IP パケット保護
攻撃者の中には、IP オプション フィールドを悪用する場合があります。その意図は、特別なルーティング制御、診断ツール、セキュリティを提供するための最初のインテント(現在も含む)です。これらのオプションを誤って設定すると、攻撃者はパケット内の不完全なフィールドまたは不正なフィールドを生成します。攻撃者は、これらの不正な形式のパケットを使用して、ネットワーク上のホストを侵害できます。詳細については、以下のトピックを参照してください。
IP パケット フラグメント保護について
パケットが異なるネットワークを通過する場合、パケットを各ネットワークの 最大送信単位(MTU)に基づいた小さな断片(フラグメント)に分割する必要がある場合があります。IP フラグメントには、特定の IP スタック実装のパケット再組み込みコードの脆弱性を悪用しようとする攻撃者の試みがある場合があります。被害者がこれらのパケットを受信すると、その結果はパケットを不適切に処理していたり、システム全体がクラッシュするまで広範囲で起きることができます。図 1 を参照してください。
Junos OS で IP フラグメントを拒否セキュリティ ゾーン、そのゾーンにバインドされたインターフェイスで受信した IP パケット フラグメントすべてがブロックされます。
Junos OS IPv4 パケットと IPv6 パケットの両方で IP フラグメント保護をサポートします。
IPv6パケットでは、フラグメント情報はIPv6ヘッダーに存在しません。フラグメント情報は、IPv6 のフラグメント化と再アセンブを実行するフラグメント拡張ヘッダーに存在します。フラグメント化が必要な場合、ソース ノードは IPv6 ヘッダーとペイロード ヘッダーの間にフラグメント拡張ヘッダーを挿入します。図 2 を参照してください。
フラグメント拡張ヘッダーの一般的な形式を図 3 に示します。
例: フラグメント化 IP パケットのドロップ
この例では、フラグメント化された IP パケットをドロップする方法を示しています。
要件
開始する前に、IP パケット フラグメント保護について説明します。「 不審 なパケット属性の概要 」を参照してください。
概要
この機能が有効になっている場合、セキュリティ ゾーン Junos OSでIPフラグメントを拒否し、そのゾーンにバインドされたインターフェイスで受信されるすべてのIPパケット フラグメントをブロックします。
この例では、ブロック フラグメント画面に、Zone1 パケットから送信されたフラグメント化された IP パケットをドロップセキュリティ ゾーン。
トポロジ
構成
手順
手順
フラグメント化された IP パケットをドロップするには、次の方法に行います。
画面を設定します。
[edit] user@host# set security screen ids-option block-frag ip block-frag
デバイスを設定セキュリティ ゾーン。
[edit] user@host# set security zones security-zone zone1 screen block-frag
デバイスの設定が完了したら、設定をコミットします。
[edit] user@host# commit
検証
設定が正常に機能されていることを確認するには、 コマンドを入力 show security screen statistics zone zone-name します。
IP オプションの悪い保護について
IP 標準 RFC 791、Internet Protocolは、特別なルーティング制御、診断ツール、セキュリティを提供する 8 つのオプションセットを指定します。これらのオプションの目的は当初から目的を果たした目的ですが、価値のある目的を果たしたユーザーは、これらのオプションをひねってあまり評価のできない目標を達成する方法を考え出しています。
意図的または偶発的に、攻撃者が IP オプションを不適切に設定して、不完全なフィールドと不正な形式のフィールドを生成することがあります。パケットを作成した人の意図に関係なく、正しくないフォーマットは異常であり、意図した受取人に悪影響を与える可能性があります。図 4 を参照してください。
不正なIPオプション保護画面オプションを有効にすると、IP Junos OSヘッダーのIPオプションが正しくフォーマットされていない場合に、パケットをブロックします。さらに、イベントJunos OSログにイベントを記録する必要があります。
Junos OS IPv4 パケットと IPv6 パケットの両方で、IP オプションの悪い保護をサポートしています。
例: 不適切にフォーマットされたオプションを使用した IP パケットのブロック
この例では、不正にフォーマットされたオプションを使用して、大きな ICMP パケットをブロックする方法を示しています。
要件
開始する前に、悪い IP オプション保護について理解してください。「 不審 なパケット属性の概要 」を参照してください。
概要
不正なIPオプション保護画面オプションを有効にすると、IP Junos OSヘッダーのIPオプションが正しくフォーマットされていない場合に、パケットをブロックします。さらに、イベントJunos OSログにイベントを記録する必要があります。
この例では、ゾーン 1 パケットから送信された大きな ICMP パケットをブロックするように、IP bad オプション画面を設定セキュリティ ゾーン。
トポロジ
構成
手順
手順
IP パケットを誤ってフォーマットした IP オプションで検出してブロックするには、以下の方法に示します。
画面を設定します。
[edit] user@host# set security screen ids-option ip-bad-option ip bad-option
メモ:現在この screen オプションは IPv4 にのみ適用されています。
デバイスを設定セキュリティ ゾーン。
[edit] user@host# set security zones security-zone zone1 screen ip-bad-option
デバイスの設定が完了したら、設定をコミットします。
[edit] user@host# commit
検証
設定が正常に機能されていることを確認するには、 コマンドを入力 show security screen statistics zone zone-name します。
未知のプロトコル保護について
最新の IANA プロトコル番号ドキュメントに基づき、ID 番号が 143 以上のプロトコル タイプは、現時点で予約され、変更されています。これらのプロトコルは正確に分別されるからといって、特定の未知のプロトコルが無害なプロトコルか悪意のあるプロトコルかを事前に知る方法はありません。
ネットワークで ID 番号が 143 以上の標準に対応していないプロトコルを使用しない限り、そのような未知の要素が保護されたネットワークに入り込むのを慎重に考える姿勢です。図 5 を参照してください。
未知のプロトコル保護 screen オプションを有効にすると、プロトコル フィールドにデフォルトで143以上のプロトコルID番号が含まれている場合、Junos OSパケットをドロップします。
IPv6プロトコルで未知のプロトコル保護 screenオプションを有効にすると、プロトコル フィールドにデフォルトで143以上のプロトコルID番号が含まれている場合、Junos OSはパケットをドロップします。
例: 未知のプロトコルを使用したパケットのドロップ
この例では、未知のプロトコルを使用してパケットをドロップする方法を示しています。
要件
開始する前に、未知のプロトコル保護について理解してください。「 不審 なパケット属性の概要 」を参照してください。
概要
未知のプロトコル保護 screen オプションを有効にすると、プロトコル フィールドにデフォルトで137以上のプロトコルID番号が含まれている場合、Junos OSパケットをドロップします。
この例では、ゾーン 1 プロトコルから送信された未知のプロトコルを使用してパケットをブロックする未知のプロトコル画面を設定セキュリティ ゾーン。
トポロジ
構成
手順
手順
未知のプロトコルを使用するパケットをドロップするには、次の方法に示します。
未知のプロトコル画面を設定します。
[edit] user@host# set security screen ids-option unknown-protocol ip unknown-protocol
デバイスを設定セキュリティ ゾーン。
[edit] user@host# set security zones security-zone zone1 screen unknown-protocol
デバイスの設定が完了したら、設定をコミットします。
[edit] user@host# commit
検証
設定が正常に機能されていることを確認するには、 コマンドを入力 show security screen statistics zone zone-name します。