SCTP 設定
ストリーム制御伝送プロトコル(SCTP)は、すべての SCTP トラフィックでステートフル インスペクションを実行するように設定できます。
SCTP 構成の概要
セキュリティ デバイスがすべての SCTP トラフィックに対してステートフル インスペクションを実行できるように、少なくとも 1 つの SCTP プロファイルを設定する必要があります。SCTP トラフィックのステートフル インスペクションでは、一部の異常な SCTP パケットがドロップされます。
SCTP ファイアウォールは、プロファイルの詳細な検査をサポートします。
パケット フィルタリング:特別な SCTP ペイロード プロトコルおよび M3UA サービス用のドロップ パケットのプロファイル設定により、パケット フィルタリングが可能になります。
制限レート:関連付けごとに M3UA および SCCP パケット レートを制御します。
SCTP の詳細検査には、次の設定が必要です。
SCTP プロファイルの作成
フィルタリングおよび制限パラメーターの構成
SCTP プロファイルのポリシーへのバインド
例:SCTP トラフィックを許可または拒否するセキュリティ ポリシーの設定
この例では、SCTP トラフィックを許可または拒否するようにセキュリティ ポリシーを設定する方法を示しています。
要件
開始する前に、以下を行います。
ゾーンを作成します。「 例:セキュリティ ゾーンの作成」を参照してください。
アドレス帳を設定し、ポリシーで使用するアドレスを作成します。「 例:アドレス 帳とアドレス セットの設定」を参照してください。
ポリシーがそのタイプのトラフィックに適用されていることを示すアプリケーション(またはアプリケーション セット)を作成します。「 例:セキュリティ ポリシー アプリケーションとアプリケーション セットの設定」を参照してください。
GPRS SCTP プロファイルを設定します。「 例:セキュリティ リスクを軽減するためのポリシーベース インスペクション用の GPRS SCTP プロファイルの設定」を参照してください。
概要
SCTP ファイアウォールは、パスまたはドロップできるパケットを決定するために管理上使用されるポリシー メカニズムを実装します。ポリシーは、複数のアドレス、アドレス グループ、またはゾーン全体に対して設定できます。
SCTP トラフィックに少数のポートしか使用されていない場合、SCTP アソシエーションは SPU(サービス処理ユニット)に均等に分散されません。これは、次の場合に発生します。
関連付けポートのペアで不均等なハッシュ結果。
ポートペアの数は、SPUの数よりも少ない、またはそれほど大きくない。
この設定例では、次の方法を示します。
trust ゾーンから Untrust ゾーンの IP アドレス 10.1.1.0/24 への SCTP トラフィックを拒否します。
trust ゾーンの IP アドレス 10.1.2.0/24 から untrust ゾーンへの SCTP トラフィックを許可し、その SCTP 設定を roam2att プロファイルで指定します。
図 1 は、SCTP ファイアウォールの実装を示しています。
構成
手順
CLI クイック設定
この例を迅速に設定するには、次のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致するために必要な詳細情報を変更し、コマンドを階層レベルで [edit] CLI にコピー アンド ペーストしてから、設定モードから入力 commit します。
set security zones security-zone trust interfaces ge-0/0/2 set security zones security-zone untrust interfaces ge-0/0/1 set security policies from-zone trust to-zone untrust policy deny-all match source-address any set security policies policy from-zone trust to-zone untrust policy deny-all match destination-address 10.1.1.0/24 set security policies policy from-zone trust to-zone untrust policy deny-all match application junos-gprs-sctp set security policies from-zone trust to-zone untrust policy deny-all then deny set security policies from-zone trust to-zone untrust policy allow-att-roaming match source-address 10.1.2.0/24 set security policies from-zone trust to-zone untrust policy allow-att-roaming match destination-address any set security policies policy from-zone trust to-zone untrust policy allow-att-roaming match application junos-gprs-sctp set security policies from-zone trust to-zone untrust policy allow-att-roaming then permit application-services gprs-sctp-profile roam2att
手順
SCTP トラフィックを許可または拒否するようにセキュリティ ポリシーを設定するには、次の手順に関するページをクリックします。
インターフェイスとセキュリティ ゾーンを設定します。
[edit security zones] user@host# set security-zone trust interfaces ge-0/0/2 user@host# set security-zone untrust interfaces ge-0/0/1
trust ゾーンから untrust ゾーンへのトラフィックを許可するセキュリティ ポリシーを作成します。
[edit security policies from-zone trust to-zone untrust] user@host# set policy allow-att-roaming match source-address 10.1.2.0/24 user@host# set policy allow-att-roaming match destination-address any user@host# set policy allow-att-roaming match application junos-gprs-sctp user@host# set policy allow-att-roaming then permit application-services gprs-sctp-profile roam2att
trust ゾーンから untrust ゾーンへのトラフィックを拒否するセキュリティ ポリシーを作成します。
