IPパケット保護

パケットは異なるネットワークを通過するため、各ネットワークの最大送信単位(MTU)に基づいてパケットを小さな断片(フラグメント)に分割する必要がある場合があります。IP フラグメントには、特定の IP スタック実装のパケット再構成コードの脆弱性を悪用しようとする攻撃者の試みが含まれている可能性があります。被害者がこれらのパケットを受信すると、パケットの誤った処理からシステム全体のクラッシュまで、さまざまな結果が生じる可能性があります。 図1を参照してください。

図1:IPパケットフラグメント

Junos OSを有効にしてセキュリティゾーン上のIPフラグメントを拒否すると、そのゾーンにバインドされたインターフェイスで受信するすべてのIPパケットフラグメントがブロックされます。

IPv6 パケットでは、フラグメント情報は IPv6 ヘッダーに存在しません。フラグメント情報は、IPv6 のフラグメント化と再構成を担当するフラグメント拡張ヘッダーに存在します。送信元ノードは、フラグメント化が必要な場合、IPv6 ヘッダーとペイロード ヘッダーの間にフラグメント拡張ヘッダーを挿入します。 図2を参照してください。

図2: IPv6パケット

フラグメント拡張ヘッダーの一般的な形式を 図 3 に示します。

図 3: フラグメント拡張ヘッダー

次に、フラグメント化された IP パケットをドロップする例を示します。

IP 標準 RFC 791、 インターネット プロトコルでは、特別なルーティング制御、診断ツール、およびセキュリティを提供する 8 つのオプションのセットが指定されています。これらのオプションの元の意図された用途は価値のある目的を果たしましたが、人々はこれらのオプションをねじってあまり称賛に値しない目的を達成する方法を考え出しました。

意図的または偶発的に、攻撃者はIPオプションを誤って構成し、不完全なフィールドまたは不正な形式のフィールドを生成することがあります。パケットを作成した人の意図に関係なく、誤った形式は異常であり、意図した受信者に害を及ぼす可能性があります。 図4を参照してください。

図4:誤った形式のIPオプション

不正IPオプション保護画面オプションを有効にすると、IPパケットヘッダーのIPオプションが正しくフォーマットされていない場合、Junos OSはパケットをブロックします。さらに、Junos OS は、このイベントをイベント ログに記録します。

この例では、誤った形式のオプションを使用して大きな ICMP パケットをブロックする方法を示しています。

最新の IANA プロトコル番号のドキュメントに基づくと、ID 番号が 143 以上のプロトコル タイプは予約されており、現時点では未定義です。これらのプロトコルは未定義であるため、特定の未知のプロトコルが無害か悪意のあるかを事前に知る方法はありません。

ネットワークがID番号143以上の非標準プロトコルを使用しない限り、そのような未知の要素が保護されたネットワークに入るのをブロックするのは慎重なスタンスです。 図5を参照してください。

図5:不明なプロトコル

不明なプロトコル保護画面オプションを有効にすると、プロトコル フィールドにデフォルトで 143 以上のプロトコル ID 番号が含まれている場合、Junos OS はパケットを破棄します。

この例では、不明なプロトコルを使用してパケットをドロップする方法を示しています。

Junos OSには、IPブロックフラグメント画面で信頼できるIPアドレスの許可リストを設定する管理オプションが用意されています。ゾーンで IP ブロックのフラグメント化を有効にすると、Junos OS は IP フラグメントを拒否し、すべての IP パケット フラグメントをブロックします。フラグメント化された IP パケットはすべてドロップされます。これらのパケットがドロップしないようにし、代わりにこれらのパケットが IP ブロックのフラグメント化チェックをバイパスできるようにするには、IP ブロック フラグメントの許可リストを構成する必要があります。

IPブロックフラグメント画面で許可リストを設定すると、許可リストグループ内の送信元アドレスからのトラフィックはIPブロックフラグメント化チェックをバイパスします。IP ブロック フラグメントの許可リストは、IPv4 アドレスと IPv6 アドレスの両方をサポートしており、各許可リストには最大 32 個の IP アドレス プレフィックスを含めることができます。単一のアドレスまたはサブネットアドレスを設定できます。