘッダーのチェックとフィルタリング

ステートメント ipv6-extension-header を使用すると、1 つ以上の拡張ヘッダーを選択的にスクリーニングできます。 表 5 に、一般的な IPv6 拡張ヘッダーとその型の値を示します。

表 5: IPv6 拡張ヘッダーと型の値

ヘッダー名

ヘッダータイプの値

インターネット標準

認証

51

RFC 2460

カプセル化セキュリティ ペイロード

50

RFC 2460

ホスト識別プロトコル

139

RFC 5201

宛先オプション

  • ILNP ナンス オプション

  • 自宅住所オプション

  • 回線識別オプション

  • トンネル カプセル化制限オプション

60

RFC 2460

フラグメント

44

RFC 2460

ホップバイホップ オプション

  • カリプソオプション

  • RPL オプション

  • SFM DPDオプション

  • ジャンボペイロードオプション

  • クイックスタートオプション

  • ルーターアラートオプション

0

RFC 2460

モビリティ

135

RFC 6275

次はありません

59

RFC 2460

ルーティング

43

RFC 2460

シム6

140

RFC 5533

拡張ヘッダーの最大数

ステートメントを使用することで ipv6-extension-header-limit 、パケット内で許可される拡張ヘッダーの最大数を指定できます。パケット内の拡張ヘッダーの最大数は明示的に指定されていませんが、RFC 2460 では拡張ヘッダーの順序が推奨されています。

  1. ホップバイホップオプションのヘッダー

  2. 宛先オプションのヘッダー

  3. ルーティングヘッダー

  4. フラグメント拡張ヘッダー

  5. 認証ヘッダー

  6. カプセル化セキュリティペイロードヘッダー

  7. 宛先オプションのヘッダー

宛先オプション ヘッダーを除き、各拡張ヘッダーは最大で 1 回(ルーティング ヘッダーの前に 1 回、上位レイヤー プロトコル ヘッダーの前に 1 回)出現する必要があります。

RFC 2460に基づく最大拡張ヘッダー番号は7です。その他の拡張ヘッダーは、後続の RFC で定義されています。拡張ヘッダーの最大番号は 0 から 32 の範囲にすることをお勧めします。

無効なオプション拡張ヘッダー

IP パケット ヘッダー (IPv4 または IPv6) に誤った形式の IP オプションがあるパケットを検出してドロップするように画面を設定できます。デバイスは、イングレス インターフェイスのスクリーン カウンター リストにイベントを記録します。 表 6 に、デバイスがパケットの不正なオプションをスクリーニングするために使用する主な基準を示します。

表 6: 不良オプション拡張ヘッダーのスクリーニング基準

審査基準

インターネット標準

説明

ルーティング拡張ヘッダーがフラグメント ヘッダーの後にある

RFC 2460

パケット内の拡張ヘッダーの順序が定義されます。したがって、フラグメント拡張ヘッダーはルーティング ヘッダーの後に配置する必要があります。

ルーターアラートパラメータが正しくありません

RFC 2711:

このオプションは、ホップバイホップ ヘッダーと Junos OS 実装にあります。

  • このタイプのオプションは、ホップバイホップヘッダーごとに1つしか存在できません

  • ヘッダーの長さは 2 でなければなりません。

  • ルーター アラート オプションは、1 つの拡張ヘッダーに 1 つだけ設定できます。

複数のバックツーバックパッドオプション

ドラフト-クリシュナン-IPv6-ホップビーホップ-00

このタイプのトラフィックは、エラー パケットとしてスクリーニングされます。

PadNオプションのゼロ以外のペイロード

RFC 4942

システムは、PadN のペイロードにゼロ オクテットのみが含まれていることを確認します。

次の 8 オクテット境界を越えたパディング

RFC 4942

システムは、次の 8 オクテット境界を超えるパディングをチェックします。次の 8 オクテット境界を超えてパディングする正当な理由はありません。

ゼロ以外のIPv6ヘッダーペイロードを持つジャンボペイロード

RFC 2675

IPv6ヘッダーのペイロード長フィールドは、ジャンボペイロードオプションを送信するすべてのパケットでゼロに設定する必要があります。

ICMPv6 のチェックとフィルタリング

ICMPv6 のチェックとフィルタリングを有効にできます。次に、システムは、受信した ICMPv6 パケットが定義された基準に一致するかどうかを確認し、一致するパケットに対して指定されたアクションを実行します。主な定義基準のいくつかは次のとおりです。