[edit security policies from-zone trust to-zone untrust] user@host# set policy deny-all match source-address any user@host# set policy deny-all match destination-address 10.1.1.0/24 user@host# set policy deny-all match application junos-gprs-sctp user@host# set policy deny-all then deny
結果
設定モードから、コマンドを入力して設定を show security policies 確認します。出力に意図した設定が表示されない場合は、この例の手順を繰り返して設定を修正します。
[edit]
user@host# show security policies
from-zone trust to-zone untrust {
policy deny-all {
match {
source-address any;
destination-address 10.1.1.0/24;
application junos-gprs-sctp;
}
then {
deny;
}
}
policy allow-att-roaming {
match {
source-address 10.1.2.0/24;
destination-address any;
application junos-gprs-sctp;
}
then {
permit {
application-services {
gprs-sctp-profile roam2att;
}
}
}
}
}
デバイスの設定が完了したら、設定モードから入力 commit します。
例:GPRS SCTP プロファイルをポリシーベース インスペクション用に設定してセキュリティ リスクを軽減する
GPRSアーキテクチャでは、オペレータのネットワークに対するセキュリティ脅威の根本的な原因は、GPRSトンネリングプロトコル(GTP)に固有のセキュリティの欠如です。この例では、GTP のセキュリティ リスクを軽減するために、ポリシーベースインスペクション用に GPRS SCTP プロファイルを設定する方法を示しています。
要件
開始する前に、GPRS SCTP 階層とそのオプションを理解してください。
概要
この例では、SCTP インスペクションの制限レート パラメーターとペイロード プロトコル パラメーターを設定して、GPRS SCTP プロファイルを設定します。ポリシーにオプションが nat-only 含まれている場合、ペイロード IP アドレスは変換されますが、検査されません。
SCTP コマンドは、SCTP プロファイルで設定されたポリシーにのみ適用できます。
ポリシーから SCTP プロファイルを削除すると、パケットはインスペクションなしで転送され、関連する静的 NAT が設定されている場合でも、パケット ペイロードの IP アドレス リストは変換されません。
構成
手順
CLI クイック設定
この例を迅速に設定するには、次のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致するために必要な詳細情報を変更し、コマンドを階層レベルで [edit] CLI にコピー アンド ペーストしてから、設定モードから入力 commit します。
set security gprs sctp profile roam2att limit rate address 10.1.1.0 sccp 100 set security gprs sctp profile roam2att limit rate address 10.1.1.0 ssp 10 set security gprs sctp profile roam2att limit rate address 10.1.1.0 sst 50 set security gprs sctp profile roam2att drop payload-protocol all set security gprs sctp profile roam2att permit payload-protocol dua
手順
GPRS SCTP プロファイルを設定するには、以下の手順にしてください。
制限レート パラメータを設定します。
制限レートは関連付けごとです。
[edit security gprs sctp profile roam2att] user@host# set limit rate address 10.1.1.0 sccp 100 user@host# set limit rate address 10.1.1.0 ssp 10 user@host# set limit rate address 10.1.1.0 sst 50
すべての SCTP ペイロード メッセージを破棄するようにペイロード プロトコルを設定します。
[edit security gprs sctp profile roam2att] user@host# set drop payload-protocol all
特定の SCTP ペイロード メッセージを許可するようにペイロード プロトコルを設定します。
[edit security gprs sctp profile roam2att] user@host# set permit payload-protocol dua
結果
設定モードから、 show security gprs コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の手順を繰り返して設定を修正します。
[edit]
user@host# show security gprs
sctp {
profile roam2att {
drop {
payload-protocol all;
}
permit {
payload-protocol dua;
}
limit {
rate {
address 10.1.1.0 {
sccp 100;
ssp 10;
sst 50;
}
}
}
}
}
デバイスの設定が完了したら、設定モードから commit と入力します。
検証
設定が正しく機能していることを確認します。
SCTP プロファイル設定の検証
目的
SCTP プロファイル設定を検証します。
アクション
設定モードから、 show configuration security gpr sctp profile roam2att コマンドを 入力します。
user@host> show configuration security gprs sctp profile roam2att
drop {
payload-protocol all;
}
permit {
payload-protocol dua;
}
limit {
rate {
address 10.1.1.0 {
sccp 100;
ssp 10;
sst 50;
}
}
}
意味
出力には、許可されたSCTPペイロードメッセージとドロップされたSCTPペイロードメッセージに関する情報が表示されます。次の情報を確認します。
SCTP ペイロード メッセージのドロップ
許可された SCTP ペイロード メッセージ