Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

攻撃検知および防御用のスクリーン オプション

攻撃検知および防御は、ネットワークを攻撃から検知して防御します。Screen オプションを使用Junosさまざまな内部および外部攻撃から保護できるセキュリティー プラットフォームの詳細については、以下のトピックを参照してください。

デバイス上のスクリーン オプションSRX シリーズについて

すべてのデバイスSRX シリーズ画面は次の 2 つのカテゴリに分かれています。

統計ベースの画面

表 1 は 、すべての統計ベースの Screen オプションを示しています。

表 1:統計情報ベースの Screen オプション

Screen オプション名

説明

ICMP flood

ICMP フラッド パケット 攻撃IDSオプションを使用して保護します。通常、ICMP フラッド攻撃は、ICMP Echo リクエストが応答にすべてのリソースを使用して、有効なネットワーク トラフィックを処理できなくなった場合に発生します。

しきい値は、デバイスがそれ以上の ICMP パケットを拒否する前に、同じ宛先アドレスに送信することを許可される 1 秒あたりの ICMP パケット数(pps)を定義します。

UDP flood

UDP フラッド 攻撃からIDS UDP フラッド パケット オプションを使用します。UDP フラッド攻撃は、攻撃者がリソースの速度を低下する目的で UDP データグラムを含む IP パケットを送信すると発生し、有効な接続を処理できなくなりました。

しきい値は、同じ宛先 IP アドレスへの送信を許可される 1 秒あたりの UDP パケット数を定義します。パケット数が 1 秒以内にこの値を超えると、デバイスはアラームを生成し、その 2 番目の残りの部分については後続のパケットをドロップします。

TCP SYN flood source

TCP SYN フラッド ソース パケット オプションIDSソースしきい値を設定します。しきい値は、デバイスが接続要求をドロップする前に 1 秒に受信する SYN セグメントの数を定義します。

範囲は 4~500,000 SYN pps です。

TCP SYN flood destination

SYN フラッド宛先のパケットIDSオプションを使用して、宛先しきい値を設定します。しきい値は、デバイスが接続要求のドロップを開始する前に 1 秒に受信した SYN セグメントの数を定義します。

範囲は 4~500,000 SYN pps です。

TCP SYN flood

TCP SYN フラッド IDSオプションを使用して、SYN フラッド攻撃を検知して防止します。このような攻撃は、接続ホストが、対応する ACK 応答に応答せずに TCP SYN 要求を継続的に送信する場合に発生します。

TCP port scan

ポート スキャン攻撃を防止IDS TCP ポート スキャン オプションを使用します。この攻撃の目的は、少なくとも 1 つのポートが応答して、ターゲットとなるサービスを識別できるよう、利用可能なサービスをスキャンする目的です。

TCP SYN-ACK-ACK proxy

TCP SYN-ACK-ACK プロキシー screen オプションを使用して、SYN-ACK-ACK 攻撃を防止します。同じIPアドレスからの接続数が SYN-ACK-ACKプロキシしきい値に達した後、Junos OS SRX シリーズを実行しているデバイスは、そのIPアドレスからのそれ以上の接続要求を拒否します。

ICMP IP sweep

IP スイープ攻撃を検知してIDS ICMP IP スイープ オプションを使用します。IP スイープ攻撃は、攻撃者が複数の宛先アドレスに ICMP Echo リクエスト(ping)を送信した場合に発生します。標的ホストから返答された場合、その返信により、ターゲットの IP アドレスが攻撃者に対して明らかにされます。デバイスが、このステートメントで指定されたマイクロ秒数内で 10 の ICMP echo 要求を受信した場合、このフラグを IP スイープ攻撃としてフラグ付けし、2 番目の残りの部分についてはそのホストからそれ以上のすべての ICMP パケットを拒否します。

しきい値は、同じホストからの最大 10 回の ICMP Echo リクエストがデバイスに許可される間の最大マイクロ秒数を定義します。

TCP SYN flood alarm

TCP SYN フラッド アラーム アラーム アラーム IDSを使用して、アラームのしきい値を設定します。しきい値は、デバイスがイベント アラーム ログにエントリを作成する 1 秒あたりのハーフ完了プロキシー接続数を定義します。範囲は 1~500,000 リクエスト/秒です。

TCP SYN flood attack

TCP SYN フラッド攻撃のしきい値をIDSオプションを使用します。しきい値は、SYN プロキシー応答のトリガーに必要な 1 秒あたりの SYN パケット数を定義します。範囲は 1~500,000 プロキシー pps です。

UDP udp sweep

UDP スイープ 攻撃を検知してIDS UDP スイープ パケット オプションを使用します。UDP スイープ攻撃では、攻撃者が UDP パケットをターゲット デバイスに送信します。デバイスがこれらのパケットに応答すると、攻撃者はターゲット デバイスのポートがオープンな状態を示す兆候を受け、ポートは攻撃に対して脆弱になります。リモート ホストが 0.005 秒(5,000 マイクロ秒)で 10 アドレスに UDP パケットを送信した場合、デバイスはこれを UDP スイープ攻撃としてフラグ付けします。

オプションが設定されていない場合、デバイスは、指定されたしきい値周期の残りの部分のために、そのホストからの11番目のすべての UDP パケットを alarm-without-drop 拒否します。

しきい値は、デバイスが同じリモート ソースから異なる宛先アドレスに 10 UDP パケットを受信するマイクロ秒の数を定義します。

Junos OS リリース 15.1X49-D20 および Junos OS リリース 17.3R1 より、ファイアウォールは、送信元または宛先のセッション制限をトリガーするパケット数に関係なく、1 秒ごとに 1 つのログ メッセージのみを生成します。この動作は、 UDP フラッド保護 TCP-Synflood-src-based を使用 TCP-Synflood-dst-based するフラッド保護画面に適用されます。

署名ベースの画面

表 2 は 、署名ベースの Screen オプションの一覧です。

表 2:署名ベースの Screen オプション

Screen オプション名

説明

TCP Winnuke

TCP WinNuke 攻撃オプションを有効またはIDSします。WinNuke は、Windows サービス拒否上DoS任意のコンピューターを標的とする攻撃(サーバー間攻撃)攻撃です。

TCP SYN fragment

TCP SYN フラグメント攻撃パケット パケット IDSオプションを使用して、攻撃に使用されたパケット フラグメントをドロップします。SYN フラグメント攻撃は、ターゲット ホストを SYN パケット フラグメントでフラッドします。ホストは、これらのフラグメントをキャッシュし、残りのフラグメントが到着するのを待つことで、フラグメントを再アセンブルできます。最終的に完了できない接続のフラッドが、ホストのメモリ バッファを満たします。これ以上の接続は発生しないうえ、ホストのオペレーティング システムを損傷する可能性があります。

TCP no flag

TCP tcp no フラグ IDS オプションを使用して、誤ったフラグ フィールドまたは不正なフラグ フィールドを持つ不正な TCP パケットをドロップします。しきい値は、フラグが設定された TCP ヘッダーの数を定義します。正常な TCP セグメント ヘッダーには、少なくとも 1 つの制御フラグ セットが設定されています。