  • 不明なタイプの情報メッセージ:エコー要求(値 128)、エコー応答(値 129)、ルーター要請(値 133)など、多くのタイプの ICMPv6 情報メッセージが定義されます。型定義の最大数は 149 です。149 より大きい値は不明な型として扱われ、それに応じてスクリーニングされます。

  • ICMPv6 ND パケット形式ルール(RFC 4861)を満たしていない - IP ホップ制限フィールドの値は 255、ICMP チェックサムは有効、ICMP コードは 0 など、標準的なルールがあります。

  • 不正な形式の ICMPv6 パケット フィルタリング—例えば、ICMPv6 パケットが大きすぎる(メッセージ タイプ 2)、次のヘッダーがルーティング(43)に設定されている、ルーティング ヘッダーがホップバイ ホップに設定されているなどです。

IPv6パケットヘッダーチェックとフィルタリング

ステートメントを使用して ipv6-malformed-header 、IPv6パケットヘッダーのチェックとフィルタリングを有効にすることができます。有効にすると、システムは受信する IPv6 パケットを検証し、定義された基準のいずれかに一致するかどうかを確認します。その後、システムは一致するパケットに対して指定されたアクション(ドロップまたはドロップなしのアラーム)を実行します。 表 7 に、デバイスがパケットのスクリーニングに使用する主な基準を示します。

表 7: IPv6 パケット ヘッダーのスクリーニング基準

審査基準

インターネット標準

説明

非推奨のサイトローカル送信元および宛先アドレス

RFC 3879

IPv6 サイトローカル ユニキャスト プレフィックス(1111111011 バイナリまたは FEC0::/10) はサポートされていません。

不正なマルチキャスト アドレス スコープ値

RFC 4291

割り当てられていないマルチキャスト アドレス スコープ値は、無効として扱われます。

ドキュメントのみのプレフィックス (2001:DB8::/32)

RFC 3849

IANA は、IPv6 グローバル ユニキャスト アドレス プレフィックス(2001:DB8::/32)の割り当てを、IPv6 アドレス レジストリのドキュメント専用プレフィックスとして記録します。このアドレスはエンドパーティに割り当てられません。

非推奨の IPv4 互換 IPv6 送信元および宛先アドレス(::/96)

RFC 4291

IPv4互換のIPv6アドレスは非推奨であり、サポートされていません。

ORCHID の送信元アドレスと宛先アドレス (2001:10::/28)

RFC 5156

オーバーレイ ルーティング可能な暗号化ハッシュ識別子(2001:10::/28)のアドレスは識別子として使用され、IP 層でのルーティングには使用できません。このブロック内のアドレスは、パブリック インターネット上に表示してはなりません。

IPv6 アドレス (64:ff9b::/96) 内に埋め込まれた IPv4 アドレスは、違法で容認できない IPv4 アドレスです

RFC 6052

IPv6アドレス64:ff9b::/96は、アルゴリズムマッピングで使用するために「既知のプレフィックス」として予約されています。

画面IPv6トンネリング制御について

IPv6 をサポートしない IPv4 ネットワーク上での IPv6 パケットのトンネリングを利用するために、いくつかの IPv6 移行方法が提供されています。このため、これらのメソッドはパブリックゲートウェイを使用し、オペレーターのポリシーをバイパスします。

トンネリングパケットは攻撃者が簡単にアクセスできるため、サービスプロバイダにとって、トンネルパケットのセキュリティは大きな懸念事項です。ネットワークを介してトンネリングされたパケットを送信するために、多数のIPv6移行方法が進化してきました。ただし、それらの一部はパブリックゲートウェイで動作するため、オペレーターのポリシーをバイパスします。これは、パケット送信が攻撃者にさらされることを意味します。パケットの転送を克服し、安全にするために、IPv6エンドノードはカプセル化されたデータパケットのカプセル化を解除する必要があります。Screen は、ユーザー設定に基づいてトンネリング トラフィックをブロックまたは許可するために利用できる最新のテクノロジの 1 つです。