TCP SYN FIN

TCP SYN FIN IDS オプションを使用して、攻撃者がターゲット デバイス上のセッションを消費するために使用できる不正なフラグの組み合わせを検知するため、サービス拒否(DoS)の状態が発生します。

TCP land

TCP プロトコル オプションを有効またはLAND 攻撃 IDSします。攻撃者がスプーフィングされた SYN パケットを、被害者の IP アドレスを宛先と送信元 IP アドレスの両方として送信すると、着陸攻撃が発生します。

TCP FIN no ACK

フラグの不正な組み合わせを検出IDS ACK ビットビットを持つ FIN ビットを使用し、この組み合わせを持つパケットを拒否します。

ICMP ping of death

サイズ超過および非定IDS ICMP パケットを検出および拒否する場合、デストラフィック ping オプションを使用します。TCP/IP 仕様では特定のパケット サイズが必要ですが、多くの ping 実装ではより大きなパケット サイズが可能です。パケットが大きいほど、クラッシュ、フリーズ、再起動など、さまざまなシステムへの悪影響を及ぼす可能性があります。

デスの Ping は、最大有効長(65,535 バイト)を超える IP パケットが送信された場合に発生します。

ICMP fragment

ICMP フラグメント IDS オプションを使用して、More Fragments フラグ セットまたはフィールドに指定されたオフセットを使用して、ICMP フレームを検出してドロップ offset します。

ICMP large

ICMP Large IDS オプションを使用して、IP 長が 1024 バイトを超える ICMP フレームを検出して削除します。

IP unknown protocol

IP未知プロトコルIDSオプションを使用して、IPv4のプロトコル番号が137、IPv6の場合139を超えるすべての受信IPフレームを破棄します。このようなプロトコル番号は変更または予約されています。

IP bad option

IP 不正パケット ヘッダー IDS IP 不正な形式の IP オプションを含むパケットを検出およびドロップするには、IP 不正パケット オプションを使用します。デバイスは、イングレス インターフェイスのスクリーン カウンター リストにイベントを記録します。この screen オプションは、IPv4 および IPv6 に適用されます。

IP strict source route option

IP スギスト ソース ルート IDS オプションを使用して、IP オプションが 9 のパケット(ス厳しいソース ルーティング)を検出し、イングレス インターフェイスのスクリーン カウンター リストにイベントを記録します。このオプションは、送信元から宛先へのパケットの完全なルート リストを指定します。リストの最後のアドレスは、宛先フィールドのアドレスを置き換える。現在、この screen オプションは IPv4 にのみ適用されています。

IP loose source route option

IP ルーズ ソース ルート IDS オプションを使用して、IP オプションが 3 であるパケット(ルーズ ソース ルーティング)を検出し、イングレス インターフェイスのスクリーン カウンター リストにイベントを記録します。このオプションは、送信元から宛先へのパケットの移動に使用するルート リストの一部を指定します。パケットは指定されたアドレスの順序で処理する必要がありますが、指定されたアドレスの間で他のデバイスを通過できます。ルーズ ソース ルート オプションのタイプ 0 ルーティング ヘッダーは、IPv6 で定義された唯一の関連ヘッダーです。

IP source route option

IP 送信元ルート IDS オプションを使用してパケットを検出し、イングレス インターフェイスのスクリーン カウンター リストにイベントを記録します。

IP stream option

IP ストリーム IDS オプションを使用して、IP オプションが 8 のパケット(ストリーム ID)を検出し、イングレス インターフェイスのスクリーン カウンター リストにイベントを記録します。このオプションは、16 ビットの SATNET ストリーム識別子を、ストリームをサポートしていないネットワークを介して送信する方法を提供します。現在、この screen オプションは IPv4 にのみ適用されています。

IP block fragment

IP パケット フラグメント化のブロックを有効または無効にします。この機能が有効になっている場合、セキュリティ ゾーン Junos OSでIPフラグメントを拒否し、そのゾーンにバインドされたインターフェイスで受信されるすべてのIPパケット フラグメントをブロックします。

IP record route option

IP レコード ルート IDS オプションを使用して、IP オプションが 7 のパケット(レコード ルート)を検出し、イングレス インターフェイスのスクリーン カウンター リストにイベントを記録します。このオプションは、IP パケットが移動するパスに沿って、ネットワーク デバイスの IP アドレスを記録します。現在、この screen オプションは IPv4 にのみ適用されています。

IP timestamp option

IP タイムスタンプ IDS オプションを使用して、IP オプション リストにオプション 4(インターネット タイムスタンプ)が含まれるパケットを検出し、イングレス インターフェイスのスクリーン カウンター リストにイベントを記録します。このオプションは、起点から宛先への移動中に各ネットワーク デバイスがパケットを受信した時間(ユニバーサル時間)を記録します。現在、この screen オプションは IPv4 にのみ適用されています。

IP security option

IP セキュリティ オプションIDSを使用して、IP オプションが 2(セキュリティ)のパケットを検出し、イングレス インターフェイスのスクリーン カウンター リストにイベントを記録します。現在、この screen オプションは IPv4 にのみ適用されています。

IP spoofing

IP アドレス スプーフィング IDSオプションを使用して、スプーフィング攻撃を防止します。IP スプーフィング送信元から送信されたパケットを確認するために、無効な送信元アドレスがパケット ヘッダーに挿入された場合に発生します。

IP tear drop

[IP tear drop]オプションIDSティアドロップ攻撃をブロックします。フラグメント化された IP パケットが重複し、ホストがパケットの再構成を試み、クラッシュすると、Teardrop 攻撃が発生します。ティア ドロップ オプションによって、デバイスはこのような不一致があるパケットをドロップします。Teardrop 攻撃は、フラグメント化された IP パケットの再構成を悪用します。

スクリーンの中央ポイント アーキテクチャの強化について

SRX5400、SRX5600、SRX5800 の各デバイスで Junos OS リリース 15.1X49-D30 および Junos OS リリース 17.3R1 から開始すると、中央ポイント アーキテクチャが拡張され、1 秒あたりの接続数(CPS)が増えます。機能強化により、中央ポイント セッションと中央ポイント パケット処理が中央ポイントから SPU(サービス処理ユニット)に移動しました。

以前は中央のポイントにセッション制限がありましたが、リソース(セッション制限エントリー)が使用できない場合、パケットは常にセッション制限によって許可されました。これで中央ポイントとSPUの両方にセッション制限があります中央のポイントにリソースが用意されているが、リソースが SPU で使用可能な場合、中央ポイントはセッションを制限することはできませんが、SPU はセッションを制限できます。

次のシナリオでは、中央点と SPU がパケットを許可またはドロップするかどうかを決定する場合について説明します。

  • 中央ポイントにセッション制限エントリーなし、SPU にセッション制限エントリーがある場合、

    1. SPU のセッション制限カウンターがしきい値を超えると、パケットはドロップされます。

    2. SPU のセッション制限カウンターがしきい値を超えしていない場合、パケットは許可されます。

  • SPU にセッション制限エントリーが含されていない場合、以下を実行します。

    1. SPU のセッション制限カウンターがしきい値を超える場合、パケットは許可されます。

    2. SPU のセッション制限カウンターがththresholdよりも大きい場合、パケットは許可されます。

メモ:

正確なセッション数を維持するために追加のメッセージが中央ポイントに送信される場合、スクリーンの 1 秒あたりの接続数(CPS)に影響する可能性があります。これにより、送信元または宛先のセッション制限が影響を受ける。

中央点がないグローバル トラフィック統計は、一部のグローバル画面に影響を与える可能性があります。グローバル トラフィックの統計情報は SYN Cookie にのみグローバル ビューを持たないので、SPU でグローバル トラフィックの統計情報が処理されます。そのため、以前と同じ精度ではない可能性があります。中央点と SPU の両方で処理されるその他の統計ベースの画面では、カウンターは正確です。

以前は、統計ベースの画面は中央のポイントでのみ処理され、ログと SNMP トラップは厳密にレート制限される可能性があります。これで、中央のポイントと SPU の両方でログと SNMP トラップを個別に生成できます。そのため、ログと SNMP トラップの数は以前よりも大きくなる可能性があります。

デバイスへの Screen オプションSRX シリーズ実装

次の表は、SRX シリーズ デバイスで実装され、すべての SRX シリーズ デバイスでサポートされるすべての screen オプションを示しています。

表 3: 一部のデバイスに実装SRX シリーズオプション

画面

NP/CP/SPU に実装

ハッシュ モードでのサポート

SOF モードでのサポート

icmp-flood

NP

はい

はい

udp-flood

NP

はい

はい

winnuke

NP

はい

はい

tcp-port-scan

CP+SPU

はい

はい

udp-port-scan

CP+SPU

はい

はい

address-sweep

CP+SPU

はい

はい

tcp-sweep

CP+SPU

はい

はい

udp-sweep

CP+SPU

はい

はい

tear-drop

SPU

はい

いいえ

syn-flood

SPU

はい

はい

syn-flood-src

NP

はい

はい

syn-flood-dst

NP

はい

はい

ip-spoofing

SPU

はい

はい

ping-of-death

NP

はい

はい

ip-option-src-route

NP

はい

はい

land

NP

はい

はい

syn-fragment

NP

はい

はい

tcp-no-flag

NP

はい

はい

unknown-protocol

NP

はい

はい

ip-option-bad

NP

はい

はい

ip-option-record-route

NP

はい

はい

ip-option-timestamp

NP

はい

はい

ip-option-security

NP

はい

はい

ip-option-loose-src-route

NP

はい

はい

ip-option-strict-src-route

NP

はい

はい

ip-option-stream

NP

はい

はい

icmp-fragment

NP

はい

はい

icmp-large-pkt

NP

はい

はい

syn-fin

NP

はい

はい

fin-no-ack

NP

はい

はい

src-session-limit

CP+SPU

はい

はい

syn-ack-ack-proxy

SPU

はい

はい

block-fragment

NP

はい

はい

dst-session-limit

CP+SPU

はい

はい

ipv6-ext-header

SPU

はい

いいえ

ipv6-ext-hbyh-option

SPU

はい

いいえ

ipv6-ext-dst-option

SPU

はい

いいえ

ipv6-ext-header-limit

SPU

はい

いいえ

ipv6-malformed-header

SPU

はい

いいえ

icmpv6-malformed-packet

SPU

はい

いいえ

ip-tunnel-summary

SPU

はい

いいえ

メモ:

IOC1カードでサポートされている画面のすべての機能は、IOC2カードとIOC3カードでサポートされています。デバイスのSRX5000 シリーズ上で、SRX4600デバイス上では、IOC2カード内のNPU(ネットワークプロセッサ ユニット)がLU(ルックアップユニット)に置き換えられます。

例: 複数のスクリーニング オプションの設定

この例では、複数のスクリーニング オプション用に 1 つの侵入検出サービス(IDS)プロファイルを作成する方法を示しています。

要件

この機能を設定する前に、デバイス初期化以外の特別な設定を行う必要はありません。

概要

その他のセキュリティ ゾーン、1 つのスクリーニング プロファイルをIDSに適用できます。この例では、以下のスクリーニング オプションを設定しています。

  • ICMP スクリーニング

  • IP スクリーニング

  • TCP スクリーニング

  • UDP スクリーニング

これらのスクリーニング オプションは Untrust ゾーンに割り当てられます。

構成

CLI構成の迅速な設定

この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細情報を変更し、コマンドを階層レベルで CLI にコピー アンド ペーストして、設定モードから を入力します。 [edit] commit

設定 commit モードから を入力します。

手順

手順

次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 を Using the CLI Editor in Configuration Mode 参照してください Junos OS CLI User Guide

複数のスクリーニング オプションIDSプロファイルを設定するには、以下の手順に示します。

  1. ICMP スクリーニング オプションを設定します。

  2. IP スクリーニング オプションを構成します。

  3. TCP スクリーニング オプションを構成します。

  4. UDP スクリーニング オプションを設定します。

  5. IDSプロファイルをゾーンに接続します。

結果

設定モードから、 および コマンドを入力して設定 show security screen ids-option screen-config を確認 show security zones します。出力結果に意図した設定結果が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モード commit から を入力します。

検証

複数のスクリーニング オプションIDSポリシー プロファイルの検証

目的

複数のスクリーニング オプションのIDSプロファイルが適切に設定されていることを検証します。

アクション

動作モード show security screen ids-option screen-config Screen object status から and show security zones コマンドを入力します。

メモ:

すべてのデバイスSRX シリーズ TCP 同期フラッド アラームしきい値は破棄されたパケット数を示しません。ただし、この値はアラームのしきい値に達した後にパケット情報を示します。

同期 Cookie またはプロキシは、パケットをドロップしません。そのため、 alarm-without-drop drop (not)アクションがシステム ログに表示されます。

SRX5000 モジュール ポート コンセントレータの Screen オプションについて

SRX5K-MPC(SRX5000 シリーズ ポート コンセントレータ)は、Junos OSをサポートしています。Screen オプションでは、ゾーンを検査して許可または拒否し、そのゾーンにバインドされたインターフェイスを通過する必要があるすべての接続試行を保護します。

Screen オプションを使用すると、SYN フラッド攻撃、UDP フラッド攻撃、ポート スキャン攻撃など、さまざまな内部および外部攻撃からセキュリティ デバイスを保護できます。Junos OSポリシーを処理する前にトラフィックにスクリーン チェックを適用すると、リソースの利用率が減ります。

Screen オプションは、以下の 2 つのカテゴリーに分類されます。

  • 統計ベースの画面

  • 署名ベースの画面

統計ベースの画面

SRX5K-MPC に実装された Screen 機能はすべて、レイヤー 2 またはレイヤー 3 モードから独立しています。このフラッド防御は、SYN フラッド攻撃、セッション テーブル フラッド 攻撃、ファイアウォール サービス拒否(DoS)攻撃、ネットワーク ネットワーク DoSに対する防御に使用されます。

次の 4 種類のしきい値ベースフラッド保護が、IPv4 と IPv6 の両方の各プロセッサーで実行されます。

  • UDP ベースのフラッド保護

  • ICMP ベースのフラッド保護

  • TCP ソースベース SYN フラッド保護

  • TCP 宛先ベースの SYN フラッド保護

メモ:

2 種類のいずれかの TCP SYN フラッド保護が 1 つのゾーンで設定されている場合、2 つ目のタイプの TCP SYN フラッド防御は自動的に同じゾーンで有効になります。この 2 種類の保護は常に機能します。

各タイプのフラッド保護はしきい値ベースで、しきい値は各マイクロプロセッサのゾーン単位で計算されます。フラッドがマイクロプロセッサ チップ上で検出された場合、特定のマイクロプロセッサは、設定に基づいて、問題のあるパケットに対してアクションを起こします。

  • デフォルト アクション(レポートとドロップ) — Screen のロギングとレポートは SPU で実行されます。そのため、問題のパケットを中央のポイントまたは SPU に転送する必要があります。SPU をフラッディングから保護するために、ゾーン内の各画面で最初に問題を起こしているパケットのみ、そのパケットを SPU に送信して、各秒でログを記録および通知します。残りの問題のパケットはカウントされ、マイクロプロセッサで廃棄されます。

    たとえば、しきい値が 5,000 パケット/秒に設定された論理インターフェイスで UDP フラッディングが設定されていることを想定します。UDP パケットが 20,000/秒の速度で受信された場合、約 5,000 の UDP パケットが 1 秒あたり中央ポイントまたは SPU に転送され、残りのパケットはフラッディングとして検出されます。ただし、1 秒ごとにロギングおよびレポートを行う場合、SPU に送信される UDP フラッディング パケットは 1 つのみです。残りのパケットはマイクロプロセッサで破棄されます。

  • アラームのみ(アラームなし、ドロップなし) — 画面の保護によって検出された問題のあるパケットは破棄されません。残りの画面チェックをスキップし、画面の結果をメタヘッダーにコピーして中央ポイントまたはSPUに転送されます。破棄されたパケットとしてカウントされません。

IOC1 と IOC2 の違い

デバイスに IOC1 カードと IOC2 カードのどちらが含されている場合でも、画面の動作は同じです。ただし、統計情報ベースの画面のしきい値には違いがあります。 表 4 は 、デバイスに IOC1 カードと IOC2 カードのどちらが含まれていますかに応じて、統計情報ベースの Screen オプションとスクリーンの動作を示しています。

表 4:統計ベースの Screen オプション

Screen オプション名

説明

IOC1

IOC2

ICMP flood

ICMP フラッドしきい値を設定します。ICMP フラッド screen オプションは、ICMP フラッド攻撃から保護するために使用します。通常、ICMP フラッド攻撃は、ICMP Echo リクエストが応答にすべてのリソースを使用して、有効なネットワーク トラフィックを処理できなくなった場合に発生します。

しきい値は、デバイスがそれ以上の ICMP パケットを拒否する前に、同じ宛先アドレスに対して ping を許可される 1 秒あたりの ICMP パケット数を定義します。

受信トラフィックがしきい値ppsを超えると、パケットが破棄またはアラームが発生します。

IOC2 SRX5000 シリーズを持つデバイスでは、ルックアップ(LU)チップの画面設定に変更があります。各 IOC2 カードには 4 つの LU チップがあります。受信トラフィックがしきい値ppsを超えると、パケットはドロップされます。たとえば、ユーザーが 1000 pps のしきい値を指定した場合、各 LU チップで 250 pps を内部で設定して、しきい値 1000 pps が 4 つの LU チップ間で均等に分散されます。予想された結果として、ユーザーは全体のしきい値 1000 pps を取得します。

デバイスSRX5000 シリーズ、IOC2カードがサービスオフロードモードにある場合、1つの LUチップだけが機能します。受信トラフィック レートがしきい値を超えると、予想される動作の結果、パケットが破棄されます。

UDP flood

UDP フラッドしきい値を設定します。UDP フラッド screen オプションは、UDP フラッド攻撃から保護するために使用します。UDP フラッド攻撃は、攻撃者がリソースの速度を低下目的として UDP データグラムを含む IP パケットを送信すると発生し、有効な接続を処理できなくなりました。

しきい値は、同じ宛先 IP アドレス/ポート ペアへの ping を許可する UDP pps の数を定義します。パケット数が 1 秒以内にこの値を超えると、デバイスはアラームを生成し、その 2 番目の残りの部分については後続のパケットをドロップします。

受信トラフィックがしきい値ppsを超えると、パケットが破棄またはアラームが発生します。

IOC2 SRX5000 シリーズデバイスでは、LU(ルックアップ)チップの画面設定が変更されています。各 IOC2 カードには 4 つの LU チップがあります。受信トラフィックがしきい値ppsを超えると、パケットはドロップされます。たとえば、ユーザーが 1000 pps のしきい値を指定した場合、各 LU チップで 250 pps を内部で設定して、しきい値 1000 pps が 4 つの LU チップ間で均等に分散されます。予想された結果として、ユーザーは全体のしきい値 1000 pps を取得します。

デバイスSRX5000 シリーズ、IOC2カードがサービスオフロードモードにある場合、1つの LUチップだけが機能します。受信トラフィック レートがしきい値を超えると、予想される動作の結果、パケットが破棄されます。

TCP SYN flood source

TCP SYN フラッド ソースのしきい値を設定します。しきい値は、デバイスが接続要求をドロップする前に 1 秒に受信する SYN セグメントの数を定義します。

範囲は 4~500,000 SYN pps です。

受信トラフィックがしきい値 pps を超えると、パケットが破棄またはアラームが発生します。

IOC2 SRX5000 シリーズを持つデバイスでは、ルックアップ(LU)チップの画面設定に変更があります。各 IOC2 カードには 4 つの LU チップがあります。受信トラフィックがしきい値ppsを超えると、パケットはドロップされます。たとえば、ユーザーが 1000 pps のしきい値を指定した場合、各 LU チップで 250 pps を内部で設定して、しきい値 1000 pps が 4 つの LU チップ間で均等に分散されます。予想された結果として、ユーザーは全体のしきい値 1000 pps を取得します。

デバイスSRX5000 シリーズ、IOC2カードがサービスオフロードモードにある場合、1つの LUチップだけが機能します。受信トラフィック レートがしきい値を超えると、予想される動作の結果、パケットが破棄されます。

TCP SYN flood destination

TCP SYN フラッド宛先しきい値を設定します。しきい値は、デバイスが接続要求のドロップを開始する前に 1 秒に受信した SYN セグメントの数を定義します。

範囲は 4~500,000 SYN pps です。

受信トラフィックがしきい値ppsを超えると、パケットが破棄またはアラームが発生します。

IOC2 SRX5000 シリーズデバイスでは、LU(ルックアップ)チップの画面設定が変更されています。各 IOC2 カードには 4 つの LU チップがあります。受信トラフィックがしきい値ppsを超えると、パケットはドロップされます。たとえば、ユーザーが 1000 pps のしきい値を指定した場合、各 LU チップで 250 pps を内部で設定して、しきい値 1000 pps が 4 つの LU チップ間で均等に分散されます。予想された結果として、ユーザーは全体のしきい値 1000 pps を取得します。

デバイスSRX5000 シリーズ、IOC2カードがサービスオフロードモードにある場合、1つの LUチップだけが機能します。受信トラフィック レートがしきい値を超えると、予想される動作の結果、パケットが破棄されます。

メモ:

SRX5400、SRX5600、SRX5800 ライン デバイスでは、LAG/LACP および ISAG/RETH 子リンクに対して DUT 内の各 IOC に、画面のしきい値が設定されます。LAG/LACP または RETH/THEAG インターフェイスの一部として相互 IOC の子インターフェイスを使用し、受信トラフィックが IOC 全体で複数の子リンクを通過する場合は、しきい値を設定して、エグレス インターフェイスで複数の IOC から通過したパケットの総数と 1 秒あたりの期待パケット数(pps)を一致します。

署名ベースの画面

SRX5K-MPC は、受信パケットの確認チェックとともに、署名ベースのスクリーン オプションを提供します。

デバイスによって受信されたパケットの形式が正しくありません。また、パケットがデバイスやネットワークの損傷を引き起こす可能性があります。これらのパケットは、処理の最初の段階で破棄する必要があります。

署名ベースの Screen オプションと状態チェックの両方について、パケット ヘッダー、ステータスと制御ビット、拡張ヘッダー(IPv6 の場合)を含むパケット内容が検証されます。パケットのセキュリティチェックはデフォルトで実行されます。一方、ユーザーの要件に応じて画面を設定できます。

パケットのサニティ チェックとスクリーン オプションは、イングレス インターフェイスで受信したパケットで実行されます。

プロセッサーは正しいチェックを行い、一部のスクリーン機能を実行して、物理インターフェイスから受信した不正な形式のイングレス パケットと悪意のあるイングレス パケットを検出します。Sanity Check に失敗したパケットはカウントおよび破棄されます。

次のパケット SANITY チェックがサポートされています。

  • IPv4サニティチェック

  • IPv6サニティチェック

次のスクリーン機能がサポートされています。

  • IP ベースの画面

  • UDP ベースの画面

  • TCP ベースの画面

  • ICMP ベースの画面

この画面の機能は IPv4 パケットと IPv6 パケットの両方に適用できます。ただし、IP オプション Screen は IPv4 パケットにのみ適用されます。パケットが 1 つの screen オプションによって検知された場合、残りの画面のチェックをスキップして、ロギングおよび統計収集のために中央ポイントまたはサービス処理ユニット(SPU)に転送されます。

メモ:

デバイスSRX5400、SRX5600、SRX5800では、最初のパス署名画面が最初に実行され、その後にファスト パス画面が表示 bad-inner-header されます。

スクリーンのIPv6サポートについて

ジュニパーネットワークスは、ゾーンおよびポリシー レベルでさまざまな検知および防御メカニズムを提供し、実行のすべての段階で悪用を防御します。Screen オプションはゾーン レベルにあります。Junos OSオプションでは、ゾーンを検査してゾーンを保護し、そのゾーンにバインドされたインターフェイスを越える必要があるすべての接続試行を許可または拒否できます。

IPv6 拡張ヘッダー、パケット ヘッダー、ICMPv6 トラフィックに基づいてパケットをチェックおよびフィルタリングする screen オプションを設定できます。設定に基づいて、画面でパケットをドロップし、ログを作成し、IPv6トラフィックの統計情報を増やします。

IPv6 拡張ヘッダー のチェックとフィルタリング

ステートメントを使用して ipv6-extension-header 、1 つ以上の拡張ヘッダーを選択的にスクリーン スクリーン することができます。 表 5 は、 一般的な IPv6 拡張ヘッダーとそのタイプ値を示しています。

表 5:IPv6拡張ヘッダーとタイプ値

ヘッダー名

ヘッダー タイプの値

インターネット規格

認証

51

RFC 2460

セキュリティ ポリシーのペイロード

50

RFC 2460

ホスト識別プロトコル

139

RFC 5201

宛先オプション

  • ILNP ノンス オプション

  • ホーム アドレス オプション

  • 回線識別オプション

  • トンネル カプセル化制限オプション

60

RFC 2460

フラグメント

44

RFC 2460

ホップバイホップオプション

  • CALIPSO オプション

  • RPL オプション

  • SFM DPD オプション

  • ジャンボ ペイロード オプション

  • クイック スタート オプション

  • ルーターのアラート オプション

0

RFC 2460

モビリティ

135

RFC 6275

次はなし

59

RFC 2460

ルーティング

43

RFC 2460

多対 6

140

RFC 5533

拡張ヘッダー最大数

ステートメントを使用して、パケット内で許可される拡張ヘッダーの最大数を指定 ipv6-extension-header-limit できます。パケット内の拡張ヘッダーの最大数は明示的に指定されていませんが、RFC 2460 では、拡張ヘッダーの順序を推奨します。

  1. ホップバイホップ オプション ヘッダー

  2. 宛先オプション ヘッダー

  3. ルーティング ヘッダー

  4. フラグメント拡張ヘッダー

  5. 認証ヘッダー

  6. セキュリティ ヘッダーペイロードのカプセル化

  7. 宛先オプション ヘッダー

それぞれの拡張ヘッダーは、宛先オプション ヘッダーを除いて、通常は 2 回(ルーティング ヘッダーの前に 1 回、上位レイヤー のプロトコル ヘッダーの前に 1 回)発生する必要があります。

RFC 2460に基づく最大拡張ヘッダー番号は7です。その他の拡張ヘッダーは、後続の RFC で定義されています。最大拡張ヘッダー番号は、0~32 の範囲にすることをお勧めします。

Bad Option Extension ヘッダー

IP パケット ヘッダー(IPv4 または IPv6)で、任意のパケットを正しくフォーマットされた IP オプションで検出およびドロップするスクリーン を設定できます。デバイスは、イングレス インターフェイスのスクリーン カウンター リストにイベントを記録します。 表 6 は、 デバイスがパケットをスクリーン スクリーン して悪いオプションを選択する場合に使用する主な基準を示しています。

表 6:Bad Option 拡張ヘッダーのスクリーニング基準

審査基準

インターネット規格

説明

ルーティング拡張ヘッダーはフラグメント ヘッダーの後

RFC 2460

パケット内の拡張ヘッダーの順序が定義されています。したがって、フラグメント拡張ヘッダーはルーティング ヘッダーの後に追加する必要があります。

ルーターのアラート パラメータが間違っている

RFC 2711

このオプションは、ホップバイホップ ヘッダーとJunos OS実装に存在します。

  • このタイプのオプションは、ホップバイホップ ヘッダーごとに 1 つのみです。

  • ヘッダー長は2でなければなりません。

  • 拡張ヘッダーには、ルーターのアラート オプションは 1 つのみです。

複数のバックアンドバック・パット・オプション

draft-krishnan-ipv6-hopbyhop-00

このタイプのトラフィックは、エラー パケットとして送信されます。

PadN オプションのゼロ以外のペイロード

RFC 4942

システムは、PadN がペイロードにオクテットがゼロかのみをチェックします。

次の8-octet境界を越えたパディング

RFC 4942

システムは、次の8オクテット境界を超えたパディングをチェックします。次の8オクテット境界を越えてパディングを行う正当な理由はありません。

ゼロ以外の IPv6 ヘッダー ペイロードを使用したジャンボ ペイロード

RFC 2675

IPv6 ヘッダーのペイロード長フィールドは、ジャンボ ペイロード オプションを運ぶすべてのパケットでゼロに設定する必要があります。

ICMPv6 のチェックとフィルタリング

ICMPv6のチェックとフィルタリングを有効にできます次に、受信した ICMPv6 パケットが定義された条件と一致するかどうかを確認し、一致するパケットに対して指定されたアクションを実行します。主要な定義基準は次のとおりです。

  • 不明なタイプの情報メッセージ — Echo リクエスト(値 128)、Echo 応答(値 129)、ルーターの勧誘(値 133)など、さまざまなタイプの ICMPv6 情報メッセージが定義されています。最大タイプ定義は 149 です。149 を超える値は未知のタイプとして処理され、その結果としてスクリーン スクリーンされます。

  • ICMPv6 ND パケット形式ルール(RFC 4861)を満たしません。IP ホップ制限フィールドの値は 255、ICMP チェックサムは有効で、ICMP コードは 0 である必要があるなどの標準ルールがあります。

  • 不正な形式の ICMPv6 パケット フィルタリング — たとえば、ICMPv6 パケットのサイズが大きすぎる(メッセージ タイプ 2)、次のヘッダーがルーティング(43)に設定され、ルーティング ヘッダーがホップバイ ホップに設定されます。

IPv6 パケット ヘッダーのチェックとフィルタリング

ステートメントを使用して、IPv6 パケット ヘッダーのチェックとフィルタリングを有効 ipv6-malformed-header にできます。有効になると、受信する IPv6 パケットが検証され、定義された条件に一致するチェックが行なされます。次に、一致するパケットに対して指定されたアクション(ドロップまたはアラームなし)を実行します。 表 7 は、 デバイスがパケットの送信に使用する重要な基準を示しています。

表 7:IPv6パケット ヘッダーのスクリーニング基準

審査基準

インターネット規格

説明

削除したサイトローカルの送信元と宛先のアドレス

RFC 3879

IPv6 サイトローカル ユニキャスト プレフィックス(1111111011バイナリまたは FEC0:/10)はサポートされていません。

不正なマルチキャスト アドレススコープ値

RFC 4291

割り当てマルチキャスト アドレススコープ値は違法と処理されます。

ドキュメント専用プレフィックス(2001:DB8::/32)

RFC 3849

IANAは、IPv6 グローバル ユニキャスト アドレス プレフィックス(2001:DB8::/32)の割り当てを、IPv6 アドレス レジストリ内のドキュメント専用プレフィックスとして記録します。このアドレスは、エンド パーティに割り当ては行う必要はありません。

IPv4 互換 IPv6 送信元および宛先アドレス(::/96)

RFC 4291

IPv4 互換 IPv6 アドレスは変更されており、サポートされていません。

2001:10::/28(年 10:10:28)

RFC 5156

オーバーレイルーティング可能な暗号化ハッシュ識別子(2001:10::/28)のアドレスは識別子として使用され、IPレイヤーでのルーティングに使用できません。このブロック内のアドレスは、パブリック インターネットには表示されません。

IPv6アドレス内に埋め込まれたIPv4アドレス(64:ff9b:/96)は、違法で許容できないIPv4アドレスです。

RFC 6052

IPv6 アドレス 64:ff9b::/96 は、アルゴリズムのマッピングに使用するために「既知のプレフィックス」として予約されています。

Screen IPv6 トンネリング制御について

IPv6 をサポートしていない IPv4 ネットワーク上で IPv6 パケットのトンネリングを利用するために、いくつかの IPv6 移行方法が提供されています。このため、これらの方法はパブリック ゲートウェイを使用し、オペレーターのポリシーを迂回します。

トンネリングされたパケットには攻撃者が簡単にアクセスすることができるため、トンネリングされたパケットのセキュリティはサービス プロバイダにとって大きな懸念事項です。トンネリングされたパケットをネットワーク経由で送信する方法は、数多くの IPv6 移行手法が進化しています。ただし、一部はパブリック ゲートウェイで動作する場合のために、運用者のポリシーを迂回します。これは、パケット送信が攻撃者にさらされるという意味です。パケットの転送を克服して保護するには、IPv6 エンド ノードがカプセル化されたデータ パケットをカプセル化からカプセル化を削除する必要があります。Screen は、ユーザーの好みに基づいてトラフィックをブロックまたは許可する最新技術の 1 つです。

以下の screen オプションを設定して、IPv6 拡張ヘッダー、パケット ヘッダー、および Bad-Inner-Header IPv6 または IPv4 アドレス検証に基づいてパケットをチェックおよびフィルタリングできます。設定に基づいて、画面でパケットをドロップし、ログを作成し、IP トンネリングの統計情報を増やします。

  • GRE 4in4 トンネル: GRE 4in4 トンネル画面は、次のシグネチャーと一致します。 | IPv4 outer header | GRE header | IPv4 inner header

    外部IPv4ヘッダーは、 プロトコル47 GREカプセル化である必要があります。GRE ヘッダーには 、IPv4 に対応するプロトコル E タイプ0x0800必要があります。これらの条件を満たした場合、このパケットは GRE 4in4 トンネル シグネチャーに分類されます。

  • GRE 4in6 トンネル: GRE 4in6 トンネル画面は、次のシグネチャーと一致します。 IPv6 outer main header | IPv6 extension header(s) | GRE header | IPv4 inner header

    外部IPv6メインヘッダーまたはIPv6拡張ヘッダーには、GREの値47の次のヘッダー が必要です。GRE ヘッダーには 、IPv4 に対応するプロトコル E タイプ0x0800必要があります。これらの条件を満たした場合、このパケットは GRE 4in6 トンネル シグネチャーに分類されます。

  • GRE 6in4 トンネル: GRE 6in4 トンネル画面は、次のシグネチャーと一致します。 IPv4 outer header | GRE header | IPv6 inner header

    外部IPv4ヘッダーは、 プロトコル47 GREカプセル化である必要があります。GRE ヘッダーには 、IPv6 に対応するプロトコル E タイプ0x086DD必要があります 。これらの条件を満たした場合、このパケットは GRE 6in4 トンネル シグネチャーに分類されます。

  • GRE 6in6 トンネル: GRE 6in6 トンネル画面は、次のシグネチャーと一致します。 IPv6 outer main header | IPv6 extension header(s) | GRE header | IPv6 inner header

    外部IPv6メインヘッダーまたはIPv6拡張ヘッダーには、GREの値47の次のヘッダー が必要です。GREヘッダーには、プロトコルE タイプ0x086DD IPv6が必要です。これらの条件を満たした場合、このパケットは GRE 6in6 トンネル シグネチャーに分類されます。

  • IPinIP 6to4relay Tunnel : [IPinIP 6to4relay Tunnel]画面は、以下のシグネチャーと一致します。 | IPv4 outer header | IPv6 inner header

    外部IPv4ヘッダーは、 プロトコル41 IPv6カプセル化である必要があります。外部ヘッダー送信元アドレスまたは宛先アドレスは、ネットワーク 192.88.99.0/24にある必要があります。内部 IPv6 ヘッダーの送信元アドレスまたは宛先アドレスは、ネットワーク 2002:/16 にある必要があります。これらの条件を満たした場合、このパケットは IPinIP 6to4relay トンネル シグネチャーに分類されます。