IPv6 拡張ヘッダー、パケット ヘッダー、および不正な内部ヘッダー IPv6 または IPv4 アドレス検証に基づいてパケットをチェックおよびフィルタリングするには、次の画面オプションを設定できます。設定に基づいて、画面でパケットをドロップし、ログを作成し、IPトンネリングの統計を増やすことができます。

  • GRE 4in4 トンネル: GRE 4in4 トンネル画面は、次のシグニチャと一致します。 | IPv4 outer header | GRE header | IPv4 inner header

    外側のIPv4ヘッダーは、 プロトコル47 GREカプセル化である必要があります。GRE ヘッダーには、 IPv4 0x0800プロトコル E タイプが必要です。これらの条件が満たされた場合、このパケットは GRE 4in4 トンネル シグネチャとして分類されます。

  • GRE 4in6 トンネル: GRE 4in6 トンネル画面は、次のシグネチャと一致します。 IPv6 outer main header | IPv6 extension header(s) | GRE header | IPv4 inner header

    外側の IPv6 メインヘッダーまたは IPv6 拡張ヘッダーには、 GRE の値 47 の次のヘッダーが必要です。GRE ヘッダーには、 IPv4 0x0800プロトコル E タイプが必要です。これらの条件が満たされた場合、このパケットは GRE 4in6 トンネル シグネチャとして分類されます。

  • GRE 6in4 トンネル: GRE 6in4 トンネル画面は、次のシグニチャと一致します。 IPv4 outer header | GRE header | IPv6 inner header

    外側のIPv4ヘッダーは、 プロトコル47 GREカプセル化である必要があります。GRE ヘッダーには、 IPv6 0x086DDプロトコル E タイプ が必要です。これらの条件が満たされた場合、このパケットは GRE 6in4 トンネル シグネチャとして分類されます。

  • GRE 6in6 トンネル: GRE 6in6 トンネル画面は、次のシグニチャと一致します。IPv6 outer main header | IPv6 extension header(s) | GRE header | IPv6 inner header

    外側の IPv6 メインヘッダーまたは IPv6 拡張ヘッダーには、 GRE の値 47 の次のヘッダーが必要です。GRE ヘッダーには、 プロトコル E-type 0x086DD' IPv6 が必要です。これらの条件が満たされた場合、このパケットは GRE 6in6 トンネル シグネチャとして分類されます。

  • IPinIP 6to4リレートンネル:IPinIP 6to4リレートンネル画面は、次の署名と一致します。 | IPv4 outer header | IPv6 inner header

    外側のIPv4ヘッダーは、 プロトコル41 IPv6カプセル化である必要があります。外部ヘッダーの送信元アドレスまたは宛先アドレスは、ネットワーク 192.88.99.0/24 に存在する必要があります。内部 IPv6 ヘッダーの送信元アドレスまたは宛先アドレスは、ネットワーク 2002:/16 に存在する必要があります。これらの条件が満たされた場合、このパケットは IPinIP 6to4リレー トンネル シグネチャとして分類されます。

  • IPinIP 6in4 トンネル: IPinIP 6in4 トンネル画面は、次のシグネチャと一致します。 | IPv4 outer header | IPv6 inner header

    外側のIPv4ヘッダーは、 プロトコル41 IPv6カプセル化である必要があります。この条件が満たされた場合、このパケットは IPinIP 6in4 トンネル署名として分類されます。

    メモ:

    通常、IPv6 パケットを完全な IPv4 ネットワークで伝送する必要がある場合、IPv6 パケットはポイントツーポイントの 6in4 トンネルを使用します。

  • IPinIP 6over4 トンネル: IPinIP 6over4 トンネル画面は、次のシグネチャと一致します。 | IPv4 outer header | IPv6 inner header

    外側の IPv4 ヘッダーは、 プロトコル 41 IPv6 カプセル化:W である必要があります。内部ヘッダーの送信元アドレスまたは宛先アドレスは、 fe80::/64 ネットワーク内にある必要があります。これらの条件が満たされている場合、このパケットは IPinIP 6over4 トンネル署名として分類されます。

  • IPinIP 4in6 トンネル: IPinIP 4in6 トンネル画面は、次のシグネチャと一致します。 | IPv6 outer main header | IPv6 extension header(s) | IPv4 inner header