  • IPinIP 6in4 トンネル : IPinIP 6in4 トンネル画面は、次のシグネチャーと一致しています。 | IPv4 outer header | IPv6 inner header

    外部IPv4ヘッダーは、 プロトコル41 IPv6カプセル化である必要があります。この条件を満たした場合、このパケットは IPinIP 6in4 トンネル シグネチャーに分類されます。

    メモ:

    通常、IPv6 パケットを完全な IPv4 ネットワークで転送する必要がある場合、IPv6 パケットはポイントトンポイント 6in4 トンネルを利用します。

  • IPinIP 6over4 トンネル : IPinIP 6over4 トンネル画面は、次のシグネチャーと一致しています。 | IPv4 outer header | IPv6 inner header

    外部 IPv4 ヘッダーは、 プロトコル 41 IPv6 カプセル化:Wである必要があります。 内部ヘッダーの送信元アドレスまたは宛先アドレスは 、fe80::/64 ネットワークに含されている必要があります。これらの条件を満たした場合、このパケットは IPinIP 6over4 トンネル シグネチャーに分類されます。

  • IPinIP 4in6 トンネル : IPinIP 4in6 トンネル画面は、次のシグネチャーと一致しています。 | IPv6 outer main header | IPv6 extension header(s) | IPv4 inner header

    外部IPv6ヘッダーまたはIPv6拡張ヘッダーには 、IPv4の値04の次のヘッダーが必要です。これらの条件を満たした場合、このパケットは IPinIP 4in6 トンネル シグネチャーに分類されます。

  • IPinIP ISATAP トンネル: IPinIP ISATAP トンネル画面は、次の署名と一致します。 | IPv6 outer main header | IPv6 inner header

    外部IPv4ヘッダーは、 プロトコル41 IPv6カプセル化である必要があります。内部 IPv6 ヘッダーの送信元アドレスまたは宛先アドレスは 、fe80:200:5efe/96 または fe80::5efe/96 ネットワークである必要があります。これらの条件が満たされた場合、このパケットは IPinIP ISATAP トンネル シグネチャーに分類されます。

  • IPinIP DS-Lite トンネル: IPinIP DS-Lite トンネル画面は、次のシグネチャーと一致します。 | IPv6 outer main header | IPv6 extension header(s) | IPv4 inner header

    外部IPv6ヘッダーまたはIPv6拡張ヘッダーには 、IPv4の値04の次のヘッダーが必要です。内部 IPv4 送信元アドレスまたは宛先アドレスは 、192.0.0.0/29 ネットワーク内にある必要 があります。これらの条件を満たした場合、このパケットは IPinIP DS-Lite トンネル シグネチャーに分類されます。

  • IPinIP 6in6 トンネル: IPinIP 6in6 トンネル画面は、次の署名と一致します。 | IPv6 outer main header | IPv6 extension header(s) | IPv6 inner main header

    外部IPv6メインヘッダーまたはIPv6拡張ヘッダーには 、IPv6の値の次のヘッダー41が必要です。内部 IPv6 メイン ヘッダーはバージョン 6 である必要があります。これらの 2 つの条件が満たされた場合、このパケットは IPinIP 6in6 トンネル シグネチャーに分類されます。

  • IPinIP 4in4 トンネル: IPinIP 4in4 トンネル画面は、次のシグネチャーと一致しています | IPv6 outer header | IPv4 inner header 。外部IPv4ヘッダーには 、IPv4の値のプロトコル04が必要です。内部 IPv4 ヘッダーはバージョン 4 である必要があります

  • IPinUDP Teredo トンネル: IPinUDP Teredo トンネルは、以下のシグネチャーに一致します。 IPv4 outer header | UDP header | IPv6 inner header

    外部 IPv4 ヘッダーは 、UDP ペイロードに対して 17 のプロトコルを持つ必要があります。UDP ヘッダーの送信元または宛先ポートは 3544 である必要があります。内部 IPv6 ヘッダーの送信元アドレスまたは宛先アドレスは、ネットワーク 2001:0000:/32 にある必要があります

  • IPトンネルの内部ヘッダーチェック: 悪い内部ヘッダートンネル画面で、トンネルトラフィックの内部ヘッダー情報が一貫性を確認します。パケットは、以下の検知時にドロップします。

    • 内部ヘッダーは外部ヘッダーと一致しません。

    • 内部ヘッダー TTL またはホップ制限は、0 または 255 に含めずにしてください。

    • 内部ヘッダー IPv6 アドレス チェック

    • 内部ヘッダー IPv4 アドレス チェック

    • 外部および内部ヘッダー長のチェック:

    • 内部ヘッダー IPv4 および IPv6 TCP/UDP/ICMP ヘッダー長チェック:

      内部 IP(v4/v6)が最初、次、または最後のフラグメントではない場合、TCP/UDP/ICMP ヘッダー長は、内部 IPv4/IPv6/EH6 ヘッダー長の内部に収まる必要があります。

    • TCP: 最小 TCP ヘッダー サイズは、前のカプセル化の長さに収まる必要があります。

    • ICMP: 最小 ICMP ヘッダー サイズは、前のカプセル化の長さに収まる必要があります。

    • フラグメント パケット: フラグメント化されたパケットの場合、トンネル情報を画面にチェックする必要があるが最初のフラグメントに含まれていない場合、最初のフラグメントに含まれるトンネル カプセル化の部分を除き、チェックは実行されません。実際のパケット バッファ長を使用した最初のフラグメント パケットでは長さのチェックが実行されますが、内部ヘッダーが外部ヘッダーよりも大きいので、長さのチェックは無視されます。

      • 外部ヘッダーが最初のフラグメントの場合、フラグメントの過去の物理パケット長を調べない。

      • 内部ヘッダーが最初のフラグメントの場合、フラグメントの過去の長さを調べない。

      最初以外のフラグメント パケットの場合、Bad Inner Header Tunnel 画面ではチェックは実行されません。

    • 外側のヘッダーが最初以外のフラグメントの場合は、ペイロードを検証できないため、IP ヘッダー シグネチャのみを使用するパケットを確認します。

    • 内部ヘッダーが最初以外のフラグメントの場合、次のパケットを調べない。

    • IPv4内部ヘッダーは、IPv4ヘッダーが20~50バイトにあるか確認します。

メモ:

すべてのデバイスSRX シリーズパケットの許可またはドロップ セッションが確立されると、この画面は高速パス画面のため、すべてのパケットで内部ヘッダーの不良画面が実行されます。

SRX300、SRX320、SRX340、SRX345、SRX380、SRX1500、SRX4100、SRX4200 デバイス、vSRX インスタンスでは、ファストパスの bad-inner-header 画面が常に最初に実行され、最初のパス シグネチャ画面が続きます。

Junos OS リリース 12.3X48-D10 および Junos OS リリース 17.3R1 から、syslog メッセージと IP トンネリング画面が RT_SCREEN_IP RT_SCREEN_IP_LS 更新されています。更新されたメッセージには、トンネル画面への攻撃とドロップなしのログを含む条件が含まれます。以下のリストは、各トンネル タイプについて、これらの新しいシステム ログ メッセージの例を示しています。