    外部 IPv6 ヘッダーまたは IPv6 拡張ヘッダーには、 IPv4 の値 04 の Next ヘッダーが必要です。これらの条件が満たされた場合、このパケットは IPinIP 4in6 トンネル署名として分類されます。

  • IPinIP ISATAP トンネル: [IPinIP ISATAP トンネル] 画面は、次のシグネチャと一致します。 | IPv6 outer main header | IPv6 inner header

    外側のIPv4ヘッダーは、 プロトコル41 IPv6カプセル化である必要があります。内部 IPv6 ヘッダーの送信元アドレスまたは宛先アドレスは、fe80:: 200:5efe/96 または fe80::5efe/96 ネットワーク内にある必要があります。これらの条件が満たされた場合、このパケットは IPinIP ISATAP トンネル署名として分類されます。

  • IPinIP DS-Lite トンネル: IPinIP DS-Lite トンネル画面は、次のシグネチャと一致します。| IPv6 outer main header | IPv6 extension header(s) | IPv4 inner header

    外部 IPv6 ヘッダーまたは IPv6 拡張ヘッダーには、 IPv4 の値 04 の Next ヘッダーが必要です。内部 IPv4 送信元アドレスまたは宛先アドレスは、 192.0.0.0/29 ネットワーク内にある必要があります。これらの条件が満たされている場合、このパケットは IPinIP DS-Lite トンネル署名として分類されます。

  • IPinIP 6in6 トンネル: IPinIP 6in6 トンネル画面は、次のシグネチャと一致します。 | IPv6 outer main header | IPv6 extension header(s) | IPv6 inner main header

    外側の IPv6 メイン ヘッダーまたは IPv6 拡張ヘッダーには、 IPv6 の値 41 の [次のヘッダー] が必要です。内部 IPv6 メインヘッダーは バージョン 6 である必要があります。これら 2 つの条件が満たされた場合、このパケットは IPinIP 6in6 トンネル署名として分類されます。

  • IPinIP 4in4 トンネル: IPinIP 4in4 トンネル画面は、次のシグネチャと一致します。 | IPv6 outer header | IPv4 inner header 外側の IPv4 ヘッダーには、 IPv4 の値 04 のプロトコルが必要です。内部 IPv4 ヘッダーは バージョン 4 である必要があります。

  • IPinUDP テレド トンネル: IPinUDP テレド トンネルは、次のシグネチャと一致します。 IPv4 outer header | UDP header | IPv6 inner header

    外側の IPv4 ヘッダーには、 UDP ペイロード用の 17 のプロトコルが必要です。UDP ヘッダーの送信元または宛先ポートは 3544 である必要があります。内部 IPv6 ヘッダーの送信元アドレスまたは宛先アドレスは、ネットワーク 2001:0000:/32 に存在する必要があります。

  • IPトンネルの不正な内部ヘッダーチェック:不正な内部ヘッダートンネル画面で、トンネルトラフィックの内部ヘッダー情報の一貫性をチェックします。パケットは、次のいずれかが検出されると破棄されます。

    • 内部ヘッダーが外部ヘッダーと一致しません。

    • 内部ヘッダーの TTL またはホップ制限を 0 または 255 にすることはできません。

    • 内部ヘッダー IPv6 アドレス チェック。

    • 内部ヘッダーの IPv4 アドレス チェック。

    • ヘッダーの外側と内側の長さのチェック:

    • 内部ヘッダー IPv4 および IPv6 TCP/UDP/ICMP ヘッダー長チェック:

      内部IP(v4/v6)が最初、次、または最後のフラグメントでない場合、TCP/UDP/ICMP ヘッダー長は、内部 IPv4/IPv6/EH6 ヘッダー長の内側に収まる必要があります。

    • TCP: 最小 TCP ヘッダー サイズは、前のカプセル化の長さに収まる必要があります。

    • ICMP:最小ICMPヘッダーサイズは、以前のカプセル化長に収まる必要があります。

    • フラグメント化されたパケット:フラグメント化されたパケットの場合、トンネル情報をスクリーンで確認する必要があり、最初のフラグメントにない場合、最初のフラグメントに含まれるトンネルカプセル化の部分を除いて、チェックは実行されません。長さチェックは、実際のパケット バッファー長を使用して最初のフラグメント パケットで実行されますが、内部ヘッダーが外部ヘッダーより大きいため、長さチェックは無視されます。

      • 外部ヘッダーが最初のフラグメントである場合、フラグメントの過去の物理パケット長を調べないでください。

      • 内側ヘッダーが最初のフラグメントの場合は、フラグメントの過去の長さを調べないでください。

      先頭以外のフラグメント パケットの場合、不正な内部ヘッダー トンネル画面でチェックは実行されません。

    • 外部ヘッダーが先頭以外のフラグメントである場合は、ペイロードを検査できないため、IP ヘッダー署名のみを使用するスクリーンについてパケットを調べます。

    • 内部ヘッダーが先頭以外のフラグメントである場合、次のパケットを調べないでください。

    • IPv4 内部ヘッダーは、IPv4 ヘッダーが 20 から 50 バイトであることを確認します。

メモ:

すべてのSRXシリーズファイアウォールでは、パケット許可またはドロップセッションが確立されると、この画面はファストパス画面であるため、すべてのパケットに対してbad-inner-header画面が実行されます。

SRX300、SRX320、SRX340、SRX345、SRX380、SRX1500、SRX4100、SRX4200デバイスおよびvSRX仮想ファイアウォールインスタンスでは、常にファーストパスのbad-inner-header 画面が最初に実行され、その後に最初のパス署名画面が続きます。

Junos OSリリース12.3X48-D10およびJunos OSリリース17.3R1から、IPトンネリング画面のsyslogメッセージ RT_SCREEN_IPRT_SCREEN_IP_LS が更新されました。更新されたメッセージには、トンネル スクリーン攻撃とドロップなしのログ基準が含まれます。次のリストは、各トンネル タイプに対する新しいシステム ログ メッセージの例を示しています。

  • RT_SCREEN_IP: Tunnel GRE 6in4! source: 12.12.12.1, destination: 11.11.11.1, zone name: untrust, interface name: ge-0/0/1.0, action: alarm-without-drop

  • RT_SCREEN_IP: Tunnel GRE 6in6! source: 1212::12, destination: 1111::11, zone name: untrust, interface name: ge-0/0/1.0, action: drop

  • RT_SCREEN_IP: Tunnel GRE 4in4! source: 12.12.12.1, destination: 11.11.11.1, zone name: untrust, interface name: ge-0/0/1.0, action: drop

  • RT_SCREEN_IP_LS: [lsys: LSYS1] Tunnel GRE 6in4! source: 12.12.12.1, destination: 11.11.11.1, zone name: untrust, interface name: ge-0/0/1.0, action: alarm-without-drop

  • RT_SCREEN_IP_LS: [lsys: LSYS1] Tunnel GRE 6in6! source: 1212::12, destination: 1111::11, zone name: untrust, interface name: ge-0/0/1.0, action: drop

  • RT_SCREEN_IP_LS: [lsys: LSYS1] Tunnel GRE 4in4! source: 12.12.12.1, destination: 11.11.11.1, zone name: untrust, interface name: ge-0/0/1.0, action: drop

例:IP トンネリング画面オプションによるトンネル トラフィック セキュリティの向上

この例では、トンネル スクリーンを設定して、トンネル トラフィックのトランジットを制御、許可、またはブロックするスクリーンを有効にする方法を示します。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • SRXシリーズのファイアウォール

  • Junos OS リリース 12.3X48-D10 以降

始める前に:

概要

IPv6拡張ヘッダー、パケットヘッダー、および不正な内部ヘッダーのIPv6またはIPv4アドレス検証に基づいて、パケットをチェックおよびフィルタリングするために、次のIPトンネリング画面オプションを設定できます。設定に基づいて、画面でパケットをドロップし、ログを作成し、IPトンネリングの統計を増やすことができます。次のトンネリング画面オプションは、untrust ゾーンに割り当てられています。

  • GRE 4in4 トンネル

  • GRE 4in6 トンネル

  • GRE 6in4 トンネル

  • GRE 6in6トンネル

  • IPinUDP Teredo トンネル

  • IPinIP 4in4 トンネル

  • IPinIP 4in6 トンネル

  • IPinIP 6in4 トンネル

  • IPinIP 6in6 トンネル

  • IPinIP 6over4 トンネル

  • IPinIP 6to4リレートンネル

  • IPinIP ISATAP トンネル

  • IPinIP DS-Lite トンネル

  • 不正な内部ヘッダー トンネル

構成

IP トンネリング画面のオプションを設定するには、次のタスクを実行します。

GRE トンネル スクリーンの設定

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルでCLI [edit] にコピーアンドペーストして、設定モードから を入力します commit