  • RT_SCREEN_IP: Tunnel GRE 6in4! source: 12.12.12.1, destination: 11.11.11.1, zone name: untrust, interface name: ge-0/0/1.0, action: alarm-without-drop

  • RT_SCREEN_IP: Tunnel GRE 6in6! source: 1212::12, destination: 1111::11, zone name: untrust, interface name: ge-0/0/1.0, action: drop

  • RT_SCREEN_IP: Tunnel GRE 4in4! source: 12.12.12.1, destination: 11.11.11.1, zone name: untrust, interface name: ge-0/0/1.0, action: drop

  • RT_SCREEN_IP_LS: [lsys: LSYS1] Tunnel GRE 6in4! source: 12.12.12.1, destination: 11.11.11.1, zone name: untrust, interface name: ge-0/0/1.0, action: alarm-without-drop

  • RT_SCREEN_IP_LS: [lsys: LSYS1] Tunnel GRE 6in6! source: 1212::12, destination: 1111::11, zone name: untrust, interface name: ge-0/0/1.0, action: drop

  • RT_SCREEN_IP_LS: [lsys: LSYS1] Tunnel GRE 4in4! source: 12.12.12.1, destination: 11.11.11.1, zone name: untrust, interface name: ge-0/0/1.0, action: drop

例: IP トンネリング Screen オプションによるトンネル トラフィック セキュリティーの向上

この例では、トンネル トラフィックの送信を制御、許可、またはブロックするトンネル画面を設定する方法を示しています。

要件

この例では、次のハードウェアとソフトウェアのコンポーネントを使用しています。

  • デバイスSRX シリーズ

  • Junos OS リリース 12.3X48-D10以降

開始する前に、以下を実行します。

概要

以下の IP トンネリング画面オプションを設定し、IPv6 拡張ヘッダー、パケット ヘッダー、および内部ヘッダーの不良 IPv6 または IPv4 アドレス検証に基づいて、パケットをチェックおよびフィルタリングできます。設定に基づいて、画面でパケットをドロップし、ログを作成し、IP トンネリングの統計情報を増やします。次のトンネリング画面オプションは Untrustゾーンに割り当てられます。

  • GRE 4in4 トンネル

  • GRE 4in6 トンネル

  • GRE 6in4 トンネル

  • GRE 6in6 トンネル

  • IPinUDP Teredo トンネル

  • IPinIP 4in4 トンネル

  • IPinIP 4in6 トンネル

  • IPinIP 6in4 トンネル

  • IPinIP 6in6 トンネル

  • IPinIP 6over4 トンネル

  • IPinIP 6to4relay トンネル

  • IPinip ISATAP トンネル

  • IPinIP DS-Lite トンネル

  • 悪い内部ヘッダー トンネル

構成

IP トンネリングスクリーン オプションを設定するには、以下のタスクを実行します。

GRE トンネル画面の設定

CLI構成の迅速な設定

この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細情報を変更し、コマンドを階層レベルで CLI にコピー アンド ペーストして、設定モードから を入力します。 [edit] commit

手順

次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 を Using the CLI Editor in Configuration Mode 参照してください CLI User Guide

GRE トンネル画面を設定するには、次の手順に従います。

  1. GRE トンネル画面を設定してトンネル トラフィックの内部ヘッダー情報を確認して一貫性を保ち、署名タイプの画面を検証します。

  2. セキュリティ ゾーンで画面を設定します。

IPinUDP Teredo トンネル画面の設定

CLI構成の迅速な設定

この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細情報を変更し、コマンドを階層レベルで CLI にコピー アンド ペーストして、設定モードから を入力します。 [edit] commit

手順

次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 を Using the CLI Editor in Configuration Mode 参照してください CLI User Guide

IPinUDP Teredo トンネル画面を設定するには、次の手順に従います。

  1. IPinUDP Teredo トンネル画面を設定して、トンネル トラフィックの内部ヘッダー情報の一貫性を確認し、署名タイプの画面を検証します。

  2. セキュリティ ゾーンで画面を設定します。

IPinIP トンネル画面の設定

CLI構成の迅速な設定

この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細情報を変更し、コマンドを階層レベルで CLI にコピー アンド ペーストして、設定モードから を入力します。 [edit] commit

手順

次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、「 CLI ユーザー ガイド 」の「 設定モードでの CLI エディター の使用 」 を参照してください

IPinIP トンネル画面を設定するには、次の手順に従います。

  1. IPinIP トンネル画面を設定して、トンネル トラフィックの内部ヘッダー情報の一貫性を確認し、署名タイプの画面を検証します。

  2. セキュリティ ゾーンで画面を設定します。

悪い内部ヘッダー トンネル画面の設定

CLI構成の迅速な設定

この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細情報を変更し、コマンドを階層レベルで CLI にコピー アンド ペーストして、設定モードから を入力します。 [edit] commit

手順

次の例では、設定階層内のさまざまなレベルに移動する必要があります。

悪い内部ヘッダー トンネル画面を設定するには、次の手順に従います。

  1. トンネル トラフィックの内部ヘッダー情報を確認して一貫性を保つ、悪い内部ヘッダー トンネル画面を設定します。

  2. セキュリティ ゾーンで画面を設定します。

結果

設定モードから、 および コマンドを入力して設定 show security screen を確認 show security screen statistics zone untrust ip tunnel します。出力結果に意図した設定結果が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

この出力には、この例に関連する show 設定のみ含まれています。システム上のその他の構成は、入れ替え(... )

デバイスの設定が完了したら、設定モード commit から を入力します。

検証

設定が正常に機能されていることを確認します。

セキュリティ画面の設定の検証

目的

セキュリティ画面に関する設定情報を表示します。

アクション

動作モードから コマンドを入力 show security screen ids-option screen1 します。

意味

コマンド show security screen ids-option screen1 は、 有効な状態で Screen オブジェクトのステータスを表示します。

セキュリティ ゾーンの IP トンネル画面の検証

目的

IP トンネリング画面オプションがセキュリティ ゾーンで適切に設定されていることを検証します。

アクション

動作モードから コマンドを入力 show security screen statistics zone untrust ip tunnel します。

意味

コマンド show security screen statistics zone untrust ip tunnel は、IP トンネル画面の統計情報のサマリを表示します。

リリース履歴テーブル
リリース
説明
15.1X49-D30
SRX5400、SRX5600、SRX5800 の各デバイスで Junos OS リリース 15.1X49-D30 および Junos OS リリース 17.3R1 から開始すると、中央ポイント アーキテクチャが拡張され、1 秒あたりの接続数(CPS)が増えます。
15.1X49-D20
Junos OS リリース 15.1X49-D20 および Junos OS リリース 17.3R1 より、ファイアウォールは、送信元または宛先のセッション制限をトリガーするパケット数に関係なく、1 秒ごとに 1 つのログ メッセージのみを生成します。この動作は、TCP-Synflood-src ベースの TCP-Synflood-dst ベースおよび UDP フラッド保護を使用したフラッド保護画面に適用されます。
12.3X48-D10
Junos OS リリース 12.3X48-D10 および Junos OS リリース 17.3R1 から、IP トンネリング画面で syslog メッセージRT_SCREEN_IP および RT_SCREEN_IP_LS が更新されました。