手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、「Using the CLI Editor in Configuration ModeCLI User Guide」を参照してください。

GRE トンネル スクリーンを設定するには、次の手順を実行します。

  1. GRE トンネル画面を設定して、トンネル トラフィックの内部ヘッダー情報の一貫性を確認し、シグニチャ タイプ 画面を検証します。

  2. セキュリティ ゾーンで画面を構成します。

IPinUDP Teredo トンネル スクリーンの構成

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルでCLI [edit] にコピーアンドペーストして、設定モードから を入力します commit

手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、「Using the CLI Editor in Configuration ModeCLI User Guide」を参照してください。

IPinUDP Teredo トンネル画面を構成するには:

  1. IPinUDP Teredo トンネル画面を構成して、トンネル トラフィックの内部ヘッダー情報の整合性を確認し、署名の種類画面を検証します。

  2. セキュリティ ゾーンで画面を構成します。

IPinIP トンネル スクリーンの構成

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルでCLI [edit] にコピーアンドペーストして、設定モードから を入力します commit

手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、 CLIユーザー ガイド設定モードでのCLIエディターの使用を参照してください。

IPinIP トンネル スクリーンを構成するには:

  1. IPinIP トンネル画面を設定して、トンネル トラフィックの内部ヘッダー情報の一貫性を確認し、署名の種類画面を検証します。

  2. セキュリティ ゾーンで画面を構成します。

不正なインナーヘッダー トンネル スクリーンの設定

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルでCLI [edit] にコピーアンドペーストして、設定モードから を入力します commit

手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。

不良インナーヘッダートンネルスクリーンを設定するには:

  1. トンネル トラフィックの内部ヘッダー情報の一貫性をチェックするために、不良内部ヘッダー トンネル画面を設定します。

  2. セキュリティ ゾーンで画面を構成します。

結果

設定モードから、 および show security screen statistics zone untrust ip tunnel コマンドを入力してshow security screen設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

簡潔にするために、この show 出力には、この例に関連する設定のみ含まれています。システム上のその他の設定はすべて省略記号(...)で置き換えられています。

デバイスの設定が完了したら、設定モードから を入力します commit

検証

設定が正常に機能していることを確認します。

セキュリティ画面の設定の確認

目的

セキュリティ画面の設定情報を表示します。

アクション

動作モードから コマンド show security screen ids-option screen1 を入力します。

意味

このコマンドは、 show security screen ids-option screen1 画面オブジェクトのステータスを有効として表示します。

セキュリティ ゾーンでの IP トンネル スクリーンの確認

目的

セキュリティ ゾーンで IP トンネリング画面のオプションが正しく構成されていることを確認します。

アクション

動作モードから コマンド show security screen statistics zone untrust ip tunnel を入力します。

意味

コマンドは、 show security screen statistics zone untrust ip tunnel IP トンネル画面の統計情報の概要を表示します。

変更履歴テーブル

機能のサポートは、使用しているプラットフォームとリリースによって決まります。 機能エクスプローラー を使用して、機能がプラットフォームでサポートされているかどうかを判断します。

リリース
説明
15.1X49-D30
Junos OSリリース15.1X49-D30およびJunos OSリリース17.3R1以降、SRX5400、SRX5600、およびSRX5800デバイス上で、中央点アーキテクチャが強化され、1秒あたりの接続数(CPS)が増加しています。
15.1X49-D20
Junos OSリリース15.1X49-D20およびJunos OSリリース17.3R1以降、ファイアウォールは、送信元または宛先セッションの制限をトリガーするパケット数に関係なく、1秒に1つのログメッセージのみを生成します。この動作は、 、 、 TCP-Synflood-dst-basedおよび UDP フラッド保護を備えた TCP-Synflood-src-basedフラッド プロテクション スクリーンに適用されます。
12.3X48-D10
Junos OSリリース12.3X48-D10およびJunos OSリリース17.3R1から、IPトンネリング画面のsyslogメッセージ RT_SCREEN_IPRT_SCREEN_IP_LS が更新されました。